Le 27 juin 2017, une cyberattaque massive du nom de NotPetya frappe le monde entier. Initialement diffusée via une mise à jour piégée du logiciel ukrainien M.E.Doc (utilisé pour la comptabilité ukrainienne), elle se propage en quelques heures à travers la planète.

NotPetya est un wiper déguisé en ransomware : il chiffre les données mais sans clé de déchiffrement réelle. L'objectif n'est pas l'extorsion mais la destruction. Origine attribuée à la Russie (GRU) dans un contexte de guerre cyber avec l'Ukraine.

Victimes majeures :

• Saint-Gobain (France) : -220 M€ de chiffre d'affaires, 3 semaines de production fortement perturbée.
• Maersk (Danemark) : -300 M$, 50 000 PC reconstruits, plus de 600 sites maritimes affectés.
• Mondelez, Reckitt Benckiser, Merck, FedEx (TNT)
• Total des pertes mondiales : ~ 10 milliards de dollars selon Wired (juin 2018).

Le cas Saint-Gobain en détail :

• Filiale russe contaminée par M.E.Doc, propagation latérale via le réseau corporate.
• Tous les PC interconnectés chiffrés en quelques heures.
• Production stoppée en France (verre plat, plaque de plâtre), commandes clients impossibles à traiter.
• 10 000 collaborateurs sans accès informatique pendant 1 à 3 semaines.
• Communication très tardive en externe — la presse a découvert les pertes lors de l'annonce des résultats trimestriels.
• Reconstruction complète du SI, refonte de la stratégie cyber.

Enseignements PCA :

• L'interconnexion mondiale des SI rend la propagation extrêmement rapide.
• La segmentation géographique et fonctionnelle est cruciale (un wiper sur la Russie ne devrait pas couler la France).
• Les mises à jour de logiciels tiers sont une voie d'attaque privilégiée (supply chain attack).
• Le PRA doit être pensé pour le scénario « tous les serveurs corrompus simultanément ».
• La communication externe doit être anticipée, y compris vis-à-vis des actionnaires.

« NotPetya a changé pour toujours la perception du risque cyber dans le COMEX français. Avant, la cybersécurité était un sujet IT. Après, c'est devenu un sujet COMEX. »

— Témoignage anonyme RSSI grand groupe industriel, 2024

La pandémie de COVID-19, qui a commencé en Chine fin 2019 et frappé l'Europe en mars 2020, a constitué le plus grand test grandeur réelle de PCA jamais subi par l'économie mondiale.

Impacts en France :

• Du 17 mars au 11 mai 2020 : confinement strict, ~ 50 % de l'activité française basculée en télétravail forcé.
• ~ 12 millions de salariés au chômage partiel en avril 2020.
• ~ 80 000 entreprises auront fait défaut pendant la crise (chiffres ARDE 2024).
• Adoption massive du télétravail : multiplié par 4 entre 2019 et 2022.

Enseignements PCA majeurs :

• Le télétravail à grande échelle est techniquement faisable mais demande de l'organisation. Les organisations qui avaient anticipé (équipement individuel, VPN dimensionné, applications web) ont basculé en 24-72 h. Les autres ont mis 2-4 semaines.
• La chaîne d'approvisionnement mondiale est plus vulnérable qu'imaginé. Dépendance à la Chine pour les masques, semiconducteurs, médicaments — qui a déclenché une réflexion stratégique sur la souveraineté.
• Les scénarios de crise longue (mois à années) ne sont pas couverts par les PCA classiques pensés pour des crises courtes (heures à jours).
• La résilience humaine (santé mentale, RPS, isolement, équilibre vie pro / vie perso) devient un sujet de continuité.
• La communication interne en crise prolongée nécessite des canaux et rythmes adaptés.
• L'agilité organisationnelle est un facteur clé : les structures hiérarchiques rigides ont moins bien performé que celles avec délégation.

Bénéfices indirects de la crise :

• Accélération de la transformation digitale dans la plupart des organisations (e-commerce, signature électronique, dématérialisation).
• Adoption massive de nouveaux outils (Teams, Zoom, Slack, Notion, etc.).
• Modernisation des politiques RH (télétravail négocié, flexibilité, droit à la déconnexion).
• Émergence d'une culture de la résilience au sein du COMEX.

Le 10 mars 2021 à 00h47, un incendie se déclare dans le datacenter SBG2 d'OVHcloud à Strasbourg. Le feu, parti d'un onduleur, se propage rapidement et détruit totalement le bâtiment en quelques heures.

