Skip to content
Retour aux guides
Guide

Exercice de crise cyber : guide complet pour PME

Comment planifier et animer un exercice de simulation de crise cyber (tabletop exercise) dans une PME. Scénarios prêts à l'emploi, fiches d'inject, debrief structuré et plan d'action post-exercice.

Thomas Ferreira 14 min de lecture

Un lundi matin, votre responsable IT vous appelle : les serveurs de fichiers sont chiffrés et un message de rançon s’affiche sur les postes. Vous activez la cellule de crise. Et là, personne n’est sûr de qui doit décider si on isole tel serveur ou pas. Personne n’a les coordonnées de l’assureur. Le délai de 72 heures pour notifier la CNIL, personne ne sait précisément d’où il commence à courir.

Ce scénario se rejoue dans des centaines de PME chaque année. La cause n’est pas l’absence d’un plan — souvent, le plan existe. C’est qu’il n’a jamais été testé.

Un exercice de simulation de crise, ou tabletop exercise, prend deux heures. Il ne nécessite pas de mettre les systèmes hors ligne. Et il révèle systématiquement des décisions non documentées dans le plan, des contacts introuvables, des procédures que personne n’a jamais lues. Ce guide explique comment préparer, animer et exploiter un exercice de crise cyber dans une PME.

Pour les aspects complémentaires, consultez notre plan de réponse à incident pour la structure documentaire, et notre fiche réflexe cyberattaque pour les premières heures d’un incident réel.

Pourquoi organiser des exercices de crise cyber

Les obligations réglementaires

La directive NIS2 (article 21) impose aux entités concernées de mettre en place des mesures de gestion des risques cyber proportionnées. L’article 21.2.c cite explicitement la gestion des incidents, ce qui inclut la capacité à tester les procédures de réponse. Les audits de conformité vérifient l’existence de cette préparation. Notre page conformité NIS2 détaille les entités concernées.

Le règlement DORA (article 26), applicable aux entités financières depuis janvier 2025, est plus prescriptif : il impose des tests de résilience opérationnelle numérique incluant des simulations d’incidents. Pour les entités financières significatives, des tests de pénétration guidés par la menace (TLPT) sont requis tous les trois ans. Notre page conformité DORA précise les obligations selon la catégorie d’entité.

Pour les PME hors périmètre NIS2 et DORA, aucune obligation formelle n’existe. Mais les assureurs cyber intègrent de plus en plus la pratique d’exercices réguliers comme signal de maturité lors des souscriptions.

Ce que les études montrent

Le rapport IBM Cost of Data Breach 2024 établit que les organisations disposant d’un plan de réponse à incident testé réduisent le coût moyen d’une violation de données de 58 % par rapport à celles qui n’en ont pas. Plus précis encore : le délai moyen d’identification et de confinement d’un incident est de 258 jours sans plan structuré, contre 162 jours avec un plan documenté et testé.

Pour un attaquant qui a pénétré votre réseau, chaque journée supplémentaire est une opportunité d’exfiltrer plus de données, d’étendre sa compromission, et de compromettre les sauvegardes.

Ce qu’un exercice révèle

Un exercice de crise bien animé révèle systématiquement les mêmes catégories de failles :

  • Des décisions engageantes pour lesquelles le plan ne désigne pas de décideur clair (payer ou ne pas payer une rançon, couper la messagerie, communiquer vers l’extérieur)
  • Des contacts absents ou outdatés (numéro d’urgence du prestataire IT, coordonnées de l’assureur, contact CERT-FR)
  • Des délais légaux inconnus (la fenêtre de 72 heures pour la CNIL, le délai de 24 heures pour l’ANSSI si NIS2)
  • Des rôles attribués sur le papier mais jamais exercés (la personne désignée comme référent communication ne sait pas quoi dire aux équipes)

Ces failles découvertes pendant un exercice fictif coûtent deux heures. Découvertes pendant un incident réel, elles coûtent des jours de remédiation supplémentaires.

Les types d’exercices : choisir le bon format

Il existe trois formats d’exercices de crise, avec des niveaux de préparation, de coût et de valeur différents.

Le tabletop exercise (discussion)

Format : réunion de deux heures autour d’un scénario fictif. Un facilitateur présente la situation initiale et fait évoluer le scénario selon des cartes d’inject préparées à l’avance. Les participants réagissent, discutent, prennent des décisions.

Ce qui est testé : la chaîne de décision, la connaissance des procédures, les délais légaux, la coordination entre les rôles.

Ce qui n’est pas testé : les réflexes techniques, les outils, la vitesse d’exécution réelle.

Recommandé pour : toutes les PME, à tout niveau de maturité. Format de départ incontournable avant tout exercice plus élaboré.

