Skip to main content
Marsh logo

Article

Gestion des cyberincidents : liste de vérification pour la résilience des entreprises

Le contexte actuel des risques numériques exige plus que des réponses techniques. Il nécessite une préparation stratégique à l’échelle de l’entreprise. La résilience et la récupération peuvent dépendre de la préparation, de la coordination et de l’exécution. Lorsque la pression est forte, un plan d’intervention bien rodé peut faire toute la différence.

09/11/2025 · Lecture de 4 minutes

Bien qu’aucune société ne souhaite subir un cyberincident, ceux-ci sont de plus en plus fréquents aujourd’hui, ce qui rend indispensable une préparation proactive. Le ton donné par la direction d’une société joue un rôle important. Les sociétés peuvent envisager la préparation aux incidents comme une occasion de renforcer leurs défenses et de favoriser une culture de cyberrésilience. En adoptant un état d’esprit axé sur la préparation, les sociétés peuvent être en mesure de transformer une crise potentielle en un événement plus gérable, dans le but de minimiser les répercussions opérationnelles, financières et sur la réputation.

Les sociétés qui accordent la priorité à la planification et à la formation peuvent non seulement être plus efficaces et plus confiantes, mais elles peuvent aussi réduire le coût d’un incident, car cela peut raccourcir le temps de récupération et possiblement faciliter les réclamations d’assurance. Qu’il s’agisse d’attaques par rançongiciel ou de fuites accidentelles de données, de pannes de tiers ou de menaces liées à l’IA, le contexte actuel des risques numériques exige plus que des réponses techniques. Il nécessite une préparation stratégique à l’échelle de l’entreprise. La résilience et la récupération peuvent dépendre de la préparation, de la coordination et de l’exécution. Lorsque la pression est forte, un plan d’intervention bien rodé peut faire toute la différence.

« La plus grande différence entre les sociétés qui gèrent bien les incidents et celles qui ne le font pas est que les premières suivent réellement le plan qu’elles ont élaboré. » Martin Leicht, directeur de l’assistance judiciaire en cas de réclamations liées aux cyberrisques et de la gestion des incidents aux États-Unis, Marsh
 « Beaucoup de gens considèrent encore les cyberincidents comme des intrusions de pirates informatiques, mais ils peuvent tout aussi bien provenir de personnes internes. Une autre idée fausse consiste à penser qu’il s’agit de problèmes informatiques, mais un incident de cybersécurité dans une entreprise du secteur manufacturier, par exemple, peut causer des dommages physiques. » Edson Villar, directeur de l’évaluation des cyberrisques pour la région de l’Amérique latine et des Caraïbes, Marsh

1. Comprendre les incidents de cybersécurité

Les pirates informatiques d’aujourd’hui sont souvent très professionnels et travaillent au sein de sociétés sophistiquées. Plutôt que d’utiliser des attaques par force brute pour atteindre leurs cibles, ils recourent de plus en plus au piratage psychologique, à l’accès interne ou à d’autres moyens pour voler des identifiants. Ils ne s’introduisent pas dans la société; ils s’y connectent. Une fois à l’intérieur, ils peuvent attendre des mois avant d’agir.

Mais tous les cyberincidents ne sont pas causés par des acteurs malveillants, et toutes les causes ne sont pas évidentes. De nombreux incidents découlent d’erreurs humaines élémentaires ou de systèmes désuets et de processus défaillants, comme le fait de ne pas désactiver les identifiants lorsqu’une personne quitte l’entreprise. Vous trouverez ci-dessous quelques types d’incidents à prendre en compte lors de la planification d’une intervention.

