Objectif : Permettre une réaction rapide, coordonnée et efficace face à tout incident critique (cyber, technique, RH, communication de crise…). Notre exemple de Plan de Répons à incident (PRI)
Public visé : Tous les personnels concernés par la détection, l’escalade ou le traitement d’un incident.
1. 📣 Détection et Alerte
- Signaux d’alerte typiques (comportements anormaux, mails suspects, logs inhabituels…)
- ✅ Ce qu’il faut faire :
→ Alerter immédiatement le contact désigné
→ Documenter ce que l’on a vu (heure, lieu, comportement) - ❌ Ce qu’il ne faut pas faire :
→ Chercher à « réparer » seul
→ Communiquer publiquement (Slack, mail groupé, réseaux sociaux…)
2. 👥 Contacts & Rôles
- Liste claire des contacts d’urgence (DSI, Juridique, Dircom, RSSI…)
- Rôles définis dès l’amont :
- Responsable du traitement
- Relais juridique
- Relais communication
- Porte-parole officiel
- Référent sécurité IT
- Gestionnaire de crise (si nommé)
3. 🚦 Procédure de décision / escalade
- Arbre de décision simple : incident mineur / majeur / critique
- Qui décide de l’activation du plan de crise ?
- Quelles étapes d’escalade ?
- Journalisation de l’incident (fiche type)
4. 🛠️ Actions immédiates à mener
- Cybersécurité : isoler le système, changer les accès, alerter l’hébergeur
- Réseau / IT : couper l’accès réseau si besoin, enclencher la sauvegarde
- RH / Sécurité physique : contrôler l’accès, gérer les flux
- 📝 Fiche d’intervention avec actions à cocher
5. ⚖️ Aspects juridiques et réglementaires
- Obligation de déclaration CNIL (fuite de données, DPO à impliquer)
- Référence au RGPD, NIS2, lois locales selon le secteur
- Obligation de dépôt de plainte ? De notification aux utilisateurs ?
- Conseil : ne jamais parler de « fuite » sans avoir vérifié et consulté le juridique
6. 📢 Communication de crise
- Porte-parole identifié
- Message de crise validé avec le juridique
- Canaux officiels (intranet, mail, communiqué externe si nécessaire)
- Ce qu’on peut dire / Ce qu’il faut éviter de dire
- Gestion des réseaux sociaux
7. 🧹 Retour à la normale & RETEX
- Quand et comment fermer l’incident
- Analyse de cause racine
- Rapport d’incident avec plan d’action associé
- Mise à jour du plan (ce qu’on a appris)
8. 🧭 Bonnes pratiques / erreurs à éviter
| À faire ✅ | À ne pas faire ❌ |
|---|---|
| Notifier rapidement les bons interlocuteurs | Laisser traîner ou minimiser |
| Documenter tout (même les détails) | Modifier les preuves |
| Communiquer sobrement et calmement | Parler sans avoir validé les éléments |
| Garder une copie des logs et échanges | Réinitialiser avant analyse |
💡 Pense-bête :
➤ Garder une copie imprimée du plan
➤ Organiser un exercice une fois par an
➤ Intégrer le PRI dans les formations sécurité
