L'exercice table top (parfois appelé « tabletop exercise » ou « TTX ») est l'exercice le plus simple et le moins coûteux. Il se déroule en salle, sous forme de discussion structurée autour d'un scénario.

Format :

• Durée : 2 à 4 heures.
• Participants : membres des cellules de crise (CDS, CCO, technique, communication, juridique, RH).
• Lieu : salle de réunion classique.
• Outils : scénario écrit, animateur, observateurs.
• Coût : très faible, mobilisation interne uniquement.

Déroulement type :

1. Briefing : présentation du scénario, rappel des objectifs.
2. Injections : l'animateur introduit progressivement des éléments de scénario (« vous apprenez qu'une attaque ransomware a chiffré tous les serveurs principaux »).
3. Discussion : les participants discutent des décisions à prendre, mobilisent les fiches réflexes, échangent.
4. Évaluation à chaud : retours immédiats des observateurs.
5. RETEX formalisé après l'exercice.

Scénarios typiques :

• Ransomware sur les serveurs principaux.
• Incendie au datacenter.
• Pandémie nécessitant le télétravail généralisé.
• Perte d'une personne-clé en pleine crise.
• Crise médiatique suite à un incident.
• Faillite d'un fournisseur critique.

Fréquence recommandée : tous les 6 mois minimum pour les organisations sensibles, annuelle minimum pour toutes.

« Le table top est le test le plus accessible et le plus rentable. En 3 heures, on identifie 80 % des défauts d'organisation. C'est le strict minimum incompressible. »

— Guide ANSSI sur les exercices de crise, 2023

L'exercice fonctionnel teste l'exécution réelle des procédures techniques du PRA, sans toutefois bascule complète de la production. Plus engageant qu'un table top, moins risqué qu'une grandeur réelle.

Exemples :

• Test de restauration : restaurer un serveur ou une application complète depuis sauvegarde, sur un environnement isolé, et vérifier l'intégrité des données.
• Test de bascule PRA partiel : basculer une application non critique vers le site de secours pour quelques heures.
• Test de l'annuaire d'astreinte : appeler tous les membres de la cellule de crise et vérifier les contacts.
• Test de la salle de crise : convoquer la cellule en salle physique, vérifier que tous les outils fonctionnent.
• Test de communication externe : préparer et envoyer un message test à un groupe restreint de clients ou prestataires.
• Test des notifications réglementaires : simuler les contacts avec CNIL/ANSSI/ACPR (sans réel envoi).

Caractéristiques :

• Durée : de quelques heures à 1 journée.
• Participants : équipes techniques + cellules concernées.
• Risque : faible mais non nul (impact production possible si mal cadré).
• Coût : modéré (mobilisation équipe technique).
• Préparation : 2-4 semaines avant.

Fréquence recommandée : 2 à 4 fois par an, en alternant les scénarios et les applications testées.

Les tests de restauration doivent être documentés rigoureusement : durée totale, problèmes rencontrés, écarts par rapport aux RTO/RPO cibles, actions correctives. Ces résultats alimentent l'amélioration continue.

L'exercice grandeur réelle (full-scale exercise) est l'exercice le plus ambitieux et le plus révélateur. Il simule un sinistre majeur avec basculement effectif de la production vers le site de secours, mobilisation complète de l'organisation, communication interne et parfois externe simulée.

Format :

• Durée : de plusieurs heures à plusieurs jours selon les ambitions.
• Participants : toute l'organisation (ou ses cellules clés) — souvent plusieurs centaines de personnes pour les grandes entreprises.
• Risque : significatif — un test mal géré peut causer une vraie panne.
• Coût : élevé (30 k€ à 500 k€ selon l'ambition).
• Préparation : 2 à 6 mois minimum.

Méthodologie type :

1. Définition des objectifs et du périmètre (1-2 mois avant).
2. Rédaction du scénario détaillé.
3. Préparation logistique : salle de crise opérationnelle, outils, ressources, communications.
4. Briefing initial : annoncer l'exercice (parfois non annoncé pour les meilleures organisations).
5. Déclenchement de l'exercice par un appel ou un signal officiel.
6. Mobilisation de la cellule de crise.
7. Exécution des procédures (vraies actions).
8. Suivi par observateurs dédiés (souvent un cabinet externe).
9. Évaluation à chaud en fin d'exercice.
10. RETEX formalisé sous 1 mois.
11. Plan d'amélioration et nouvelle planification.

