Exercice de crise cyber : le déclic d’un PDG d’ETI face à 2 semaines d’arrêt

Quand le PDG pense qu’on exagère

Lors du RETEX à chaud, puis du RETEX à froid, il se tourne vers son RSSI et moi, et nous dit :

“Vous nous avez donné trop d’informations.”

Sauf que non, nous n’avions rien exagéré.

Tout venait d’un scénario réaliste, construit à partir de leur propre organisation, de leurs flux, de leurs dépendances.

En réalité :

  • les informations arrivaient bien,

  • mais elles étaient mal partagées dans la cellule de crise.

Certaines alertes n’étaient pas transmises, d’autres pas analysées.
Le problème ne venait pas du volume d’informations, mais de :

  • la coordination,

  • la communication,

  • et la prise de décision.

Le vrai déclic : “On ne peut pas s’arrêter deux semaines”

À un moment, le PDG se tait, réfléchit, puis lâche cette phrase :

“En fait… on ne peut pas rester plus de deux semaines sans production.”

Ce jour-là, il n’a pas découvert une faille technique,
mais une vulnérabilité business.

Tout —

  • la production pourtant très manuelle,

  • la logistique,

  • la facturation —

dépendait du système d’information.

Ce que l’exercice de crise cyber a révélé, ce n’était pas un problème d’IT.
C’était un risque organisationnel et stratégique.

Et surtout : que son équipe et son organisation n’étaient pas prêtes à gérer une crise cyber.

De la cybersécurité technique à la gouvernance du risque

À partir de là, la cybersécurité a changé de place dans son agenda.

Ce n’était plus un sujet “tech”, mais un enjeu de gouvernance et de résilience collective.

Le COMEX a alors fait évoluer sa posture :

  • Un plan de continuité revu avec des scénarios cyber réalistes ;

  • Des exercices de crise organisés avec les filiales à l’étranger ;

  • Et surtout, une formation du comité de direction à la culture du risque cyber.

Avant toute transformation, il y a toujours une prise de conscience.
Et elle ne vient pas d’un tableau Excel, mais d’une expérience vécue.

Pourquoi un exercice de crise cyber change tout

Un exercice de crise cyber bien conçu :

  • révèle les dépendances critiques entre IT, métiers et direction ;

  • fait apparaître les angles morts de la gouvernance ;

  • montre si la cellule de crise sait décider vite… ou se perd dans les détails ;

  • met en lumière le leadership réel du COMEX sous pression.

En cela, un exercice de crise est un moment précieux, autant sur le plan humain qu’organisationnel — un véritable révélateur du leadership.

Ce PDG n’a pas appris à “parler cyber”.
Il a appris à piloter le risque cyber.

Et vous, où en est votre déclic cyber ?

Si vous êtes RSSI / CISO, vous voyez peut-être déjà le même risque dans votre organisation :

  • dépendances sous-estimées,

  • plan de continuité trop théorique,

  • COMEX peu exposé aux scénarios concrets.

👉 La question n’est pas : “Sommes-nous protégés ?”
Mais : “Combien de temps pouvons-nous vraiment nous permettre d’être à l’arrêt ?”

💬 Et vous :
Quel serait le moment de déclic pour votre propre COMEX face à une crise cyber ?

by anne.dore@adhel.fr

💼 Vous pensiez parler cybersécurité. On vous a répondu : “logistique." !

💼 Vous pensiez parler cybersécurité. Mais on vous a répondu : “logistique”. Cette situation est familière, n'est-ce pas ? Vous pensiez parler cybersécurité. Mais on vous a répondu : “logistique”.

Vous aviez tout prévu : des chiffres concrets, des scénarios de cyber crisis management, un plan de continuité (PCA) et même une stratégie de reprise. Pourtant, à peine commencé, le Comex vous interrompt :

🧑‍💼 « La supply chain est en tension, c’est notre priorité. »

À ce moment précis, vous réalisez qu’il ne s’agit pas seulement d’un problème de présentation. En réalité, vous ne parlez pas le même langage. Vous pensiez parler cybersécurité. Mais on vous a répondu : “logistique”.

  • Vous dites gestion du risque cyber, ils entendent coût immédiat.

  • Vous parlez de menace, ils traduisent en risque improbable.

  • Vous projetez l’avenir, ils pensent à l’urgence de demain matin.

👉 Beaucoup de DSI et de RSSI me le confient : les arbitrages penchent presque toujours du côté métier, car la cybersécurité reste trop souvent perçue comme une question d’IT.

Or, la réalité est différente. La cyber governance n’est pas qu’un sujet technique. C’est avant tout un enjeu de responsabilité légale des administrateurs, de conformité réglementaire (NIS2, DORA, RGPD) et de performance durable.

🎯 La cybersécurité, c’est du business, de la dépendance critique et de la survie opérationnelle. Le cyber risk management doit être compris comme un levier stratégique, au même titre que la gestion financière ou la supply chain.

En d’autres termes, vous n’avez pas raté votre présentation. Vous n’avez simplement pas utilisé le langage du Comex. Et c’est bien là le défi : traduire la cyber en langage de gouvernance et de résilience. Vous pensiez parler cybersécurité. Mais on vous a répondu : “logistique”.

💡 La vraie question devient alors : comment transformer la culture cyber du Comex pour qu’elle cesse d’être un frein et devienne un moteur stratégique ?

👉 Et vous, avez-vous déjà ressenti ce décalage ? Avec le recul, comment auriez-vous reformulé votre message pour impliquer vraiment vos dirigeants ?

cybersécurité  COMEX supplychain RSSI #CYBER4LEADER

 

by anne.dore@adhel.fr