Comment entrainer les professionnels de tous les secteurs à une crise cybersécurité géante ? Pour répondre à cet enjeu, l’agence nationale de la sécurité des systèmes d’information (Anssi) réalise chaque année un exercice grandeur nature. Organisée le 18 septembre dernier avec le soutien du Campus Cyber national, du CCA, du Cesin et du Clusif, l'édition 2025 a fait participer 5 680 personnes (dans 1 263 organisations) dont les métiers ne sont principalement pas liés à la cybersécurité ni au numérique. Et ce dans les 13 régions sans compter les 9 territoires ultramarins.

La participation à cet exercice s’effectuait selon deux modalités : en autonomie au sein de l’organisation (dans ses locaux) pour tester son dispositif de gestion de crise, ou bien dans un lieu d’accueil en région. Cette année, le scénario a consisté en une compromission par un acteur étatique de la mise à jour d’une solution antivirus/EDR massivement utilisée donnant la possibilité à un attaquant de saboter des infrastructures sur lesquelles celle-ci était installée. Et aussi de déboucher sur des fuites de données massives avec demande de rançons. Pour participer à cet exercice, une méthodologie (sur la gestion de crise et du rôle des participants) ainsi que des modèles de documents nécessaires à sa réalisation ont été fournis. Pour quels résultats ? « Rempar25 a répondu aux attentes de plus de 99 % des répondants », s’est félicitée l’Anssi dans un rapport revenant sur cet exercice cybersécurité de grande ampleur. « Pour près de 95 % des participants, Rempar25 a été l’occasion de mettre en place des actions sur les volets gestion de crise et/ou SSI ».

Une préparation de crise cybersécurité pas toujours mature

Par ailleurs près de 80 % des répondants ont indiqué instancier ou mettre à jour leur dispositif de gestion de crise en sécurité, plus de 60 % veulent rédiger un plan de continuité d’activité ou intégrer un volet cybersécurité à un PCA existant et près de la moitié des organisations souhaitent mettre en place des mesures de sécurité complémentaires. Si au global les résultats paraissent à la hauteur, l’agence souligne dans le même temps une maturité contrastée en fonction du niveau de traitement des différents enjeux auxquelles les organisations ont été confrontées. « Si une culture des exercices de gestion de crise semble désormais bien ancrée [...] plusieurs volets essentiels de la gestion de crise d’origine cyber demeurent insuffisamment approfondis », prévient l’Anssi. Il s’agit par exemple des aspects liés à la continuité d’activité et sortie de crise ainsi que l’anticipation qui ont été traitées de manière superficielle ou lacunaire respectivement par 20 % et 16 % des participants.

Parmi les autres enseignements de cet exercice de grande ampleur : une capacité générale à bien maitriser les premières actions de sécurité des SI en identifiant rapidement les mesures prioritaires de confinement et de sécurisation. « Plusieurs organisations ont souligné une meilleure prise de conscience du rôle des aidants dans la réponse à incident en cas de crise d’origine cyber, marquant une évolution positive dans la compréhension des acteurs à mobiliser », indique le rapport. En revanche, ce satisfecit ne s'adresse aux entités disposant d'une maturité intermédiaire ou avancée. Celles dont le manque de connaissance des métiers supports limite une mobilisation efficace des compétences clés au bon moment. Si l’Anssi explique que des dispositifs de continuité d’activité et de sortie de crise existent bien, ils sont en revanche peu testés ou mis à jour. Les plus aguerries « se distinguent par la disponibilité d’une documentation opérationnelle – notamment des plans de continuité d’activité (PCA) et des fiches réflexes – facilitant la gestion des différentes phases de crise, contrairement aux organisations les moins matures », souligne l’agence. Pour les plus avancées, « elles disposent d'une documentation de continuité d’activité (PCA, fiches réflexes) claire, connue et régulièrement éprouvée par les équipes concernées, garantissant une mobilisation rapide et efficace en situation de crise » ajoute l'agence.

Fixer des priorités

Parmi les actions majoritairement recensées dans les retours d’expérience des participants à Rempar25 : mettre à jour le dispositif de gestion de crise d’origine cybersécurité (64 %), travailler la méthodologie d’anticipation (60 %), et rédiger un ou plusieurs plans de continuité d’activité (53 %). En revanche certaines ne sont vraiment pas à l’ordre du jour comme augmenter l’enveloppe budgétaire assignée à la sécurité des SI (89 %), intégrer un volet cybersécurité dans un ou plusieurs PCA (66 %), et instancier un dispositif de gestion de crise en cybersécurité (63 %).