Ransomware, confusion et décisions critiques : autopsie d’une simulation de crise cyber 

 

En début d’été, au Campus Cyber, l’expert en gestion de crise cyber, Alcyconie, a plongé des professionnels dans un exercice de gestion de crise cyber d’une rare intensité. Pendant une heure, ils ont dû sauver Voltessia, un fournisseur d’électricité victime d’un ransomware. 

 

Il est 16h31 quand l’alerte tombe. L’entreprise Voltessia est en crise. Pas de doute possible : ses outils de gestion financière ne répondent plus, ses applications de distribution d’électricité sont instables. Dans trois pièces fermées du Campus Cyber, à Paris, les participants prennent place. Ils incarnent, le temps d’une heure, les membres de la direction de Voltessia, une entreprise fictive confrontée à un chaos, lui, bien réaliste. Les visages se figent. “On est en crise.” Le ton est donné : inutile de tergiverser, l’attaque a déjà eu lieu. C’est la règle du jeu réduit à une heure au lieu de trois habituellement, donc ici, la crise ne se détecte pas, elle se vit. Un choix assumé par Alcyconie, la société organisatrice, spécialisée dans la gestion de crise cyber. “Dans la vraie vie, la difficulté c’est souvent de qualifier le passage en crise. Ici en une heure, on veut aller droit au cœur du problème : comment on agit ? Qui décide quoi ? Comment on documente ?”, a expliqué Stéphanie Ledoux, CEO et fondatrice d’Alcyconie. 

 

Simuler l’urgence, sans filet 

 

Pour donner corps à cette urgence, Alcyconie s’appuie sur PIA, une plateforme numérique immersive conçue en interne. Chaque participant y accède via un poste individuel : mails, appels, réseaux sociaux, notifications ANSSI (Agence nationale de la sécurité des systèmes d’information), pressions clients, tout y est. Côté réseaux sociaux, “Y” et “Instagrum” s’appuient sur l’interface de leurs homologues (X et Instagram), mêlant ainsi faux post et actualités pour semer le doute. Et l’illusion fait mouche. Les participants ont découvert un tweet de SaxX, le hacker révélant des fuites de données sur X, qui annonce la cyberattaque visant le distributeur d’énergie. Les joueurs ont dû réagir à chaud. Pas seulement en termes techniques. Voltessia étant un opérateur essentiel, la directive européenne NIS 2 impose des obligations strictes : main courante, gouvernance de crise formalisée, communication maîtrisée, coordination entre services. L’exercice devient alors une mise à l’épreuve concrète des nouvelles responsabilités légales. “On est au croisement entre stress opérationnel et responsabilité juridique”, a commenté Anaïs Fauré, chef d’équipe de gestion de crise cyber. 

 

Trop de bruit, pas assez de décisions 

 

Dans la cellule, les rôles fictifs ont été distribués : DRH, RSSI, DSI, responsable com, direction générale … tous doivent décider dans l’incertitude. Très vite, les téléphones sonnent, les mails s’accumulent. L’un prend un appel en haut-parleur, une autre tente de noter pendant qu’un troisième débat à voix haute. L’ambiance vire à la cacophonie. “Quand tout le monde parle, personne ne décide”, a glissé Anaïs Fauré. Les premières erreurs se répètent. Mauvaise communication, informations perdues, retards de réaction. L’enjeu devient clair : ce n’est pas tant la technique qui compte, mais la capacité à organiser le chaos. Pourtant, une cellule s’est démarquée par sa stratégie méticuleuse et son ordre, celle des dirigeants de grands groupes : définition de rôles, restitution après chaque appel, gestion des flux et des points réguliers sur la situation. Tous les réflexes étaient présents.  

 

Ce n’est pas qu’un problème technique 

 

Le scénario s’intensifie. Le ransomware Medusa a chiffré des données sensibles. Des identifiants ont été compromis. Une attaque par rebond sur la supply chain est suspectée. Le CERT, simulé à distance, confirme que des données ont été exfiltrées. Pire, certaines pourraient être mises en vente sur le dark web. Faut-il communiquer ? Payer ? Ou se taire et attendre ? C’est le dilemme classique mais brutal. Des journalistes appellent. Un participant veut alerter le directeur général. “Là, on teste la chaîne de décision. C’est typique d’un moment charnière : faut-il arrêter l’activité ou continuer en mode dégradé ?”, a souligné Anaïs Fauré. Au-delà de l’aspect technique, les obligations légales s’ajoutent à la complexité de l’instant (notification à l’ANSSI, à la CNIL, conservation des preuves…). Dans le feu de l’action, les oublis s’accumulent et sans stratégie claire, la cellule s’épuise à courir après les urgences. “Une crise cyber, ça ne dure pas trois heures. Ça s’étale parfois sur plusieurs mois. Ce qu’on voit là, c’est juste la mise à feu”, a rappellé Stéphanie Ledoux. En situation réelle, les 15 premiers jours sont cruciaux : collecte de preuves, notifications légales, documentation des décisions, gestion de la réputation. L’exercice, condensé en une heure, concentre le stress, mais révèle surtout les failles de préparation.

 

Une heure de chaos, des mois d’enseignements 

 

À 17h31, le scénario s’interrompt. L’intensité redescend, les visages se relâchent, quelques rires nerveux fusent. En salle, le débrief commence : que retenir, que corriger, que documenter ? Tous ont ressenti la charge émotionnelle. “Ce que ça révèle surtout, c’est la pluralité des impacts : juridique, RH, réputationnel, opérationnel”, a noté un participant. Un post mortem détaillé a été transmis, pour affiner les procédures et ajuster les annuaires. Car ici, l’objectif n’était pas de tout réussir. “Ce genre d’exercice, c’est de l’entraînement intensif. Ce qu’on gagne, c’est une capacité à décider dans l’incertitude, à documenter sous pression, à gérer les egos dans la salle », a souligné Stéphanie Ledoux. Si, au ministère des Armées, ces simulations peuvent durer une semaine entière, les participants du jour auront été épargnés : pour eux, une heure aura suffi à faire monter l’adrénaline. Voltessia n’a pas coulé. Mais elle n’a pas tout sauvé non plus. Et c’est justement le but. “On a le droit d’être battu, pas d’être surpris”, a tranché Anaïs Fauré. C’est peut-être la meilleure leçon de l’après-midi.