  • Rançongiciel : les auteurs de menace chiffrent les données d’un système et exigent une rançon pour les libérer. Dans certains cas, ils peuvent également exfiltrer les données et menacer de les rendre publiques. La gestion d’un tel incident peut perturber les opérations pendant des semaines, entraînant potentiellement des coûts importants en raison de l’interruption des activités.
  • Compromission de courriels d’affaires : il s’agit d’une attaque par piratage psychologique qui se fonde sur des courriels semblant provenir d’une source légitime, dans le but de tromper les employés ou les fournisseurs afin qu’ils partagent des renseignements sensibles ou transfèrent des fonds. Des procédures de vérification strictes et la formation des employés peuvent contribuer à atténuer ce risque.
  • Pannes : outre les attaques malveillantes, les défaillances de plateformes de tiers ou les erreurs de configuration accidentelles du système peuvent entraîner des temps d’arrêt imprévus.
  • Atteintes à la protection des données : les renseignements personnels permettant d’identifier une personne, les données financières, la propriété intellectuelle ou d’autres renseignements sensibles sont exposés, soit accidentellement, soit à cause de l’infiltration d’un pirate.
  • Menaces liées à l’IA : bien que l’IA générative n’ait pas été utilisée pour créer un nouveau type d’attaque, elle peut accélérer les menaces existantes en aidant les pirates à étendre ou à accélérer leurs efforts, grâce à des techniques telles que l’hameçonnage par hypertrucage et le bourrage d’identifiants.
« La plupart des attaques que nous observons aujourd’hui ne consistent pas à s’introduire dans un système. Il s’agit plutôt de se connecter à l’aide d’identifiants volés, par exemple, pour agir comme un utilisateur légitime. » Jeff Bird, directeur des services-conseils en cybersécurité, Marsh
« Vous voulez agir rapidement, mais vous devez également comprendre la tactique du pirate. Si vous agissez sans savoir comment il fonctionne, vous risquez d’aggraver la situation. » Edson Villar, directeur de l’évaluation des cyberrisques pour la région de l’Amérique latine et des Caraïbes, Marsh

2. Préparation aux incidents

Les réponses les plus efficaces commencent généralement bien avant qu’un incident ne se produise. La préparation ne se limite pas aux contrôles informatiques; elle concerne l’ensemble de la société. Il est essentiel d’avoir un plan, mais pour qu’il soit efficace, il doit être compris, régulièrement mis en pratique et tenu à jour au fur et à mesure que les circonstances internes et externes changent.

Une faiblesse courante dans la planification est le manque de coordination entre les services. Le chef de la sécurité de l’information pourrait penser qu’il comprend les processus essentiels de la société et donner la priorité à leur restauration en cas de panne, mais l’équipe des opérations pourrait s’attendre à ce que d’autres processus soient restaurés en premier. Par exemple, le service des TI pourrait donner la priorité à la remise en ligne du système de courriels, tandis que le service des finances attend de toute urgence le système de planification des ressources de l’entreprise pour pouvoir traiter la paie. Il est également important de noter que, dans de nombreux cas, c’est le directeur des TI, et non le chef de la sécurité de l’information, qui est responsable de la restauration du système. Bien que leurs responsabilités puissent différer, leurs priorités doivent être alignées, dans le but d’obtenir une réponse efficace. L’harmonisation entre les équipes internes et les parties prenantes externes peut également être essentielle lorsqu’il s’agit de réclamations d’assurance.

Ces désalignements peuvent entraîner des retards coûteux s’ils ne sont pas cernés et traités pendant la phase de planification.

Liste de vérification pour la préparation

  • Élaborer et tenir à jour un plan d’intervention en cas d’incident écrit, et le passer en revue régulièrement, idéalement tous les trimestres.
  • Définir les rôles et les responsabilités dans tous les domaines clés, notamment les aspects techniques, juridiques, les relations publiques et les opérations. Vérifier que les membres de la haute direction connaissent leurs responsabilités.
  • De nombreuses attaques paralysent les systèmes de communication, comme les courriels et les téléphones de l’entreprise. Identifier et tester une plateforme de communication hors bande sécurisée, comme Marsh Central, qui permet à votre société de communiquer hors réseau.
  • Coordonner la stratégie de sauvegarde avec les priorités opérationnelles et tester régulièrement les procédures de restauration des sauvegardes.
  • Mettre les parties prenantes d’accord sur les fournisseurs privilégiés pour les questions juridiques, les enquêtes judiciaires, les relations publiques et la communication de crise. Vérifier que l’assureur a préapprouvé ces entreprises pour faciliter le processus de réclamation. Établir une relation avec ces fournisseurs avant qu’un incident se produise, afin qu’ils comprennent votre plan d’intervention.
  • Organiser régulièrement des exercices de simulation au niveau technique, de la direction et du conseil d’administration. Ces exercices avaient lieu une fois par an auparavant, mais il est maintenant recommandé de les effectuer plus fréquemment.
  • Confirmer la couverture d’assurance contre les cyberrisques, les exigences en matière de notification et la préapprobation des fournisseurs.

