Obligation de cyberdéclaration : pourquoi la résilience n'est pas un projet informatique, mais une tâche de direction

Quand personne n'est préparé

Ce cas hypothétique, mais proche de la réalité, met en évidence les points faibles.

Printemps 2025 : dans un laboratoire médical employant 80 personnes, un cyberincident se produit via le système d'automatisation du bâtiment. Une interface de télémaintenance n'était pas suffisamment sécurisée. Des pirates ont introduit des instructions de commande. Les zones de ventilation et de climatisation ont été modifiées de manière incontrôlée. Les températures ont augmenté dans plusieurs salles de laboratoire, des échantillons ont été endommagés et des appareils sensibles n'ont plus réagi de manière fiable. L'entreprise s'est arrêtée. Les résultats d'analyse n'ont pas pu être livrés. La perte d'exploitation et le préjudice de réputation qui en ont résulté ont été énormes.

L'incident est fictif, mais sa structure est réelle

L'obligation de notification a été sous-estimée. Les responsabilités n'étaient pas réglées, les procédures, les processus et les rôles n'étaient pas définis.

«La sécurité OT n'est plus un sujet purement informatique, mais différentes fonctions de l'entreprise sont concernées. Si l'organisation n'est pas préparée, le temps devient un fardeau et le retour à la normale une tâche titanesque», explique Michel Renfer.

La responsabilité n'est pas une question informatique, mais une tâche de direction

Les responsables informatiques en particulier se trouvent aujourd'hui à l'interface entre la technique, la direction et d'autres domaines spécialisés et doivent réunir différentes fonctions commerciales. De nombreuses organisations ne savent même pas qu'elles sont soumises à l'obligation de déclarer les cyberincidents (art. 74c LSI).

Ils ont encore moins défini de processus clairs pour identifier, signaler et documenter correctement les incidents. Lorsqu'un incident se produit, la pression du temps, le stress et l'incertitude provoquent un black-out. En cas d'urgence, il faut trop de temps pour savoir ce qu'il faut faire.

Saisir l'obligation de cyberdéclaration comme une opportunité de prendre ses responsabilités - Du risque à la routine :

1. Où en est notre organisation aujourd'hui ?
2. Quels sont les systèmes, les processus et les rôles concernés ?
3. Où se situent les points faibles - sur le plan technique, organisationnel, de la communication ?
4. Comment établir des normes communes et des responsabilités claires ?
5. Comment assurer la stabilité lors des changements de personnel grâce à des procédures documentées ?
6. Et comment s'entraîner aux situations d'urgence avant qu'elles ne surviennent ?

«La sécurité devient robuste lorsqu'elle est entraînée. Ce qui n'est pas exercé régulièrement ne fonctionne pas en cas d'urgence.», sait Michel Renfer.

Conclusion : la résilience ne consiste pas à empêcher toute attaque.

Mais de créer des structures qui fonctionnent en cas d'urgence - sur le plan technique, organisationnel et de la communication. Le succès se trouve là où l'IT, l'OT, le FM et la direction misent sur des normes communes et une bonne préparation.

Comment votre entreprise est-elle préparée à l'obligation de cyberdéclaration ?

Nous vous soutenons avec une expertise technique, une compréhension des processus et une vue d'ensemble. Pour que la sécurité informatique et la sécurité OT ne fonctionnent pas côte à côte, mais ensemble.