Esplanade de la Défense, Campus Cyber, 13ème étage. Postée sur l’estrade du Skylounge, Stéphanie Ledoux, fondatrice d’Alcyconie, une agence spécialisée en gestion de crise, explique ce qui attend les participants dans l’heure et demie qui vient.
Face à elle, des responsables IT de grands groupes, des dirigeants de PME et des salariés venus se former à la gestion de crise cyber. Le panel, très majoritairement masculin, est studieux et attentif à cette mise en situation grandeur nature.
Il faut rapidement faire abstraction du beau soleil de juillet qui inonde les baies vitrées des tours de la Défense : la société fictive de transport d’électricité qui les emploie est au cœur d’une crise cyber majeure. Deux logiciels critiques ne répondent plus.

Comme dans une partie de Loup-Garou, les rôles sont attribués au hasard. « Je suis un peu stressé, je ne suis pas technique et je me retrouve RSSI » confie un participant du groupe qui constituera celui des PME.
Dispersés dans d’autres coins de la salle, deux autres groupes d’une dizaine de personnes se retrouvent autour de tables rondes. Ils sont composés d’employés de grands groupes français, parfois de secteurs très stratégiques, comme les transports. Cette fois-ci, ce sont des responsables de la sécurité des systèmes d’information (RSSI) qui endossent le rôle de directeur de la communication ou DRH pour un peu moins de deux heures. Le même scénario est distribué aux trois équipes. Le silence se fait rapidement.
Entrer dans la crise, adopter les bons réflexes


Les premières minutes sont celles des présentations. La majorité des participants ne se connaissent pas ou très peu. Une des équipes composées de grandes entreprises commence par un tour de table où chacun annonce le rôle qu’il devra jouer dans la crise. « Ça peut paraitre scolaire, mais c’est très important dans un début de crise, en particulier cyber, de rappeler le champ d’action de chacun. Même dans les entreprises où les gens se connaissent. Ça permet de s’organiser et ça crée une bascule : on entre dans la crise », nous confie à voix basse Stéphanie Ledoux, forte d’une expérience de 10 ans en gestion de crise dans des secteurs critiques.
À quelques mètres, les notifications affluent sur la plateforme PIA, l’outil de simulation d’Alcyconie qui reproduit les outils de communication du monde réel. Sur les réseaux sociaux « Y » et « Instagrum », le hashtag #panne prend de l’ampleur. « Quelqu’un d’autre a une coupure d’électricité dans le coin de Toulouse Sud ? » demande @Kim_b365, déjà 19 retweets.
« Quelqu’un d’autre a une coupure d’électricité dans le coin de Toulouse Sud ? »
Partout en France, les utilisateurs fictifs signalent des coupures de courant dans des quartiers entiers et le compte de l’entreprise est mentionné publiquement. Les téléphones se mettent aussi à sonner. Au bout du fil ? Des animateurs d’Alcyconie qui incarnent tour à tour un journaliste, un partenaire commercial inquiet ou un informaticien tentant de résoudre le problème.
« La pollution de l’attention est démultipliée en crise. C’est important de former à avoir de bons réflexes. On les submerge volontairement de notifications et d’appels. (…) Une des pires erreurs serait de mettre le téléphone en haut-parleur », nous explique Anaïs Fauré, team leader chez Alcyconie. Savoir séparer les tâches, gérer son périmètre d’action et ne pas perturber ses partenaires autour de la table est essentiel. L’exercice se concentre sur les rôles décisionnels, chacun ayant des priorités différentes.
Bon élève, le RSSI d’un des groupes sort de la salle pour prendre l’appel de ses équipes techniques tandis que le niveau sonore commence à monter dans la salle à côté. Le diagnostic tombe : il s’agit d’un ransomware du groupe Medusa. Que faire et par où commencer ? Relancer les opérations ? Vérifier les sauvegardes ? Prévenir la CNIL ? L’ANSSI ? Communiquer ?

Agir vite, sous l’œil des nouvelles Directives européennes
Comme dans la réalité, chaque rôle tente d’influencer les décisions selon ses responsabilités. L’opérationnel pousse à une remise en marche rapide des logiciels, tandis que le service juridique s’inquiète des conséquences. Quelles données ont été volées ? Pourquoi est-ce impossible de générer des factures ? On entend même que des consommateurs ont été directement contactés par les pirates, qui les menacent de divulguer leurs informations personnelles s’ils refusent de leur envoyer l’équivalent de 150 euros en bitcoins.
Le but de l’exercice ? S’extraire au mieux de cette situation, mais aussi se former aux nouvelles directives européennes qui encadreront bientôt la gestion des crises cyber.
La nouvelle directive NIS2, qui couvre plus de 18 secteurs d’activité (contre 6 pour NIS 1), est déjà en vigueur en France, et les entreprises concernées ont jusqu’à fin 2027 pour se mettre en conformité. Parmi les nouvelles obligations : prévenir l’ANSSI dans les 24 heures suivant la découverte de l’incident, ou encore informer rapidement les personnes concernées sur la nature de l’incident, ses conséquences potentielles et les mesures prises.
« On a décidé de pas du tout communiquer », confie un participant pas très NIS2-friendly.

Pas facile de trouver des solutions en moins de deux heures. Une véritable crise cyber peut durer plusieurs mois, et le format du jour est particulier. « Souvent, les ateliers durent au minimum 3-4 heures voire jusqu’une semaine entière », souligne Stéphanie Ledoux.
Personne n’est vraiment parvenu au bout de l’incident, mais il est déjà temps pour les trois groupes de faire le bilan. Certains se félicitent d’avoir identifié la source de la fuite, d’autres d’avoir parfaitement tenu à jour le journal d’incident, si précieux lorsqu’il s’agit de présenter la gestion de l’incident aux autorités ou aux assurances.
Différentes stratégies et méthodes ont émergé, mais tous les groupes s’accordent sur un point : ne pas payer la rançon. « On n’a même pas cherché à entrer en contact avec les pirates. Ce serait un premier pas vers eux qu’il ne faudrait pas faire », nous glisse un participant.
La tension retombe aussi vite que les petits fours et les verres à cocktail apparaissent sur le buffet de la réception. Dernier retour d’expérience sur l’estrade, un salarié d’un grand groupe du CAC 40 salue l’initiative : « Ça ne s’improvise pas, c’est de l’entraînement ». Anaïs Fauré prend le micro pour conclure : « On a le droit d’être battus, pas d’être surpris. »
Les abonnés Numerama+ offrent les ressources nécessaires à la production d’une information de qualité et permettent à Numerama de rester gratuit.
Zéro publicité, fonctions avancées de lecture, articles résumés par l’I.A, contenus exclusifs et plus encore. Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

Toute l'actu tech en un clin d'œil
Ajoutez Numerama à votre écran d'accueil et restez connectés au futur !
Marre des réseaux sociaux ? Rejoignez la communauté Numerama sur WhatsApp !