La lumière crue des écrans luit dans un silence tendu. La cellule de crise attend le prochain appel. « Bonjour, je suis l’agent d’entretien, j’ai des fuites aux toilettes, vous pensez que les cyberattaquants peuvent contrôler l’eau ? ». La cellule de crise se détend, pour une fois ce n’est pas la télévision locale ou un manager en panique.
Ce matin la cellule de crise ne répond pas à une attaque véritable, mais à un scénario ciselé, conçu pour éprouver la robustesse des dispositifs et surtout la réalité de la gouvernance, de la communication, de la réaction humaine face à l’inattendu. Ce matin, dans une salle isolée, se construit bien plus qu’une conformité : ici, se forge la capacité d’une organisation à faire face, à se regarder en face.
L’appel de l’agent d’entretien est extrait du kit d’exercice de crise de l’Agence du Numérique en Santé et il a un objectif particulier, perturber la réflexion de la cellule de crise par l’expression d’angoisses humaines, tellement fréquentes en situation de crise.
« Sans répétition, la mémoire de crise n’existe pas. »
On tend à réduire l’exercice de crise à une exigence extérieure, généralement celle d’une norme, réglementation ou d’une autorité – ISO 27001, DORA, NIS 2, ANSSI. C’est tellement restrictif ! Si tant d’autorités remettent en avant le besoin d’exercice de crise, c’est avec bien de raisons. L’épreuve du réel démontre que ce n’est pas la contrainte mais l’impulsion stratégique qui détermine l’utilité de la démarche. Toute organisation navigue entre souvenirs douloureux d’incidents passés, ambitions de maîtrise, inertie due à la dette technique, complexité des architectures et des organisations. Là réside le vrai terrain de jeu de l’exercice de crise. Son enjeu premier : redonner de la cohérence et du liant entre la technique et l’organisationnel.
Le passage de la contrainte au projet d’entreprise n’est pas un concept abstrait. C’est un basculement fondamental dans le rapport qu’une organisation entretient avec sa propre vulnérabilité. Quand une direction générale, un RSSI, un DSI acceptent que l’exercice ne soit pas d’abord une démonstration publique de maîtrise mais un moment de vérité, les choses changent. Le scénario cesse d’être une coquille vide pour devenir une interpellation adressée à l’ensemble du collectif. Il s’agit d’une invitation à s’interroger, sans filet, sur la réalité des capacités opérationnelles face à une crise réelle. Le bénéfice attendu dépasse alors le simple document d’audit : il s’inscrit dans la progression organisationnelle, dans la montée en maturité, dans la consolidation d’une culture interne capable de gérer l’incertitude.
Au moment de debrief de crise, les langues se délient, les membres ont appris collectivement, ils ont découvert leurs failles mais surtout, comment les combler.
« L’exercice transforme la théorie des procédures PDF en expérience incarnée. »
Tout exercice de crise commence par un préalable absolu selon nous : le diagnostic de maturité. Avant tout scénario, avant toute simulation, il faut connaître le point de départ. Une organisation en découverte – générant pour la première fois un exercice complet de crise – n’aborde pas la démarche comme une entreprise qui en reproduit la quinzième édition. C’est à ce stade que l’on découvre, souvent, que la procédure de crise écrite il y a quatre ans n’a jamais été relue, que l’annuaire de crise contient des numéros obsolètes, que l’identification des décideurs clés demeure ambiguë, que la chaîne de commandement en situation de crise n’a jamais été vraiment dessinée. Cette évaluation du terrain constitue elle-même une première phase d’apprentissage : on commence à voir. Le choix du scénario, issu de cette évaluation, détermine l’efficacité pédagogique de l’ensemble.
- Une organisation qui démarre choisira généralement une crise complète, déroulé entier depuis l’alerte jusqu’à la fermeture de la cellule de crise : c’est l’approche de découverte, celle qui permet d’explorer l’inconnu sans se concentrer sur un seul domaine.
- Certains focalisent sur le PCA ou le PRA – les plans de continuité et de reprise d’activité – pour challenger des processus spécifiques qui n’ont jamais été mis à l’épreuve en conditions proches du réel.
- D’autres, conscients de la fragilité organisationnelle, introduisent l’indisponibilité temporaire de décideurs clés. Parfois un membre de la cellule excelle dans l’exercice et la cellule se repose sur lui. Mais sera-t-il présent quand la crise réelle se déclenchera le 3eme vendredi du mois d’aout. La cellule devra décider sans lui, le temps qu’il revienne de sa plage, de ses cocktail et troque son livre thriller de l’été pour devenir le héro de sa propre histoire.