Une formation de sensibilisation à la cybersécurité combinée à une gestion continue des vulnérabilités peut être essentielle pour renforcer la cyberrésilience. Les sociétés qui donnent la priorité à une formation proactive et mettent en œuvre des évaluations rigoureuses des vulnérabilités et des procédures de correction se sont avérées mieux équipées pour réduire les risques posés par l’évolution des cybermenaces.

Liste de vérification pour la formation des employés

  • Envisager la mise en place d’une campagne de formation des employés axée sur les risques associés aux attaques d’ingénierie sociale.
  • Mettre à jour le contenu de la formation de sensibilisation et des communications, au moins une fois par an.
  • Vérifier auprès des responsables de la sécurité que les procédures du centre d’assistance ont été récemment revues et renforcées, au besoin, car elles constituent souvent des cibles faciles.
  • De plus, mettre en place une plateforme de communication hors bande sécurisée pour les activités autres que l’incident.
  • Se coordonner avec le courtier et former les dirigeants à son utilisation – éventuellement dans le cadre d’un exercice de table. 
« Il est facile d’investir dans des outils et des plans, mais lorsque le bâtiment est en feu, beaucoup ne les utilisent pas. Nous voyons des clients qui n’utilisent même pas les outils qu’ils ont mis en place. » Martin Leicht, directeur de l’assistance judiciaire en cas de réclamations liées aux cyberrisques et de la gestion des incidents aux États-Unis, Marsh
« Les exercices de table doivent se dérouler à trois niveaux : technique, opérationnel et de la direction. Chaque groupe fait face à des défis différents et doit s’entraîner en conséquence. » Jeff Bird, directeur des services-conseils en cybersécurité, Marsh

3. Intervention en cas d’incident

Lorsqu’un cyberincident se produit, la première réaction est souvent la confusion. Il peut être difficile de savoir exactement ce qui se passe, comment cela se passe et quelles sont les mesures immédiates à prendre pour le contenir. Le temps est un facteur essentiel, mais il en va de même pour la discipline. La mise en place d’un bon plan est l’une des meilleures façons de s’assurer que les questions importantes sont traitées et que les mesures appropriées sont prises. Se précipiter vers la récupération ou ne pas coordonner les stratégies juridiques, techniques et de réputation peut aggraver l’impact.

Une erreur possible consiste à effacer et à réimager les appareils trop tôt, détruisant ainsi des preuves précieuses qui seraient utiles aux enquêteurs ou effaçant des données qui ne sont pas sauvegardées ailleurs. Un autre problème courant survient lorsque les équipes restaurent à partir d’une sauvegarde sans savoir depuis combien de temps un pirate est présent dans le système. Il est possible que la sauvegarde soit également compromise.

Liste de vérification pour une réponse active

  • Activer son plan d’intervention en cas d’incident et aviser immédiatement les assureurs.
  • Utiliser la plateforme de communication hors bande pour maintenir une communication sécurisée.
  • Contenir la menace : isoler les systèmes touchés et limiter le rayon d’action.
  • Faire appel dès le début à un conseiller juridique, à des experts en criminalistique numérique et à des spécialistes de la réponse aux violations.
  • Évaluer la situation liée au rançongiciel avec l’aide d’un spécialiste (et le consentement de l’assureur si un paiement est envisagé), le cas échéant.
  • Harmoniser les messages internes et externes.
« Une erreur courante consiste à se précipiter vers la récupération. Sans analyse complète et éradication, vous donnez l’avantage à l’attaquant. » Edson Villar, directeur de l’évaluation des cyberrisques pour la région de l’Amérique latine et des Caraïbes, Marsh
« Vous seriez surpris de voir à quel point il peut être difficile d’aligner les équipes de conseil en matière de violation ou d’expertise judiciaire, surtout lorsqu’elles ne sont pas préapprouvées par l’assureur. » Martin Leicht, directeur de l’assistance judiciaire en cas de réclamations liées aux cyberrisques et de la gestion des incidents aux États-Unis, Marsh

4. Après l’incident

Une fois la menace immédiate neutralisée, le vrai travail commence. En plus de la tâche technique, la récupération est un défi financier et opérationnel qui peut s’étendre dans le temps.

