Pourquoi les simulations de crise sont incontournables
Toute organisation dispose d'un plan de réponse aux incidents. Très peu l'ont testé sous pression. L'écart entre le fait de disposer d'un plan et la capacité à l'exécuter lorsque les alarmes se déclenchent, que les téléphones sonnent et que le PDG attend des réponses est considérable. Les simulations de crise, souvent appelées exercices sur table, comblent cet écart.
Au cours des dernières années, nous avons conçu et animé plus de dix exercices de simulation de crise pour des organisations allant de startups de 20 personnes à des institutions financières multinationales. Ce qui suit est une synthèse de ce qui fonctionne, de ce qui échoue et de ce que nous aurions aimé que quelqu'un nous ait dit avant notre premier exercice.
Principe fondamental : Le but d'une simulation de crise n'est pas de vérifier si votre plan est parfait. C'est de révéler là où votre plan se fragilise afin que vous puissiez le corriger avant qu'un vrai incident ne le fasse à votre place.
Le cadre : comment nous structurons chaque exercice
Après avoir expérimenté diverses approches, nous avons adopté un cadre qui produit régulièrement des résultats probants. Il se compose de cinq phases :
Phase 1 : Cadrage et objectifs (2 à 4 semaines avant)
C'est là que la plupart des exercices réussissent ou échouent, bien avant que quiconque s'assoie à la table. Vous devez répondre à trois questions :
- Que testons-nous ? Soyez précis. « Tester notre réponse aux incidents » est trop vague. « Tester notre capacité à détecter, escalader et communiquer un événement de type rançongiciel dans notre SLA de 4 heures » est testable.
- Qui doit participer ? L'erreur la plus fréquente consiste à limiter les exercices à l'équipe informatique. Incluez le service juridique, la communication, la direction et les ressources humaines. En cas de crise réelle, ils seront tous impliqués.
- Quel scénario est réaliste pour notre organisation ? Le scénario doit être plausible. Un exercice portant sur un APT d'État ciblant un cabinet comptable de 30 personnes ne générera pas d'enseignements utiles. Un scénario de phishing menant à un rançongiciel, si.
Phase 2 : Conception du scénario et chronologie des injects (1 à 2 semaines avant)
Le scénario est la colonne vertébrale de l'exercice. Nous le construisons comme une série d'injects : des informations transmises aux participants à des moments précis qui font avancer le scénario et forcent des prises de décision.
Une chronologie d'injects bien conçue suit une courbe d'escalade réaliste. Voici un exemple simplifié pour un scénario de rançongiciel :
| Temps |
Inject |
Cible |
Point de décision |
| T+0 |
Le service d'assistance reçoit trois tickets concernant un accès lent aux fichiers sur les lecteurs partagés |
Support informatique |
Escalader ou dépanner ? |
| T+15min |
Alerte SIEM : exécution PowerShell inhabituelle sur le contrôleur de domaine |
SOC / Sécurité informatique |
Investiguer ou escalader en incident ? |
| T+30min |
Note de rançon sur 40 % des postes. Extensions de fichiers modifiées. |
Tous les participants |
Déclarer l'incident ? Activer la cellule de crise ? |
| T+45min |
Un journaliste appelle pour se renseigner sur les « rapports de pannes » signalés par vos clients |
Communication / Direction |
Que répondre ? Qui approuve la déclaration ? |
| T+60min |
L'attaquant vous contacte par e-mail en exigeant 15 BTC. Menace de fuite de données. |
Direction / Service juridique |
Engager des négociations ? Impliquer les forces de l'ordre ? Payer ? |
| T+75min |
CIRCL vous contacte : ils disposent de renseignements sur le groupe d'attaquants |
Sécurité informatique |
Partager les IOCs ? Accepter l'assistance ? |
| T+90min |
Exfiltration de données clients confirmée. L'horloge RGPD de 72 heures commence. |
Service juridique / DPO / Direction |
Notification CNPD ? Notification aux clients ? Chronologie ? |
| T+105min |
Vérification de l'intégrité des sauvegardes : 2 des 3 jeux de sauvegarde sont chiffrés. Une sauvegarde hors ligne date de 48 heures. |
Opérations informatiques |
Stratégie de restauration ? Accepter la perte de données ? |
| T+120min |
Un membre du conseil d'administration appelle pour exiger un compte rendu complet dans 30 minutes |
Direction |
Que rapporter ? Quelles décisions sont nécessaires ? |
Chaque inject est conçu pour tester une capacité spécifique : détection, escalade, communication, prise de décision ou réponse technique. Le scénario doit être exigeant mais pas impossible.
