Courtney Guss | Responsable de la gestion de crise

Une gestion efficace des crises cybernétiques ne se définit pas par des documents ou des modèles de maturité. Elle se définit par la manière dont une organisation réagit dans les premières heures d'un incident réel — et par les moyens qu'elle met en œuvre pour soutenir ces efforts.

Dans cette série d'articles, nous avons cherché à comprendre pourquoi la gestion des crises cybernétiques échoue si souvent au moment où cela compte le plus.

Dans « Repenser la gestion des crises cybernétiques : pourquoi les plans échouent — et comment les améliorer », nous avons examiné comment les plans échouent lorsque la prise de décision s'effondre sous la pression de la réalité — non pas parce que les équipes sont mal préparées, mais parce que, lorsque les événements évoluent plus vite que prévu, les responsabilités, les priorités et la répartition des tâches deviennent floues.

Dans l'article « La maillon manquant dans la gestion des incidents cybernétiques : l'orchestration de crise », nous avons examiné ce qui se passe ensuite. Même lorsque les organisations savent ce qu'elles doivent faire, elles peinent à passer à l'action. La communication est fragmentée. Les responsabilités sont floues. Les informations sont dispersées un peu partout. Et sans moyen de coordonner les actions en temps réel, les efforts de réponse commencent à s'effondrer.

À ce stade, les problèmes sont évidents. La question qui se pose désormais est la suivante : comment les organisations peuvent-elles résoudre ces problèmes de manière concrète et efficace ?

À quoi ressemble réellement une bonne gestion des crises cybernétiques lorsque les plans cèdent le pas à la pression, que les décisions doivent être prises sur la base d'informations incomplètes et que la coordination détermine l'issue ?

Pour répondre à cette question, il ne suffit pas de se contenter d'un nouveau cadre ou d'une nouvelle liste de contrôle. Il faut d'abord avoir une vision claire des comportements, des structures et des capacités qui caractérisent aujourd'hui une gestion efficace des crises cybernétiques.


À quoi ressemble une bonne gestion de crise cybernétique lors d'un incident réel ?

Malgré des efforts accrus pour se préparer aux incidents de cybersécurité, de nombreuses organisations sont encore prises au dépourvu face à la réalité de la gestion des crises de cybersécurité.

Figure 1. Une étude de Semperis révèle un écart important entre le niveau de préparation perçu et les résultats obtenus lorsqu'un incident réel se produit. (Source : The State of Enterprise Cyber Crisis Readiness)

Cela ne veut pas dire que ces organisations ont tort de se préparer. Une gestion efficace des crises cybernétiques ne signifie pas pour autant qu'il faille renoncer à la planification, à la préparation ou aux exercices sur table. En réalité, les organisations qui gèrent bien les incidents sont presque toujours celles qui investissent dans ces efforts.

Les plans, les guides opérationnels et les simulations sont essentiels. Ils permettent d'établir une vision commune, de mettre en lumière et de remettre en question les hypothèses, et donnent aux équipes les moyens d'envisager différents scénarios avant que la pression ne devienne réelle.

Le problème n’est pas que les organisations ne s’entraînent pas ou ne planifient pas, mais que, trop souvent, ces plans sont élaborés et testés d’une manière qui ne se traduit pas dans les premières heures critiques d’un incident réel. De nombreuses initiatives de préparation se concentrent sur le plan A sans envisager ce qui se passe lorsque ce plan échoue. Lorsque le scénario prévu ne se déroule pas comme prévu, les équipes savent-elles comment s’adapter ?

  • Y a-t-il un plan B — ou un plan C — sur lequel se rabattre ?
  • Tout le monde est-il d'accord sur ce qui compte le plus ?
  • Qui a le pouvoir de prendre des décisions cruciales en temps réel ?

Soyez prêt à adapter votre plan de gestion de crise

Lorsqu'une véritable cybercrise éclate, les événements se déroulent rarement comme prévu. Les informations sont incomplètes. Les priorités s'opposent. De nouveaux risques apparaissent à chaque instant. À ce stade, l'intérêt de la préparation ne se mesure plus à la capacité des équipes à suivre à la lettre un document, mais à leur capacité à mettre en œuvre efficacement l'esprit du plan, même sous pression.

