NIS2

Gestion d'incidents en pratique : Quand le plan rencontre la réalité

Toutes les organisations ont un plan de gestion d'incidents. Peu l'ont testé. Voici comment construire une préparation efficace 24h/24.

K
Kim Borg
6 min de lecture
  1. 24
    heures pour la notification initiale d'incident à l'ANSSI
    Directive NIS2 Article 23
  2. 277
    jours est le délai moyen pour identifier et contenir une intrusion
    IBM Cost of a Data Breach 2025
  3. Les
    Les organisations avec un plan d'incident exercé économisent 2,7 M€ par incident
    IBM Cost of a Data Breach 2025
Incident response team collaborating during a crisis exercise

Le plan qui n’a jamais été testé

Toutes les organisations ont un plan de gestion d’incidents. Il se trouve dans un document partagé quelque part, peut-être mis à jour lors du dernier audit annuel. Il contient des organigrammes, des descriptions de rôles et des listes de contacts. Sur le papier, il semble complet.

Puis quelque chose arrive. À 03h14 un vendredi soir, le système de surveillance déclenche une alerte. Un ransomware se propage à travers le réseau. Et soudain l’organisation fait face à des questions auxquelles le plan n’a jamais répondu : Qui prend la décision d’arrêter les systèmes de production ? Qui appelle le président du conseil d’administration ? Qui parle aux médias ? Où sont les sauvegardes hors site — et fonctionnent-elles ?

La réalité : Les organisations avec un plan d’incident testé et exercé économisent en moyenne 2,7 M€ par incident par rapport à celles qui ne s’exercent pas. La différence ne tient pas au fait d’avoir un plan — elle tient au fait que le plan fonctionne sous pression.

Quatre éléments d’une préparation efficace

Un plan de gestion d’incidents efficace ne consiste pas à avoir un document parfait. Il s’agit de s’assurer que tous les intervenants savent quoi faire sans avoir besoin de lire le document pendant la crise.

1. Voies d'escalade

Qui contacter pour quel type d'incident ? Qui prend la décision d'escalader d'un incident IT à une crise opérationnelle ? Définissez des seuils clairs : au niveau X on contacte le RSSI, au niveau Y on contacte le PDG, au niveau Z on active le groupe de crise. Pas de formulations vagues — des noms et numéros concrets.

2. Répartition des rôles

Responsable d'incident, responsable technique, responsable communication, contact juridique, contact externe avec les autorités. Chaque rôle nécessite une personne principale et un suppléant. Les rôles doivent être attribués selon les compétences et la disponibilité — pas selon la position hiérarchique.

3. Modèles de communication

Pendant une crise, il n'y a pas de temps pour rédiger des messages de zéro. Préparez des modèles pour la communication interne aux collaborateurs, la communication externe aux clients, la notification aux autorités (ANSSI/CSIRT), et les déclarations médias. Adaptez les détails pendant l'incident — pas la structure.

4. Isolement technique

Comment isoler rapidement les systèmes affectés sans arrêter toute l'activité ? Quels segments réseau peuvent être fermés ? Où sont les kill-switches ? Avez-vous préparé des stratégies de segmentation qui peuvent être activées manuellement si l'automatisation ne fonctionne pas ?

Exercices pratiques : L’étape que tous sautent

La plupart des organisations s’arrêtent à la documentation. Le plan est écrit, approuvé par la direction et archivé. Des exercices ? “On n’a pas le temps.” “C’est trop compliqué à organiser.” “On sait déjà quoi faire.”

Non, vous ne le savez pas. Pas sous stress, pas au milieu de la nuit, pas quand les systèmes brûlent et que le téléphone sonne sans arrêt.

Exercices de simulation : Commencez ici

Un exercice de simulation ne nécessite aucune technologie. Rassemblez l’équipe, présentez un scénario, et discutez étape par étape : que faisons-nous en premier ? Qui contactons-nous ? Quelles informations nous faut-il ? Où les trouvons-nous ?

Exemple de scénario de simulation :

C’est vendredi à 16h30. Un collaborateur signale qu’il ne peut pas accéder au serveur de fichiers. L’IT enquête et découvre des fichiers chiffrés avec un message de rançon. Le chiffrement se propage activement. Vous avez 24 heures pour notifier l’ANSSI.

À discuter :

  1. Quelles décisions sont prises dans les 15 premières minutes ?
  2. Qui est informé et dans quel ordre ?
  3. Comment communiquez-vous en interne si le système de messagerie est affecté ?
  4. Quels systèmes pouvez-vous arrêter, et lesquels doivent continuer à fonctionner ?
  5. Qui rédige le rapport à l’ANSSI — et que doit-il contenir ?

