Une cyberattaque n’est pas qu’un incident technique, c’est une crise majeure, où chaque minute compte. Les décisions prises dans les premières heures déterminent souvent des semaines de paralysie… ou de résilience.
À travers plusieurs retours d’expérience en remédiation, nous avons identifié des facteurs aggravants qui empirent l’impact initial, et des obstacles systémiques qui freinent la reconstruction.
Voici ce qu’il faut anticiper.
1. Ce qui aggrave l’impact d’une attaque (et comment s’en prémunir)
Toutes les attaques ne causent pas les mêmes ravages.
Certaines sont stoppées en quelques heures. D’autres provoquent des semaines de chaos. Ce qui fait la différence ? Le niveau de préparation opérationnelle, pas seulement la conformité aux normes.
Voici les pièges que nous retrouvons régulièrement sur le terrain :
🔸 Une détection trop lente et une réaction désorganisée
Pas d’EDR, pas de SIEM, pas de supervision active = personne ne voit rien venir.
Pas de traçabilité, ni de logs exploitables ou des logs sont détruits par l’attaque comme le reste.
Pas d’équipe de veille ni de rotation en binôme sur la surveillance.
Et quand le seul admin est en vacances… tout s’arrête.
🛠️ À prévoir : une équipe élargie, des systèmes d’alerte fonctionnels et une supervision réellement active, même en plein mois d’août.
🔸 Une absence de communication de crise
Beaucoup de temps pour rétablir un canal de communication interne, en l’absence des outils de travail habituels qui sont arrêtés suite à l’attaque
Impossible de contacter les clients ou les partenaires : les messageries sont à terre ou bloquées par les clients et les partenaires pour se protéger.
Aucune solution alternative (WhatsApp, Signal, mails personnels…).
Aucune préparation des démarches à réaliser vis-à-vis des tiers, CNIL, ANSSI, gendarmerie, assurance.
Et surtout : aucune fiche réflexe.
🛠️ À prévoir : un plan de communication de crise. Avec canaux de secours, messages pré-rédigés, et rôles définis.
🔸 Une culture d’entreprise (trop) permissive en matière de sécurité
Le problème ici n’est pas technique mais culturel.
Comme dans un système mécanique, qui nécessite du jeu pour fonctionner, une organisation doit laisser des marges, trouver un équilibre entre risque, contrôle et interdiction.
Oui, mais, quand les audits sont rangés dans un tiroir sans suite, quand les recommandations sont édulcorées pour « faciliter la vie des équipes », que les responsabilités ne sont jamais réellement définies, que la sous-traitance est mal gouvernée, l’attaque trouve un terreau fertile.
Le risque principal est surtout dans le décalage entre le discours et la réalité, et la transformation progressive de l’exception en règle. Soyez pragmatique sans être complaisant : reconnaissez les exceptions, les non-conformités mais tracez-les systématiquement. Cette traçabilité vous maintiendra en éveil et améliorera votre estimation des risques liés à votre environnement.
🛠️ À prévoir : des responsabilités partagées, de la documentation à jour, une gouvernance réelle des prestataires, une estimation réaliste et un suivi des risques, et de la redondance humaine dans les compétences critiques.
🔸 Une documentation technique inexistante ou non sécurisée
Des outils critiques sans documentation accessible.
Des configurations non versionnées.
Des dépendances techniques non identifiées.
Une perte d’accès à la documentation en cas de compromission.
🛠️ À prévoir : protéger la documentation, la versionner, la stocker dans plusieurs environnements cloisonnés, y compris hors ligne.
✅ Règle de base : Ne préparez pas les procédures de réinstallation de vos systèmes “au cas où une attaque survient”… mais comme si elle allait forcément survenir.
2. Pourquoi la reconstruction échoue (même quand la menace est stoppée)
Quand l’attaque est contenue, le vrai défi commence : remettre en route un système souvent mal connu.
Et c’est là que beaucoup de projets de remédiation se transforment en échecs partiels ou en cauchemars budgétaires.
🚧 Des architectures trop complexes et une dette technique trop importante
Pas de cartographie du SI.
Empilement de couches obsolètes et incompatibles.
Aucune vision claire de ce qui dépend de quoi.
La complexité devient un ennemi invisible : on ne sait plus par où redémarrer. N’augmentez pas trop votre niveau de risque pour faire des économies.
🚧 Des dépendances invisibles
Derrière chaque application métier, se cachent souvent des scripts oubliés, des plugins non maintenus, ou des bases intermédiaires critiques.
Et c’est justement quand on les redémarre que l’on découvre qu’ils étaient indispensables… et qu’ils ne sont pas documentés ou que leur position sur le chemin critique de redémarrage a été oubliée.
🚧 Des équipes épuisées, voire en arrêt
Une attaque majeure dure rarement 48 heures. Elle peut s’étirer sur plusieurs semaines.
Et dans ce contexte, deux choses deviennent fatales :
-
L'épuisement des experts internes (astreintes continues, pression, stress, culpabilisation en raison des causes premières de l’attaque).
-
Leur absence après-coup (burnout, turnover, congés reportés).
Résultat : la capacité de rebond s’effondre au moment critique.
🚧 Un environnement ou des ressources de secours sous-dimensionnés
Le cloud est souvent vu comme la panacée… mais encore faut-il l’avoir configuré et disposer des compétences nécessaires pour l’activer.
Quand l’environnement de secours a été sous-dimensionné, alors que la mise sous séquestre d’une partie des machines immobilise une partie du parc et que les travaux d’analyse forensics et de restauration nécessiterait au contraire de disposer de plus de matériel qu’en mode de fonctionnement normal, quand les délais d’achat sont de 3 semaines, quand vos équipes n’ont pas les compétences ni la culture pour démarrer rapidement une infrastructure cloud, la reconstruction devient une mission au long cours excessivement pénible.
🎯 Conclusion : reconstruire sans préparation, c’est comme vouloir relancer une usine sans plans, sans outils, sans ouvriers… et sans électricité.
3. Êtes-vous prêts ? Une checklist de base
Voici les éléments qu’une organisation doit avoir a minima pour éviter la paralysie :
-
✅ Systèmes maintenus, obsolètes nettoyés
-
✅ Sauvegardes supervisées et testées
-
✅ Chaîne d’alerte multi-personnes
-
✅ Fiches réflexes + procédure d’escalade
-
✅ Documentation technique sécurisée
-
✅ Liste claire de personnes mobilisables
-
✅ Plan de communication de crise
-
✅ Cartographie des dépendances techniques
-
✅ Gouvernance des prestataires (clauses + restitution)
👉 Cette checklist n’est pas un luxe. C’est une condition de survie.
Conclusion
Une cyberattaque n’est pas un scénario extrême, mais un événement probable dans un monde interconnecté.
Aujourd’hui, être conforme aux normes (même à NIS2), ne garantit ni la continuité réelle, ni surtout la capacité de rebond.
Ce qui manque souvent ? Un plan de réponse cyber clair, testé, documenté. Il complète votre PSI, et vous assure une capacité à reconstruire vite, bien et sans panique en tenant compte des spécificités liées au contexte d’attaque informatique, contraintes réglementaires, analyse forensics, décontamination des systèmes et des données, rétablissement de canaux de communication de confiance avec les clients et les partenaires.
Parce qu’une entreprise ne se protège pas seulement par sa capacité à résister aux attaques…
Mais aussi par sa capacité à s’en relever.
