Crise cyber dirigeants en comité de crise face à une interruption des systèmes numériques

Ce faux sentiment de préparation qui expose encore les dirigeants

Ce faux sentiment de préparation qui expose encore les dirigeants

Beaucoup de dirigeants ont traversé la crise du COVID avec lucidité, courage et capacité d’adaptation. Ils ont pris des décisions rapides, maintenu l’activité et protégé leur organisation dans un contexte profondément incertain. Cette expérience constitue une force réelle. Pourtant, elle peut aussi nourrir une conviction silencieuse : « Nous avons déjà géré une crise. Nous saurons faire face à la suivante. »
Or, toutes les crises ne se ressemblent pas. Et lorsqu’une crise cyber frappe, ce qui avait permis de tenir peut précisément devenir ce qui manque.

« Nous avons déjà prouvé que nous savions gérer une crise »

Cette phrase, je l’entends régulièrement auprès de dirigeants de PME et d’ETI.
Et, très sincèrement, je comprends d’où elle vient.

Pendant la crise sanitaire, beaucoup d’organisations ont fait preuve d’une remarquable agilité. En quelques jours, elles ont réorganisé leurs équipes, basculé vers le télétravail, sécurisé leur trésorerie et maintenu le lien avec leurs clients. Dans bien des cas, elles en sont même sorties plus solides, plus structurées et parfois plus confiantes dans leur capacité à affronter l’incertitude.

Cette fierté est légitime. En effet, l’expérience vécue a forgé des réflexes précieux : décider vite, arbitrer sous contrainte, communiquer dans l’urgence et tenir malgré la pression.

Cependant, lorsqu’on prend le temps de creuser, un angle mort apparaît souvent.

Pendant le COVID, le numérique était votre allié

Au cœur de cette crise, un facteur a joué un rôle décisif : les outils numériques sont restés disponibles.

Messagerie, visioconférence, cloud, ERP, outils collaboratifs, téléphonie… Globalement, l’infrastructure numérique a tenu. Mieux encore, elle a permis à l’organisation de continuer à fonctionner.

Le numérique n’était pas le problème.
Au contraire, il constituait la solution.

Or, c’est précisément là que se situe le basculement.

Car, dans une crise cyber majeure, ce socle peut disparaître brutalement.

Votre messagerie peut être compromise.
>Votre ERP peut être indisponible.
>Votre prestataire cloud peut subir une interruption prolongée.
Vos données peuvent devenir douteuses, incomplètes ou inutilisables.

Dès lors, ce qui vous permettait hier de coordonner, décider et piloter n’est plus accessible.

Une crise d’une autre nature

C’est ici qu’une confusion s’installe parfois : croire que l’expérience d’une crise prépare automatiquement à toutes les crises.

Pourtant, une crise cyber ne mobilise ni les mêmes repères, ni les mêmes leviers.

Pendant le COVID :

  • les outils fonctionnaient ;
  • l’information circulait ;
  • les équipes pouvaient communiquer ;
  • les données restaient globalement fiables ;
  • la coordination, bien que sous tension, restait possible.

En revanche, lors d’une crise cyber :

  • les circuits de communication peuvent être coupés ;
  • l’information devient fragmentée ou incertaine ;
  • les dépendances numériques apparaissent brutalement ;
  • la capacité à décider se dégrade rapidement.

Autrement dit, le cadre même de la décision change.

Un dirigeant me confiait récemment :

« Nous pensions être préparés. Puis nous avons réalisé qu’en mode dégradé, nos circuits de décision étaient flous, voire inexistants. »

Cette prise de conscience est souvent immédiate dès qu’on teste réellement l’organisation.

Le véritable angle mort : la dépendance invisible

Le faux sentiment de préparation ne vient pas d’un excès de confiance.
Au fond, il vient d’une dépendance au numérique que beaucoup d’organisations sous-estiment.

Cette dépendance touche désormais presque tout :

  • la production ;
  • la relation client ;
  • la finance ;
  • la logistique ;
  • les achats ;
  • les ressources humaines ;
  • la communication ;
  • et, surtout, la prise de décision.

Tant que tout fonctionne, cette dépendance reste silencieuse.
En revanche, lorsqu’elle est rompue, elle devient centrale.

C’est alors qu’émerge une autre forme de lucidité :

« Je comprends maintenant l’impact direct sur mon activité. Et je vois clairement que nous n’avons pas de véritable plan B. »

Cette phrase, lorsqu’elle est prononcée, marque souvent un basculement profond dans la compréhension du risque cyber.

Ce qui change pour les dirigeants

Le risque cyber n’est plus seulement une affaire de sécurité informatique.

Désormais, il touche directement :

  • la continuité d’activité ;
  • la capacité de décision ;
  • la coordination entre direction et métiers ;
  • la gestion des priorités sous contrainte ;
  • la confiance des clients et partenaires ;
  • et la résilience globale de l’organisation.