Les exercices de simulation révèlent des lacunes qu’aucune analyse documentaire ne peut détecter : que la liste de contacts est obsolète, que le responsable des sauvegardes a quitté l’entreprise il y a trois mois, que personne ne connaît le mot de passe root du serveur de production.

Exercices grandeur nature : Niveau suivant

Quand les exercices de simulation fonctionnent bien, étendez aux simulations grandeur nature où vous activez réellement vos processus. Cela teste non seulement la prise de décision mais aussi la capacité technique : la restauration de sauvegarde fonctionne-t-elle ? Les canaux de communication supportent-ils la charge ? Pouvez-vous vraiment isoler les segments réseau comme prévu ?

Erreurs courantes dans la préparation aux incidents

  1. Le plan est trop compliqué Un plan de gestion d'incidents de 50 pages que personne n'a lu entièrement ne sera pas utilisé pendant une crise. Rendez-le court, concret et orienté action. Les procédures détaillées peuvent figurer en annexes — mais le plan central doit tenir sur deux pages.
  2. Mandats peu clairs Si le responsable d'incident n'a pas le mandat pour prendre des décisions critiques — arrêter des systèmes, escalader au PDG, engager une aide externe — la prise de décision se bloquera. Les mandats doivent être documentés et approuvés par la direction en amont.
  3. Pas de plan B pour la communication Si l'email, les messageries internes et le réseau interne sont affectés par l'incident — comment communiquez-vous ? Préparez des canaux de communication alternatifs : téléphones mobiles avec listes de contacts pré-chargées, un service de chat externe, ou même des lieux de rendez-vous physiques.
  4. Notification aux autorités jamais exercée Le délai de 24 heures selon la loi de transposition NIS2 commence à courir dès la découverte. Avez-vous des formulaires prêts ? Le responsable de notification connaît-il les informations que l'ANSSI exige dans l'alerte préliminaire ? Exercez aussi la partie administrative.

Le lien avec les exigences de notification de NIS2

La préparation aux incidents et la notification d’incidents sont liées mais ne sont pas identiques. La préparation concerne la gestion opérationnelle de l’incident. La notification concerne le respect des obligations légales envers les autorités.

Vous n’avez pas le temps de construire le processus de notification pendant que l’incident est en cours. Les modèles, les coordonnées de l’ANSSI/CSIRT et un responsable de notification désigné doivent être en place avant que l’incident ne survienne. Consultez notre guide sur la chronologie de notification d’incidents pour les exigences de délais exactes.

Commencez par l’essentiel

Vous n’avez pas besoin d’un plan parfait. Vous avez besoin d’un plan qui fonctionne. Commencez par un exercice de simulation basé sur votre scénario le plus probable. Cela révélera vos lacunes les plus importantes et vous donnera des actions d’amélioration concrètes.

Le module de gestion d’incidents de Securapilot vous aide à documenter, exercer et suivre votre préparation aux incidents — avec des modèles prêts à l’emploi adaptés aux exigences de notification de la loi de transposition NIS2.

Questions fréquentes

Quelle est la différence entre gestion d'incidents et notification d'incidents ?

La gestion d'incidents est l'ensemble du processus — détecter, analyser, contenir, corriger et tirer les leçons d'un incident. La notification d'incidents est l'obligation spécifique d'informer les autorités (ANSSI/CSIRT) dans les délais que fixe la loi de transposition NIS2.

À quelle fréquence faut-il organiser des exercices d'incidents ?

Les exercices de simulation (tabletop) doivent être menés au moins semestriellement. Les exercices grandeur nature au moins annuellement. Chaque exercice doit être suivi d'une évaluation et d'une mise à jour du plan basée sur les enseignements tirés.

Qu'est-ce qu'un exercice de simulation (tabletop) ?

Un exercice de simulation est un exercice basé sur la discussion où l'équipe examine étape par étape un scénario d'incident fictif. Aucune technologie n'a besoin d'être activée — l'objectif est de tester la prise de décision, la communication et la collaboration.

Avons-nous besoin d'un SOC pour gérer les incidents ?

Pas nécessairement. L'essentiel est d'avoir des rôles définis, des processus documentés et des routines exercées. La façon dont vous organisez cette capacité — en interne, externalisée ou hybride — dépend de votre taille et de votre maturité.

#gestion-incidents#NIS2#cybersécurité#préparation#CSIRT#gestion-crise

Plus d'articles

Nous utilisons des statistiques anonymes sans cookies pour améliorer le site. En savoir plus