Impacts :

• 3,6 millions de sites web rendus inaccessibles dans le monde.
• Plusieurs milliers de PME et associations ont définitivement perdu leurs données — pas de sauvegardes externes.
• Le datacenter SBG1 voisin partiellement endommagé.
• Réseau OVHcloud Strasbourg coupé plusieurs jours.
• Reconstruction du datacenter : plus de 2 ans, plusieurs centaines de millions d'euros.

Causes :

• Onduleur défaillant qui a pris feu.
• Système de détection-extinction insuffisant pour la taille du bâtiment.
• Bâtiment en partie en bois (« cube » de série pour les premiers datacenters OVH).
• Procédures de maintenance pas suivies à la lettre.

Conséquences judiciaires :

• Plusieurs clients ont attaqué OVHcloud en justice pour défaut d'information sur les options de sauvegarde.
• Tribunal de Commerce de Lille (2023) : OVH condamné à indemniser plusieurs PME pour défaut de conseil.
• OVHcloud a entièrement revu ses bâtiments et son offre de sauvegarde « par défaut ».

Enseignements PCA :

• Un datacenter peut intégralement brûler en quelques heures, même en France, même chez un opérateur professionnel. La théorie « ça n'arrive jamais » est fausse.
• La sauvegarde externalisée (règle 3-2-1) est non négociable, même chez un cloud provider apparemment fiable.
• La multi-AZ (zones de disponibilité) chez les hyperscalers (AWS, Azure, GCP, OVH également) protège mais ne suffit pas — il faut du multi-région ou multi-cloud pour les données vraiment critiques.
• Le contrat avec le cloud provider doit être lu attentivement : options de sauvegarde, SLA, indemnités en cas de perte.
• La responsabilité partagée avec le cloud provider : OVHcloud n'est responsable que de l'infrastructure ; la sauvegarde reste à la charge du client.

« OVHcloud SBG2 a été un électrochoc pour les PME françaises. Beaucoup pensaient être protégées simplement en étant chez OVH. Elles ont découvert douloureusement que la sauvegarde reste leur responsabilité. »

— BCM d'une fédération de PME industrielles, 2022

Le 7 mai 2021, Colonial Pipeline, principal pipeline d'hydrocarbures des États-Unis (5 500 km, 45 % du carburant de la côte Est), est victime du ransomware DarkSide. Pour la première fois dans l'histoire moderne, une infrastructure critique d'énergie est mise à l'arrêt par une cyberattaque.

Conséquences :

• Pipeline arrêté 6 jours (7-13 mai).
• État d'urgence régional déclaré dans 17 États américains.
• Pénurie de carburant dans plusieurs États, scènes de queues aux stations.
• Prix du carburant en hausse de 6 % en une semaine.
• Rançon payée : 4,4 M$ en bitcoin (75 BTC). Le FBI a récupéré 63,7 BTC quelques semaines plus tard.
• Conséquences politiques : audience devant le Congrès, sanctions exécutives.

Causes :

• Compromission d'un compte VPN obsolète d'un ancien employé.
• Pas d'authentification multi-facteurs (MFA) sur ce compte.
• Latéralisation rapide dans le SI corporate.
• Activation manuelle de la coupure du pipeline par mesure de précaution (le SI industriel n'était pas directement compromis, mais l'incertitude a justifié l'arrêt).

Enseignements PCA :

• Le cyber peut paralyser le monde physique — pipelines, énergie, transports, eau. C'est désormais un enjeu national de sécurité.
• MFA obligatoire sur tous les accès distants — sans exception, y compris pour les comptes des anciens employés.
• Désactivation immédiate des comptes lors des départs (off-boarding).
• Segmentation entre SI corporate et SI industriel (OT — Operational Technology) impérative.
• La décision de payer peut être justifiée par l'urgence (sécurité d'approvisionnement), mais elle reste contestable.
• Le FBI a montré qu'il pouvait parfois récupérer les rançons en bitcoin — ce qui rebat les cartes économiques du ransomware.

Réponse réglementaire US : décret 14028 du 12 mai 2021 sur la cybersécurité (Executive Order Biden), création du Cyber Safety Review Board (CSRB), programmes JCSC. La France et l'Europe ont suivi avec NIS2 (2024) et DORA (2025).

