Cybersecurity

Gestion de crise cyber : playbook ANSSI 2026

Gestion de crise cyber selon ANSSI : 4 phases (anticipation, alerte, gestion, sortie), cellule de crise, communication, retours d'expérience 2024-2026.

TD
Dr. Thiébaut Devergranne
3 juin 20267 min read

En une phrase. La gestion de crise cyber structure la réponse d’une organisation à un incident majeur (ransomware, exfiltration massive, sabotage). L’ANSSI publie le guide de référence « Crise d’origine cyber, les clés d’une gestion opérationnelle et stratégique » (décembre 2021, mise à jour mars 2023) organisé en 4 phases : anticipation, alerte/qualification, gestion, sortie de crise. NIS 2 (art. 21 §2c) et DORA (art. 17-23) en font une obligation réglementaire.

Le coût moyen d’une cyberattaque en France atteint 1,76 M€ en 2024 (étude Hiscox 2024), avec 22 jours d’interruption opérationnelle moyenne pour les attaques ransomware réussies (Coveware Q4 2024). Une gestion de crise improvisée multiplie ces chiffres par 3 à 5.

Pour approfondir : PSSI ANSSI, PCA ANSSI, cartographie SI.

Points clés

  • L’ANSSI structure la gestion de crise en 4 phases (anticipation, alerte, gestion, sortie).
  • La cellule de crise doit être activable 24/7 en moins de 2 heures.
  • Les notifications légales sont multiples : CNIL (72h RGPD), ANSSI (24h NIS 2), CERT, AMF/ACPR (DORA).
  • Le paiement de rançon n’est pas illégal mais déconseillé par l’ANSSI et fiscalement non déductible.
  • Un exercice annuel grandeur nature est attendu par les auditeurs NIS 2/DORA.

1. Définition : qu’est-ce qu’une crise cyber ?

Selon l’ANSSI, une crise cyber présente trois caractéristiques cumulatives :

  1. Atteinte significative au SI ou aux données
  2. Dépassement des capacités opérationnelles courantes (RUN)
  3. Risque sur la pérennité de l’organisation ou impact externe (clients, citoyens)

Les incidents traités au quotidien par le SOC ne sont pas des crises. Une crise mobilise la direction générale, pas seulement le RSSI.

2. Phase 1 — Anticipation (avant la crise)

L’anticipation représente 70 % du succès de la gestion de crise. Livrables :

Livrable Responsable Périodicité
Plan de gestion de crise cyber RSSI + DG Annuel
Annuaire de crise (mobiles personnels) RH + RSSI Trimestriel
Procédures isolement réseau DSI Annuel
Modèles de communication Com Annuel
Contrats CERT et conseil RSSI Annuel
Exercice grandeur nature RSSI + Direction Annuel

3. Phase 2 — Alerte et qualification

Délai cible < 1 heure entre détection et qualification crise. Critères ANSSI de bascule en mode crise :

  • Indisponibilité d’un système critique > 4h
  • Compromission d’Active Directory
  • Exfiltration de données massives confirmée
  • Chiffrement ransomware en cours
  • Compromission de comptes admin domaine

La cellule de qualification (RSSI, DSI production, juridique d’astreinte) tranche : crise / incident majeur / incident standard.

4. Phase 3 — Gestion de la crise

L’ANSSI distingue 2 cellules parallèles :

Cellule de Crise Décisionnelle (CCD) — niveau stratégique :

  • Direction générale
  • Communication
  • Juridique / DPO
  • RH
  • Direction métier impactée

Cellule de Crise Opérationnelle (CCO) — niveau tactique :

  • RSSI (pilote)
  • DSI production
  • Experts forensics (interne + externe CERT)
  • Équipes SOC

Les deux cellules se réunissent en points de situation toutes les 2 à 4 heures en phase aiguë.

5. Communication de crise

Trois publics, trois discours :

Public Délai Canal Contenu
Interne (salariés) Immédiat Mail + intranet Faits, consignes, point quotidien
Clients / partenaires < 24h Mail + site web Impact, plan d’action, ETA
Médias / public < 48h si médiatique Communiqué + porte-parole Faits vérifiés, mesures, contact

L’ANSSI insiste : ne jamais mentir, ne jamais sur-promettre. Le silence est pire que la transparence.

6. Notifications légales obligatoires

Texte Délai Destinataire Seuil
RGPD art. 33 72h CNIL Tout risque pour les personnes
RGPD art. 34 « Dans les meilleurs délais » Personnes concernées Risque élevé
NIS 2 art. 23 24h (alerte) puis 72h (notification) ANSSI / CSIRT Incident significatif
DORA art. 19 4h (alerte) puis 24h (notification) ACPR / AMF Incident majeur
Code monétaire « Sans délai » TRACFIN si LCB-FT Tentative de fraude
LPM art. R. 1332-41-10 Sans délai ANSSI OIV : incident SAIIV

Le défaut de notification CNIL est sanctionnable jusqu’à 10 M€ ou 2 % du CA mondial (RGPD art. 83).

