Exercice de Crise Cyber : Organiser un Tabletop Efficace avec la Direction

Introduction : pourquoi s'exercer a la crise cyber

En 2025, le cout moyen d'une violation de donnees a atteint 4,88 millions de dollars selon le rapport IBM Cost of a Data Breach. Pourtant, selon une etude CESIN, moins de 40 % des entreprises francaises ont realise un exercice de crise cyber au cours des douze derniers mois. Ce decalage entre la menace et la preparation est alarmant. Les organisations qui s'exercent regulierement detectent et contiennent les incidents 23 % plus rapidement que celles qui ne le font pas.

L'exercice de crise cyber n'est plus une option : c'est une obligation reglementaire. La directive NIS 2 (article 21) impose aux entites essentielles et importantes de tester regulierement leurs dispositifs de gestion des incidents. Le reglement DORA (article 25) exige des tests de resilience operationnelle, incluant des exercices de simulation d'incidents. L'ISO 27001:2022 (annexe A, controle A.5.24) requiert la planification et la preparation de la gestion des incidents de securite de l'information.

Mais au-dela de la conformite, l'exercice de crise est un investissement dans la resilience organisationnelle. Il permet de tester les procedures, d'identifier les failles dans la chaine de commandement, de former les equipes a la prise de decision sous pression, et de construire les reflexes qui feront la difference le jour ou l'incident reel surviendra. Un exercice bien concu revele des dysfonctionnements que les audits documentaires ne detectent jamais : l'absence de numero de telephone du prestataire d'astreinte, le compte d'administration dont personne ne connait le mot de passe, ou le plan de communication qui n'a jamais ete teste.

Cet article propose un guide complet pour organiser un exercice de crise cyber de type tabletop : de la conception du scenario a l'analyse du retour d'experience (RETEX), en passant par la facilitation de la session et l'implication de la direction. Il s'adresse aux RSSI, aux responsables de la continuite d'activite, aux consultants en gestion de crise et a toute personne chargee de preparer son organisation a affronter un incident cyber majeur.

Types d'exercices de crise cyber

Les exercices de crise se declinent en plusieurs formats, du plus simple au plus complexe. Le choix du format depend du niveau de maturite de l'organisation, des objectifs vises et des ressources disponibles.

Exercice tabletop (sur table)

Le tabletop est un exercice de discussion structure, anime par un facilitateur, ou les participants repondent a un scenario fictif en decrivant les actions qu'ils prendraient. Aucune action technique n'est reellement executee. C'est le format le plus accessible, le moins couteux et le plus adapte pour impliquer la direction. Un tabletop dure generalement entre 2 et 4 heures et reunit 10 a 25 participants.

Avantages : faible cout, pas d'impact sur la production, permet d'impliquer le COMEX, ideal pour tester les processus decisionnels et la communication. Limites : ne teste pas les competences techniques reelles, les participants peuvent idealiser leurs reactions.

Exercice fonctionnel (operationnel)

L'exercice fonctionnel va plus loin que le tabletop : certaines actions sont reellement executees. L'equipe SOC analyse de vrais indicateurs de compromission (injectes par les organisateurs), les procedures d'escalade sont testees avec de vrais appels telephoniques, et la cellule de crise est physiquement activee. Ce format teste les capacites operationnelles reelles. Il dure generalement une demi-journee a une journee complete.

Avantages : teste les competences techniques et organisationnelles, revele les gaps entre documentation et realite. Limites : necessite plus de preparation, risque mineur d'impact sur la production, difficulte d'impliquer le COMEX sur une journee entiere.

Exercice grandeur nature (full-scale)

L'exercice grandeur nature simule un incident reel de bout en bout. Il peut inclure un exercice Purple Team avec de vraies attaques sur un environnement de test, l'activation complete de la cellule de crise, la communication avec les parties prenantes externes (simulees), et la mise en oeuvre de procedures de continuite d'activite. Ce format est le plus couteux et le plus complexe, mais offre le niveau de realisme le plus eleve. Il dure entre un et trois jours.

Avantages : realisme maximal, teste toute la chaine de reponse, identifie les failles systemiques. Limites : cout eleve, preparation de plusieurs semaines, risque operationnel, necessite une equipe d'organisation experimentee.

