Quels sont les «pain points» (points de friction) les plus fréquents dans l’Incident Response et comment les résoudre? 

Pourquoi ne parvient-on toujours pas à déjouer l’intégralité des cyberattaques? Les raisons sont souvent plus banales qu’on ne le pense et sont largement liées à un manque de préparation. Mais où se situent les points de friction fréquents dans l’Incident Response et comment les résoudre? 

Novembre 2025, Texte: Andreas Heer, Image: Swisscom           7 Min.

Les cyberattaques, même les plus spectaculaires, se révèlent souvent plutôt banales si l’on y regarde de plus près. En effet, de nombreuses attaques réussies profitent de vulnérabilités connues ou de configurations non sécurisées. Ainsi, le Data Breach Investigations Report 2025 (DBIR) de Verizon indique que 20% des accès initiaux ont eu lieu via des failles connues, et à peu près autant via des données d’accès volées qui n’étaient pas sécurisées par une authentification à deux facteurs (2FA). Karin Holzhauser, experte Threat Detection and Incident Response chez Swisscom, le confirme. «Notre expérience montre que la plupart des incidents sont dus à des faiblesses dans l’authentification multifactorielle, la gestion des droits d’administrateur et l’échec du patching de vulnérabilités critiques.» 

Lorsque les vecteurs d’attaque sont connus, la question se pose: pourquoi recense-t-on encore autant de cyberattaques réussies, y compris en Suisse? Pourquoi l’Incident Response (IR) n’est-elle pas mieux préparée dans l’objectif de parer de telles attaques? Cet article met en lumière les problèmes fréquents ou «pain points» identifiés dans la gestion des cyberurgences et propose des solutions éprouvées. 

Point de friction n° 1: plans d’urgence insuffisants 

Commençons par clarifier quelques termes:

  • Un plan d’urgence ou Disaster Recovery Plan fait partie intégrante du Business Continuity Management (BCM). Il devrait permettre non seulement de réagir aux phénomènes naturels (incendie, inondation), mais aussi spécifiquement aux cyberincidents. 
  • Un Incident Response Plan (plan IR) décrit la procédure à suivre en cas de cyberincident, par exemple à l’aide des Incident Response Recommendations du NIST. Il fait partie du plan d’urgence.
     

Certaines entreprises ne disposent pas d’un plan d’urgence à jour et éprouvé. «Un cyberincident tel qu’une attaque de ransomware ne concerne pas seulement le service informatique. Les conséquences sont perceptibles à l’échelle de l’entreprise. Il s’agit de s’y préparer à l’aide de plans et d’exercices appropriés, notamment au niveau du management», explique M. Holzhauser.

Daniel Würsch, Product Portfolio Manager pour la Threat Detection and Response chez Swisscom, explique que lorsque les procédures et les responsabilités ne sont pas claires, il est difficile de réagir correctement après la découverte d’un incident: «Le manque de préparation pousse les entreprises à réagir à la hâte et à tenter d’abord d’enrayer l’incident. Cela leur fait perdre un temps précieux.» 

Un plan d’urgence inadéquat est également à l’origine des points de friction suivants. 

Point de friction n° 2: surmenage lié à la première réaction 

Un cyberincident est un moment stressant. Alors même que les premières heures sont marquées par l’agitation et l’incertitude, elles s’avèrent décisives pour la maîtrise de l’attaque en matière de rapidité et d’efficacité. «De nombreuses entreprises ne savent pas exactement quand il convient de déclarer une crise. En conséquence de cette incertitude, les ressources importantes ne sont mobilisées que tardivement», constate M. Holzhauser. 

En effet, à ce stade, les responsables IR doivent prendre des décisions susceptibles d’affecter considérablement le fonctionnement de l’entreprise. «Des compétences floues, notamment le pouvoir décisionnel d’isoler des systèmes critiques sans consultation préalable en cas de crise – ce qui influence considérablement la disponibilité opérationnelle – retardent la réaction et entraînent des risques supplémentaires, explique M. Holzhauser à propos des défis à relever. Si ces sujets ne sont abordés qu’une fois la crise déclenchée, l’entreprise perdra un temps précieux.» 

Point de friction n° 3: manque de ressources en cas d’urgence 

Les cybercriminels ne s’embarrassent pas des horaires d’ouverture de l’entreprise. Le manque de disponibilité des collaborateurs et de la direction complique toute réaction. Et parfois, on manque aussi de connaissances ou tout simplement de ressources pour maîtriser soi-même la situation. L’intervention de partenaires externes est donc nécessaire, mais celle-ci aussi doit être planifiée. Comme le dit M Holzhauser: «Ce n’est pas après 18 heures qu’il faut se demander comment joindre un partenaire.» 

