La réponse à une crise s’apparente à une fusée à plusieurs étages. À chaque étape, il convient de déclencher une autre strate de la réponse. Cette réponse par étapes permet une riposte graduée et une définition plus claire des rôles de chacun et de l’agenda à tenir.
Le premier défi est de désigner la personne qui va déclencher la procédure de crise. Si c’est un problème informatique, est-ce qu’il revient au responsable IT de déclencher l’appui ? Y a-t-il une personne chargée du PCA au niveau de l’entreprise, qui, à elle seule, peut enclencher ce plan ? Le PCA doit clairement définir les rôles et le premier est celui du déclencheur.
Une fois la situation de crise déclenchée, il y a des mesures immédiates à prendre. Par exemple, en cas d’incendie, la priorité est l’évacuation du personnel : avant de sauver des données, il faut protéger la vie des personnes.
Une fois le risque identifié, il convient de se tourner vers les experts. Ainsi, si un rançonlogiciel (ransomware) est à l’œuvre avec des fichiers en train d’être cryptés ou déjà cryptés, il faut rapidement une aide externe : c’est le SOC (Security Operations Center) qui va pouvoir apporter un appui rapide et efficace.
L’expert concerné va analyser la situation, prendre en compte la restauration de sauvegardes, confier les missions à chaque intervenant, estimer le temps nécessaire… Du côté des responsables du plan de continuité de l’activité, il va falloir superviser les experts, maintenir le dialogue avec eux, rester à disposition, et communiquer avec la direction et les métiers. C’est généralement aux responsables du PCA de définir un site de repli pour les collaborateurs quand c’est nécessaire, de lister les matériels nécessaires (si les équipements habituels sont indisponibles)… Dans le cas d’un cyber-risque, le plan de secours informatique (qui découle du PCA) va prévoir le réseau, l’infrastructure, le support aux utilisateurs, la coordination…