Exercice de crise cyber : le déclic d’un PDG d’ETI face à 2 semaines d’arrêt

Quand le PDG pense qu’on exagère

Lors du RETEX à chaud, puis du RETEX à froid, il se tourne vers son RSSI et moi, et nous dit :

“Vous nous avez donné trop d’informations.”

Sauf que non, nous n’avions rien exagéré.

Tout venait d’un scénario réaliste, construit à partir de leur propre organisation, de leurs flux, de leurs dépendances.

En réalité :

• les informations arrivaient bien,

• mais elles étaient mal partagées dans la cellule de crise.

Certaines alertes n’étaient pas transmises, d’autres pas analysées.
Le problème ne venait pas du volume d’informations, mais de :

• la coordination,

• la communication,

• et la prise de décision.

Le vrai déclic : “On ne peut pas s’arrêter deux semaines”

À un moment, le PDG se tait, réfléchit, puis lâche cette phrase :

“En fait… on ne peut pas rester plus de deux semaines sans production.”

Ce jour-là, il n’a pas découvert une faille technique,
mais une vulnérabilité business.

Tout —

• la production pourtant très manuelle,

• la logistique,

• la facturation —

dépendait du système d’information.

Ce que l’exercice de crise cyber a révélé, ce n’était pas un problème d’IT.
C’était un risque organisationnel et stratégique.

Et surtout : que son équipe et son organisation n’étaient pas prêtes à gérer une crise cyber.

De la cybersécurité technique à la gouvernance du risque

À partir de là, la cybersécurité a changé de place dans son agenda.

Ce n’était plus un sujet “tech”, mais un enjeu de gouvernance et de résilience collective.

Le COMEX a alors fait évoluer sa posture :

• Un plan de continuité revu avec des scénarios cyber réalistes ;

• Des exercices de crise organisés avec les filiales à l’étranger ;

• Et surtout, une formation du comité de direction à la culture du risque cyber.

Avant toute transformation, il y a toujours une prise de conscience.
Et elle ne vient pas d’un tableau Excel, mais d’une expérience vécue.

Pourquoi un exercice de crise cyber change tout

Un exercice de crise cyber bien conçu :

• révèle les dépendances critiques entre IT, métiers et direction ;

• fait apparaître les angles morts de la gouvernance ;

• montre si la cellule de crise sait décider vite… ou se perd dans les détails ;

• met en lumière le leadership réel du COMEX sous pression.

En cela, un exercice de crise est un moment précieux, autant sur le plan humain qu’organisationnel — un véritable révélateur du leadership.

Ce PDG n’a pas appris à “parler cyber”.
Il a appris à piloter le risque cyber.

Et vous, où en est votre déclic cyber ?

Si vous êtes RSSI / CISO, vous voyez peut-être déjà le même risque dans votre organisation :

• dépendances sous-estimées,

• plan de continuité trop théorique,

• COMEX peu exposé aux scénarios concrets.

👉 La question n’est pas : “Sommes-nous protégés ?”
Mais : “Combien de temps pouvons-nous vraiment nous permettre d’être à l’arrêt ?”

💬 Et vous :
Quel serait le moment de déclic pour votre propre COMEX face à une crise cyber ?