Planification de l'exercice tabletop

Definir le perimetre et les objectifs

La premiere etape consiste a definir clairement ce que l'exercice doit tester. Les objectifs doivent etre specifiques, mesurables et alignes avec les risques prioritaires de l'organisation. Voici les objectifs les plus courants :

• Tester les procedures d'escalade : les alertes remontent-elles correctement du SOC a la direction ?
• Evaluer la prise de decision : la direction est-elle capable de prendre des decisions rapides avec des informations incompletes ?
• Verifier la communication de crise : les messages internes et externes sont-ils clairs, coherents et rapides ?
• Tester la coordination inter-equipes : IT, juridique, RH, communication, direction generale travaillent-ils efficacement ensemble ?
• Identifier les lacunes documentaires : le plan de reponse a incident est-il a jour, accessible et compris par tous ?
• Preparer a la conformite : les obligations de notification (RGPD 72h, NIS2, DORA) sont-elles connues et appliquees ?

Identifier les participants

Un tabletop efficace reunit des representants de toutes les fonctions impliquees dans la gestion d'un incident reel. L'implication de la direction est critique : sans elle, l'exercice ne teste que la dimension technique et ignore les enjeux decisionnels, juridiques et communicationnels qui font la complexite reelle d'une crise.

Fonction	Representants	Role dans l'exercice
Direction generale	CEO, COO, CFO	Decision strategique, communication externe, aspects financiers
RSSI / DSI	CISO, CIO, RSSI adjoint	Pilotage technique, evaluation de l'impact, coordination IT
Equipe SOC / IR	Analyste SOC, Incident Manager	Detection, analyse, containment, eradication
Juridique	DPO, juriste	Obligations reglementaires, notification CNIL, depot de plainte
Communication	Directeur communication, RP	Communication interne, communique de presse, reseaux sociaux
RH	DRH	Gestion des collaborateurs, astreintes, communication interne
Metiers	Directeurs de BU	Impact metier, continuite d'activite, priorisation des systemes
Partenaires externes	CERT externe, assureur, avocat	Support technique, couverture assurantielle, aspects legaux

Concevoir le scenario

Le scenario est le coeur de l'exercice. Il doit etre suffisamment realiste pour susciter l'engagement des participants, tout en restant maitrise par les organisateurs. Un bon scenario s'appuie sur des menaces reelles et pertinentes pour le secteur d'activite de l'organisation. Il integre des injects (injections d'evenements) qui forcent les participants a reagir a de nouvelles informations au fil de l'exercice.

Quatre scenarios detailles avec injects

Scenario 1 : Ransomware sur infrastructure critique

Ce scenario simule une attaque par ransomware ciblant l'infrastructure IT de l'entreprise. L'attaquant a penetre le reseau via un email de phishing, a obtenu des privileges administrateur sur l'Active Directory, et a deploye un ransomware sur l'ensemble des serveurs et postes de travail.

Deroulement et injects

• T+0 (08h30) : Le SOC detecte une alerte EDR sur plusieurs postes. Des fichiers sont chiffres avec l'extension .locked. Une note de rancon apparait sur les postes infectes : 2 millions d'euros en Bitcoin, delai de 72h.
• T+30min : Inject 1 - L'Active Directory est compromis. Les comptes d'administration sont verrouilles. La messagerie Exchange est hors service. Le VPN est inoperant.
• T+1h : Inject 2 - Un journaliste de BFM Business appelle le standard : "Nous avons des informations indiquant que votre entreprise est victime d'un ransomware. Pouvez-vous confirmer ?"
• T+1h30 : Inject 3 - L'attaquant publie un echantillon de donnees volees sur son site de leaks. On y trouve des donnees clients, des contrats et des donnees RH.
• T+2h : Inject 4 - La CNIL contacte le DPO : des clients ont signale la publication de leurs donnees personnelles. Rappel de l'obligation de notification sous 72h.
• T+2h30 : Inject 5 - Le cyber-assureur demande des preuves que les mesures de securite contractuelles etaient en place (MFA, sauvegardes, segmentation).

Scenario 2 : Data breach par compromission de compte cloud

Ce scenario simule une compromission de comptes Microsoft 365 via une campagne de phishing sophistiquee utilisant un proxy AiTM (Adversary-in-the-Middle) pour contourner le MFA. L'attaquant accede aux boites aux lettres, aux fichiers SharePoint et exfiltre des donnees sensibles pendant plusieurs semaines avant detection.

