Exercice
Tabletop crise cyber 90 minutes : un exercice court pour révéler les vraies dépendances
Un exercice de crise n'a pas besoin de bloquer toute l'entreprise pendant deux jours pour être utile. En 90 minutes, on peut déjà révéler les angles morts : qui décide, qui a les accès, qui parle aux clients, quelles preuves existent, quelles sauvegardes sont vraiment restaurables et quel service métier passe en premier.
Format 90 minutes
Le format court oblige à rester utile : 10 minutes de contexte, 25 minutes de détection et qualification, 25 minutes de confinement et communication, 20 minutes de reprise, 10 minutes de synthèse. Chaque phase se termine par une décision explicite.
L'animation doit noter les hésitations autant que les réponses. Une hésitation sur le propriétaire d'un compte, le contact prestataire ou l'ordre de reprise vaut presque autant qu'un incident réel : elle montre où le système de décision est fragile.
- 10 min contexte
- 25 min qualification
- 25 min confinement
- 20 min reprise
- 10 min synthèse
Scénario prêt à jouer
Le scénario de base : un lundi matin, plusieurs utilisateurs ne peuvent plus ouvrir des fichiers. L'EDR signale une activité anormale sur un serveur. Le prestataire confirme une connexion VPN nocturne. Une note de rançon apparaît sur un partage, mais l'ERP semble encore disponible.
Les injects font monter la pression : un client demande des garanties, l'équipe sauvegarde n'a pas testé la restauration récente, un compte admin générique apparaît dans les logs et la direction veut savoir si la communication externe doit partir avant midi.
- serveur fichier
- VPN prestataire
- sauvegarde incertaine
- client prioritaire
- communication avant midi
Ce que l'on doit obtenir à la fin
La valeur de l'exercice se mesure après, pas pendant. La sortie doit contenir les décisions qui ont bloqué, les preuves introuvables, les responsabilités floues, les contacts absents et les actions les plus simples à corriger sous 30 jours.
Adrien transformerait cette sortie en plan très court : trois actions immédiates, trois preuves à produire, trois décisions à clarifier. C'est suffisant pour faire progresser la maturité sans lancer un programme hors sol.
- 3 actions immédiates
- 3 preuves à produire
- 3 décisions à clarifier
- date de rejeu
- responsables
Terrain
Décisions, signaux et preuves à ne pas perdre
Décision
À décider
- Qui a autorité pour couper un accès ou isoler un service métier ?
- Quel service reprend en premier si tout ne peut pas revenir ?
- Qui parle aux clients, assureur, prestataire, autorités ou collaborateurs ?
- Quelles preuves manque-t-il pour décider proprement ?
- Quelle action doit être financée immédiatement après l'exercice ?
Technique
À vérifier techniquement
- Alerte EDR sur serveur fichier puis perte d'accès à plusieurs partages
- Connexion VPN prestataire hors horaires et compte admin utilisé sur plusieurs machines
- Sauvegarde indiquée comme verte mais restauration test absente depuis plusieurs mois
- Client important demandant une confirmation écrite sur données et délais de reprise
- Messagerie partiellement disponible mais annuaire interne inaccessible
Preuves
Preuves à conserver
- Liste des décisions prises pendant l'exercice et justification associée
- Rôles réellement tenus : incident lead, technique, métier, communication, juridique
- Documents retrouvés ou manquants : PRA, contacts, contrats, annuaire hors SI, procédures
- Preuves techniques supposées disponibles : logs, sauvegardes, inventaire, accès d'urgence
- Plan d'amélioration 30 jours avec propriétaires et critères de réussite
Pièges
Erreurs fréquentes
- Faire un exercice trop technique où seuls les administrateurs parlent.
- Terminer sans propriétaires ni dates pour les actions d'amélioration.
- Éviter les sujets inconfortables : client stratégique, données personnelles, assurance, indisponibilité longue.
- Tester un plan parfait sur papier au lieu d'un scénario plausible et imparfait.
Questions fréquentes
Faut-il inviter toute l'équipe technique ?
Non. Il faut les personnes qui décident et celles qui savent si une décision est réaliste : direction, DSI/RSSI, exploitation, métier critique, communication ou juridique selon contexte.
Peut-on faire l'exercice sans PRA formalisé ?
Oui, et c'est souvent très révélateur. L'exercice montre alors quelles informations doivent entrer en priorité dans un PRA/PCA utilisable.
Sources publiques
Références utilisées sans copie de contenu
Les liens ci-dessous servent de repères publics. Le contenu de cette page est reformulé, contextualisé et adapté à l'approche terrain d'Adrien Murillo.