Exercice de crise de cybersécurité 2025

Ce 10 octobre 2025, nous avons réalisé notre premier exercice de crise lié à la cybersécurité !

Pourquoi un exercice de crise de cybersécurité ?

Chez Systerel, nous travaillons depuis plusieurs mois à monter en conformité sur les questions de cybersécurité, qu’il s’agisse de la conformité à la norme ISO 27001 ou à la réalisation d’audits mandatés par des clients.

À ce titre, il nous est demandé de réaliser un exercice de crise de cybersécurité annuel, afin d’identifier les éventuelles failles en termes d’organisation et d’outillage en cas d’incident lié à la cybersécurité.

Les objectifs

Pour ce premier exercice, nous avons défini les objectifs suivants :

  1. sensibiliser les participants aux problématiques de cybersécurité,
  2. approfondir les procédures spécifiques aux sujets cybersécurité,
  3. valider ou adapter les documents de gestion de crise,
  4. développer le savoir-faire de la cellule de crise en matière de communication sur des sujets de cybersécurité,
  5. tester les modes opératoires de secours (autres moyens de communication …).

Format et thème de l’exercice de gestion de crise cyber

En regard de la taille de notre société, de l’expérience des participants et de l’analyse de risques, nous avons choisi de réaliser un exercice sur table, relatif à la diffusion d’un ransomware windows sur le système d’information, avec chiffrement des postes utilisateurs et des fichiers sur les serveurs. Il y aura tout de même un intervenant à distance pour tester les moyens de communication.

C’est parti !

Vendredi matin, à 9 h 45, l’exercice démarre par un message qu’un de nos administrateurs système reçoit sur le chat :

Bonjour, j’ai peut-être fait une bêtise. Mon PC a redémarré tout seul et affiche un message demandant le versement d’une rançon dans les 24 heures pour récupérer les données qui ont été chiffrées ! Je fais quoi ?

Suivi deux minutes plus tard d’un coup de fil à un autre administrateur :

Hello, j’ai un souci, Mon PC a redémarré et affiche un message comme quoi mon PC est chiffré et qu’il faut payer. Je n’ai pas ouvert de mail ou de lien suspect récemment… Qu’est-ce que je dois faire ?

Les hostilités sont lancées et les deux animateurs vont dérouler et adapter le chronogramme des stimuli préparé à l’avance. D’autres messages vont suivre :

  • un des ingénieurs se rend compte que les fichiers de son projet sur le serveur ont tous été modifiés et s’en inquiète auprès du SI,
  • le SI est informé que plusieurs PC ont redémarré tout seul,
  • une photo d’un PC contaminé est posté sur les réseaux sociaux. On peut y identifier un mug Systerel,
  • des postes de Toulouse sont atteints,
  • nous recevons des sollicitations extérieures (LinkedIn, journalistes, client) voulant en savoir plus sur l’évènement,
  • un document est publié sur un forum internet, qui montre que des données ont été volées,
  • etc.

Ressenti à chaud

Côté animateur, c’est un moment assez intense ! Il faut à la fois suivre tout ce qui se passe et adapter le chronogramme en fonction des réactions de chacun. Ça implique aussi parfois « de jeter », avec regret, une partie du travail préparatoire, car des actions du SI ont rendu ses effets inopérants (ce qui est plutôt bon signe).

Les participants ont vraiment joué le jeu et ont fait des retours positifs. Nous les en remercions encore.

Retour d’expérience

Nous avons constaté que de manière générale, les réactions ont été rapides et appropriées. Bravo aux participants !

Nous étions bien préparés et organisés et c’est une grande satisfaction de pouvoir le vérifier dans le cadre d’un exercice.

Cet exercice a aussi permis d’identifier quelques axes d’amélioration, qui nous permettront d’être encore plus efficaces dans l’éventualité d’un tel incident. Et c’est bien le but de ce genre d’exercice.

Mission remplie ! Rendez-vous en 2026 pour le prochain exercice.