Deroulement et injects

• T+0 : Un client signale avoir recu un email suspect provenant de l'un de vos commerciaux, contenant un lien vers un faux portail de connexion. L'equipe IR identifie 15 comptes potentiellement compromis.
• T+30min : Inject 1 - L'analyse des logs revele que 3 des comptes compromis sont des comptes de direction (CFO, DRH, directeur juridique). L'attaquant a lu des emails confidentiels pendant 3 semaines.
• T+1h : Inject 2 - Le CFO revele qu'il a recemment echange par email les termes d'une acquisition confidentielle. Si cette information est divulguee, les consequences boursieres et juridiques sont majeures.
• T+1h30 : Inject 3 - L'equipe IR decouvre une application OAuth malveillante avec des permissions Mail.Read et Files.Read.All, installee sur 8 comptes. La persistence est etablie meme apres reset des mots de passe.
• T+2h : Inject 4 - Des donnees personnelles de 50 000 clients ont ete telechargees depuis un site SharePoint. Obligation de notification RGPD confirmee.

Scenario 3 : Attaque supply chain

Ce scenario simule une compromission via un fournisseur de logiciels. Une mise a jour routiniere d'un outil utilise quotidiennement contient un backdoor. L'attaquant utilise cette porte derobee pour se deplacer lateralement dans le reseau et acceder aux systemes critiques.

Deroulement et injects

• T+0 : Le CERT-FR publie une alerte concernant la compromission d'un editeur logiciel dont vous utilisez un produit deploye sur 500 postes. Une version trojanisee a ete distribuee il y a 2 semaines.
• T+30min : Inject 1 - L'analyse EDR revele des connexions C2 depuis 47 postes. Le malware utilise des techniques de post-exploitation et pivoting pour se deplacer dans le reseau.
• T+1h : Inject 2 - Trois de vos propres clients vous contactent : ils utilisent aussi votre produit et veulent savoir si vous etes impactes et si la compromission a pu se propager jusqu'a eux via vos systemes.
• T+1h30 : Inject 3 - L'ANSSI vous contacte : vous etes identifie comme operateur d'importance vitale (OIV) potentiellement impacte. Un rapport d'incident est attendu sous 24h.
• T+2h : Inject 4 - Le conseil d'administration est informe. Le president demande un point de situation en 15 minutes avec un plan d'action clair et un calendrier de retour a la normale.

Scenario 4 : Menace interne (insider threat)

Ce scenario est souvent le plus delicat a gerer car il implique un collaborateur de l'entreprise. Un employe mecontent, en preavis, exfiltre des donnees confidentielles (plans strategiques, base clients, propriete intellectuelle) avant de quitter l'entreprise. La dimension RH, juridique et emotionnelle ajoute une complexite unique a ce type de crise.

Deroulement et injects

• T+0 : Le DLP detecte un volume anormal de telechargements depuis SharePoint : 15 Go de documents classifies "Confidentiel" telecharges en 48h par un directeur technique en preavis de demission.
• T+30min : Inject 1 - L'analyse des logs montre que l'employe a egalement transfere des emails vers un compte Gmail personnel via une regle de transfert automatique creee il y a 3 mois.
• T+1h : Inject 2 - Le DRH signale que ce directeur technique rejoint un concurrent direct la semaine prochaine. Les documents exfiltres contiennent la roadmap produit et les algorithmes proprietaires.
• T+1h30 : Inject 3 - Le service juridique du concurrent vous contacte : ils affirment que leur futur collaborateur n'a rien exfiltre et menacent de poursuites pour diffamation si l'affaire est rendue publique.
• T+2h : Inject 4 - Un collaborateur proche du directeur partant publie un message sur LinkedIn insinuant que l'entreprise "surveille illegalement ses employes". Le message commence a devenir viral.

Deroulement de l'exercice tabletop

Format et logistique

Un tabletop efficace suit un format structure. La session dure generalement 3 heures, reparties comme suit : 15 minutes d'introduction et de cadrage, 2 heures de deroulement du scenario avec injects, 30 minutes de debriefing a chaud (hot wash), et 15 minutes de synthese et prochaines etapes.

La logistique est simple mais importante : une salle de reunion suffisamment grande, un ecran pour projeter le scenario et les injects, des supports imprimes avec le scenario initial et les fiches de role, un chronometre visible de tous, et de quoi prendre des notes. Pour les exercices a distance, des outils de visioconference avec breakout rooms permettent de simuler les sous-cellules de crise.

Le role du facilitateur

Le facilitateur est la cle de voute de l'exercice. Son role est de guider la discussion, d'injecter les evenements au bon moment, de s'assurer que tous les participants interviennent, et de maintenir le rythme sans laisser l'exercice s'enliser dans des details techniques. Le facilitateur n'est pas un participant : il ne prend pas de decision et ne juge pas les reponses. Il observe, questionne et relance.