7. Réponse technique : la doctrine ANSSI

Étapes recommandées :

  1. Isoler : déconnecter le SI compromis (pas éteindre, sauf urgence)
  2. Préserver les preuves : images mémoire et disque, logs, captures réseau
  3. Investiguer : timeline, vecteur, périmètre compromis, exfiltration
  4. Éradiquer : suppression du malware, fermeture des accès attaquant
  5. Reconstruire : remontée propre depuis sauvegardes saines
  6. Surveiller : monitoring renforcé 90 jours minimum

Ne jamais redémarrer un système avant images forensics (perte de la mémoire vive contenant les preuves).

8. Faut-il payer la rançon ?

Position ANSSI/Gendarmerie/Police : non. Arguments :

  • Le paiement finance la criminalité
  • Aucune garantie de déchiffrement (25 % des paiements ne fournissent pas la clé — Sophos 2024)
  • Risque de re-attaque (devient cible récurrente)
  • Non déductible fiscalement depuis loi LOPMI 24 janvier 2023
  • Risque sanction US OFAC si le groupe est sanctionné

Le paiement reste légal en France (sauf si entité sanctionnée) mais exclut l’indemnisation cyber assurance pour les contrats post-LOPMI.

9. Phase 4 — Sortie de crise et REX

Critères de sortie :

  • Tous les services métier ont repris (mode nominal ou dégradé stable)
  • Plus aucune compromission active détectée
  • Communications externes maîtrisées
  • Notifications légales transmises

Livrable obligatoire : retour d’expérience (REX) dans les 30 jours :

  • Timeline détaillée
  • Vecteur d’attaque et mode opératoire (MITRE ATT&CK)
  • Erreurs identifiées
  • Plan d’actions correctives (court, moyen, long terme)
  • Mise à jour PSSI et PCA

10. Cas réels 2022-2024

Date Victime Vecteur Impact
Août 2022 CHU Corbeil-Essonnes Ransomware Lockbit Rançon 10M$ refusée, 30j dégradé
Sept. 2022 CH Versailles Ransomware Lockbit 10 To exfiltrés
Juin 2023 CHU Rennes Compromission IT 3 semaines de perturbation
Févr. 2024 Viamedis/Almerys Vol identifiants 33 M de Français exposés
Avr. 2024 France Travail Compromission sous-traitant 43 M de Français exposés
Mai 2024 Cegedim Santé Ransomware Hôpitaux clients impactés

11. Outils et prestataires qualifiés

Prestataires de Réponse aux Incidents (PRIS) qualifiés ANSSI 2024 (liste non exhaustive) :

  • Orange Cyberdefense
  • Thales CERT-IST
  • Sopra Steria Cyber Security
  • Wavestone
  • Almond
  • Intrinsec
  • Lexfo
  • Mandiant France

Coût intervention CERT : 15 000 à 50 000 € pour un cas standard, 100 000 €+ pour un cas complexe.

12. Exercices : la clé de la résilience

L’ANSSI organise exercice national annuel (« Cyber Riposte ») depuis 2022. Pour les organisations :

  • Exercice sur table trimestriel (équipe RSSI)
  • Exercice opérationnel semestriel (cellule de crise complète)
  • Exercice grandeur nature annuel (simulation 4-8h, observateurs externes)

Un exercice non joué tous les 12 mois = PCA invalide pour les auditeurs NIS 2.

FAQ

Qui pilote la cellule de crise cyber ?

Au niveau stratégique : la direction générale (DG ou COO). Au niveau opérationnel : le RSSI ou, à défaut, le DSI. L’ANSSI recommande explicitement de séparer décision stratégique et conduite opérationnelle pour éviter le mélange des rôles.

Quel délai pour notifier la CNIL ?

72 heures à compter de la prise de connaissance de la violation, selon l’article 33 RGPD. Au-delà, justification écrite obligatoire. Pour NIS 2 : alerte initiale 24h, notification complète 72h. Pour DORA : 4h pour l’alerte, 24h pour la notification.

Combien coûte une cellule de crise ?

Coût en propre faible (temps RSSI + outils collaboratifs). Coût externe en crise active : 15 000 à 50 000 € pour un PRIS qualifié sur 5 jours. Astreinte CERT annuelle : 5 000 à 20 000 € selon SLA. Avocat de crise : 300-500 € HT/h.

Le paiement de rançon est-il légal en France ?

Légal sauf si le groupe attaquant est sanctionné (UE, OFAC). Mais non déductible fiscalement depuis la loi LOPMI du 24 janvier 2023. Et la cyberassurance ne peut indemniser le paiement que si l’entreprise a déposé plainte dans les 72h (art. L12-10-1 Code assurances).

Que conserver comme preuves après attaque ?

Images mémoire (RAM) des serveurs compromis AVANT redémarrage, images disque bit-à-bit, logs centralisés des 90 derniers jours, captures réseau pendant l’incident, e-mails des comptes compromis, toute communication avec l’attaquant. Conservation : durée de la procédure pénale + 10 ans recommandé.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Dr. Thiébaut Devergranne
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →