Cyberattaque nationale : un exercice de crise ouvert à tous pour renforcer la résilience collective

Nos économies et nos administrations ont plus que jamais besoin des services numériques pour fonctionner. Comment se prépare-t-on à l’éventualité de cyberattaques qui viendraient paralyser le pays ?

La guerre numérique est devenue une réalité, avec l’organisation par la plupart des gouvernements d’états-majors dédiés à la cyberdéfense, comme en France le COMCYBER. Mais au-delà de ces forces armées, en cas d’affrontement, le ciblage des systèmes d’information peut concerner toutes les organisations : entreprises, collectivités, administrations civiles, associations…

Créant de fait des dysfonctionnements en cascade de manière à déstabiliser les opinions publiques et à affecter la vie quotidienne de la population. C’est la raison pour laquelle dans ce contexte cyber, on doit envisager une approche duale, qui combine les dimensions civiles et militaires.

L'indispensable préparation du secteur privé

Il ne faut plus considérer le champ de bataille comme étant un lieu où ne s’affronteraient que des armées régulières. Des opérations d’infiltration numérique à des fins de destruction des équipements gérés par des entreprises peuvent causer des dégâts très importants.

Alors même que ces sociétés ont une activité sans lien avec le domaine militaire. Leur mise hors d’état de fonctionner devient par contre un élément de la stratégie offensive de l’agresseur.

Cela a commencé par l’identification des entreprises dont l’activité est critique pour la vie de la communauté nationale : le traitement de l’eau, l’énergie, les services financiers, l’alimentation, les transports… La réglementation, notamment avec des directives européennes, leur fixe des obligations exigeantes de protection de leurs systèmes d’information et de leurs actifs numériques.

Charge aux autorités comme en France, l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) de veiller à leur déploiement. Et à la prise en compte de ces mesures par leur réseau de sous-traitants. Désormais ce sont plus de 15 000 entités en France qui doivent se mettre en conformité avec ces règles de cybersécurité.

Mettre en pratique les plans de protection

Ces investissements en matière de sécurité numérique sont certainement vertueux. Mais rien ne vaut des exercices pratiques pour évaluer la robustesse de ces mesures de défense. Comme on le fait pour s’entraîner à évacuer un bâtiment en faisant retentir une sirène afin d’habituer chacun à pratiquer les bons gestes en cas d’incendie.

C’est une bonne chose de le faire dans le cadre d’une entreprise pour se mettre en condition afin de tester les mesures envisagées une fois que votre messagerie est paralysée, que tous vos fichiers professionnels ou que vos chaînes de production sont rendues inaccessibles par l’introduction d’un logiciel malveillant.

Des circonstances qui peuvent empêcher durablement une reprise d’activité normale et générer des pertes financières importantes.

Pour coller encore davantage à la réalité, l’ANSSI invite dès à présent toutes les organisations, quels que soient leur taille, leur localisation en France, leur secteur d’activité et leur maturité cyber, à participer à un gigantesque exercice de crise à l’échelle nationale.

Une simulation à l'échelle du pays

L’exercice s’appelle REMPAR25 et se tiendra le 18 septembre 2025. Les inscriptions sont gratuites et ouvertes à toutes les entités jusqu’au 10 mai 2025. La précédente édition, en 2022, avait rassemblé 550 participants, issus d’une centaine d’organisations différentes.

Le nombre des parties prenantes et leur diversité permettront de coller à ce qui pourrait être une situation réelle de crise systémique. C’est la raison pour laquelle les inscrits ne doivent pas seulement être issus des équipes cybersécurité des structures participantes. Mais doivent également impliquer des collaborateurs des services juridiques, RH, communication, production et même des directions générales.

Pour finaliser l’organisation et permettre à chacun de comprendre les modalités de l’exercice des visioconférences seront organisées pour les participants de mai à septembre 2025.

Le but est, à partir du scénario d’attaque qui se déroulera tout au long de la journée, d’observer comment réagissent les cibles, la pertinence des dispositifs de sécurisation, l’efficacité des ripostes envisagées, la résilience des instances de coordination… Bref, de confronter les plans théoriques à des situations réelles. 

Ce qui signifie que la phase d’analyse post-exercice sera particulièrement importante afin d’en tirer des enseignements, et identifier des pistes d’amélioration des politiques de cybersécurité mises en œuvre jusqu’à présent. Une démarche collective salutaire pour entretenir et renforcer la résilience collective.