Les qualites essentielles d'un bon facilitateur : connaissance du domaine cyber et de la gestion de crise, capacite a poser des questions ouvertes ("Et si...", "Que se passe-t-il si...", "Qui est responsable de..."), neutralite et absence de jugement, gestion du temps rigoureuse, capacite a gerer les personnalites dominantes et a faire participer les silencieux.

Gestion des injects et timeline

Les injects sont des evenements nouveaux introduits au cours de l'exercice pour forcer les participants a adapter leurs decisions. Ils simulent l'evolution d'une crise reelle, ou la situation change constamment et ou de nouvelles informations (parfois contradictoires) arrivent en permanence. Chaque inject doit etre soigneusement calibre pour augmenter progressivement la pression sur les participants.

La regle d'or : ne jamais injecter un nouvel evenement avant que le groupe ait eu le temps de reagir au precedent. Un inject toutes les 15 a 20 minutes est un bon rythme. Le facilitateur adapte le timing en fonction de la dynamique du groupe : si la discussion est riche, il peut retarder un inject ; si le groupe stagne, il peut accelerer.

Simulation media

L'un des aspects les plus sous-estimes des exercices de crise est la pression mediatique. En simulant des appels de journalistes, des tweets viraux ou des publications sur LinkedIn, l'exercice teste la capacite de l'organisation a communiquer sous pression. Preparez a l'avance de faux tweets, de faux articles de presse et de faux messages sur les reseaux sociaux pour les projeter au moment opportun. La reaction des participants a cette pression externe est souvent revelatrice des failles dans le dispositif de communication de crise.

RETEX et amelioration continue

Hot wash : debriefing a chaud

Le hot wash est un debriefing immediat, realise dans les 30 minutes qui suivent la fin de l'exercice. Il permet de capturer les impressions a chaud, les frustrations, les surprises et les premieres lecons apprises avant que les souvenirs ne s'estompent. Le facilitateur pose des questions ouvertes : "Qu'est-ce qui vous a le plus surpris ?", "A quel moment vous etes-vous senti depasse ?", "Quel est le point le plus critique que nous devons corriger en priorite ?"

Le hot wash n'est pas le moment de rediger le rapport final. C'est un moment de partage informel ou chaque participant peut exprimer son ressenti. Les notes prises par les observateurs pendant l'exercice alimenteront le rapport detaille qui sera produit dans les jours suivants.

Rapport d'exercice

Le rapport d'exercice est le livrable principal. Il doit etre produit dans les deux semaines suivant l'exercice et distribue a tous les participants et a la direction. Sa structure type comprend :

• Resume executif : objectifs, scenario, participants, principales conclusions (1 page)
• Chronologie de l'exercice : deroulement inject par inject, decisions prises, actions engagees
• Points forts identifies : ce qui a bien fonctionne, les bonnes pratiques observees
• Lacunes et axes d'amelioration : classe par criticite (critique, majeur, mineur)
• Plan d'action : pour chaque lacune, une action corrective avec un responsable, un delai et un indicateur de suivi
• Recommandations strategiques : investissements necessaires, formations, recrutements, outils

Plan d'action et suivi

Le plan d'action est l'element le plus important du RETEX. Sans actions concretes et suivies, l'exercice n'est qu'un evenement ponctuel sans impact durable. Chaque action doit etre SMART (Specifique, Mesurable, Atteignable, Realiste, Temporelle). Le suivi du plan d'action est assure par le RSSI ou le responsable de la gestion de crise, avec un point d'avancement mensuel presente en comite de direction.

Lacune identifiee	Action corrective	Responsable	Echeance	Priorite
Absence de liste de contacts d'astreinte a jour	Creer et maintenir un annuaire de crise avec contacts personnels	RSSI	J+15	Critique
Delai de notification CNIL non maitrise	Rediger une procedure de notification avec templates pre-remplis	DPO	J+30	Critique
Communication de crise non testee	Rediger des templates de communiques (interne, presse, clients)	Dir. Com	J+30	Majeur
Sauvegardes non testees en restauration	Planifier un test de restauration complete trimestriel	DSI	J+60	Majeur
MFA contourne par attaque AiTM	Deployer le MFA resistant au phishing (FIDO2)	RSSI	J+90	Majeur
Pas de prestataire IR sous contrat	Signer un contrat de retainer avec un CERT prive	RSSI/Achats	J+45	Majeur

Metriques d'evaluation

Pour mesurer l'efficacite de l'exercice et suivre la progression au fil du temps, definissez des metriques quantifiables :