Lorsque les équipes gèrent efficacement une crise, plusieurs éléments apparaissent immédiatement, même aux yeux des personnes extérieures à l'intervention :

  • Les décisions sont prises sans longs débats sur les compétences
  • Les mesures avancent sans qu'il y ait de confusion quant à la responsabilité
  • Les dirigeants peuvent suivre l'évolution de la situation sans avoir à se tenir constamment informés
  • L'organisation garde le contrôle, même lorsque les conditions changent

Ce n'est pas parce que la situation est simple que cela se produit.

Cela s'explique par le fait que la préparation est conçue de manière à tenir la route lorsque la réalité s'écarte des prévisions.


Au fond, une bonne gestion des crises cybernétiques consiste à savoir traduire la préparation en une action coordonnée, en alignant en temps réel les décisions de la direction sur leur mise en œuvre, tout en garantissant la transparence, la responsabilité et la justifiabilité tout au long de l'intervention.

C'est cet alignement qui compte le plus dans les premières heures d'une crise.


Lors d'incidents mal gérés, les équipes sont souvent très occupées, mais peu coordonnées. La communication est constante, mais fragmentée. Les décisions sont bloquées ou remises en question en raison d'un manque de clarté quant aux responsabilités ou d'un manque de contexte. Les responsables s'appuient sur des résumés plutôt que sur une visibilité partagée, ce qui ralentit la réaction au moment où chaque seconde compte.

Dans le cas d'incidents bien gérés, c'est tout le contraire.

  • L'organisation agit de manière réfléchie.
  • Les bonnes personnes s'impliquent dès le début.
  • Le pouvoir de décision est bien compris et exercé.
  • Les informations circulent via une image opérationnelle partagée.
  • La mise en œuvre s'adapte à l'évolution de la situation sans perdre ni en cohérence ni en dynamisme.

Et surtout, le succès ne se mesure pas à l'aune de la perfection.

Toute crise s'accompagne d'incertitudes et nécessite de savoir revoir ses décisions à la lumière des nouvelles informations qui apparaissent. Ce qui caractérise une bonne gestion de crise, ce n'est pas de tout faire juste du premier coup, mais de conserver la capacité d'agir, de s'adapter et de défendre ses décisions au fur et à mesure que la situation évolue.

Cette capacité ne résulte pas uniquement de la planification. Elle découle de la préparation de l'organisation à agir lorsque les plans se heurtent à la réalité.


Se concentrer sur l'essentiel : le fil conducteur pour la prise de décision en situation de crise

Avant de pouvoir exercer efficacement son autorité — et avant que la mise en œuvre puisse avancer rapidement —, il faut s'accorder sur un point plus fondamental : ce qui importe le plus lorsque des compromis deviennent inévitables.

Lors de chaque crise informatique, les organisations sont confrontées à des décisions qui ne peuvent être prises sur la seule base de considérations techniques.

  • Il n'est pas possible de restaurer tous les systèmes en même temps.
  • On ne peut pas éliminer tous les risques en même temps.
  • Les informations parviennent de manière irrégulière.
  • Le temps est compté.

Dans ces moments-là, la question n'est pas simplement de savoir qui a le pouvoir de décider, mais plutôt quel objectif ces décisions doivent servir.


Les organisations qui rencontrent des difficultés en période de crise manquent souvent de cette cohésion. Les équipes fonctionnent selon des priorités différentes, parfois contradictoires :

  • La sécurité met l'accent sur le confinement.
  • Les technologies de l'information mettent l'accent sur la restauration.
  • Le droit met l'accent sur la responsabilité.
  • Les chefs d'entreprise misent sur la continuité.
  • La communication met l'accent sur la réputation.

Ces points de vue ne sont pas faux. Mais en l'absence d'un objectif commun, ils s'opposent plutôt que de se rejoindre.

Les organisations qui gèrent efficacement les crises cybernétiques consacrent dès le départ du temps à s'accorder sur ce qui importe le plus lorsque la pression est à son comble. Cet accord peut porter sur la protection de la sécurité des patients, le maintien de la confiance des clients, la poursuite des opérations essentielles, le respect des délais réglementaires ou la limitation des dommages à long terme pour la réputation.

