Les cyberattaques sont devenues inévitables. Ce n’est plus une question de « si », mais de « quand ». Dans ce contexte, la préparation ne peut se limiter à des mesures techniques : elle doit aussi intégrer une réflexion stratégique sur les décisions réservées, c’est-à-dire les choix critiques qui ne peuvent être improvisés sous pression. Prévoir ces décisions à l’avance est un levier majeur de résilience.

Une décision réservée correspond à une action sensible ou structurante qui nécessite un arbitrage clair: informer ou non les clients, déposer plainte, couper un service, activer une cellule de crise, négocier avec un acteur malveillant, etc. Si ces décisions ne sont pas anticipées, elles deviennent sources de blocage, de conflit ou d’inaction au moment où le temps manque.

Prévoir ces décisions, c’est d’abord identifier les scénarios de crise les plus probables ou les plus critiques pour l’organisation : ransomware, vol de données, indisponibilité d’un outil métier, etc. Pour chaque cas, il faut se poser les bonnes questions: qui décide? selon quelles conditions? avec quels critères? dans quels délaiss? Il ne s’agit pas d’écrire un scénario parfait, mais de cadrer les grands principes de réaction, y compris les marges de manœuvre acceptables.

Cette anticipation passe aussi par une définition claire des rôles: DSI, direction générale, juridique, communication, métiers… Chacun doit savoir ce qu’il a à faire et ce qui ne relève pas de sa responsabilité. Sans ce travail en amont, le flou peut entraîner des tensions internes ou des erreurs de communication qui aggravent la crise.

Autre point clé: l’acceptabilité du risque. Par exemple, jusqu’à quel point peut-on ralentir un service pour préserver la sécurité ? Quand faut-il alerter les autorités ? Faut-il payer une rançon ? Ce sont des sujets sensibles, mais qu’il vaut mieux aborder à froid. Trop souvent, faute d’avoir été discutées en amont, ces décisions sont prises dans la panique ou sous la pression médiatique.

« Prévoir les décisions réservées, c’est surtout tester régulièrement la chaîne de décision à travers des exercices de simulation (tabletop, jeux de rôle, etc.). Cela permet de valider les réflexes, d’identifier les points faibles et de renforcer la coordination entre les équipes.« 

En cybersécurité, la technique seule ne suffit pas. Une organisation qui sait décider vite, lucidement et en confiance dans l’urgence est une organisation mieux armée pour résister. Anticiper les décisions réservées, c’est faire de la gouvernance un outil de sécurité à part entière.

Pour compléter le sujet :

•  Guide du NIST (SP 800-61r2) : Ce document de référence détaille les étapes clés d’un plan de réponse aux incidents, avec un accent sur la préparation, la détection, la gestion et les activités post-incident. Il insiste sur l’importance d’une gouvernance claire et de processus décisionnels définis à l’avance. nvlpubs.nist.gov

•  CrowdStrike – Incident Response Steps : Ce guide présente les étapes essentielles d’un plan de réponse aux incidents, notamment la préparation, la détection et l’analyse, la containment, l’éradication et la récupération, ainsi que les activités post-incident.