Phase 3 : Logistique et préparation (1 semaine avant)
- Lieu : Une salle dédiée, à l'écart des distractions quotidiennes. Nous avons vu des exercices être sabordés parce que des participants consultaient leurs e-mails ou prenaient des appels.
- Matériaux : Cartes d'injects imprimées, copies des plans et procédures pertinents, tableau blanc ou paperboard pour suivre les décisions et les actions.
- Rôles : Vous avez besoin d'un animateur (qui dirige l'exercice), d'un observateur/greffier (qui documente tout) et, éventuellement, d'une « cellule de simulation » qui joue des rôles externes (journaliste, attaquant, régulateur).
- Règles de base : Pas de téléphones, pas de jugement, pas de reproche. L'exercice est un espace sûr où l'on a le droit de faire des erreurs.
Phase 4 : Exécution (2 à 3 heures)
L'animateur est la personne la plus importante dans la salle. Son rôle consiste à :
- Délivrer les injects selon le calendrier (ou adapter le timing en fonction de la progression des participants)
- Stimuler la discussion lorsque les participants sont bloqués : « Que feriez-vous ensuite ? Qui devez-vous appeler ? »
- Empêcher les personnalités dominantes de monopoliser la conversation
- Maintenir la dynamique de l'exercice tout en laissant suffisamment de temps pour des échanges constructifs
- Introduire des imprévus lorsque les choses se passent trop bien
Nous conduisons généralement les exercices sur 2 à 2,5 heures. En dessous, il est impossible de créer suffisamment de pression. Au-delà, les participants perdent leur concentration.
Phase 5 : Débrief et rapport (immédiatement après + 1 semaine)
Le débrief est là où se passe le véritable apprentissage. Immédiatement après l'exercice, pendant que tout est encore frais, conduisez un retour à chaud structuré :
- Qu'est-ce qui a bien fonctionné ? Commencez positivement. Reconnaissez les actions efficaces et les bonnes décisions.
- Qu'est-ce qui vous a surpris ? Ces surprises sont les résultats les plus précieux de l'exercice.
- Où avons-nous eu des difficultés ? Soyez précis. S'agissait-il d'une lacune dans le processus, d'une défaillance de communication, d'un manque de connaissances ou d'une contrainte de ressources ?
- Quelles sont les trois principales choses à corriger ? Limitez-vous à trois. Vouloir tout corriger en même temps ne corrige rien.
Effectuez un suivi dans la semaine avec un rapport écrit qui documente les conclusions, attribue des responsables aux actions correctives et fixe des échéances.
Enseignements tirés de 10+ exercices : ce que nous avons appris
Leçon 1 : La communication échoue avant la technologie
Dans chaque exercice que nous avons animé, la première défaillance n'est jamais technique. C'est toujours la communication. Les personnes ne savent pas qui appeler. Les voies d'escalade sont floues. Le plan de communication de crise existe, mais personne ne l'a lu. Le numéro de mobile du PDG ne figure pas dans la liste de contacts. Corrigez votre arborescence de communication avant d'acheter un autre outil de sécurité.
Leçon 2 : Les participants sous-estiment largement la pression temporelle
NIS2 exige une alerte précoce dans les 24 heures et une notification complète dans les 72 heures. Le RGPD exige une notification à la CNPD dans les 72 heures. Lorsque les participants font l'expérience d'une pression temporelle simulée pour la première fois, la prise de conscience est brutale. La plupart des équipes découvrent qu'elles ne peuvent pas produire une notification d'incident de qualité dans les délais impartis, car elles ne s'y sont jamais entraînées.
Leçon 3 : L'équipe juridique et conformité n'est jamais prête
Les équipes techniques sont habituées à la pression des incidents. Les équipes juridiques, conformité et communication souvent pas. Les inclure dans les exercices n'est pas facultatif ; c'est essentiel. Au Luxembourg, avec son environnement multi-réglementaire (CSSF, CNPD, ILR), savoir qui notifier, dans quel ordre et avec quelles informations représente un défi de coordination complexe.
Leçon 4 : Les playbooks sans pratique sont de la fiction
Nous avons vu de magnifiques playbooks de réponse aux incidents s'effondrer dans les 15 premières minutes d'un exercice parce que personne ne les avait jamais parcourus. La carte n'est pas le territoire. Les exercices révèlent la différence entre les procédures théoriques et la réalité opérationnelle.
