“ Si personne ne sait qui prend les décisions le jour J, vous perdez du temps. Et dans une usine à l’arrêt, le temps c’est de l’argent ”

Une cyberattaque, ce n’est pas qu’un problème informatique. C’est une crise d’entreprise, avec tout ce que cela implique de décisions à prendre vite, sous pression, dans un contexte dégradé. Et comme toute crise, elle révèle les failles organisationnelles autant que les failles techniques.

Ce que l’on observe systématiquement sur le terrain, c’est que ce qui aggrave la situation n’est pas tant la sophistication de l’attaque que l’absence de préparation de ceux qui doivent y répondre. Les chiffres sont sans appel : 58 % des entreprises admettent ne pas savoir comment réagir face à une cyberattaque et seulement 2 à 4 % se déclarent vraiment prêtes. Quant aux plans de réponse à incident, 45 % des organisations n’en disposent pas, et parmi celles qui en ont un, 42 % ne le mettent jamais à jour. Autrement dit, la majorité des entreprises industrielles entreraient en crise sans feuille de route. DG, DAF, DSI, Directeur de production : chacun a un rôle précis à jouer. Encore faut-il l’avoir défini avant que la crise éclate.

Ce qui se passe vraiment dans les premières heures

Avant même de parler de réponse à la crise, il y a un sujet que l’on sous-estime : la détection. Les attaquants ne se signalent pas. Leur objectif est de rester le plus longtemps possible invisibles dans le système (en moyenne 2 à 3 semaines), le temps de se déplacer, de gagner des droits, d’identifier les actifs les plus précieux et de mettre en place leurs canaux d’exfiltration. Ce n’est qu’une fois ce travail accompli qu’ils déclenchent l’attaque visible : le ransomware, le chiffrement, le blocage.

Résultat : quand l’entreprise réalise qu’elle est compromise, il est souvent déjà trop tard pour limiter l’étendue de la compromission. D’où l’importance cruciale de se doter des bons outils de détection, ceux qui permettent d’identifier une situation anormale avant qu’elle ne devienne incontrôlable.

Vient ensuite le premier réflexe, souvent mauvais : tout éteindre. L’intention est compréhensible, stopper la propagation, mais la conséquence est contre-productive. En éteignant les machines, on efface les mémoires temporaires, et avec elles toutes les traces qui permettront d’analyser l’attaque et d’identifier les vecteurs d’entrée. La bonne pratique, c’est de déconnecter du réseau pour stopper la propagation, sans pour autant couper l’alimentation des systèmes compromis. Une nuance technique, mais qui change tout pour la suite des investigations.

Le temps : la variable que tout le monde sous-estime

Dans une situation de crise, le temps est l’ennemi numéro un. Chaque heure perdue à chercher qui décide, qui appelle qui, comment on communique, c’est de l’argent qui part et de la crédibilité qui s’érode.

Une usine à l’arrêt ne produit pas. Ne livre pas. Ne facture pas. Les pénalités de retard s’accumulent, les clients s’impatientent, les partenaires s’inquiètent. Et si c’est l’ERP qui est touché, ce système central qui orchestre commandes, production, expéditions et facturation, c’est toute la chaîne opérationnelle qui se bloque simultanément. Dans l’industrie manufacturière, la paralysie dure en moyenne 12 jours. Douze jours sans produire, sans livrer, sans facturer.

C’est précisément là que la préparation fait la différence. Une organisation qui a anticipé, documenté ses processus de crise et formé ses équipes va prendre ses décisions en minutes là où une autre mettra des heures. Et dans ce contexte, quelques heures gagnées peuvent représenter des centaines de milliers d’euros préservés.

Qui fait quoi : le rôle de chaque décideur

Une crise cyber n’est pas l’affaire du seul service informatique. C’est une mobilisation collective, où chaque décideur a un périmètre d’action précis. Le problème, c’est que ces rôles sont rarement définis avant la crise. On se retrouve alors à se marcher dessus, à perdre un temps précieux en arbitrages improvisés, au moment où tout le monde devrait être concentré sur l’essentiel.

