Publicité en cours de chargement...
Mais au fait, quelle approche rationnelle d’une crise ? Et surtout d’une crise cyber ?
Déjà, par aborder « de manière rationnelle » qu’est-ce que l’on doit comprendre ? Avoir doublé les datacenters ? Avoir des procédures dégradées métiers ? Avoir une salle de crise ? Rien de tout cela. Enfin si, vous pouvez l’aborder sous cet angle, mais c’est vraiment le petit bout de la lorgnette. Le mieux est d’imaginer que votre DG vous pose une question simple, anodine : « Au fait, qu’est-ce qui est prévu en cas de crise cyber ? » Ce n’est pas pour rien qu’il faut imaginer à la fois une question simple, ouverte (ce sont les pires) et posée par une DG (parce que forcément la réponse ne peut pas être seulement technique). À ce stade, il y a trois niveaux de réponses.
Premier niveau évoqué ci-dessus : le PCA/PRA englobant les datacenters et les procédures dégradées métiers. C’est mieux que rien bien entendu et si tout le monde avait franchi ne serait-ce que cette première étape on serait globalement tous en meilleure situation. Mais une bonne partie des problèmes est passée sous silence.
Deuxième niveau de réponse : en plus du précédent, on a mis en place un dispositif de gestion de crise qui s’appuie (par exemple) sur celui existant pour le plan blanc ou les SSE[2], avec ce qu’il faut de documents additionnels dans la mallette de garde de la DG pour pouvoir déclencher, en réponse à une crise d’origine cyber, la liste d’appel DSI, les coordonnées téléphoniques/Tchap RSSI, le lien avec le Samu et les services critiques, mais aussi, a minima, un test par an de l’ensemble du dispositif (bon courage dans un CHU !). Rien que cela, c’est déjà très bien, mais les confrères se demandent souvent par quel bout commencer, qui mobiliser et convaincre, etc.
Il y a (au moins) une troisième approche : s’appuyer sur un modèle de type PDCA. Approche qui a le mérite de parler à des DG (qui connaissent les certifications HAS et assimilées depuis des décennies), à des responsables Qualité (qui vont être sollicités), à des chefs de projets, etc. L’idée est de considérer qu’il y a deux temps :
– une phase de Build, qui consiste à construire tout le dispositif, et qui est en gros le « Plan » et un bout du « Do » du modèle ; les livrables de cette phase sont les documents de niveau stratégique (cellule de crise DG), les documents de niveau MOA (procédures dégradées, y compris les doc techniques DSI pour le basculement de datacenter le cas échéant), le réseau de référents internes, etc. ;
– la phase Run, qui consiste à faire vivre le dispositif (seconde partie du « Do »), à le tester régulièrement (« Check »), et à le mettre à jour (« Act ») ; sont bien entendu inclus les tests à tous les niveaux, mais aussi les éléments annexes tels que les mises à jour d’annuaires téléphoniques internes (quand vous n’aurez plus d’informatique, votre annuaire interne sur l’Intranet sera inaccessible) et externes (les groupes Tchap/Signal), les plans et rapports de tests, les indicateurs de niveau DG (point absolument indispensable, si vous ne mesurez pas la qualité du dispositif, vous rendez votre DG aveugle, ce qui n’est jamais une bonne idée).
Remarques additionnelles :
– le pilote du Build n’est pas obligatoirement le pilote du Run ;
– le secret de l’efficacité, ce sont les tests, pas tant par leur exhaustivité que par leur fréquence : sans « Check », point de salut ;
– si vous n’êtes pas capable de résumer le tout sur une feuille A4 recto, indicateurs inclus, pour votre DG, c’est que vous en faites trop.
Tous ces éléments sont traités en long, en large et en travers dans mon tout dernier opus cyber (le septième), disponible sur le site de l’Apssis[3], composé avec la précieuse participation de CrowdStrike, Crisalyde, Avista, Gatewatcher et l’ANS (qui a produit un kit méthodologique très complet). Le guide est en téléchargement libre sous licence BY-NC-ND-SA.
Enjoy !
À lire aussi : Mais au fait, c’est quoi exactement une crise ? Et surtout une crise cyber ?
[2] SSE : Situations sanitaires exceptionnelles.
L'auteur
Responsable Sécurité des systèmes d’information et correspondant Informatique et Libertés au CHU de Nantes, Cédric Cartau est également chargé de cours à l’École des hautes études en santé publique (EHESP). On lui doit aussi plusieurs ouvrages spécialisés publiés par les Presses de l’EHESP, dont La Sécurité du système d’information des établissements de santé.
Avez-vous apprécié ce contenu ?
A lire également.

Dernier billet philosohico-cyber avant la plage
21 juil. 2025 - 10:00,
Tribune
-À l’approche des congés d’été, l’heure est à la réflexion — et pas seulement sur la température de l’eau ou le bon dosage de crème solaire. Entre arnaques bancaires de plus en plus sophistiquées, dérives technologiques, illusions cyber-industrielles et lacunes dans la gouvernance publique, ce billet...

Le numérique médico-social : mutation systémique et levier d’humanité
08 juil. 2025 - 01:07,
Actualité
- DSIHLongtemps resté en périphérie des politiques publiques du numérique en santé, le secteur médico-social entre aujourd’hui dans une phase de transformation profonde. C’est cette bascule, inédite et structurante, que décrivent Olivier Babinet et Manon Lorenzo dans leur ouvrage Le virage du numérique en...

Pilotage des blocs opératoires : l’Anap dévoile une plateforme numérique intégrée pour améliorer la performance et la gouvernance
08 juil. 2025 - 00:26,
Actualité
- DSIHL’Agence nationale de la performance sanitaire et médico-sociale (Anap) franchit un nouveau cap dans le soutien aux établissements de santé avec le lancement d’une plateforme numérique unique dédiée à l’optimisation des blocs opératoires. Ce nouvel outil regroupe 22 ressources opérationnelles destin...

Le Health Data Hub dévoile les 17 lauréats de son premier appel à manifestation d’intérêt portant sur le Catalogue du SNDS
07 juil. 2025 - 23:50,
Communiqué
- Health Data HubLe Catalogue du Système national des données de santé (SNDS) fait référence à l’ensemble des bases de données de partenaires qui sont copiées dans l’environnement technique du Health Data Hub dans l’optique de mutualiser les efforts de croisement avec les données de la base principale de l’Assurance...