Mettre en place une cellule de crise après une cyber attaque

L'Agence Nationale de la Sécurité des Systèmes d'Information ne cesse d’alerter quant à la multiplication des enjeux liés à la cybersécurité des entreprises en 2021. Face à ce contexte, sa recommandation principale est simple : il faut que les sociétés françaises s’entraînent aux cyberattaques, et notamment qu’elles forment dès maintenant leurs cellules de crise.

Qui doit faire partie des membres du comité de crise ? Pourquoi doivent-ils être désignés en amont de la crise ? Quels sont les risques à ne pas créer sa cellule de crise dès maintenant ? Cet article propose un guide complet sur la cellule de crise, et les procédures à mettre en place pour entreprendre la gestion de crise.

Christophe Forêt

Un article de

Christophe Forêt
Président et co-fondateur de C-Risk
Publié le
August 13, 2021
mis à jour le
July 5, 2023
temps
min
cellule de crise - C-Risk

Cellule de crise : définition

Qu’est-ce qu’une cellule de crise, aussi parfois appelée “comité de crise”, ou “crisis unit” en anglais ? On la définit généralement comme l’équipe qui organise la gestion de crise d’une entreprise, tant au niveau de la logistique que de la stratégie de communication de crise. L’expression désigne en fait aussi bien le groupe qui gère la crise que le lieu où opère le comité de crise.

L'objectif central de la cellule de crise consiste donc à résoudre les problématiques liées à des situations sensibles ou critiques. Dans le détail, la cellule de crise :

  • s’occupe de la mise en place d’actions de prévention ;
  • limite l’impact d’une crise débutante sur les activités et la survie de l’organisation ;
  • protège la réputation et la valorisation financière éventuelle de l'entreprise face à une situation de crise.
Réunir la cellule de crise en urgence

À quoi sert une cellule de crise ?

La cellule de crise naît du fait d’un contexte anormal, rare, et dangereux pour l'entreprise. Son rôle principal va donc être de concevoir un dispositif tout aussi extraordinaire que la situation. Celui-ci doit encadrer rapidement et efficacement la situation de crise.

La cellule de crise propose ainsi un système de résolution de la crise principalement basé sur une gestion coordonnée des activités et de l’information. Cette mission transversale recoupe plusieurs objectifs complémentaires :

  • centralisation des données pour éviter les risques d’interprétation erronée ;
  • contrôle de la communication et de la clarté des messages ;
  • conceptualisation du plan de gestion de crise ;
  • coordination des moyens relatifs à la résolution de crise ;
  • diffusion des bons messages à la presse, aux parties prenantes et au grand public.

Quels types de contexte appellent la mise en place d’un comité de crise ?

C’est l’audit des risques qui permet de délimiter le champ d’intervention potentiel de la cellule de crise d’une entreprise. On considère, en général, qu’elle doit être convoquée dans toute situation qui expose la réputation de la société.

Ces crises se déclenchent souvent du fait de la survenue d’un événement capable de freiner ou de stopper votre activité. Les cyberattaques DDoS par exemple, rendent votre site internet ou vos services en ligne inaccessibles. Elles s’assimilent donc à une situation de crise. Il peut aussi s’agir d’un acte de cyberdélinquance qui nuit à l'image de vos services, comme un vol de données personnelles. Les décisions prises par la cellule de crise seront très différentes en fonction de la nature de la crise à laquelle l’entreprise doit faire face.

Transform how you model, measure, and manage cyber risk with CRQ

Our FAIR-certified cyber risk experts will help you prioritize your IT security investments, improve governance and strengthen your organization's cyber resilience.

Qui doit participer à la cellule de crise ?

ll vaut mieux composer sa cellule de crise en amont des crises potentielles, après avoir procédé à l’analyse des risques cyber et autres scénarios de dangers éventuels. Le comité de crise doit ainsi rassembler les fonctions stratégiques de l’entreprise :

  • direction générale ;
  • directeurs et directrices de sites, le cas échéant ;
  • secrétariat général ;
  • direction de la communication ;
  • direction des affaires juridiques ;
  • qualité ;
  • directions métiers concernées, notamment la Direction des Systèmes Informatiques en cas de cyberattaques.