Point de friction n° 4: un cyberincident n’est pas un problème purement informatique 

Ce n’est parfois qu’une fois la situation de crise déclenchée que les entreprises découvrent à quel point tous leurs départements dépendent d’une informatique fonctionnelle et quels sont leurs joyaux de la couronne. «Nous constatons souvent que les entreprises n’ont pas conscience de l’impact de la défaillance d’une application sur le fonctionnement opérationnel et, en particulier, que les systèmes isolés perturbent souvent les canaux de communication internes habituels», explique M.Holzhauser. «Et il faut bénéficier d’une bonne vue d’ensemble du paysage informatique pour prendre les mesures opportunes», ajoute M. Würsch. 

En cas de cyberincident, les questions suivantes se posent: 

  • Y a-t-il des obligations de déclaration, par exemple LPD/RGPD, FINMA, DORA, NIS2, autorités de protection des données? 
  • Quels risques financiers découlent de cette cyberattaque et de l’isolement des systèmes?
  • Qui administre l’isolement, l’arrêt et la restauration des systèmes? 
  • Qui communique et informe qui et quand? 
  • Qui coordonne l’Incident Response? 
Découvrez les tendances actuelles en matière de cybersécurité et les menaces à prendre en compte.

Recommandation n° 1: tout miser sur l’entraînement 

La préparation est le b.a.-ba de l’Incident Response. Les entreprises bien préparées ont de meilleures chances de limiter les dégâts en cas de cyberincident. Cela implique non seulement de disposer d’un plan d’urgence et de le tenir à jour, mais aussi de s’exercer régulièrement aux différents scénarios. «Une simulation réaliste d’une cybercrise implique que la cellule de crise assume l’éventail complet de ses responsabilités. Cela permet de s’assurer que la direction est également consciente de la portée d’un cyberincident», souligne M. Holzhauser.  

Les Tabletop Excercises (TTX)(ouvre une nouvelle fenêtre) peuvent notamment être envisagés: ils permettent de simuler un cyberincident sur table, en impliquant tous les départements concernés. En ce qui concerne le contenu de ces exercices, M. Würsch recommande d’envisager des scénarios aussi réalistes que possible à partir des modèles de menaces de l’entreprise. 

Recommandation n° 2: préparer la communication 

En cas d’urgence, la communication est décisive. D’une part, il s’agit d’assurer l’échange au sein de la cellule de crise. D’autre part, la communication avec les autorités, les clients et les partenaires détermine si l’entreprise est digne de confiance.  

Un aspect important de cette préparation réside dans le choix des canaux de communication en cas d’urgence. Mais le contenu de la communication peut également être préparé à l’avance, par exemple pour les clients, le public ou les obligations de déclaration. 

Recommandation n° 3: renforcer la sensibilisation à la sécurité 

Le personnel constitue souvent le maillon décisif de la chaîne. En tant que «première ligne de défense», il contribue à identifier à temps les cyberincidents. Pour ce faire, il doit être sensibilisé à la détection des anomalies et oser les signaler. «Les formations continues sont un outil important pour sensibiliser les collaborateurs à la sécurité», indique M. Würsch. 

Recommandation n° 4: entretenir le réseau 

Une réponse aux incidents efficace nécessite souvent des connaissances spécialisées supplémentaires et du renfort humain, qu’il s’agisse de l’implication de fournisseurs de matériel et de logiciels ou de services externes de cybersécurité. La mise en place d’un tel réseau – y compris les contacts et les interlocuteurs à joindre en cas de crise – est judicieuse pour les entreprises avant même la survenue de tout incident. Il s’agit là d’un travail continu, souligne M. Würsch: «Un échange régulier avec les partenaires et les représentants de la branche peut aider à identifier les risques de sécurité à un stade précoce et à renforcer la résilience par des mesures appropriées.» 

Recommandation n° 5: en parler à la direction 

Sensibiliser la direction à la nécessité de prendre des mesures de cybersécurité est un véritable travail de traduction. «La cybersécurité prend tout son sens lorsqu’on peut démontrer les effets d’un cyberincident en prenant l’exemple de ses répercussions sur le bénéfice ou le chiffre d’affaires, ajoute M. Holzhauser. Les exemples récents dans l’industrie automobile et de grandes entreprises commerciales montrent qu’une attaque peut porter atteinte à la substance même de l’entreprise.»  

Autres articles