Le conseil en cybercrise au-delà des Livrables : Construire une capacité durable dans le secteur public

Highlight-image

Lors de l'ISCRAM 2026 à La Haye, Max Tijmann et Rosa Edema, consultants chez Bureau Veritas Cybersecurity, ont présenté et remporté le prix du meilleur article Insights & Perspectives des praticiens en réfléchissant à un défi qui continue de faire surface dans l'ensemble du secteur public : la gestion des crises cyber est fréquemment soutenue par une expertise externe, mais rarement conçue pour laisser les organisations plus fortes et plus indépendantes à long terme.

Le document, intitulé Cyber Crisis Consulting Beyond Livrables, s'appuie sur l'expérience pratique d'un engagement réel avec une organisation publique néerlandaise opérant dans un secteur critique. Plutôt que de se concentrer sur une évaluation ou un exercice unique, l'engagement a évolué vers une réflexion plus large sur la façon dont le conseil en crise cyberbersécurité peut et doit contribuer à une capacité organisationnelle durable.

Quand le soutien n'est pas synonyme de résilience

Les organisations publiques dépendent de plus en plus de consultants externes pour leur expertise en matière de gestion des crises cybernétiques. Cela est compréhensible : les cybermenaces évoluent rapidement, les budgets internes sont limités et la concurrence pour les professionnels qualifiés est intense. Toutefois, ce document affirme que de nombreux contrats de consultance renforcent involontairement la dépendance.

Les approches traditionnelles mettent souvent l'accent sur des résultats tangibles tels que des rapports, des manuels de jeu ou des exercices de simulation. Bien que ces livrables aient de la valeur, ils ne créent pas automatiquement la compréhension, l'appropriation ou la capacité d'agir de manière indépendante lorsqu'une véritable cybercrise se produit.

Les conséquences sont connues : lorsque les consultants partent, les connaissances se dissipent, les responsabilités restent floues et les organisations reviennent à des réponses ad hoc lorsque la pression augmente.

Image in image block

Passer des Livrables à l'appropriation

Le cas décrit dans le document montre une approche différente. Au cours de la mission, il est apparu clairement que la réponse aux crises cybernétiques ne pouvait pas être traitée comme un domaine purement technique ou isolé. Au contraire, elle nécessitait un alignement entre l'expertise cybersécurité, les opérations informatiques, la gestion des incidents et les structures existantes de gestion des crises.

En collaboration avec les parties prenantes internes, les structures de gouvernance ont été clarifiées, des ambassadeurs internes ont été identifiés et les responsabilités partagées ont été définies. Plutôt que d'organiser des exercices, l 'accent a été mis sur le transfert de connaissances, la mise en place de routines et l'intégration de la gestion des crises cyberbersécurité dans les processus organisationnels existants.

Cette approche a permis à l'organisation de s'approprier progressivement ses capacités de gestion des crises cybernétiques, les consultants externes reprenant un rôle de conseil et de validation.


Trois idées clés pour le conseil en matière de cybercrise

Sur la base de cette expérience, Max Tijmann et Rosa Edema identifient trois points essentiels qui sont pertinents pour de nombreuses organisations du secteur public :

  • Le conseil en matière de cybercrise doit aller au-delà des activités ponctuelles. La résilience à long terme nécessite un renforcement délibéré des capacités, et non des évaluations ou des exercices isolés.
  • Une gestion de crise cyber efficace est intrinsèquement multidisciplinaire. La réponse cybernétique doit être intégrée à l'informatique, à la réponse aux incidents et à la gouvernance traditionnelle des crises.
  • Les consultants ont la responsabilité professionnelle de prévenir la dépendance. La résilience durable consiste à aider les organisations à devenir capables de fonctionner de manière indépendante au fil du temps.
USP

Cyber Crisis Consulting Beyond Livrables | Practitioner paper (en anglais)

Construire une capacité durable dans le secteur public

Download

À propos de l'ISCRAM

L'ISCRAM (Information Systems for Crisis Response and Management) est une conférence internationale réunissant des chercheurs, des praticiens et des décideurs politiques travaillant dans les domaines des crises physiques, numériques et hybrides. Sa forte orientation "pratique" en fait une plateforme précieuse pour partager les leçons qui font le lien entre la théorie et la réalité opérationnelle quotidienne.

La présentation de ce document à l'ISCRAM 2026 a été l'occasion de contribuer à une conversation internationale plus large sur la gestion des crises et la résilience, en apportant des points de vue fondés sur la pratique.

Image in image block

Pourquoi choisir Bureau Veritas Cybersecurity


Bureau Veritas Cybersecurity est votre expert partner en cybersécurité. Nous aidons les organisations à identifier les risques, à renforcer leurs défenses et à se conformer aux normes et réglementations en matière de cybersécurité. Nos services couvrent les personnes, les processus et la technologie, allant de la formation à la sensibilisation et à l'ingénierie sociale aux conseils en matière de sécurité, de conformité et de tests d'intrusion.

Nous intervenons dans les environnements IT, OT et IoT, et accompagnons aussi bien les systèmes numériques que les produits connectés. Avec plus de 300 professionnels de la cybersécurité à travers le monde, nous combinons une expertise technique approfondie et une présence mondiale. Bureau Veritas Cybersecurity fait partie du Bureau Veritas Group, leader mondial de l'inspection, de la certification et des services aux entreprises.