Cybersécurité
26/03/2026

Gestion de crise cyber 

Définition d’une crise cyber 

Une crise cyber est une situation dans laquelle un incident de cybersécurité perturbe gravement l’activité, menace la pérennité de l’organisation ou engage sa responsabilité. Elle se distingue par son caractère transversal et son impact stratégique. 

Différence incident / crise 

Un incident est circonscrit et maîtrisable. 
Une crise implique : 

  • une perte de contrôle, 
  • une forte incertitude, 
  • une pression temporelle, 
  • des enjeux multiples (techniques, humains, juridiques). 

Tous les incidents ne deviennent pas des crises, mais toute crise commence par un incident.

Les phases d’une crise cyber 

Une crise cyber suit généralement plusieurs phases : 

  1. Détection 
  2. Déstabilisation 
  3. Arbitrage sous pression 
  4. Stabilisation 
  5. Reprise 
  6. Retour d’expérience 

            Chaque phase nécessite des compétences et des décisions spécifiques. 

            Les rôles clés au sein d’une cellule de crise 

            Une cellule de crise efficace ne s’improvise pas. Sa composition est définie en amont et structure deux niveaux complémentaires : un volet stratégique et un volet opérationnel. 

            Le volet stratégique — la cellule décisionnelle 

            Elle réunit les fonctions habilitées à arbitrer, engager l’organisation et décider. On y trouve : 

            • Le pilote de crise (Direction Générale ou membre du COMEX) : il active la cellule, tranche les arbitrages majeurs et porte la responsabilité finale des décisions. 
            • Le coordinateur de crise : il assure la fluidité entre les cellules, synchronise les actions et maintient la vision d’ensemble. Ce rôle peut être occupé par INQUEST. 
            • La Direction Juridique : elle conseille sur les obligations légales, pilote les notifications réglementaires (CNIL, ANSSI), et protège les droits de l’organisation. 
            • La Direction Communication : elle gère les prises de parole internes et externes, pilote l’image et évite les messages contradictoires. 
            • La Direction des Ressources Humaines : elle gère l’impact humain — salariés touchés, communication sociale, continuité de l’organisation. 
            • La Direction Financière : elle évalue les impacts économiques immédiats et pilote les aspects assurantiels (activation de la garantie cyber, pertes d’exploitation). 

            Le volet opérationnel — les cellules techniques et métiers 

            • La DSI / RSSI : ils pilotent la réponse technique — containment, investigation, remédiation, remise en service. 
            • Les experts cyber (internes ou prestataires PRIS qualifiés ANSSI) : ils analysent les traces, qualifient l’attaque et coordonnent les opérations de réponse à incident. INQUEST peut intervenir ici en appui à l’investigation et à la qualification. 
            • Les directions métiers concernées : selon la nature de la crise (production, ventes, logistique…), elles définissent les procédures de continuité en mode dégradé. 
            • Le secrétaire de cellule : il assure la tenue de la main courante — chronologie des événements, décisions prises, actions engagées. Rôle souvent sous-estimé, pourtant essentiel pour le retour d’expérience et les aspects juridiques. 

            Le positionnement d’INQUEST dans ce dispositif 

            INQUEST n’a pas vocation à se substituer aux acteurs internes, mais à les structurer, les coordonner et sécuriser leur trajectoire de décision. Concrètement, INQUEST peut occuper les rôles de coordinateur de crise, d’expert indépendant apportant une vision transverse, ou encore de facilitateur du retour d’expérience. Son intervention permet d’éviter les deux écueils les plus fréquents : la paralysie par excès de précaution, et la précipitation par manque de méthode. 

            L’absence de clarification des rôles en amont est, selon les référentiels ISO 22301 et ISO 22361, l’un des principaux facteurs d’échec en situation de crise. 

            Erreurs fréquentes observées 

            Parmi les erreurs courantes : 

            • minimiser l’incident, 
            • agir trop vite sans vision globale, 
            • laisser la “technique” dicter toutes les décisions, 
            • négliger la communication, 
            • ne pas capitaliser après la crise. 

            Ces erreurs sont souvent liées au manque de préparation. 

            L’approche INQUEST 

            INQUEST aborde la crise cyber comme une crise globale de l’organisation. L’accompagnement vise à structurer la décision, coordonner les acteurs et sécuriser la trajectoire de sortie de crise, sans précipitation ni improvisation. 

            Rédigé par INQUEST