L’exercice fonctionnel (simulation partielle)

Format : une ou plusieurs procédures du plan sont activées en conditions réelles sur un périmètre limité et contrôlé. Exemples : activer la chaîne d’alerte interne sur un incident simulé, tester la restauration des sauvegardes depuis un environnement de test, envoyer une notification fictive à l’assureur en suivant les procédures du plan.

Ce qui est testé : le fonctionnement réel des outils et procédures, les délais d’exécution, les dépendances techniques.

Ce qui n’est pas testé : la réponse globale de l’organisation, la communication externe, les décisions de direction.

Recommandé pour : PME ayant déjà conduit deux ou trois tabletop exercises et souhaitant valider les procédures techniques.

L’exercice grandeur nature (simulation complète)

Format : simulation complète avec des acteurs jouant des rôles externes (journalistes, clients, autorités), des systèmes de test dédiés, une pression temporelle proche du réel. Peut durer une demi-journée à une journée entière.

Ce qui est testé : l’ensemble du plan sous pression, y compris la communication de crise externe, la coordination avec les autorités, et la capacité de l’organisation à fonctionner en mode dégradé.

Recommandé pour : ETI et grandes entreprises, entités dans le périmètre DORA ou NIS2 avec des exigences élevées, ou PME ayant atteint une maturité significative dans leur programme d’exercices.

Préparer votre premier exercice tabletop

Définir les objectifs

Un exercice sans objectif clair se transforme en réunion de questions-réponses sans valeur ajoutée. Définissez deux ou trois objectifs précis avant de commencer la préparation :

  • Vérifier que tous les membres de la cellule de crise connaissent leur rôle
  • Tester la connaissance des délais légaux (CNIL 72h, assureur, LOPMI)
  • Valider la procédure d’isolation réseau et d’activation du prestataire externe
  • Identifier les lacunes du plan de communication interne pendant un incident

Chaque objectif se traduit en critères d’évaluation que le facilitateur observera pendant l’exercice.

Les participants

La cellule de crise au complet est le groupe cible. Pour un premier exercice, limitez à cinq ou six personnes :

  • Le décideur (dirigeant ou directeur désigné)
  • Le référent technique (responsable IT ou prestataire)
  • Le référent juridique ou RGPD
  • Le référent communication
  • Si possible, un observateur externe (consultant, prestataire de confiance) qui prend des notes sans participer aux décisions

Évitez d’inclure des équipes entières ou des personnes dont le rôle n’est pas défini dans le plan. Un exercice à huit personnes sans rôles clairs génère du bruit et masque les vraies décisions.

Le facilitateur

Le facilitateur est la personne clé de l’exercice. Son rôle : présenter le scénario, injecter les événements selon le plan et selon la dynamique du groupe, noter les décisions et les lacunes, et animer le debrief. Il ne joue pas — il observe et pose des questions.

Pour un premier exercice, le facilitateur peut être interne à l’organisation, à condition qu’il ne soit pas membre de la cellule de crise. Un responsable qualité, un DPO, ou un cadre transverse non impliqué dans la sécurité opérationnelle peuvent tenir ce rôle. L’avantage d’un facilitateur externe est son expérience des scénarios et sa capacité à poser des questions inconfortables sans ménagement.

Le calendrier de préparation

J-30 : choisir le scénario, constituer le groupe de participants, désigner le facilitateur.

J-15 : rédiger le scénario détaillé, préparer les inject cards, préparer le questionnaire de debrief.

J-7 : envoyer la convocation aux participants avec les instructions (ne pas préparer de réponses — l’exercice doit tester les réflexes, pas la mémorisation du plan).

Jour J : exercice (2h) + debrief (30 min).

J+15 : rapport d’exercice et intégration des actions correctives dans le plan.

Trois scénarios prêts à l’emploi

Scénario 1 — Attaque par ransomware

Situation initiale :

Mardi 7h52. Votre responsable IT vous appelle depuis le parking : il ne peut pas ouvrir les fichiers sur le serveur de fichiers partagé. Sur plusieurs postes, un message s’affiche avec une demande de rançon en Bitcoin. La messagerie interne fonctionne encore, mais des alertes antivirus s’enchaînent sur plusieurs machines.

Inject cards suggérées :

  1. Les sauvegardes sont stockées sur un serveur connecté au même réseau — elles semblent aussi chiffrées.
  2. Un collaborateur a éteint son poste avant que vous ayez pu le mettre en quarantaine.
  3. Un client appelle : il n’arrive pas à accéder à votre portail en ligne depuis ce matin.
  4. Un journaliste du journal local vous contacte — il a été informé de l’incident par une source anonyme.
  5. Le prestataire de réponse à incident vous annonce un délai d’intervention de 48 heures.
  6. L’assureur vous demande le numéro de dépôt de plainte pour activer la couverture.

