Comment gérer une crise cyber ? Par Florence Puybareau

Par Florence Puybareau, Directrice du Clusif, ex-directrice des Opérations du Campus Cyber Hauts-de-France Lille Metropole.  

« Une crise, ça n’arrive pas qu’aux autres : la vraie question, c’est quand elle va arriver. Une cyberattaque peut toucher n’importe qui : une mairie de 2 000 habitants, un hôpital, une métropole ou une entreprise. »

Se préparer en instaurant une culture du réflexe

On n’attend pas un incendie pour vérifier les extincteurs : pour le cyber, c’est la même logique. Se préparer à une cyberattaque ne demande pas des moyens démesurés, mais de la méthode et de la clarté. Quand tout s’arrête, il faut savoir qui alerter, quels services relancer en priorité, et où sont les sauvegardes.

Je recommande d’établir des fiches réflexes simples : imprimées et accessibles même sans réseau. Chaque mairie doit avoir un ou deux référents identifiés, capables de déclencher la cellule de crise et de contacter les bons interlocuteurs : le CSIRT régional, l’ANSSI, la gendarmerie, ou le portail Cybermalveillance.gouv.fr, qui recense des prestataires qualifiés et met à disposition des outils gratuits.

Les premières heures : mettre en place la cellule de crise

Quand la crise éclate, il ne faut pas céder à la panique et garder la tête froide. D’abord diagnostiquer : panne ou attaque ? Certaines bonnes pratiques sont à connaître : par exemple, quand l’attaque est confirmée, on déconnecte les ordinateurs du réseau pour éviter la propagation — mais on ne les éteint pas, pour conserver les traces utiles à l’enquête. Ensuite, on active la cellule de crise : direction générale, DSI, élus, communication, ressources humaines (RH). Chacun doit savoir précisément ce qu’il a à faire.

Il n’y a pas de réaction type : en fonction des enjeux locaux, chaque collectivité priorise des actions. Récemment dans une commune des Hauts-de-Seine, l’attaque est tombée un vendredi soir. La mairie a tenu à rouvrir dès le lendemain matin, en mode dégradé, afin de maintenir le lien avec les habitants.

Une crise cyber, c’est toujours plus long qu’on ne l’imagine. Pour certaines collectivités, la remédiation peut durer plusieurs mois. Des mois de reconstruction, de fatigue et d’incertitude. Une cellule de crise ne doit donc pas être seulement technique : elle doit penser à la fatigue, au moral, à la reconnaissance des équipes. La résilience, c’est d’abord une affaire humaine.

Communiquer régulièrement

La communication de crise est souvent le point le plus sensible. Il faut informer sans affoler, et surtout éviter que les rumeurs ne s’installent. Certains consultants experts n’hésitent pas à diffuser sur les réseaux des informations avant même que la victime ait pu les vérifier. Résultat : beaucoup de confusion et d’incertitudes. Depuis, je le répète : il faut occuper le terrain de la parole, même brièvement. Dire ce qu’on sait, ce qu’on ne sait pas encore, et quand un point d’étape sera fait.

Et il faut parler à chacun dans son langage :

• aux agents, pour qu’ils sachent comment poursuivre leurs missions sans outils numériques ;
• aux élus, pour qu’ils portent une parole cohérente et maîtrisée ;
• aux habitants, pour qu’ils comprennent, très concrètement, ce qui fonctionne encore et ce qui ne fonctionne plus.

Plus la crise dure, plus la communication devient difficile. La confiance s’use, la fatigue s’installe. Il faut donc maintenir une parole régulière, claire et apaisée — même quand on n’a pas encore toutes les réponses.

S’appuyer sur les bons relais et prestataires : l’importance du réseau

Lorsqu’une attaque survient, la première impression est celle de la solitude. Mais une collectivité n’est jamais seule. Il existe aujourd’hui un écosystème complet pour accompagner les acteurs publics :

• Cybermalveillance.gouv.fr, pour signaler l’incident et trouver un prestataire qualifié ;
• Les CSIRT régionaux, rattachés à l’ANSSI, qui accompagnent la réponse à incident ;
• Les forces de l’ordre, pour le dépôt de plainte et la préservation des preuves ;
• Et la CNIL, en cas de fuite de données personnelles.
• Dans les cas graves, l’ANSSI peut missionner directement des experts agréés.

Certaines collectivités disposent aussi d’une assurance cyber, qui mobilise immédiatement juristes, techniciens et communicants, mais elles restent minoritaires. Dépendre d’un seul prestataire est risqué. Plusieurs communes ont découvert, en pleine crise, que leur prestataire informatique n’était pas en mesure d’intervenir. Je préconise de tester ses contrats, de vérifier les délais d’intervention et de toujours prévoir un plan B.

J’insiste également sur la solidarité territoriale : lorsqu’une ville est attaquée, d’autres collectivités l’appellent spontanément, partagent leurs procédures, leurs prestataires, leurs conseils. C’est un appui précieux, souvent plus efficace qu’un simple contrat.

Tenir dans la durée : le vrai défi

Une cyberattaque ne s’arrête pas quand le réseau redémarre. C’est souvent après que le plus difficile commence. Les conséquences techniques sont lourdes : serveurs à reconstruire, bases à restaurer, logiciels à reparamétrer. Mais c’est l’humain qui souffre le plus. Les agents doivent parfois travailler plusieurs semaines sans outils numériques. Les démarches s’accumulent, certaines missions deviennent impossibles : enregistrer un mariage, un décès, une naissance. Les habitants s’impatientent, les équipes s’épuisent.

Ce mode dégradé peut durer longtemps. Et ce sont alors des mois de tension, de lassitude, de courage aussi. Il faut donc prévoir un accompagnement psychologique, valoriser l’engagement des agents, reconnaître l’effort collectif.

Ce qu’il faut retenir

Une crise cyber, c’est une question d’organisation, de coordination et d’endurance. Les premières heures sont décisives, mais les semaines et les mois qui suivent le sont tout autant.

La clé, c’est la préparation :

• des réflexes simples,
• des contacts fiables et mis à jour,
• une communication claire, adaptée à chaque public,
• et surtout, le réflexe de ne jamais affronter la crise seul.