• Temps de detection : combien de temps entre le premier signe d'incident et la detection par le SOC ?
• Temps d'escalade : combien de temps entre la detection et l'activation de la cellule de crise ?
• Temps de decision : combien de temps pour prendre les premieres decisions critiques (isolation, communication) ?
• Completude de la notification : les obligations reglementaires (RGPD, NIS2) ont-elles ete respectees dans les delais ?
• Taux de participation : pourcentage de participants actifs vs passifs pendant l'exercice
• Nombre de lacunes identifiees : et leur classification par criticite
• Taux de realisation du plan d'action : pourcentage d'actions correctives realisees dans les delais

Cadre reglementaire

NIS 2 (article 21)

La directive NIS 2, transposee en droit francais en 2024, impose aux entites essentielles et importantes des obligations de gestion des risques cyber. L'article 21 exige explicitement des mesures de gestion des incidents, de continuite d'activite et de gestion de crise. Les exercices reguliers de simulation d'incidents sont une composante essentielle de cette conformite. Les entites doivent pouvoir demontrer qu'elles testent leurs dispositifs de reponse.

DORA (article 25)

Le reglement DORA, applicable depuis janvier 2025, impose aux entites financieres un cadre strict de resilience operationnelle numerique. L'article 25 exige des tests de resilience operationnelle numerique, incluant des evaluations de vulnerabilites, des analyses de sources ouvertes, des evaluations de la securite du reseau, des analyses de lacunes, des examens de la securite physique, des questionnaires et des solutions logicielles d'analyse, et des tests avances par le biais de tests de penetration fondes sur la menace (TLPT). Les exercices de crise tabletop s'inscrivent naturellement dans ce cadre.

ISO 22301 et ISO 27001

L'ISO 22301 (continuite d'activite) et l'ISO 27001 (securite de l'information) fournissent un cadre de reference pour les exercices de crise. L'ISO 22301 exige des exercices et des tests reguliers pour valider l'efficacite des plans de continuite. L'ISO 27001:2022, dans son annexe A (controle A.5.24 a A.5.28), impose la planification et la preparation de la gestion des incidents, incluant l'apprentissage tire des incidents et la collecte de preuves.

Frequence et programme d'exercices par maturite

Un exercice unique ne suffit pas. La resilience se construit dans la duree, par la repetition et l'amelioration continue. Le programme d'exercices doit etre adapte au niveau de maturite de l'organisation et integre dans le calendrier annuel de securite.

Niveau de maturite	Frequence recommandee	Types d'exercices
Initial	1 tabletop par an	Tabletop basique avec scenario generique (ransomware)
Defini	2 tabletops par an	Tabletops thematiques (ransomware, data breach) + revue procedures
Gere	2 tabletops + 1 fonctionnel par an	Scenarios adaptes au secteur, exercice fonctionnel avec SOC reel
Optimise	2 tabletops + 1 fonctionnel + 1 full-scale par an	Programme complet, Purple Team, simulation media, test de PCA/PRA
Excellence	Trimestriel (mix formats)	Exercices surprises, scenarios combines (cyber + physique), exercices multi-sites

Conclusion

L'exercice de crise cyber n'est pas un evenement ponctuel destine a cocher une case de conformite. C'est un investissement strategique dans la resilience de l'organisation. Un tabletop bien concu, correctement facilite et rigoureusement debriefe produit des resultats concrets : des procedures corrigees, des reflexes acquis, une chaine de commandement clarifiee, et une direction sensibilisee aux enjeux cyber.

Les organisations qui s'exercent regulierement developpent une culture de la resilience qui se traduit par une detection plus rapide, une reponse plus coordonnee et un impact financier et reputationnel reduit lors d'incidents reels. Le cout d'un exercice tabletop est derisoire compare au cout d'un incident mal gere : quelques jours de preparation et 3 heures de session pour potentiellement economiser des millions d'euros et preserver la confiance des clients et des partenaires.

Commencez par un tabletop simple avec un scenario de ransomware. Impliquez la direction des le premier exercice. Documentez rigoureusement le RETEX et suivez le plan d'action. Puis augmentez progressivement la complexite : scenarios multiples, exercices fonctionnels, simulations grandeur nature. Chaque exercice est une brique supplementaire dans l'edifice de votre resilience cyber. La question n'est plus "serons-nous attaques ?" mais "serons-nous prets quand cela arrivera ?".

Enfin, n'oubliez pas que le principal objectif d'un exercice est l'apprentissage, pas la performance. Un exercice qui revele des failles est un exercice reussi. C'est dans les echecs simules que se forgent les reflexes qui sauveront l'organisation lors de la prochaine crise reelle.