- Il existe aussi des scénarios hybrides, mêlant une atteinte informatique à d’autres turbulences – crise RH, sociale, catastrophe sanitaire ou naturelle – pour explorer la résilience réelle sous contrainte multifactorielle.
Chaque variante ouvre des apprentissages spécifiques. La sélection ne relève donc pas de l’arbitraire : elle doit s’enraciner dans la cartographie des risques propres à chaque organisation.
Il y a là un principe-clé : le seul exercice utile est celui qui est à l’image de la structure. Une organisation du secteur de la santé, soumise aux attentes de l’Agence du Numérique en Santé et des Agences Régionales de Santé, doit construire son exercice en cohérence avec ces référentiels spécifiques. Sur la base de nos expériences, les membres de la cellule de crise en milieu médical sont rompus aux situations critiques mais maitrisent relativement mal l’impact d’une perte d’accès aux ressources informatiques. L’exercice de crise devra mettre l’accent sur la bascule de l’organisation en mode dégradé.
Une entité bancaire ou aéroportuaire aura ses propres contraintes, ses propres doctrines réglementaires. Combien de temps le système carte bleue peut être inaccessible… le dernier samedi avant noël ? Et si l’affichage de tout l’aéroport est KO, comment les milliers de passagers vont savoir où et quand embarquer ?
La personnalisation n’est pas luxe cosmétique : c’est la condition de l’appropriation. L’affichage d’un aéroport n’est pas « critique » dans l’esprit des dirigeants, en tout cas pas au niveau de la sureté ou des moyens de communication avec les avions ; pourtant sans information passager… rien ne fonctionne.
Quand l’exercice parle la langue de l’organisation, quand il résonne avec ses vraies préoccupations opérationnelles, le taux d’engagement monte, la sincérité des réponses augmente, et la qualité du retour d’expérience s’en trouve décuplée.
« L’exercice de crise ne crée pas la confiance : il la fonde sur des réalités testées. »
Au cœur de la démarche réside une hypothèse forte : un scénario bien calibré permet d’identifier précisément où se situent les axes d’amélioration. Ce n’est pas acquis d’avance. C’est précisément pour cette raison qu’il existe une phase de préparation minutieuse, durant laquelle le scénario est élaboré, des stimuli sont rédigés avec soin, des échanges constants ont lieu entre les animateurs et le sponsor de l’exercice pour affiner la crédibilité et la pertinence du cas d’étude. Une organisation ne peut espérer un retour d’expérience utile que si, en amont, le travail d’ingénierie a été fait. C’est cette préparation qui donne au scénario sa capacité à révéler plutôt qu’à caricaturer.
Du côté de l’organisation, cette phase de préparation n’est pas silencieuse. La mise à jour de l’annuaire de crise, la convocation réelle des membres, la formation préalable de la cellule quand elle est nécessaire – tout cela n’est pas du remplissage administratif. C’est un acte de préparation qui, avant même que l’exercice ne débute, commence à modifier la réalité organisationnelle. On cesse de jouer sur le papier ; on commence à transformer les structures.
Quand l’exercice débute réellement, c’est une machine complexe qui se met en place. Des stimuli circulent : e-mails d’alerte, messages de terrain, information fragmentée et souvent contradictoire au départ, puis qui s’éclaircit progressivement. Tout est conçu pour que l’exercice imite la vraie vie : l’incertitude progressive, l’afflux d’information non structurée, les demandes conflictuelles, le besoin de décider sans complétude de l’information.
À la fin de cette durée d’exercice, un RetEx à chaud se déroule dans les minutes qui suivent. Aucune distance, aucune prétention d’impartialité formelle : c’est un échange immédiat où chacun exprime son ressenti, où les observations premières des observateurs sont partagées, où les succès et les points à améliorer sont identifiés en direct. Ce moment informel constitue souvent l’apprentissage le plus vif : on capte le sentiment brut, on entend les frustrations ou les surprises, on capture l’essence de l’expérience avant qu’elle ne soit filtrée par le silence administratif. Nous avons vécu, face à des équipes soudées, des moments intenses. Des managers qui avouent leurs failles, leurs défaillances, non pas pour se blâmer mais pour évoluer. Entendre « Je découvre aujourd’hui que je ne connais pas assez tes activités » est la preuve la plus flagrante que l’exercice a fonctionné, que collectivement les membres ont gagné en expertise.
À froid, quelques jours plus tard, se tient une réunion formalisée entre l’équipe d’animation et le pilote de l’exercice. Ce n’est plus de l’impression : c’est de l’analyse structurée. Ce rapport, orienté action, donne des prises concrètes pour l’amélioration. Il permet à l’organisation de transformer ce qui a été appris en un plan d’actions : corriger des processus, renforcer une documentation, redéfinir des rôles, améliorer la synchronisation entre équipes, prioriser des investissements techniques, revoir un partenariat critique.