À cette équipe s’ajoute, en interne, un porte-parole et éventuellement un coordinateur. Il faut néanmoins s’efforcer de restreindre la cellule de crise à un nombre limité d'intervenants, pour garantir sa souplesse et son efficacité. De nombreuses organisations prennent cependant le parti de se faire aider d’experts extérieurs :

  • consultants en gestion de crise ;
  • professionnels de la communication de crise ;
  • juristes, notamment avocats ;
  • si la crise advient du fait d’un problème cyber, consultants en cybersécurité.

Un document doit par ailleurs détailler précisément le rôle de chaque membre de la cellule de crise, ses objectifs et les moyens mis à sa disposition. Ce fichier, souvent sous forme de tableau, doit être mis à jour régulièrement. Chaque acteur du comité de crise doit en outre pouvoir être joignable facilement, grâce à une fiche contact jointe au document.

Composition d’une cellule de crise

Avantages et inconvénients d’un comité de crise

La cellule de crise soulage la direction générale dans sa gestion d'une situation de crise. Il s’agit d’un outil flexible, capable de réagir en temps réel à l’évolution du problème, en fonction de scénarios préparés à l’avance. Il y a donc de nombreux avantages à recourir à une cellule de crise :

  • préparée à la crise, elle en réduit les impacts et améliore la résilience de l'entreprise ;
  • elle réduit la fréquence des situations problématiques ;
  • La cellule de crise assure la continuité de l’activité de l’entreprise.

Néanmoins, mettre en place une cellule de crise ne suffit pas à résoudre le problème. Pour une gestion de crise efficace, il faut un comité de crise entraîné et une répartition claire des missions entre membres. Il convient aussi que chaque acteur ait été intégré à la conceptualisation du plan de continuité. La gestion de crise ne peut réussir que si les membres de la cellule connaissent les stratégies de gestion de crise avant de devoir les appliquer.

Attention, également, aux cellules de crise construites autour de l’autorité d’une seule personnalité, par exemple le coordonnateur. Pour que le comité de crise fasse preuve de la souplesse nécessaire à une gestion de crise réactive, il faut que chaque membre ait un niveau suffisant d’autonomie dans son domaine. Quand ce n’est pas le cas, la cellule de crise est ralentie par des processus de validations lents, qui nuisent à une résolution efficace du problème.

Comment organiser une cellule de crise ?

L’organisation d’une cellule de crise s’effectue aussi bien avant le déclenchement d’une crise qu’après. Elle répond, dans tous les cas, à des procédures précises, elles-mêmes supportées par des outils spécifiques.

Voici le déroulé typique de la mise en place d’une cellule de crise, basé sur l’exemple d’une gestion de crise appliquée à la cybersécurité. Nous prenons ici le cas d’une cyberattaque par déni de service, qui bloque l’accès à vos services en ligne.

En amont de la crise

Pour une cellule de crise efficace, il faut s’atteler à définir la typologie des risques qui menacent l’entreprise. Cette catégorisation se traduit donc aussi par la réalisation d’une cartographie des risques cyber.

1. Définir les risques pour composer l’équipe

La constitution de l’équipe du comité de crise va notamment dépendre des risques que vous évaluez comme prioritaires pour votre organisation. Il va s’agir de risques probables et potentiellement très graves, tant au niveau des retombées pour votre entreprise que de l’impact sur vos parties prenantes.

L’identification de ces risques crisogènes, et dans notre exemple de ces cyberrisques, détermine la composition de la cellule de crise et la planification de son travail. La prise en compte du risque d’attaque par déni de service impose par exemple d’inclure le responsable de la sécurité des systèmes d'information (RSSI) au comité de crise.

2. Création du guide de crise

La préparation de la cellule de crise donne lieu à la conceptualisation d’un “guide de crise” chargé de préciser les procédures, outils et responsabilités en période troublée. Il doit donc inclure le tableau évoqué ci-dessus, qui précise l’identité de chaque membre, ses coordonnées, son rôle et son degré d’autonomie dans la prise de décision.

Ce guide peut aussi comprendre un document qui détaille les équipements mis au service de la cellule de crise et leur fonctionnement. Dans le cas d’une cyberattaque DDoS, il peut par exemple s’agir de standards téléphoniques dédiés aux questions des internautes. Il est aussi possible de prévoir des ordinateurs, des adresses emails dédiées etc.

Ce guide de crise doit en outre détailler l’organisation logistique de la cellule, et sa hiérarchie. L’idée globale consiste à faciliter l'action de la cellule de crise dans un contexte perturbé, en évitant les inconnues sources d'errements le jour J.