Par conséquent, ce sujet ne peut plus reposer uniquement sur le RSSI, la DSI ou les équipes techniques.

Il devient un enjeu de gouvernance.

Un enjeu de leadership.

Un enjeu collectif.

Se préparer autrement

Se préparer ne consiste pas uniquement à renforcer les protections techniques.
Il s’agit aussi de préparer l’organisation à fonctionner lorsque certains repères disparaissent.

Concrètement, cela implique :

Clarifier les circuits de décision

Qui décide ? Avec quelles informations ? Selon quelles priorités ?

Tester les dépendances critiques

Que se passe-t-il si la messagerie tombe ? Si l’ERP devient inaccessible ? Si les données sont douteuses ?

Impliquer réellement les métiers

Car ce sont eux qui vivent l’impact opérationnel direct.

Construire des réflexes collectifs

Car, en situation dégradée, la coordination fait souvent la différence entre blocage et adaptation.

Ainsi, la préparation ne devient plus un exercice théorique.
Elle devient une capacité collective d’action.

Conclusion

Avoir traversé le COVID est une force.
Indéniablement, cette expérience a forgé des réflexes utiles et une confiance légitime.

Mais, elle peut aussi créer une illusion : celle que toutes les crises sollicitent les mêmes ressources.

Or, la crise cyber suit une logique différente.

Elle ne teste pas seulement votre capacité d’adaptation.
Elle met à l’épreuve vos dépendances invisibles.

Et pose une question simple, mais redoutablement concrète :

Si demain vos outils numériques deviennent indisponibles, qui décide, avec quoi… et comment ?

FAQ

1. Pourquoi avoir traversé le COVID ne prépare-t-il pas à une crise cyber ?
Parce que la crise sanitaire s’est appuyée sur des outils numériques disponibles, alors qu’une crise cyber peut précisément les rendre indisponibles.

2. Quel est le principal angle mort des dirigeants face au risque cyber ?
La sous-estimation de leur dépendance opérationnelle au numérique et l’absence de préparation à décider en mode dégradé.

3. Comment une direction générale peut-elle mieux se préparer ?
En testant ses circuits de décision, en impliquant les métiers et en préparant la coordination collective en situation dégradée.

Anne Doré — Fondatrice de ADHEL

J’aide dirigeants, COMEX et métiers à transformer leur compréhension du risque cyber en capacité collective d’action.
Aligner · Mobiliser · Préparer · Renforcer

by anne.dore@adhel.fr

🔒 RSSI et dépendances stratégiques en cybersécurité : un enjeu majeur pour la gouvernance

Une table ronde au Campus Cyber sur les dépendances stratégiques

Le 23 octobre, j’ai eu le plaisir d’animer au Campus Cyber la table ronde du Clusif, consacrée à un sujet plus que jamais d’actualité :
➡️ les dépendances stratégiques et leurs impacts sur la cybersécurité.

Un immense merci au Clusif pour cette conférence exigeante et inspirante,
ainsi qu’à nos intervenants Olivier Ligneul, Thierry Auger et Samuel Braure pour la richesse des échanges.

En effet, nous sommes partis d’un constat simple : la gestion des dépendances technologiques, humaines, matérielles et réglementaires est un pilier essentiel de la résilience organisationnelle.

Cependant, le contexte change profondément. Les équilibres géopolitiques hérités de 1945 se redessinent, tandis queles alliances évoluent et les coopérations se tendent. De plus, la réglementation se renforce et les souverainetés numériques peuvent s’entrechoquer. 🌍

Ainsi, face à ces mutations, le RSSI doit renforcer sa vision stratégique, sa gouvernance cyber et sa capacité d’anticipation.

Gouverner ses dépendances : un pilier de la résilience cyber

Gouverner ses dépendances, c’est avant tout :

  • 🤝 renforcer la coopération entre métiers, direction et gestion des risques,

  • 🌍 collaborer avec clients, partenaires et autorités pour redéfinir de nouveaux équilibres,

  • 🧭 anticiper et piloter afin de maîtriser ses dépendances avec lucidité et pragmatisme.

Par conséquent, le RSSI devient — ou confirme — son rôle de stratège des dépendances, à la croisée du business, de la technologie et de la géopolitique.

C’est pourquoi ce rôle est un défi complexe, mais essentiel, pour protéger la souveraineté et la performance de l’organisation dans un monde incertain.

Et vous, où en êtes-vous ?

👉 Dans vos organisations, quelles dépendances stratégiques vous semblent aujourd’hui les plus critiques et difficiles à maîtriser ?

Merci à Pierre-Emmanuel Brugeron, Laure Pinaud et Florence Puybareau pour l’organisation de cette conférence,
et à Claire Baudiment pour son introduction pleine d’énergie et de clarté.