• Le DSI / RSSI pilote la réponse technique : identifier l’étendue de la compromission, activer les procédures de confinement, coordonner les équipes IT et les prestataires externes. C’est lui qui tient le fil opérationnel de la crise.
• Le Directeur de production décide de ce qui continue et de ce qui s’arrête. Quelles lignes peut-on maintenir en mode dégradé ? Quels processus sont absolument critiques ? Il doit avoir réfléchi à ces questions avant le jour J, pas en pleine crise.
• Le DAF active les assurances cyber, évalue les pertes financières en temps réel, arbitre les dépenses d’urgence. Il est aussi celui qui pose la question que personne ne veut entendre : combien ça nous coûte si on paie, combien ça nous coûte si on ne paie pas ?
• Le DG est le directeur de crise. Il tranche, il arbitre, il communique vers l’extérieur ; clients, partenaires, actionnaires, régulateurs. Son rôle n’est pas technique. Il est décisionnel et représentatif. Et pour le tenir correctement, il doit avoir été impliqué dans la préparation bien en amont.
• Les équipes communication et RH ont également leur partition à jouer : préparer les messages adaptés à chaque audience (collaborateurs, clients, presse), gérer les aspects RH liés à la mobilisation des équipes en situation de crise. Si les trames de communication ne sont pas prêtes, on perd une demi-heure à rédiger sous stress ce qui aurait pu être préparé en trente minutes de calme.

Ce qui se joue avant la crise

La vraie question n’est pas « sera-t-on attaqués ? » mais « quand ? ». Les groupes cybercriminels sont aujourd’hui structurés comme de véritables entreprises, avec des outils, des process, des spécialisations. Les incidents se comptent en dizaines par jour. Pour un industriel, la probabilité d’être ciblé un jour n’est pas une hypothèse d’école.

Ce qui distingue les organisations qui s’en sortent bien de celles qui subissent des semaines d’arrêt, c’est une seule chose : la préparation.

Concrètement, cela signifie trois choses.

• Documenter. Identifier en amont quels sont les systèmes prioritaires à remettre en ligne en premier, puis comment redémarrer l’ERP, qui appelle quel prestataire, quel est le numéro d’urgence du bon interlocuteur. Ces informations semblent évidentes en temps normal. Sous stress, elles disparaissent.
• Définir les rôles. Qui prend les décisions dans la cellule de crise ? Qui tient la main courante ? Qui gère la logistique ? Tant que ces rôles ne sont pas écrits et connus de tous, la crise sera gérée dans la confusion.
• Tester. Un plan de crise sur le papier est toujours parfait. Dans la réalité, il dévie. Les exercices permettent de vérifier que les numéros sont les bons, que les contrats prestataires couvrent bien les bons scénarios, que les équipes réagissent bien sous pression. Un dispositif non testé est un dispositif non fiable. Pourtant, seulement 30 % des organisations effectuent des tests et entraînements réguliers, ce qui signifie que 7 entreprises sur 10 découvriront les failles de leur plan le jour où elles n’ont plus le droit à l’erreur.

NIS2 et ISO 27001 : des cadres pour structurer la préparation

La réglementation pousse de plus en plus les industriels dans cette direction. NIS2, dont les exigences sont contraignantes pour les entreprises qui y sont soumises, impose explicitement de définir des processus de gestion des incidents, de continuité d’activité et de reprise et d’en tester régulièrement l’efficacité. Ce n’est pas une option, c’est une obligation.

L’ISO 27001, norme volontaire, offre quant à elle un cadre structurant pour construire cette maturité dans la durée : identifier ce qui est critique, mettre en place les mesures adaptées, les maintenir et les améliorer en continu.

Dans les deux cas, le message est le même : la préparation à la crise ne s’improvise pas. Elle se construit, se documente, se teste et elle implique la direction, pas seulement les équipes IT.

La cyber, un enjeu de direction — pas un sujet informatique

C’est peut-être le message le plus important à retenir. La cybersécurité reste trop souvent cantonnée à la salle serveurs. Or une cyberattaque qui paralyse l’ERP, c’est une crise qui touche la production, les finances, la relation client, la réputation. C’est un sujet business, qui doit être porté au niveau du CODIR.

Si la direction ne s’empare pas du sujet, il restera en coin de table, sous-financé, sous-préparé. Et le jour où la crise arrive, parce qu’elle arrivera, personne ne sera vraiment prêt.

Se faire accompagner sur ces sujets suppose de travailler avec des interlocuteurs qui parlent les deux langues : celle de la cybersécurité et celle de l’ERP. Là où un expert cyber externe doit d’abord comprendre votre environnement ERP avant de l’auditer, TVH Consulting et sa filiale Fidens partent déjà de l’intérieur. Une longueur d’avance qui, le jour J, peut faire toute la différence.