Points clés
- Les scénarios de crise dédiés aux infrastructures essentielles doivent simuler des situations réalistes, pas des pannes ordinaires.
- Un exercice de crise efficace teste simultanément la technique, les processus de décision et la communication interne et externe.
- L'exercice Cyber Europe, coordonné par l'ENISA depuis 2010, réunit les États membres dans des simulations d'incidents touchant les infrastructures critiques européennes.
- DORA impose aux entités financières de réaliser des tests de résilience basés sur la menace (TLPT) au minimum tous les trois ans.
- Les simulations de type tabletop exercise révèlent régulièrement des lacunes dans les chaînes de décision que les tests techniques ne détectent pas.
Un scénario de crise pour infrastructure critique diffère fondamentalement d'un test de sauvegarde ou d'un exercice de reprise technique. Son objectif n'est pas de vérifier si les systèmes peuvent être restaurés — c'est de tester si l'organisation peut prendre des décisions dans l'incertitude, communiquer efficacement et coordonner des actions simultanées sous pression temporelle.
Les crises réelles sur infrastructures critiques ne ressemblent pas aux tests planifiés. Elles surviennent au mauvais moment, impliquent des composants inattendus, et produisent des effets de cascade que les plans ne couvrent pas. La valeur des exercices de crise est précisément d'exposer ces écarts entre le plan documenté et la réalité opérationnelle — dans un contexte où l'échec est formateur plutôt que destructeur.
Les types de scénarios pertinents
Plusieurs types de scénarios sont adaptés aux infrastructures critiques. Le scénario de ransomware ciblé simule le chiffrement simultané de systèmes critiques et de leurs sauvegardes, avec une demande de rançon et une fuite de données annoncée. Le scénario de compromission de prestataire critique simule la découverte d'une backdoor dans un logiciel utilisé par l'infrastructure critique, nécessitant une décision d'isolation qui impacte la disponibilité. Le scénario de défaillance physique combinée à une tentative de cyberattaque simule un incident simultané sur plusieurs dimensions. Ces scénarios croisés sont ceux qui révèlent les véritables capacités de résilience organisationnelle.
ENISA publie annuellement des scénarios de crise pour les infrastructures critiques européennes, basés sur des incidents réels anonymisés, à l'usage des exercices nationaux et sectoriels.
La structure d'un exercice de crise efficace
Un exercice de crise pour infrastructure critique comprend trois phases. La phase de tabletop exercise engage la direction dans un scénario simulé : les décisions sont discutées mais non exécutées. Cette phase révèle les lacunes de gouvernance, de communication et de chaîne de décision. La phase technique (functional drill) exécute des éléments du plan de continuité : bascule sur infrastructure de secours, restauration depuis sauvegarde hors ligne, isolation d'un segment réseau. La phase de full-scale exercise combine les deux dimensions. DORA et ISO 22301 recommandent une progression annuelle entre ces niveaux.
Ce que révèlent les exercices
Les exercices de crise sur infrastructures critiques révèlent systématiquement les mêmes catégories de lacunes. Les lacunes de communication : qui informe qui, dans quel ordre, avec quel niveau de détail ? Les procédures d'escalade vers la direction sont souvent floues dans les premières heures. Les lacunes de documentation : les procédures d'urgence sont-elles accessibles sans dépendance aux systèmes compromis ? Les lacunes de décision : qui a autorité pour décider l'isolation d'un système critique qui impactera des milliers d'utilisateurs ? Ces questions, dont les réponses paraissent évidentes hors crise, deviennent complexes sous pression.
Le Programme Hamilton, organisé par le Center for Strategic and International Studies et des agences gouvernementales américaines, conduit des exercices de crise cybersécurité destinés spécifiquement aux dirigeants du secteur financier. Ces exercices, auxquels participent les CEOs et CFOs de grandes institutions, simulent des scénarios de compromission d'infrastructures critiques financières. Les conclusions publiées ont systématiquement identifié des lacunes dans la capacité de décision sous incertitude au niveau exécutif plutôt que dans les capacités techniques.
Cyber Europe 2022 a réuni plus de 800 participants de 29 pays dans un exercice simulant une cyberattaque coordonnée contre des infrastructures critiques de santé européennes. L'exercice a révélé des lacunes dans la coordination transfrontalière, la communication de crise vers le public et la capacité des organisations de santé à activer leurs plans de continuité sur des systèmes critiques dans des délais réalistes. Les recommandations issues de cet exercice ont été intégrées dans les guidelines NIS2 pour le secteur santé.
La Monetary Authority of Singapore organise des exercices de simulation à l'échelle du secteur financier (Industry-Wide Simulation Exercise) depuis 2013. Ces exercices testent simultanément plusieurs institutions financières dans un scénario de crise systémique touchant des infrastructures critiques partagées (réseau de paiement interbancaire, infrastructure boursière). L'IWSE 2023 a simulé une perturbation majeure des systèmes de paiement FAST et PayNow. Les résultats ont conduit à des mises à jour des protocoles de communication de crise interbancaire.