Gestion de crise ANSSI et ENISA : une méthodologie que votre équipe utilisera vraiment

Un cadre n’est pas une procédure

Si vous avez lu les guides « Gestion de crise » de l’ANSSI ou les publications de bonnes pratiques de réponse à incident de l’ENISA, vous savez qu’ils décrivent à quoi ressemble une capacité de crise mature. Ils sont excellents au niveau stratégique. Ils ne sont en revanche, et c’est délibéré, pas un manuel pas-à-pas que l’on tend à un collègue stressé à 2h du matin.

Cet écart - entre le cadre sur l’étagère et les actions en salle de crise - est l’endroit où la plupart des organisations échouent. Cet article partage la méthodologie que nous avons affinée avec notre équipe et nos partenaires, basée sur les recommandations de ces agences, mais traduite pour un usage opérationnel réel.

Le modèle à quatre niveaux que nous recommandons

Nous structurons la réponse à crise autour de quatre couches imbriquées. Chacune a un objectif, un porteur et des livrables clairs.

Niveau 1 - Cellule de crise stratégique

• Objectif : prendre les décisions que seule l’entreprise peut prendre : juridique, financier, communication, éthique.
• Porteur : PDG ou dirigeant désigné. Inclut le directeur juridique, le directeur de la communication, le DAF, le RSSI.
• Cadence : points de décision clés (typiquement toutes les 2 à 4 heures pendant une crise active).
• Livrable : décisions stratégiques, formellement journalisées avec auteur et horodatage.

Niveau 2 - Cellule de crise opérationnelle

• Objectif : traduire les décisions stratégiques en actions techniques et métier orchestrées.
• Porteur : RSSI ou crisis manager. Inclut les opérations IT, le SOC, les responsables de business unit, les RH, la communication interne.
• Cadence : continue, avec des stand-ups formels toutes les 30 à 60 minutes.
• Livrable : liste de tâches priorisée, mises à jour de statut, demandes d’escalade.

Niveau 3 - Équipes techniques de réponse

• Objectif : exécuter le confinement, l’éradication, la forensique et la restauration.
• Porteur : responsable SOC, lead IR, responsables infrastructure.
• Cadence : continue.
• Livrable : actions techniques journalisées avec preuves (commandes, captures, hashs).

Niveau 4 - Fonctions support

• Objectif : logistique, bien-être, rotation de sommeil, repas, transport, hold juridique, communication RH.
• Porteur : office manager / RH / juridique.
• Cadence : continue, souvent invisible, toujours essentielle.
• Livrable : maintenir les trois autres niveaux opérationnels aussi longtemps que dure la crise.

Une crise qui dure plus de 24h sans un niveau 4 qui fonctionne est une crise qui se termine en burnout - et le burnout fait commettre les erreurs qui transforment un incident sérieux en catastrophe.

Le principe RACI, appliqué

Chaque scénario de votre bibliothèque de playbooks doit préciser, pour chaque action clé :

• R - Réalise : la personne qui fait le travail.
• A - Approuve : la personne responsable du résultat (une seule).
• C - Consultée : les personnes dont l’expertise est requise avant de décider.
• I - Informée : les personnes qui doivent savoir après coup.

Sans RACI, la même tâche est faite trois fois ou pas du tout. Avec RACI, même un nouveau collègue qui rejoint la cellule à la 6e heure peut reprendre une action sans ambiguïté.

Les cinq playbooks que toute organisation devrait avoir

Si vous partez de zéro aujourd’hui, commencez par ces cinq scénarios. Ils couvrent la grande majorité des incidents déclarés :

1. Rançongiciel / chiffrement massif
2. Fuite de données confirmée avec exposition de données personnelles
3. Panne d’un fournisseur critique (cloud, identité, paiement)
4. DDoS ou attaque de disponibilité sur un service exposé client
5. Menace interne / suspicion d’action malveillante interne

Chaque playbook doit tenir sur une page au niveau supérieur (la vue triage), puis se déployer en checklists détaillées en dessous. La vue triage est ce que votre collègue stressé lit dans les 2 premières minutes ; le détail est ce qu’il consulte une fois qu’il sait quelle voie s’applique.

La traçabilité n’est pas optionnelle

L’ANSSI comme l’ENISA insistent sur un point souvent négligé dans les outils du marché : un journal complet et inaltérable des décisions et actions. Pas seulement pour la conformité - parce que le retour d’expérience est l’endroit où votre organisation se renforce vraiment. On ne peut pas améliorer ce que l’on ne peut pas reconstruire.

PanicSafe a été conçu autour de ce principe. Chaque action menée dans la plateforme - d’un message de chat à la complétion d’une tâche en passant par le partage d’un document - est automatiquement capturée dans une main courante inaltérable, qui sert à la fois aux preuves réglementaires et aux post-mortems internes honnêtes.

Le post-crise : la phase la plus sous-évaluée

Les meilleures équipes de crise que nous accompagnons traitent le retour d’expérience comme la phase la plus importante, pas la plus ennuyeuse. Dans les 30 jours, elles produisent :

• Une chronologie factuelle, reconstruite à partir de la main courante.
• Une courte liste de causes racines (techniques et organisationnelles).
• Une liste de changements à apporter aux playbooks, formations, règles de détection et contrats.
• Une communication interne honnête : ce qui a marché, ce qui n’a pas marché, ce que l’on demande désormais à chaque équipe.

Ce document est ce qui transforme un événement douloureux en capacité durable. C’est aussi, et ce n’est pas un hasard, exactement ce que les régulateurs veulent voir.

Pour aller plus loin

Notre équipe à Lyon anime régulièrement des ateliers méthodologie avec ses clients et partenaires, en confrontant leurs processus existants aux cadres ANSSI et ENISA et en identifiant où PanicSafe accélère le parcours. Contactez-nous pour en planifier un.