La réponse à incident cyber, on en parle souvent en termes froids : “analyse post-mortem”, “reconstitution des faits”, “pilotage de crise”. Mais derrière ces mots se cache une réalité bien plus vivante — parfois brutale, toujours exigeante — faite d’urgences, de nuits blanches, de compromis entre rigueur technique et enjeux humains.
Et surtout, d’un engagement total.

Voici trois anecdotes vécues, qui illustrent ce que ce métier implique vraiment. Trois situations très différentes, un même fil rouge : la nécessité d’être prêt. À tout moment. Et partout.

1. 30 décembre, 23h30. Un appel venu de Chypre.

Nous sommes à Berlin, en couple, pour célébrer la fin d’année. L’ambiance est festive, la neige tombe doucement, les feux d’artifice sont prêts. Mon téléphone vibre : un numéro chypriote.

Au bout du fil, une entreprise sous attaque. Ils ne savent pas à qui faire appel, ils n’ont pas de prestataire identifié, mais la situation est critique.
Je prends un instant. Puis j’active les réflexes : j’appelle mon réseau, je réveille des amis, des partenaires, des experts. Nous sommes en réunion jusqu’à 2h du matin.
Le reste du week-end du nouvel an est entièrement dédié à gérer la crise.

Cette nuit-là, j’ai appris (une fois de plus) que dans ce métier, on ne choisit ni l’heure, ni le lieu. Il faut pouvoir répondre tout de suite, même quand la vie personnelle voudrait vous garder ailleurs. C’est un métier qui ne supporte pas les demi-mesures.

2. Vendredi soir en Belgique : entre droit, technique et datacenter.

Ce soir-là, je suis en déplacement en Belgique. Un avocat m’appelle. Dans les minutes qui suivent, un partenaire cyber me contacte aussi : une grande entreprise fait face à une compromission grave.
Mais elle hésite. Elle connaît les cabinets d’audit classiques, mais pas les spécialistes de la réponse à incident. Elle veut bien faire, mais elle est mal orientée.

Le week-end est consacré à des discussions, des arbitrages. Finalement, elle accepte de faire appel à des experts dédiés. Et surtout, elle souhaite conserver des preuves en vue d’un potentiel recours juridique contre un prestataire tiers.
Je me retrouve à commander des disques durs, des serveurs de stockage, que je monte et installe en datacentre, devant huissier, pour copier des dizaines de téraoctets de données chiffrées et de journaux.

Répondre à incident, ce n’est pas seulement “faire de l’informatique”. C’est savoir agir dans un cadre légal, comprendre la logique des avocats, assurer une traçabilité irréprochable.
Et sur le terrain, il faut aussi savoir manipuler un switch, un NAS, une baie de stockage, sans doc ni délai.

3. Vendredi 15h : appel pour Valence, sur place à 10h30 le lendemain.

Ce vendredi après-midi, un partenaire américain m’appelle : une intervention est peut-être à prévoir à Valence (Espagne), pour piloter une réponse à incident sur site.
Les discussions s’enchaînent. À 21h, c’est confirmé : je dois partir.
Je prends le premier vol le lendemain matin à 7h30. À 10h30, je suis sur place, briefé sur l’infrastructure, prêt à coordonner les premières mesures.

Là encore, la disponibilité est clé, mais aussi la capacité d’adaptation rapide : nouveau contexte, nouvelles équipes, nouvelles contraintes.
Et il faut être immédiatement opérationnel — pas dans 48h, dans l’heure.

Les compétences de terrain (et pas que théoriques)

Ces trois situations n’ont rien d’exceptionnel pour qui fait ce métier régulièrement. Elles montrent surtout une chose : pour intervenir efficacement, il faut bien plus que des connaissances théoriques.

• Il faut maîtriser l’administration système et réseau sur le bout des doigts.
• Savoir configurer un firewall ou déployer un serveur en urgence.
• Connaître les procédures sensibles : rotation des mots de passe Kerberos, distinction entre reconstruction et amélioration, traçabilité pour l’assureur.
• Et surtout, savoir agir sans attendre l’accord formalisé d’un comité, mais sans jamais compromettre la sécurité ni la légalité.

Et une pensée personnelle…

Je ne pourrais pas faire ce métier sans le soutien indéfectible de ma femme.
Elle n’a jamais levé les yeux au ciel devant un appel tardif, un week-end annulé, un réveil en panique à cause d’un ransomware. Elle comprend que ce que je fais compte. Et que parfois, ça compte tout de suite.

Répondre à un incident cyber, ce n’est pas seulement analyser des logs.
C’est être là, au bon moment (qui est souvent le pire), avec les bonnes compétences, le bon réseau, et la bonne posture.

Chez CnC Expertise, nous faisons ce choix. Celui de répondre, d’agir, et de soutenir nos clients dans l’urgence comme dans la reconstruction.

Parce qu’en cybersécurité, ce qui compte, ce n’est pas juste de savoir.
C’est de savoir réagir.