Les priorités spécifiques varient d'une organisation à l'autre. L'important est qu'elles soient bien comprises, approuvées et mises en œuvre avant qu'une crise ne survienne.

Lorsque cet alignement est en place, la prise de décision gagne en clarté, même lorsque les événements ne se déroulent pas comme prévu. Les dirigeants peuvent improviser sans s’égarer. Les équipes peuvent s’adapter sans se disperser. Les décisions prises dans des moments d’incertitude restent en phase avec les valeurs et les engagements de l’organisation.

C'est là que de nombreuses initiatives traditionnelles de préparation échouent. Les exercices sur table se concentrent souvent sur des actions spécifiques à un scénario plutôt que sur des compromis dictés par les priorités. Les plans décrivent les étapes, mais pas l'objectif stratégique qui les sous-tend. Lorsque la réalité s'écarte des prévisions, les équipes perdent leurs repères, non pas parce qu'elles ne savent pas quoi faire, mais parce qu'elles ne savent pas exactement quel objectif elles doivent privilégier.

C'est l'alignement qui change cela.

  • Lorsque les priorités sont clairement définies, l'autorité peut être exercée avec détermination.
  • Lorsque les priorités sont partagées, la mise en œuvre est plus rapide et plus cohérente.
  • Lorsque les priorités sont clairement définies, la coordination s'améliore même lorsque la situation évolue.

Cet alignement doit s'inscrire dans le même cadre opérationnel que la prise de décision et la mise en œuvre. Si les priorités n'existent que sur le papier, dans des documents stratégiques ou des présentations PowerPoint, elles disparaissent dès que la pression s'exerce. Lorsqu'elles sont intégrées à la gestion des crises — qu'elles se reflètent dans la hiérarchisation des tâches, la justification des décisions et la visibilité du leadership —, elles continuent de guider les comportements même lorsque l'improvisation s'impose.


L'orchestration joue ici un rôle essentiel.

Des plateformes telles que Ready1 ne se contentent pas d’aider les équipes à coordonner leurs actions ; elles aident les organisations à ancrer leurs activités d’intervention sur les priorités convenues en temps réel. En rendant les décisions, les actions et le contexte visibles en un seul endroit, l’orchestration garantit que l’improvisation reste cohérente plutôt que dispersée.

En cas de crise cybernétique, c'est la cohésion qui permet à la hiérarchie de fonctionner et à l'action de s'ensuivre. Sans elle, même des rôles clairement définis et une communication rapide peuvent pousser les équipes dans des directions divergentes. Grâce à elle, l'organisation peut avancer de concert, guidée par une vision commune de ce qui compte vraiment au moment où cela importe le plus.


Définir à l'avance les compétences afin d'éviter tout blocage dans la prise de décision

Un manque de clarté dans la hiérarchie et une communication fragmentée entraînent un blocage ou une dispersion des décisions sous la pression. Le temps que le consensus soit atteint, les opportunités sont perdues, les risques augmentent et la confiance s'érode.

Lorsqu'une crise est bien gérée, le pouvoir de décision n'est pas défini au beau milieu de l'incident. Il a déjà été exercé auparavant, compris par toutes les équipes et consolidé grâce à une préparation qui reproduit les conditions réelles.

Cela ne signifie pas pour autant que les dirigeants déterminent à l'avance tous les résultats. Cela signifie simplement que l'organisation s'est mise d'accord au préalable sur les personnes habilitées à prendre les décisions, les enjeux, les compromis qu'elles sont autorisées à faire, ainsi que la manière dont ces décisions sont communiquées et mises en œuvre une fois prises.


L'un des indicateurs les plus évidents d'une gestion efficace d'une crise cybernétique réside dans la rapidité avec laquelle l'organisation est capable de prendre des décisions – et de les assumer – alors que la situation est encore en pleine évolution.


Lorsque l'autorité est correctement établie :

  • Les équipes remettent les décisions à un niveau supérieur au lieu de débattre de la responsabilité
  • Les dirigeants prennent leurs décisions avec assurance plutôt qu'avec hésitation
  • La mise en œuvre se poursuit sans attendre les validations informelles
  • Les décisions sont automatiquement consignées dans le cadre de la réponse

De nombreuses organisations se méprennent sur le rôle de la préparation dans ce contexte. Les exercices sur table se concentrent souvent sur les décisions à prendre, mais évaluent rarement la manière dont ces décisions sont prises, communiquées, attribuées et suivies lorsque la pression devient réelle.

