Club Cyber Inovallée : parler vrai, à partir du terrain
Les cyberattaques ne sont plus des scénarios théoriques. Elles frappent toutes les organisations, tous les secteurs, souvent au moment où l’on s’y attend le moins.
Mais ce que montre le retour d’expérience partagé par Jérôme LEROULLEY ancien DSI et dirigeant de Clemane Consulting lors du dernier Club Cybersécurité d’Inovallée, c’est qu’une crise cyber est rarement “seulement” technique.
👉 C’est une crise globale, qui met à l’épreuve l’organisation, la gouvernance, la communication, la gestion de crise… et le leadership.
Ce Club Cyber s’est appuyé sur un REX sans filtre d’une cyberattaque réelle, vécue par une entreprise de services critiques, victime d’un cryptovirus lors du week-end de Pâques 2021.
Objectif :
- comprendre comment se déroule réellement une crise cyber,
- analyser ce que la norme ISO 27001 change – ou pas – dans ces situations,
- tirer des enseignements concrets pour les dirigeants, au-delà des discours théoriques.
Un parti pris fort : confidentialité des échanges, absence de jugement, et mise en perspective avec d’autres crises réelles (exercices de crise, retours hospitaliers, assurance cyber).
Une cyberattaque n’arrive jamais “par surprise”
Un enseignement clé du REX : les signaux faibles étaient là.
Avant l’attaque :
- comptes mails piratés sans alerte formelle,
- connexions VPN suspectes détectées… mais non escaladées,
- dépendance forte à un prestataire historique,
- absence de PRA/PCA opérationnel,
- documentation existante… mais inutilisable en situation de crise.
👉 Tant que la crise n’est pas vécue, elle est rarement évaluée à sa juste mesure, notamment côté CODIR.
Le jour J : quand tout bascule
L’attaque se déclenche à 2h du matin.
Résultat immédiat :
- systèmes chiffrés,
- production menacée,
- données critiques indisponibles.
La réaction s’organise rapidement autour de quelques décisions structurantes :
- activation de l’assurance cyber,
- mise en place d’une cellule de crise pluridisciplinaire (DSI, direction, avocat, communication, experts techniques),
- choix stratégique fort : reconstruire intégralement le SI “from scratch”, plutôt que chercher des solutions partielles.
👉 La crise dure plusieurs semaines, mobilise intensément les équipes… mais l’entreprise continue à livrer, à payer les salaires et à servir ses clients.
Ce que révèle la crise : management, gouvernance, organisation
Le REX met en lumière plusieurs réalités souvent sous-estimées :
- La crise déplace les rôles : le DAF devient acheteur, les directions métiers prennent des décisions IT, les arbitrages remontent au niveau DG.
- Les procédures existent… mais ne sont pas connues, pas entraînées, pas déclenchées.
- Une entreprise certifiée n’est pas forcément sécurisée.
- La documentation, souvent perçue comme une contrainte, devient un levier de résilience.
- Une équipe qui traverse une crise en sort souvent plus soudée, plus mature… et plus lucide.
ISO 27001 : ce que la norme change (et ne change pas)
Le retour d’expérience a permis de relire la crise à l’aune de la norme ISO 27001 :
✅ Ce que la norme apporte quand elle est vivante :
- une lecture globale du risque, pas seulement cyber,
- la nécessité d’identifier les enjeux métiers,
- l’importance du leadership et de l’implication du CODIR,
- la structuration des processus, de la gestion des risques et des revues de direction.
❌ Ce qu’elle ne garantit pas :
- la capacité à réagir si la gouvernance n’est pas engagée,
- la bonne communication en situation de stress,
- la prise de décision rapide sans entraînement préalable.
👉 ISO 27001 n’est pas une assurance tous risques : c’est un cadre, pas un bouclier automatique.
REX – Boîte à outils cyber : 8 tips pour les dirigeants et DSI
✅ Tip 1 – Une crise cyber est toujours globale
Elle touche l’IT, mais aussi le juridique, le RH, la communication, la production et les clients.
👉 La traiter uniquement comme un sujet technique est une erreur stratégique.
✅ Tip 2 – Sans entraînement, les procédures ne servent à rien
PRA, PCA, cellule de crise : ce qui n’est pas testé ne fonctionnera pas le jour J.
✅ Tip 3 – Le CODIR doit être préparé, pas seulement informé
La principale difficulté observée : faire prendre conscience au CODIR de la réalité d’une crise cyber avant qu’elle n’arrive.
✅ Tip 4 – L’assurance cyber est un levier clé
Elle apporte non seulement un volet financier, mais surtout :
- des experts,
- une méthodologie de crise,
- un cadre de décision.
✅ Tip 5 – Documenter, cartographier, clarifier
Cartographie du SI, rôles, dépendances fournisseurs, responsabilités internes :
👉 ce travail est souvent réalisé après la crise, alors qu’il devrait être fait avant.
✅ Tip 6 – Accepter des règles contraignantes
En matière de cyber, certaines décisions seront impopulaires :
- restrictions,
- contrôles,
- exigences fortes.
👉 Le “DSI pénible” est souvent celui qui évite la catastrophe.
✅ Tip 7 – Intégrer l’humain dans la cybersécurité
Les Facteurs Organisationnels et Humains (FOH) jouent un rôle central :
- remontée des signaux faibles,
- communication en situation de stress,
- autonomie des équipes.
La cyber n’est pas qu’une affaire de technologie.
✅ Tip 8 – Une entreprise qui traverse une crise peut en sortir plus forte
À condition de :
- faire un vrai RETEX,
- tirer les leçons organisationnelles,
- transformer la crise en levier de maturité.
À retenir
- La cyberattaque n’est plus une éventualité, mais une hypothèse de travail.
- ISO 27001 est un outil de structuration, pas un talisman.
- La préparation se joue autant dans la gouvernance que dans la technique.
- Le pire risque n’est pas l’attaque elle-même, mais l’illusion d’être prêt.
👉 Avec ce Club Cybersécurité, Inovallée réaffirme l’importance de partager des retours d’expérience réels, pour aider les entreprises du territoire à monter en maturité, avant d’être confrontées à l’épreuve du réel.