3. Installer une procédure de veille

Les membres de la cellule de crise doivent être sensibilisés aux risques majeurs. Ils doivent ainsi également se former et former leurs équipes à reconnaître les signes d’une éventuelle crise naissante. Dans le cas d’une cyberattaque par déni de service, par exemple, on observe en amont de la crise des pics de trafic inexpliqués, ou un ralentissement soudain de votre service en ligne.

Si des signaux alarmants de ce type sont repérés, tous les membres du comité de crise doivent alerter la cellule pour assurer sa proactivité dans la gestion du problème. Le comité s’assure alors qu’il ne s’agit pas d’un faux problème. Dans le cas d'une suspicion de DDoS, une simple erreur de configuration DNS peut suffire à ralentir les services en ligne.

Repérer les pré-alertes crisogènes

4. Préparer l’argumentaire

La cellule de crise doit enfin se munir d’un document de référence qui recense les différentes questions à anticiper lors d’une crise, et les réponses à y apporter. Il faut que les messages et éléments de langage soient communs à tous les acteurs amenés à prendre la parole.

Pour être crédible, votre communication de crise doit effectivement faire preuve d’homogénéité. Il faut aussi, cependant, qu’elle prenne en compte la diversité de vos cibles. Vos investisseurs n’attendent probablement pas les mêmes informations que le grand public. Votre argumentaire de crise doit le prendre en compte. Il doit en outre détailler aussi bien les arguments que les contre-arguments éventuels.

Une fois la crise commencée

En cas de crise avérée, la cellule de crise doit composer entre la théorie mobilisée dans ses documents, ses procédures, ses exercices de mise en pratique et la réalité de la crise spécifique qui s’oppose à elle. Pour que cette confrontation aboutisse à un management de crise efficace, il faut suivre plusieurs étapes :

1 / Alerter : l’observateur d’une pré-alerte ou d’une alerte doit informer du risque le coordonnateur de la cellule de crise et les responsables concernés. Dans le cas d’une cyberattaque, il s’agit généralement du Directeur Informatique. Celui-ci doit alors recueillir un maximum d'informations sur les faits en cours. Il estime ensuite si la gravité du risque justifie de mobiliser la cellule de crise. Cette convocation pour alerte de crise doit se faire en cascade, selon un schéma prédéfini en amont.

2 / La cellule de crise se réunit idéalement au siège de l’entreprise, dans une pièce réservée à cet usage, dotée de tout le matériel nécessaire.

3 / Le comité de crise se mobilise selon le tableau des responsabilités préexistant. Chaque action fait l’objet d’un reporting dans le “livre de crise”.

4 / Les membres de la cellule chargés de la communication collectent les informations sur la crise, par exemple ici sur la cyberattaque. Ils s’inspirent de l’argumentaire pour adapter ces données aux différents publics : médias, conseil d'administration, clients etc.

5 / Le porte-parole communique avec les médias, si possible seul pour ne pas diffuser de messages contradictoires, et donc inquiétants. La transparence de l’organisation est garante de la réussite de sa communication de crise.

Une fois la tempête passée, le compte-rendu que formule la cellule de crise sur son management, aussi appelé “livre de crise”, peut servir de support pour améliorer le fonctionnement de l'entreprise en cas de prochaines crises.

La communication interne est prioritaire en cas de crise


Questions fréquentes sur la cellule de crise

Quel est le rôle de la cellule de crise ?

La cellule ou comité de crise anticipe les risques qui menacent l’organisation. Elle gère la crise quand elle advient, centralise les informations et tire les leçons de ce management de l’urgence.

Comment mettre en place une cellule de crise ?

La constitution d’une cellule de crise s'effectue en amont de l’éclatement réel d’une crise. Elle rassemble en son sein toutes les personnalités représentatives des directions qui soutiennent le fonctionnement de l’entreprise.

Quelle différence entre cellule de crise et réunion de crise ?

La cellule de crise est à la fois une équipe et un endroit choisis en amont de la survenue des crises pour mieux les gérer. La réunion de crise consiste à convoquer cette cellule en cas de situation problématique.

Dans cet article
Utilisez la CRQ pour une meilleure prise de décision

Nous avons conçu des solutions évolutives pour quantifier les risques cyber en termes financiers afin que les organisations améliorent leur gouvernance et leur résilience grâce à des décisions éclairées.

Articles associés

En savoir plus sur les cyber-risques, les attaques par ransomware, la conformité réglementaire et la cybersécurité.