Alcyconie plonge 30 décideurs dans la peau d’un COMEX sous pression 

Une puce qui ne sera plus livrée. Un correctif qui n’existera jamais. Sur l’écran, le faux journal télévisé déroule une escalade entre Washington et Bruxelles, jusqu’à cette rupture nette : plus de composants électroniques pour les acteurs européens du spatial. Ces FPGA rad hard, capables de résister aux radiations, sont pourtant essentiels au pilotage des satellites. Sans eux, pas de mise à jour fiable, pas de maintien en condition opérationnelle. Une information déjà déstabilisante mais qui n’arrive pas seule. Une vulnérabilité critique, exploitable à distance, menace ces mêmes équipements déjà en orbite. Continuer à opérer ou tout dégrader pour sécuriser. Dans la salle du Forum INCYBER, une trentaine de DSI, RSSI et dirigeants incarnent le COMEX d’un acteur fictif du New Space, sous le regard de Joffrey Célestin-Urbain, président du Campus Cyber. “Voilà pour le contexte, assez léger”, a lancé Stéphanie Ledoux, fondatrice d’Alcyconie, spécialisé en simulation de crise cyber. L’ironie fait sourire, brièvement. Elle sert surtout à poser un cadre. Celui d’un exercice conçu pour déplacer les repères. L’entreprise, qualifiée par l’ANSSI pour la préparation à la gestion de crise cyber, propose ici un scénario où la panne n’est pas technique mais systémique. Une chaîne d’approvisionnement rompue pour des raisons politiques. Une dépendance industrielle transformée en faille. Une organisation contrainte de décider sans solution satisfaisante. 

Une crise sans attaquant ou Penser l’impensable  

Le scénario avance, et les réflexes habituels se dérobent. Pas de ransomware, pas d’attaquant clairement identifié, rien à contenir dans un périmètre IT. La crise vient d’un rapport de force entre États, puis s’infiltre dans les systèmes. Les participants se connectent à la plateforme d’entraînement, reçoivent des mails, des appels, des notifications. Les premières questions tombent. Quelle est l’exposition réelle ? Faut-il communiquer ? Qui alerter ? “On va vous proposer une séance autour de la prospective, à savoir penser l’impensable”, a rappelé Stéphanie Ledoux. Il ne s'agit plus de penser des crises improbables, mais de considérer ces situations comme plausibles. Et ce scénario s’appuie sur des vulnérabilités déjà connues : dépendances aux composants étrangers, tensions géopolitiques, chaînes d’approvisionnement sous pression. “Les crises numériques s’inscrivent dans un ensemble systémique”, a rappelé la fondatrice d’Alcyconie. L’analyse s’impose d’elle-même dans la salle. Les joueurs ne doivent plus chercher un point d’entrée technique, mais adopter une lecture globale. La cybersécurité devient une composante parmi d’autres, au même niveau que le juridique, la communication ou la stratégie industrielle. Ce glissement oblige à sortir des procédures établies. “On est très focalisés sur l’incident connu”, a observé Guillaume Chereau, directeur des opérations d’Alcyconie. Certains participants cherchent encore un signal technique à qualifier. D’autres comprennent plus vite que la décision se joue ailleurs. Dans l’arbitrage. 

Organiser l’incertitude

À mesure que les informations s’accumulent, la cellule se structure...ou pas. Les téléphones passent de main en main. Les échanges se tendent. Faut-il arrêter certains services pour protéger les satellites, au risque d’impacter les clients ? Frôler la compromission pour maintenir l’activité ? Les réactions divergent. Un groupe propose de basculer en mode sécurisé. Un autre préfère attendre davantage d’éléments. L’hésitation devient visible. “Attention à ne pas confondre vitesse et précipitation”, a insisté Guillaume Chereau. La remarque sonne comme un rappel à l’ordre. Dans ce type de crise, l’urgence est trompeuse. D’un côté, décider trop vite peut figer une mauvaise trajectoire. De l’autre, attendre trop longtemps peut laisser la situation se dégrader. Difficile de placer le curseur. Certains participants prennent du recul, structurent les échanges, imposent des points de situation. D’autres s’enfoncent dans le flux d’informations. La différence se creuse. Elle ne tient pas à la technique, mais à la capacité à organiser l’incertitude. 

Le bruit informationnel s’invite

Dans la salle, les postures pragmatiques s’effondrent face aux turbulences. Sur les réseaux simulés, les publications s’enchaînent. Commentaires, spéculations, accusations. Au milieu du tumulte, un nom finit par surgir : SaxX, hacker connu pour ses révélations de fuites et ses commentaires des attaques en temps réel. Ici, il est recréé pour l’exercice, avec ses codes et son ton. “On s’inspire de figures connues de l’écosystème pour recréer des réactions crédibles en ligne”, a expliqué Guillaume Chereau. L’effet est immédiat. Les participants ne gèrent plus seulement une crise interne. Ils font face à un récit qui évolue en temps réel. Répondre, c’est prendre le risque d’alimenter la polémique. Ne rien dire, c’est laisser le terrain libre. Certains rédigent des éléments de langage. D’autres préfèrent attendre. L’incertitude gagne aussi la communication. Et dans cet espace, le temps ne joue plus en faveur de l’organisation. Lorsque l’exercice s’interrompt, rien n’est réellement clos. Les satellites sont toujours en orbite. Les vulnérabilités aussi. Les décisions prises restent imparfaites. Ce qui subsiste, c’est une tension. Celle d’un modèle qui repose sur des dépendances difficilement maîtrisables. “Les scénarios qu’on connaît ne sont plus ceux auxquels on va devoir se préparer”, a estimé Stéphanie Ledoux. Dans cette salle du FIC, l’exercice n’a pas cherché à reproduire une crise réaliste. Il a montré qu’elle l’était déjà.