Pour le technicien qui intervient.
Une crise cyber touche tout le monde : DG, communication, RH, juridique, métiers, fournisseurs. Un exercice limité a l'IT manque le pire : la coordination cross-fonctions. Inviter les representants de toutes les fonctions critiques, meme si l'exercice initial est plus difficile a organiser.
Un exercice ou tout s'est bien passe n'est pas formateur : il etait trop facile. Identifier les manques, les blocages, les décisions hesitantes. Le RETEX doit etre franc, anonymise pour ne pas blamer, et diffuse aux participants. Les actions correctives identifiees doivent etre tracées jusqu'a leur cloture.
Un table top (discussion autour d'un scenario) est peu couteux et utile pour les debutants. Une simulation (avec equipes injects et reactions reelles) est plus realiste. Un exercice reel (avec coupures techniques cibles) est le plus formateur mais le plus risque. Alterner pour faire monter en maturite progressivement.
Pour le responsable / gestionnaire.
Une crise cyber touche tout le monde : DG, communication, RH, juridique, métiers, fournisseurs. Un exercice limité a l'IT manque le pire : la coordination cross-fonctions. Inviter les representants de toutes les fonctions critiques, meme si l'exercice initial est plus difficile a organiser.
Pour les opérateurs d'importance vitale (OIV), de services essentiels (OSE) et les entites couvertes par NIS2 (art. 21), l'exercice de crise est une obligation. Pour les autres, c'est une bonne pratique reconnue par ISO 22301 et ISO 27001 A.17. Realiser au moins un exercice annuel et conserver le RETEX.
En crise reelle, il faut communiquer avec la CNIL (sous 72h pour violation RGPD), les autorites (ANSSI pour OIV/OSE), les clients, parfois la presse. L'exercice doit tester ces canaux : qui rediger, qui valide, par quel canal, en combien de temps. Une communication maladroite ampliifie le dommage reputationnel.
Un exercice ou tout s'est bien passe n'est pas formateur : il etait trop facile. Identifier les manques, les blocages, les décisions hesitantes. Le RETEX doit etre franc, anonymise pour ne pas blamer, et diffuse aux participants. Les actions correctives identifiees doivent etre tracées jusqu'a leur cloture.
Un table top (discussion autour d'un scenario) est peu couteux et utile pour les debutants. Une simulation (avec equipes injects et reactions reelles) est plus realiste. Un exercice reel (avec coupures techniques cibles) est le plus formateur mais le plus risque. Alterner pour faire monter en maturite progressivement.
Pour l'audit, conserver les preuves : invitations, scenario, supports utilises, comptes rendus, plan d'actions et son suivi. Stocker dans un emplacement non modifiable pour 5 ans minimum. C'est l'un des premiers documents demandes lors d'un audit NIS2 ou ISO 22301.
Pour l'auditeur et le contrôle de conformité.
Pour les opérateurs d'importance vitale (OIV), de services essentiels (OSE) et les entites couvertes par NIS2 (art. 21), l'exercice de crise est une obligation. Pour les autres, c'est une bonne pratique reconnue par ISO 22301 et ISO 27001 A.17. Realiser au moins un exercice annuel et conserver le RETEX.
Pour l'audit, conserver les preuves : invitations, scenario, supports utilises, comptes rendus, plan d'actions et son suivi. Stocker dans un emplacement non modifiable pour 5 ans minimum. C'est l'un des premiers documents demandes lors d'un audit NIS2 ou ISO 22301.