Fréquence recommandée :

• OIV : annuel minimum (souvent imposé par les arrêtés sectoriels ANSSI).
• NIS2 EE : annuel.
• NIS2 EI : tous les 2 ans.
• DORA : annuel + TLPT (Threat-Led Penetration Testing) tous les 3 ans pour les entités les plus systémiques.
• Autres organisations : tous les 2-3 ans minimum.

Le règlement DORA impose pour les entités financières les plus systémiques le TLPT (Threat-Led Penetration Testing) — équivalent du framework TIBER-EU (Threat Intelligence-Based Ethical Red Teaming) déjà utilisé par les banques centrales.

Principes du TLPT :

• Tests adverses réalistes : équipes Red Team simulent les TTP (tactiques, techniques, procédures) d'attaquants connus.
• Sans préavis aux équipes opérationnelles : seuls quelques dirigeants sont au courant pour mesurer la détection réelle.
• Sur le SI de production, avec garde-fous stricts pour éviter les dommages.
• Renseignement de menace initial pour calibrer les scénarios sur des menaces actuelles.
• Rapport détaillé sur les forces et faiblesses identifiées.
• Fréquence triennale au minimum pour les entités concernées.
• Coût : 200 k€ à 1 M€ selon l'ampleur.

Le cabinet de Red Team doit être certifié (PASSI Red Team en France, CREST CRT au Royaume-Uni). Acteurs français principaux : Synacktiv, Wavestone, Solucom-CGI, Solucom-XMCO, Devoteam, Orange Cyberdefense, Intrinsec.

Autres types de tests cyber complémentaires :

• Pentest classique : test d'intrusion sur un périmètre donné (application web, infrastructure interne, etc.).
• Audit de configuration : examen documentaire et technique des configurations sécurité.
• Phishing campaign : envoi d'emails de phishing test pour mesurer la maturité des salariés.
• Tests sociaux : tentatives d'ingénierie sociale (téléphone, présence physique).
• Audits OWASP/CIS Benchmark : référentiels de sécurité.
• Tests de résilience cloud : Chaos Engineering (Netflix Chaos Monkey, AWS Fault Injection Simulator).

Le retour d'expérience (RETEX) est l'étape indispensable qui suit tout exercice. Sans RETEX formalisé, l'exercice n'a pas de valeur.

Méthode classique :

1. Évaluation à chaud en fin d'exercice : tour de table de 30-60 minutes, points positifs, difficultés rencontrées, ressentis.
2. Compilation des observations par les observateurs et la cellule organisatrice.
3. Réunion RETEX à froid 2-4 semaines après : analyse des écarts entre objectifs et résultats, recherche des causes racines.
4. Plan d'amélioration avec actions, responsables et délais.
5. Rapport RETEX formalisé, signé par le BCM et validé par la direction.
6. Présentation en revue de direction.
7. Mise à jour du PCA : nouvelles procédures, ajustement des fiches réflexes, mise à jour des contacts.

Indicateurs RETEX à mesurer :

• Délai de mobilisation de la cellule de crise.
• Taux de disponibilité des membres de la cellule (combien étaient présents/joignables).
• Délai de la première communication publique.
• Conformité aux RTO/RPO cibles.
• Nombre de fiches réflexes utilisées et leur efficacité.
• Difficultés techniques rencontrées (annuaire obsolète, mot de passe inconnu, application non testée...).
• Pertinence des décisions prises.

Bonnes pratiques RETEX :

• Culture de l'apprentissage : pas de chasse aux coupables, recherche d'amélioration.
• Anonymat possible sur les retours individuels.
• Diversité des points de vue : terrain, encadrement, observateurs, externes.
• Documentation des « incident-prévenu » : exercices qui ont révélé un risque non détecté autrement.
• Partage entre BCM de différentes organisations (clubs, communautés AMRAE, CLUSIF).

« Un exercice sans RETEX est un coût pur. Un RETEX sans plan d'amélioration suivi est une perte de temps. Un plan suivi rigoureusement transforme l'exercice en amélioration réelle. »

— BCM d'un grand groupe bancaire français, 2024

Pour une organisation mature (ETI / grande entreprise / OIV / acteur NIS2 ou DORA), un calendrier-type sur 12 mois :

Variantes selon les obligations :

• Banque / DORA : ajouter un TLPT trisannuel + tests SI critiques mensuels.
• OIV / NIS2 EE : exercice grandeur réelle obligatoire annuel + audits PASSI/ANSSI.
• PME / ETI standard : 1 grandeur réelle tous les 2-3 ans suffit, table top + fonctionnels deux fois par an.