« La vraie maturité cyber n’existe que si elle s’enracine dans le quotidien des équipes. »
Les apports en interne d’un exercice bien mené dépassent largement le document final. D’abord, l’amélioration continue au sens de la norme ISO 27001 – la boucle Plan-Do-Check-Act – trouve dans l’exercice de crise un instrument privilégié. Le Plan existe : c’est la stratégie et les procédures de gestion de crise définies. Le Do, c’est la gestion quotidienne de la sécurité. Mais le Check, la vérification périodique que tout fonctionne réellement, qu’il n’y a pas d’écart entre la théorie et la pratique : c’est précisément ce que l’exercice apporte. On teste, on mesure, on capte la réalité. Et cela nourrit directement l’Act : les actions correctives et les améliorations priorisées.
Ensuite, cette mise à l’épreuve de l’organisation et de ses procédures révèle des zones de fragilité jamais cartographiées jusque-là. Une procédure d’escalade défaillante, une dépendance à un prestataire mal documentée, un gap de communication entre la direction générale et les équipes terrain, une inertie bureaucratique dans la prise de décision : tous ces éléments émergent naturellement lors d’un exercice crédible. C’est précisément pour cette raison que l’exercice de crise, dans sa dimension à la fois test, formation et exploration, élève rapidement la maturité cyber. On ne progresse que si on sait où on est fragile.
La cohésion des équipes s’en trouve renforcée. Un exercice bien joué crée une expérience partagée, une narration commune où chacun a contribué, souvent sous pression. Cela renforce l’acculturation à la gestion de crise : chacun a vécu, physiquement et cognitivement, les tensions de la situation. Les équipes développent une mémoire musculaire, une conscience partagée des enjeux et des interdépendances. Cette dimension d’apprentissage collectif ne peut s’acquérir que par l’expérience, même simulée. Aucune formation théorique ne produit ce type d’alignement et de compréhension mutuelle.
« La réassurance que l’on vend à ses clients commence par celle qu’on se produit à soi-même. »
L’exercice de crise joue aussi, pour l’organisation, un rôle de communication externe stratégique. Il véhicule une image de stabilité et de confiance auprès des clients, des partenaires et des autorités de tutelle. Mais attention : cette image ne naît pas de la simple existence de l’exercice, ni d’un communiqué de presse annonçant sa réalisation. Elle émerge de la démonstration concrète d’une capacité organisationnelle à se poser les bonnes questions, à identifier ses faiblesses, à mettre en place des améliorations. Les organisations les plus mûres utilisent les résultats d’exercices – non pas pour se vanter, mais pour expliquer à leurs clients, partenaires et investisseurs que les risques informatiques ne sont pas ignorés, qu’ils sont cartographiés, pilotés et améliorés de manière structurée.
Cet aspect trouve une acuité particulière dans les dynamiques commerciales modernes. Un nombre croissant de clients impose désormais à leurs fournisseurs des exigences explicites en matière de résilience cyber et de capacité à gérer les incidents. L’exercice de crise, convainquant sur le plan méthodologique, peut constituer un argument de réassurance commerciale. Il dit : nous ne sommes pas naïfs sur les risques ; nous nous y préparons. C’est une forme de crédibilité qui ne coûte pas en termes de transparence : elle bâtit au contraire une relation de confiance fondée sur le réalisme partagé du risque cyber.
Pour une organisation, il n’existe qu’une véritable brique d’amélioration continue en matière de gestion de crise cyber : l’exercice régulier, bien conçu, adaptable et pensé avec sincérité. C’est dans cette exigence de sincérité que réside le secret. Un exercice qui cherche d’abord à rassurer est un exercice qui apprendra peu. Un exercice qui accepte de mettre l’organisation face à ses propres faiblesses, qui cherche à tester plutôt qu’à valider, qui reste disposé à la découverte de zones auparavant ignorées – celui-là transforme l’obligation en opportunité, la contrainte en levier.
C’est pourquoi l’approche de transformation de la contrainte réglementaire en projet d’entreprise ne relève pas du simple rebranding. Elle incarne une posture managériale, une acceptation que l’imprévu sera toujours là, que la crise viendra – ou pas, mais qu’il faut s’y préparer à travers l’entraînement régulier et sincère. Les organisations qui cheminent sur cette voie ne perdent pas du temps en compliance : elles bâtissent une résilience authentique, celle qui permettra, le jour où viendra vraiment l’incident, une réaction cohérente, rapide et efficace.