Ce scénario teste la décision d’isolation réseau, la connaissance de l’état des sauvegardes, le délai d’activation du prestataire, les obligations de notification NIS2 et CNIL, et la gestion de la communication externe. Consultez notre page glossaire ransomware pour les définitions de référence.

Scénario 2 — Fraude au virement (BEC / CEO fraud)

Situation initiale :

Jeudi 14h30. La comptable vous contacte : elle vient d’exécuter un virement de 67 000 euros suite à un email reçu ce matin, signé du nom du dirigeant, demandant un paiement urgent et confidentiel à un nouveau fournisseur. Elle a remarqué que l’adresse de retour était légèrement différente de l’adresse habituelle, mais le contexte semblait cohérent. Le virement a été émis il y a deux heures.

Inject cards suggérées :

  1. La banque vous informe que les fonds ont déjà été virés vers un compte à l’étranger.
  2. En vérifiant la messagerie du dirigeant, vous trouvez des règles de transfert que personne n’a configurées.
  3. Un deuxième email similaire est arrivé ce matin, adressé à un autre collaborateur de la finance.
  4. Votre assureur vous demande si vous aviez activé le double contrôle sur les virements au-delà d’un seuil.
  5. Le dirigeant est en déplacement à l’étranger et injoignable depuis trois heures.

Ce scénario teste la réaction immédiate pour limiter les pertes financières (appel banque en premier), la chaîne d’escalade en l’absence du dirigeant, l’analyse de compromission du compte email, et les obligations de signalement. Voir notre glossaire BEC pour le contexte de cette attaque.

Scénario 3 — Fuite de données via phishing

Situation initiale :

Vendredi 11h15. Un collaborateur du service commercial vous signale avoir reçu un email lui demandant de se reconnecter à votre CRM. Il a cliqué et saisi ses identifiants, mais la page ne s’est pas chargée normalement. En vérifiant les journaux, votre IT constate qu’une exportation de 12 000 enregistrements clients a été effectuée depuis ce compte il y a 40 minutes.

Inject cards suggérées :

  1. Le fichier exporté contient des données personnelles : noms, emails, téléphones, et historique d’achat avec des données indirectement financières.
  2. Vous trouvez que le même email de phishing a été reçu par 18 autres collaborateurs — trois ont cliqué.
  3. Un client appelle : il a reçu un email suspect en son nom, apparemment envoyé depuis vos données.
  4. Votre DPO vous demande si l’incident doit être notifié à la CNIL et dans quel délai.
  5. La CNIL vous demande un rapport détaillé dans le cadre d’un contrôle en cours non lié à cet incident.

Ce scénario teste la révocation des sessions compromises, l’évaluation de l’obligation de notification CNIL (article 33 RGPD, délai 72h), l’information des personnes concernées si le risque est élevé (article 34 RGPD), et la communication vers les clients affectés.

Animer l’exercice

La structure des deux heures

0 min — Cadrage (10 minutes)

Le facilitateur rappelle les règles : c’est un exercice, pas un examen. L’objectif est d’identifier les failles du plan, pas de juger les participants. Les téléphones sont sur silencieux. Le facilitateur est le seul à injecter de nouvelles informations — les participants ne peuvent pas “inventer” des ressources qui n’existent pas dans leur plan réel.

10 min — Situation initiale (5 minutes)

Lecture de la situation initiale. Le facilitateur donne deux minutes de réflexion individuelle silencieuse avant d’ouvrir la discussion.

15 min — Jeu libre (60 à 70 minutes)

L’équipe réagit. Le facilitateur observe, prend des notes, et injecte les événements supplémentaires selon l’avancement. Il ne suggère pas de solutions — il pose des questions : “Qui prend cette décision dans votre plan ?”, “Dans quel délai ?”, “Où se trouve ce contact ?”.

Un inject est introduit quand la dynamique du groupe ralentit, quand une décision clé a été prise (et qu’il faut en tester une nouvelle), ou quand une lacune évidente mérite d’être approfondie.

85 min — Synthèse du facilitateur (10 minutes)

Le facilitateur résume les décisions clés prises, les points de blocage observés, et les questions sans réponse dans le plan. Il ne donne pas encore d’évaluation qualitative.

95 min — Debrief (30 minutes)

Voir section suivante.

Les erreurs à éviter en tant que facilitateur

Ne pas injecter trop vite : laissez l’équipe travailler sur chaque situation avant d’ajouter de la complexité.

Ne pas corriger en direct : si l’équipe prend une mauvaise décision, notez-la et posez une question qui les amène à questionner leur choix, sans imposer la réponse.