Leçon 5 : L'implication de la direction change tout
Lorsque le PDG ou un membre du conseil d'administration participe à l'exercice, la qualité des échanges et le sérieux des actions de suivi augmentent considérablement. Lorsque la direction délègue à ses équipes, les conclusions de l'exercice prennent souvent la poussière. Insistez pour une participation des cadres dirigeants.
Comment nous utilisons Scenarium pour la gestion des exercices
À mesure que les exercices devenaient plus complexes, nous avons constaté que la gestion des injects, le suivi des décisions et la coordination entre animateurs avec du papier et des tableurs devenaient ingérables. C'est l'une des raisons pour lesquelles nous avons développé Scenarium, notre plateforme dédiée à la simulation de crise.
Scenarium nous permet de concevoir des chronologies de scénarios avec des chemins ramifiés (si les participants prennent la décision A, ils reçoivent le jeu d'injects A ; s'ils choisissent B, ils reçoivent le jeu B), de gérer des exercices multi-équipes où différents groupes reçoivent simultanément des informations différentes, et de capturer des observations en temps réel qui alimentent directement le rapport post-exercice. Il est conçu spécifiquement pour le type d'exercices que nous réalisons.
Cela dit, vous n'avez pas besoin de logiciel spécialisé pour mener un bon exercice. Un animateur bien préparé avec des cartes d'injects imprimées et un chronomètre peut obtenir d'excellents résultats. L'outil compte moins que la qualité de la préparation et de l'animation.
Mesurer l'efficacité des exercices
Si vous ne pouvez pas le mesurer, vous ne pouvez pas l'améliorer. Voici les métriques que nous suivons d'un exercice à l'autre :
- Délai de détection : Combien de temps s'écoule entre le premier indicateur et le moment où quelqu'un reconnaît qu'il y a un problème ?
- Délai d'escalade : Combien de temps entre la détection et l'activation de la cellule de crise ?
- Délai de première notification externe : Pouvez-vous respecter l'exigence d'alerte précoce de 24 heures de NIS2 ?
- Qualité des décisions : Évaluation subjective par les observateurs. Les décisions étaient-elles éclairées, opportunes et bien communiquées ?
- Efficacité de la communication : La bonne information a-t-elle atteint les bonnes personnes au bon moment ?
- Respect du plan : Les participants ont-ils suivi les procédures documentées ? Où ont-ils dévié, et pourquoi ?
- Confiance des participants : Enquête avant et après l'exercice mesurant l'auto-évaluation de la préparation (échelle de 1 à 10)
Suivez ces métriques sur plusieurs exercices pour démontrer une amélioration dans le temps. Ces données constituent également une preuve précieuse pour la conformité réglementaire, notamment au regard de l'exigence de NIS2 de tester les procédures de continuité d'activité et de réponse aux incidents.
Erreurs courantes qui gâchent les exercices
- Rendre le scénario trop facile : Si tout le monde est à l'aise, personne n'apprend. Le scénario doit créer de véritables dilemmes.
- Passer l'information préalable : Les participants doivent comprendre le format, les règles de base et leurs rôles avant le début de l'exercice.
- Autoriser les appareils : Dès qu'une personne ouvre son ordinateur portable pour consulter ses e-mails, elle est mentalement sortie de l'exercice.
- Ne pas désigner un greffier dédié : Sans documentation, la valeur de l'exercice s'évanouit en quelques jours. Chaque observation significative, décision et action doit être consignée.
- Ne pas assurer le suivi : Le rapport d'exercice doit inclure des actions correctives avec des responsables et des échéances. Sans responsabilisation, rien ne change.
- Rejouer le même scénario deux fois : Les participants se souviennent des réponses. Variez vos scénarios pour tester différentes capacités et éviter d'enseigner pour l'évaluation.
Pour commencer : votre premier exercice
Si vous n'avez jamais conduit de simulation de crise, commencez simplement. Un exercice sur table de 90 minutes avec votre équipe informatique et un ou deux membres de la direction, basé sur un scénario de rançongiciel, révélera davantage sur votre niveau de préparation que n'importe quel rapport d'audit. Vous n'avez pas besoin d'animateurs externes pour votre premier exercice, bien qu'une perspective externe objective apporte une valeur ajoutée significative.
L'essentiel est de commencer. Un exercice imparfait qui a lieu est infiniment plus précieux qu'un exercice parfait qui reste sur le tableau de planification. Votre équipe va apprendre, vos plans vont s'améliorer et, lorsque le vrai incident surviendra, vous serez heureux d'avoir pratiqué.