Il n’est pas rare de devoir reconstituer les registres de facturation à partir de zéro parce que les sauvegardes étaient chiffrées ou incomplètes, ou de faire face à des temps d’arrêt prolongés parce que les configurations de l’infrastructure virtuelle n’étaient pas sauvegardées. À ce stade, la documentation est essentielle, tant pour la conformité réglementaire que pour étayer les réclamations d’assurance.

Liste de vérification pour la reprise

  • Restaurer les systèmes de façon sécuritaire, en s’assurant que les sauvegardes sont propres et exemptes de menaces intégrées.
  • Faire appel à des experts en juricomptabilité pour quantifier les pertes d’exploitation et appuyer les réclamations d’assurance.
  • Conserver les preuves et la documentation à des fins juridiques et d’enquête.
  • Organiser des ateliers structurés sur les leçons apprises avec tous les groupes de parties prenantes.
  • Mettre à jour le plan d’intervention en cas d’incident, les procédures de formation et les protocoles de recours hiérarchique des fournisseurs.
  • Communiquer de façon transparente avec les clients, les partenaires et les organismes de réglementation concernés.
  • Passer en revue la cyberassurance, les obligations contractuelles et les cadres juridiques afin d’être prêt pour l’avenir.
« La reprise prend souvent plus de temps que la violation. Ce sont les coûts cachés qui frappent le plus durement, comme les factures manquées, les revenus perdus et les retards dans les opérations. » Jeff Bird, directeur des services-conseils en cybersécurité, Marsh
« Si des pirates étaient présents dans votre réseau pendant des mois, ils pourraient aussi se trouver dans vos sauvegardes. Une restauration sans vérification pourrait tout simplement relancer la violation. » Edson Villar, directeur de l’évaluation des cyberrisques pour la région de l’Amérique latine et des Caraïbes, Marsh

5. Liste de vérification récapitulative

Les sociétés les plus résilientes ont tendance à considérer la préparation aux cyberrisques comme une discipline permanente et non comme un projet ponctuel. Elles savent que l’intervention en cas d’incident dépend autant des personnes et des processus que des pare-feu et des sauvegardes.

Gardez cette liste de vérification à l’esprit :

  • Élaborez et testez régulièrement votre plan d’intervention.
  • Exercez-vous avec des outils réels et des personnes réelles.
  • Définissez votre stratégie de communication, en particulier en cas de panne des systèmes.
  • Coordonnez à l’avance les équipes internes et les fournisseurs externes.
  • Utilisez des plateformes hors bande sécurisées comme Marsh Central.
  • Tenez votre assureur informé tout au long du processus.
  • Tirez les leçons de chaque incident, même des incidents évités de justesse.
« Les sociétés qui réussissent vont au-delà des outils. Elles coordonnent leurs équipes internes et externes bien avant la première alerte. » Martin Leicht, directeur de l’assistance judiciaire en cas de réclamations liées aux cyberrisques et de la gestion des incidents aux États-Unis, Marsh
« Nous sommes tous du même côté en matière de cybersécurité. Envisagez de partager les leçons apprises en dehors de votre société. Cela aide tout le monde à garder une longueur d’avance sur le prochain incident. » Jeff Bird, directeur des services-conseils en cybersécurité, Marsh

Veuillez noter que l’utilisation d’un plan de gestion des cyberincidents, y compris les listes de vérification ci-dessus, ne garantit aucun résultat, y compris l’issue de toute réclamation potentielle.

Parlez à un représentant Marsh

Pour en savoir plus sur la préparation aux incidents et les mesures que vous pouvez prendre pour renforcer votre cyberrésilience, fournissez-nous quelques précisions et discutons.

Communiquez avec nous

Renseignements connexes

Cybersecurity signals: Connecting controls and incident outcome

Rapport,Aperçus présentés

Signaux en cybersécurité : Faire le lien entre les contrôles et les résultats d’incidents

08/27/2025
Group of professional engineering people wearing hardhat safety helmet meeting with solar photovoltaic panels discussion in new project

Article

De l’exploration à la remise en état : stratégies de cybersécurité pour le cycle de vie des mines

06/23/2025
Placeholder Image

Article

Renforcer la cyberrésilience : une approche en trois volets pour les sociétés minières

06/10/2025
A human reaching towards a robot hand with plant growing as background, concept of artificial environments with realistic landscapes

Article,Aperçus présentés

Démystifier le deuxième mythe relatif à l’intelligence artificielle générative: ses risques les plus pertinents

06/02/2025
En voir plus