Ne pas surcharger : six à huit inject cards par session suffisent. Au-delà, les participants perdent le fil et l’exercice ressemble à une séance de bombardement plutôt qu’à une simulation réaliste.

Ne pas sauter le debrief : les 30 minutes de debrief sont plus importantes que l’exercice lui-même. C’est là que les prises de conscience se formalisent en actions concrètes.

Le debrief post-exercice

Le debrief est la partie la plus sous-estimée d’un exercice. C’est dans ces 30 minutes que l’exercice produit sa valeur réelle.

Structure du debrief en quatre points

1. Ce qui a bien fonctionné

Commencez par les points positifs — ce que l’équipe a fait correctement, les procédures activées sans hésitation, les réflexes qui étaient en place. Ce premier temps est important : il ancre la valeur des préparations existantes et met l’équipe dans un état d’esprit constructif pour la suite.

2. Ce qui a échoué ou manqué

Les décisions pour lesquelles personne n’avait de réponse claire. Les contacts introuvables. Les délais légaux ignorés. Les procédures décrites dans le plan mais que personne n’a utilisées. Le facilitateur restitue ses observations sans jugement.

3. Ce qui a surpris

Les situations que personne n’avait anticipées. Les dépendances entre systèmes qui ont émergé. Les décisions qui paraissaient simples et qui se sont révélées complexes à prendre en groupe. Ces surprises sont souvent les plus instructives.

4. Les actions correctives

Chaque lacune identifiée génère une action corrective : ajout d’un contact dans le plan, clarification d’un rôle, documentation d’une procédure manquante, organisation d’un test technique spécifique. Chaque action est assignée à une personne avec une date d’échéance.

La règle : si une action corrective n’a pas de responsable et de date, elle ne sera jamais faite.

Mettre à jour le plan de réponse à incident

Dans les 30 jours suivant l’exercice, intégrez toutes les actions correctives dans le plan de réponse à incident. Versionnez le document (date + numéro de version), et faites valider les modifications par le décideur qui a participé à l’exercice.

Le plan mis à jour est ensuite présenté brièvement à l’ensemble de l’organisation concernée — pas une réunion de deux heures, mais un email de synthèse ou une annonce lors d’un point d’équipe habituel.

Des exercices à la sécurité continue

Un exercice tabletop annuel teste la réponse organisationnelle à un incident majeur. Mais la cybersécurité d’une PME repose sur deux dimensions complémentaires que les exercices seuls ne peuvent pas couvrir.

Les simulations de phishing pour tester les réflexes quotidiens

Les simulations de phishing testent ce que les exercices de crise ne touchent pas : le comportement individuel des collaborateurs face à un email suspect, tout au long de l’année. Un taux de clic sur une simulation de phishing vous dit que votre plan de réponse doit prévoir des signalements plus fréquents. Un délai de signalement élevé vous dit que vos collaborateurs hésitent à remonter les incidents. Ces métriques alimentent directement vos exercices de crise : si 20 % de vos collaborateurs ont cliqué sur une simulation ransomware le mois dernier, le scénario de tabletop le plus pertinent est précisément le ransomware.

Consultez notre outil de test de sécurité email pour évaluer la robustesse de votre configuration d’authentification avant de lancer un programme de simulation.

L’amélioration continue du plan

Le cycle recommandé pour une PME :

  • Mensuel : simulation de phishing, analyse des taux de clic et de signalement
  • Trimestriel : revue de la liste des contacts d’urgence et des coordonnées de la cellule de crise (rotation des équipes, changements de prestataires)
  • Annuel : exercice tabletop complet, mise à jour du plan de réponse à incident, revue des obligations réglementaires
  • Après chaque incident réel : retour d’expérience dans les 10 jours, mise à jour immédiate du plan

Ce cycle ne nécessite pas de ressources importantes. Il nécessite de la régularité. Un plan à jour et une équipe qui a déjà simulé une crise coûtent moins cher qu’une remédiation improvisée.

FAQ

Thomas Ferreira, CISSP, GCIH, GCFA — Consultant en réponse à incident et formateur en cybersécurité. Thomas accompagne des PME et ETI françaises dans la gestion de crise cyber depuis plus de dix ans. Il anime des exercices de simulation de crise (tabletop) depuis 2016 dans des secteurs allant de la santé à l’industrie manufacturière. Ce guide s’appuie sur le cadre NIST SP 800-84 (Guide to Test, Training, and Exercise Programs), les recommandations de l’ANSSI sur cyber.gouv.fr, les exigences de l’article 21 de la directive NIS2, et les obligations de l’article 26 du règlement DORA.

Pour construire votre plan de réponse à incident ou accéder à une fiche réflexe cyberattaque prête à imprimer, consultez les guides correspondants sur nophi.sh.