Le 19 juillet 2024 à 04h09 UTC, l'éditeur de cybersécurité CrowdStrike diffuse une mise à jour de son agent Falcon Sensor contenant un bug critique. Conséquence : tous les PC Windows protégés par Falcon entrent en boucle de BSOD (Blue Screen of Death).

Impacts :

• 8,5 millions de postes Windows en panne dans le monde.
• Compagnies aériennes : Delta Airlines, American, United contraintes d'annuler des milliers de vols. Aéroports paralysés.
• Hôpitaux aux États-Unis et au Royaume-Uni : services administratifs et de prise en charge en panne.
• Banques, services financiers : guichets fermés temporairement.
• Gares ferroviaires au Royaume-Uni et aux Pays-Bas paralysées.
• Microsoft Azure (qui utilise Falcon en interne) impacté également.
• Coût total estimé : ~ 10 milliards de dollars.
• Durée de remise en service : 6-48 h selon les organisations.

Causes :

• Bug de programmation dans le composant kernel de Falcon Sensor.
• Mise à jour automatique sans phase de test progressive (deployment massif).
• Pas de mécanisme de rollback automatique.
• Remise en service difficile car le BSOD bloque le démarrage — intervention manuelle requise sur chaque poste.

Enseignements PCA :

• Le risque de concentration sur quelques éditeurs critiques est devenu un risque systémique mondial. CrowdStrike protège ~ 65 % des entreprises du Fortune 500.
• Les mises à jour automatiques de logiciels de sécurité créent une dépendance critique invisible — un seul bug peut tout casser.
• La diversification multi-éditeur est une stratégie de résilience mais alourdit la complexité opérationnelle.
• Le PRA doit prévoir le scénario « tous les postes en panne simultanément » — différent du ransomware classique.
• La réversibilité (rollback) doit être testée en amont pour tout déploiement massif.
• Audit Cyber Safety Review Board (juillet 2025) : ce rapport US trace les leçons systémiques. À lire absolument pour tout BCM.

CrowdStrike a publié un Root Cause Analysis détaillé et engagé des réformes : nouveau process de validation, déploiement progressif, possibilité de désactiver les mises à jour automatiques. La société a perdu ~ 30 % de sa capitalisation dans les semaines suivantes mais s'est progressivement rétablie.

L'analyse comparée de ces crises majeures révèle 7 enseignements transversaux qui structurent la doctrine PCA moderne :

1. Le cyber est le risque n° 1 — NotPetya, Colonial Pipeline, CrowdStrike. Les attaques sont plus fréquentes, plus graves, et de plus en plus systémiques.
2. L'interconnexion crée la propagation — la mondialisation des SI fait qu'un incident local se propage mondialement en quelques heures.
3. La supply chain est vulnérable — un fournisseur compromis (M.E.Doc, CrowdStrike) peut couler ses clients. La SecOps doit auditer les fournisseurs.
4. Le scénario de crise longue existe — COVID-19 a montré que les crises peuvent durer des mois ou des années. Les PCA doivent s'adapter.
5. La concentration cloud est un risque systémique — AWS, Azure, GCP, CrowdStrike concentrent des risques mondiaux. La diversification est nécessaire.
6. La règle 3-2-1-1-0 est non négociable — sauvegardes externalisées, immuables, testées. Les victimes d'OVHcloud SBG2 ont payé le prix fort de leur négligence.
7. La communication de crise est aussi importante que la résolution technique — Saint-Gobain a tardé à communiquer, ce qui a aggravé l'impact réputationnel.

Ressources pour rester à jour :

• ANSSI / CERT-FR (cyber.gouv.fr) : alertes, guides, bulletins.
• CISA (cisa.gov, USA) : alertes mondiales.
• NIST (nist.gov) : référentiels cybersécurité (Cybersecurity Framework).
• ENISA (Agence européenne) : analyses risque, conseils.
• CLUSIF (clusif.fr) : communauté française de la cybersécurité.
• AMRAE : association des risk managers, publications, formations.
• Continuity Central (continuitycentral.com) : actualités PCA mondiales.
• DRI International : certifications professionnelles.
• BCI (Business Continuity Institute, UK) : publications, conférences.
• ISO/TC 292 : comité technique normes résilience.

« Les crises ne s'arrêteront pas. La seule question est : votre organisation sera-t-elle préparée ou apprendra-t-elle dans la douleur ? Le PCA, c'est l'option préparation. »

— Présidente AMRAE, conférence d'ouverture 2024