Il n'y a presque jamais de signe avant-coureur. Pas de sirène, pas de compte à rebours. Un matin, un écran reste noir. Un fichier refuse de s'ouvrir. Un message inconnu s'affiche à la place de la session habituelle. Et en quelques minutes, toute une organisation comprend qu'elle vient de basculer dans un avant et un après.
Que la cause soit une cyberattaque, une panne matérielle, un incendie ou une simple erreur humaine, le scénario se ressemble : du jour au lendemain, l'activité s'arrête. Ce qui distingue les entreprises qui s'en relèvent de celles qui y laissent des plumes ne se joue pas le jour de l'incident. Cela se joue dans les heures qui suivent et dans tout ce qui a été préparé avant.
Voici à quoi ressemblent, concrètement, ces premières 24 heures.
H+0 : le choc
La première heure est rarement rationnelle. Quelqu'un signale un problème, puis un deuxième, puis tout le monde. Les téléphones sonnent, les messageries internes s'affolent, et la question qui revient en boucle est la même : « C'est juste chez moi ou c'est partout ? »
C'est le moment le plus dangereux, parce que l'instinct pousse à agir vite et mal : redémarrer les machines, rebrancher des câbles, cliquer sur tout ce qui bouge. Or dans le cas d'une cyberattaque, chaque action non maîtrisée peut aggraver la situation ou détruire des preuves utiles.
La première bonne décision est presque contre-intuitive : ne pas se précipiter, et déclencher le protocole prévu. Encore faut-il qu'il existe.
H+1 à H+3 : le diagnostic
Une fois le réflexe de panique passé, vient le temps des questions précises. Qu'est-ce qui est touché exactement ? Les serveurs, le réseau, les postes de travail, les sauvegardes ? L'incident est-il en cours ou terminé ? Les données sont-elles compromises, chiffrées, perdues ?
C'est ici que se révèle, brutalement, le niveau de préparation réel. Une organisation qui sait où sont ses données, comment elles sont sauvegardées et qui appeler avance vite. Une organisation qui découvre tout cela en pleine crise perd ses heures les plus précieuses à chercher des mots de passe, des contrats de maintenance oubliés et le numéro d'un prestataire injoignable.
Le diagnostic n'est pas qu'une affaire technique : c'est lui qui conditionne toutes les décisions suivantes.
H+3 à H+8 : la décision
À ce stade, deux indicateurs deviennent les boussoles de la journée, même si on ne les nomme pas toujours ainsi. Le premier est le RTO, objectif de temps de reprise : en combien de temps doit-on être de nouveau opérationnel avant que les conséquences ne deviennent graves ?
Le second est le RPO, objectif de point de reprise : quelle quantité de données peut-on se permettre de perdre ? Une heure de travail, une journée, une semaine ?
Ces deux chiffres, idéalement fixés à froid bien avant l'incident, dictent la stratégie. Restaure-t-on la dernière sauvegarde ? Bascule-t-on sur une infrastructure de secours ? Reconstruit-on à partir de zéro ?
C'est aussi le moment des décisions difficiles : prévenir les clients, informer les autorités lorsque des données personnelles sont concernées, et, en cas d'attaque, ne jamais céder à la tentation de payer une rançon sans expertise. Un paiement ne garantit ni la récupération des données ni la fin de l'intrusion.
H+8 à H+16 : la bascule
C'est le cœur du réacteur. Si une sauvegarde fiable et récente existe, la restauration commence. Si une infrastructure de secours a été prévue, on bascule l'activité dessus pendant que l'environnement principal est nettoyé et reconstruit en parallèle.
C'est précisément dans cette phase que la théorie rencontre la réalité. Beaucoup d'entreprises découvrent à cet instant que leur sauvegarde n'avait pas tourné depuis des semaines, qu'elle était stockée sur le même serveur que les données d'origine et donc tout aussi compromise, ou que personne n'avait jamais testé qu'elle pouvait réellement être restaurée.
Une sauvegarde jamais testée n'est pas une sauvegarde : c'est un espoir. Les organisations qui s'en sortent en quelques heures sont celles qui avaient répété l'exercice, exactement comme on répète une évacuation incendie.
H+16 à H+24 : le retour progressif
Le retour à la normale ne se fait pas d'un coup. On rallume par étapes, on vérifie l'intégrité des données, on s'assure que la faille initiale est bien refermée avant de tout rouvrir. Les équipes rebranchent leurs outils un à un, parfois avec des semaines de réflexes à reprendre.
En parallèle commence un travail tout aussi important : la communication. Rassurer les collaborateurs, expliquer aux clients ce qui s'est passé et ce qui a été fait, documenter chaque étape pour les assureurs et, le cas échéant, pour les autorités.
La manière dont une entreprise raconte sa crise pèse souvent autant que la crise elle-même sur la confiance qu'on lui accorde ensuite.
Ce qui fait vraiment la différence
Au bout de ces 24 heures, deux entreprises confrontées au même incident peuvent se retrouver dans des situations radicalement opposées. L'une a perdu une demi-journée et quelques courriels. L'autre a perdu des semaines de données, une partie de ses clients, et entamé une spirale dont certaines ne se relèvent jamais.
L'écart ne tient presque jamais à la chance. Il tient à quelques décisions prises bien avant l'orage : des sauvegardes automatiques, isolées et testées régulièrement ; un plan de reprise écrit, connu de l'équipe et non rangé dans un tiroir ; des objectifs de temps et de perte de données définis en fonction de l'activité réelle ; et une infrastructure pensée pour la continuité, capable de prendre le relais sans tout reconstruire.
La vraie question n'est donc pas « est-ce que cela peut nous arriver ? » La réponse est oui, à tout le monde, tôt ou tard. La vraie question est : si tout s'arrête demain matin à 9 h, sait-on déjà, heure par heure, ce que l'on va faire ?
Les entreprises qui peuvent répondre à cette question dorment beaucoup mieux. Et le matin du sinistre, ce sont les seules à garder une longueur d'avance.
Vous ne savez pas répondre à cette dernière question ?
C'est exactement le bon moment pour y remédier : avant l'incident, jamais après. Un audit de votre infrastructure et de votre plan de reprise permet d'identifier vos points faibles pendant qu'il est encore temps d'agir.
Contacter Admicom