🔗 Pour en avoir plus  Le Clusif

by anne.dore@adhel.fr

Gestion de crise cyber : votre board saurait-il quoi faire 24h après une cyberattaque ?

Gestion de crise cyber : votre board est-il prêt ?

La gestion de crise cyber est aujourd’hui un enjeu majeur pour toutes les entreprises.
Les 24 premières heures après une cyberattaque sont décisives : réputation, continuité d’activité, impact financier… chaque minute compte.
Mais une question demeure : votre board saurait-il quoi décider dès le lendemain ?

Pourquoi la gestion de crise cyber reste un point faible

Dans beaucoup de PME et ETI, la préparation à la crise cyber n’est pas encore structurée.
On entend souvent :

« Des crises, on en a déjà gérées. Regardez le Covid… »

Sauf que la crise cyber est différente : elle frappe à froid, prend tout le monde de court et laisse les équipes sans réponse.
Même dans les grands groupes, malgré des exercices existants, il reste du chemin pour impliquer les métiers et clarifier la gouvernance.

👉 Découvrez aussi notre guide de la gouvernance cyber pour renforcer la prise de décision au sein du board.

Une crise cyber ne se résout pas uniquement par la technique

Une bonne gestion d’incident cyber ne repose pas seulement sur des outils.
Elle exige une organisation claire et anticipée, fondée sur trois piliers :

  • Un plan de continuité d’activité pour maintenir l’entreprise à flot.

  • Une gouvernance explicite : qui décide, qui communique, qui agit.

  • Des scénarios de crise testés et mis à jour régulièrement.

Sans préparation, les décisions tardent, la communication se brouille et les impacts s’amplifient.

Anticiper la gestion de crise cyber

📌 La bonne nouvelle : une gestion de crise cyber efficace se prépare.
Des leviers concrets permettent de transformer la panique en décisions maîtrisées :

  • Exercices de simulation pour tester la réactivité du COMEX.

  • Évaluation du risque cyber pour mesurer la maturité de l’organisation.

  • Formation des dirigeants à la réponse à une cyberattaque.

Ces démarches permettent de passer de l’improvisation à la décision stratégique.

Former le board à la réponse cyber

Les entreprises les plus résilientes ne sont pas celles qui évitent les attaques, mais celles dont les dirigeants savent agir vite et décider clairement.

Nos programmes de formation à la gestion de crise cyber aident les COMEX et conseils d’administration à structurer leurs décisions, prioriser leurs actions et maintenir la confiance.

👉 Consultez notre article sur la formation COMEX cyber pour renforcer la préparation de vos dirigeants.

by anne.dore@adhel.fr

🚨 Retour d’expérience : une crise cyber non préparée

🚨 Crise cyber : pourquoi la gouvernance est la clé de la résilience

Une crise cyber peut frapper n’importe quelle organisation, quel que soit son secteur. Récemment, une grande entreprise a été victime d’une attaque qui a totalement bouleversé son fonctionnement.

Ainsi, les conséquences ont été multiples et durables :
👉 plusieurs jours d’activités paralysées,
👉 un service en ligne hors service durant des semaines,
👉 des collaborateurs contraints de rester jour et nuit sur place,
👉 et, surtout, une réputation fortement abîmée auprès des clients et partenaires.

En effet, cette situation démontre clairement qu’une crise cyber n’est pas seulement un problème technique. Au contraire, il s’agit avant tout d’un enjeu de gouvernance et de préparation.

Car lorsqu’elle est mal anticipée, les impacts sont immédiats :

  • des décisions prises dans l’urgence et souvent dans la confusion,

  • des pertes financières qui fragilisent l’entreprise,

  • et une confiance brisée auprès de l’écosystème.

Aujourd’hui, en 2025, il devient donc évident qu’ignorer le risque cyber n’est plus une option. En réalité, la question n’est pas de savoir si une attaque aura lieu, mais bien quand. Pourtant, malgré cette certitude, beaucoup d’organisations demeurent insuffisamment préparées.

De plus, la directive NIS2 change profondément la donne. Elle impose désormais de tester régulièrement les scénarios de crise, d’impliquer directement les dirigeants dans la gouvernance cyber et de renforcer la résilience organisationnelle.

Cependant, loin d’être une contrainte, cette obligation représente une véritable opportunité. En effet, elle permet de transformer la cybersécurité en levier de continuité, de confiance et même de performance durable.

En résumé :
🎯 Pour les dirigeants, la priorité est d’anticiper.
🎯 Pour les CISO et RSSI, la mission est de renforcer la culture cyber au sein du Comex.

➡️ C’est précisément le rôle d’ADHEL : accompagner et former les décideurs pour transformer la contrainte en avantage compétitif.

🤝 Car la résilience ne s’improvise pas. Elle se construit pas à pas, ensemble.

CyberSécurité Cyber4Leaders Résilience Gouvernance

by anne.dore@adhel.fr