Cette distinction change complètement la donne.

Lors d'incidents réels, le défi ne consiste pas à identifier la « bonne » décision. Il s'agit plutôt de veiller à ce que cette décision se traduise en actions concrètes — rapidement, de manière visible et de façon cohérente à tous les niveaux de l'organisation.

C'est dans cette phase de passage de la décision à la mise en œuvre que l'orchestration devient indispensable.

Sans coordination, même une hiérarchie bien définie perd de son efficacité dans la pratique. Les décisions sont communiquées oralement, se perdent dans les discussions en ligne ou sont transmises de manière incohérente. Les tâches sont supposées plutôt qu’attribuées. Les dirigeants pensent que les mesures sont en cours, tandis que les équipes attendent des précisions.

Une fois l'orchestration mise en place, l'autorité est renforcée par la structure :

  • Les décisions sont consignées au fur et à mesure qu'elles sont prises
  • La propriété est transférée immédiatement et de manière explicite
  • La direction peut suivre l'exécution en temps réel
  • Les obstacles apparaissent dès le début plutôt qu'après des retards

Le résultat n'est pas la rapidité pour elle-même, mais des décisions qui tiennent la route parce qu'elles sont mises en œuvre comme prévu.

C'est ce qui fait que les premières heures d'une cybercrise sont décisives : non pas parce que chacun agit plus vite, mais parce que tous agissent de concert, guidés par une hiérarchie claire et une vision opérationnelle commune.


Repenser la préparation face aux réalités de la gestion des crises cybernétiques

Tout au long de cette série, j'ai fait valoir que la gestion des crises cybernétiques échoue souvent lorsque la réalité s'écarte des prévisions. Mais la solution n'est pas de moins planifier, mais de se préparer différemment.

Les organisations qui gèrent efficacement les crises ne sont pas celles qui disposent du plus grand nombre de guides d'intervention ou des schémas d'intervention les plus détaillés. Ce sont celles qui axent leur préparation sur ce qui compte le plus lorsque les plans échouent — car elles savent que cela arrivera.

Une préparation efficace reconnaît que l'improvisation est inévitable et prépare l'organisation à bien s'y adapter .

Cela signifie qu'il faut résister à la tentation de surcharger les plans d'action et se concentrer plutôt sur les scénarios qui constituent une réelle menace pour l'entreprise : les clients, les patients, la sécurité, les opérations, les obligations réglementaires et la confiance.

Cela implique également de se préparer en amont de la prise de décision, et pas seulement au niveau des étapes techniques.

  • Qui décide quand des compromis sont inévitables ?
  • De quelle autorité disposent-ils à ce moment-là ?
  • Quelles sont les priorités qui guident les décisions lorsque les informations sont incomplètes et que le temps presse ?

Lorsque les organisations s'accordent à l'avance sur ces questions, l'improvisation devient une démarche structurée plutôt que chaotique. Les décisions évoluent, mais elles restent ancrées dans des valeurs et des responsabilités communes.

La préparation doit également être abordée différemment.

Les exercices les plus enrichissants ne sont pas ceux où tout se passe comme prévu, mais ceux où les hypothèses ne se vérifient pas : ceux où des informations font défaut, où les systèmes se comportent de manière imprévisible et où les équipes doivent s'adapter en temps réel.

C'est là que l'orchestration devient indispensable.

Les incidents cybernétiques d'aujourd'hui ne sont pas seulement des problèmes techniques : ce sont des crises opérationnelles qui exigent un jugement éclairé de la part des dirigeants, une coordination interfonctionnelle et une prise de responsabilité en temps réel.

Les organisations qui repensent leur préparation — en mettant moins l'accent sur des scénarios parfaits et davantage sur une improvisation coordonnée — sont mieux armées pour faire face à cette réalité.

Ils ne se contentent pas de répondre plus vite.
Ils répondent de manière ciblée.

Et lorsque la prochaine crise survient, ils ne se contentent pas de réagir. Ils la gèrent.


En savoir plus sur la refonte de la gestion de crise et la cyber-résilience