- SolarWinds (2020) : les 18 000 organisations affectées ont découvert que leurs processus de coordination interne en cas de compromission profonde de l\'infrastructure n\'avaient pas été préparés — les équipes IT géraient l\'incident sans mécanisme d\'information structuré vers la direction et les équipes métier.
- La cellule de crise doit être activée rapidement mais son périmètre de décision doit être clairement défini — trop large, elle crée des goulots d\'étranglement décisionnels ; trop étroit, elle prend des décisions sans les informations opérationnelles nécessaires.
- Les rôles et responsabilités pendant la crise doivent être définis avant l\'incident — qui décide de la bascule vers le mode de reprise, qui communique avec les parties prenantes externes, qui arbitre les conflits de priorités entre équipes.
- La communication vers la direction générale pendant la crise doit être structurée : quelle information, à quelle fréquence, dans quel format — pour permettre des décisions informées sans noyer les décideurs dans les détails techniques.
- La coordination avec les partenaires externes (prestataires de réponse aux incidents, assureurs, avocats, autorités réglementaires) doit être préparée et les contacts pré-établis avant la crise.
- La documentation des décisions prises pendant la crise — même dans l\'urgence — est une pratique qui facilite les post-mortems et les recours éventuels.
Les crises majeures révèlent les lacunes dans la coordination organisationnelle aussi sûrement qu\'elles révèlent les lacunes dans les plans techniques. Des équipes qui fonctionnent efficacement en conditions normales peuvent se retrouver à opérer en silos lors d\'une crise, prenant des décisions sans coordination qui s\'annulent ou se contredisent. Cette désorganisation est prévisible et peut être prévenue par la préparation.
La coordination entre les équipes IT, la direction générale et les équipes opérationnelles est souvent le facteur qui détermine la qualité de la réponse à une crise — plus que la qualité technique des plans de reprise. Une équipe IT qui gère techniquement la reprise sans informer régulièrement la direction et les équipes métier laisse l\'organisation avancer à l\'aveugle. Une direction qui prend des décisions opérationnelles sans les informations techniques de l\'équipe IT prend des risques inutiles.
La structure de la cellule de crise
La cellule de crise est l\'instance de coordination centrale lors d\'un incident majeur. Sa composition doit être définie avant la crise et inclure les représentants des fonctions clés : IT et sécurité (responsable de la remédiation technique), directions métier impactées (responsables de la continuité opérationnelle), direction juridique (gestion des implications réglementaires et contractuelles), communication (gestion de la communication interne et externe) et, pour les incidents majeurs, la direction générale.
La taille de la cellule de crise est un paramètre critique. Une cellule trop grande est inefficace — les décisions prennent trop de temps et la communication devient un problème en soi. Une cellule trop petite manque des informations ou des compétences nécessaires pour prendre des décisions éclairées. La pratique recommandée est une cellule stratégique restreinte (direction générale et responsables de fonctions) alimentée par des groupes de travail spécialisés (technique, métier, juridique, communication) qui rendent compte régulièrement.
La gestion de la crise Medibank de 2022 illustre une coordination de crise bien structurée dans un contexte extrêmement difficile. La décision de ne pas payer la rançon — qui a conduit à la publication progressive des données — a été prise au niveau du conseil d\'administration après consultation des équipes juridiques, techniques et de communication. La cellule de crise a été activée dès la découverte de l\'incident et a maintenu une communication régulière vers les parties prenantes externes pendant plusieurs semaines. La qualité de la coordination entre la direction, les équipes techniques et les équipes de communication a permis à Medibank de maintenir une cohérence de discours dans un contexte de pression médiatique intense.
Les flux d\'information pendant la crise
Les flux d\'information entre les équipes techniques, opérationnelles et la direction doivent être structurés et réguliers. L\'équipe technique doit communiquer à intervalles fixes l\'état de la situation — quels systèmes sont affectés, quels sont les délais estimés de restauration, quelles sont les options disponibles. Ces mises à jour doivent être dans un format adapté aux décideurs : pas de jargon technique, focus sur les implications opérationnelles et les décisions à prendre.
La direction générale doit être informée des décisions qui ont des implications stratégiques, commerciales ou réglementaires — pas de chaque décision technique. La définition des critères de remontée est un exercice à réaliser avant la crise : quels types de décisions requièrent l\'arbitrage de la direction, et quels types de décisions peuvent être prises au niveau opérationnel sans remontée.
La coordination avec les parties prenantes externes
La coordination avec les parties prenantes externes — autorités réglementaires, clients majeurs, partenaires commerciaux, médias — est une dimension souvent négligée dans les plans de continuité. Chaque type de partie prenante externe a ses propres attentes en termes de fréquence et de contenu de la communication. Les autorités réglementaires ont des obligations de notification avec des délais précis. Les clients majeurs ont des SLA dont le non-respect déclenche des pénalités. Les médias gèrent leurs propres délais et peuvent combler le vide d\'information par des spéculations si l\'organisation ne communique pas.
La gestion de l\'incident LastPass de 2022 illustre les conséquences d\'une coordination insuffisante entre les équipes techniques, la direction et la communication. La décision de communiquer en plusieurs temps — une première annonce minimisante en août, une révélation complète en décembre — résultait d\'une coordination insuffisante entre les équipes techniques (qui évaluaient l\'étendue de la violation) et les équipes de communication (qui géraient la communication publique). Cette communication incohérente a créé plus de dommages réputationnels que ne l\'aurait fait une communication complète et immédiate. La coordination entre les équipes techniques et les équipes de communication lors des crises de données est une compétence qui s\'acquiert par l\'entraînement, pas par l\'improvisation.
La violation EasyJet de 2020 (9 millions de clients) a mis en évidence un problème de coordination entre les équipes juridiques, techniques et de communication. Découverte en janvier 2020, la violation n\'a été notifiée aux clients qu\'en mai — un délai de quatre mois qui résultait en partie des discussions internes sur le périmètre exact des données affectées et sur les obligations de notification. Cette coordination interne défaillante a créé une vulnérabilité réglementaire supplémentaire et a amplifié l\'impact réputationnel de l\'incident. EasyJet a fait l\'objet de recours collectifs au Royaume-Uni en raison de ce délai de notification.
La gestion de la violation SingHealth de 2018 illustre ce que la coordination entre IT, direction et opérations peut produire lorsqu\'elle est bien orchestrée. Le gouvernement de Singapour a mis en place une cellule de coordination impliquant le Ministry of Health, le Integrated Health Information Systems (IHiS) et la Cyber Security Agency. Cette cellule a géré simultanément la remédiation technique, la communication aux patients et la coordination avec les médias et les partenaires internationaux. La transparence de la réponse — incluant la publication d\'un rapport d\'enquête complet — a contribué à limiter l\'impact réputationnel sur le système de santé singapourien dans son ensemble.