Exercice de crise cyber en environnement industriel : 5 pièges à éviter
Un tabletop OT mal préparé peut faire plus de mal que de bien. Retour d'expérience sur ce qui fonctionne vraiment en environnement de production.
L'exercice qui ne sert à rien et comment l'éviter
D'expérience, un exercice de crise cyber OT qui ne mobilise que les équipes IT et sécurité apprend très peu de choses utiles. Il teste la réponse informatique à un incident informatique c'est bien, mais ce n'est pas suffisant dans un environnement industriel où la vraie question est : que se passe-t-il quand les automates s'arrêtent, quand la ligne est paralysée, quand les opérateurs ne peuvent plus accéder à la supervision ? Ces questions n'ont de réponses que si les équipes de production sont dans la salle.
Les exercices de crise cyber OT se développent en France depuis l'obligation NIS2 et les recommandations de l'ANSSI, notamment via le programme REMPAR qui simule des attaques sur des infrastructures industrielles critiques. Mais la majorité des entreprises industrielles n'ont pas encore organisé leur premier exercice OT et quand elles le font, elles reproduisent les erreurs classiques des exercices IT transposés sans adaptation.
5 pièges à éviter pour que l'exercice soit vraiment utile
1. Ne pas inviter les équipes de production
C'est l'erreur numéro un. Un exercice de crise cyber OT sans les responsables de production, les chefs de ligne et les opérateurs est un exercice incomplet. Ce sont eux qui prennent les décisions d'arrêt de production, qui gèrent les interfaces physiques des équipements, qui connaissent les procédures de repli manuelles. Sans eux, l'exercice ne teste pas les vraies décisions critiques, il teste seulement la réponse IT à un incident imaginaire dans une usine imaginaire.
2. Construire un scénario 100% informatique sans impact physique
Le propre d'un incident OT, c'est qu'il a des conséquences physiques : arrêt de ligne, perte de production, risque pour la sécurité des personnes dans certains secteurs. Un scénario d'exercice qui se limite à "les serveurs SCADA sont chiffrés" sans explorer les conséquences sur la production passe à côté de l'essentiel. Le scénario doit intégrer explicitement : qu'est-ce qui s'arrête ? Combien de temps ? Quelle est la procédure de repli manuel ? Qui décide de l'arrêt total versus partiel ?
3. Ne pas définir de "zones interdites" dans le scénario
Dans un exercice de crise cyber sur un site industriel, il faut définir explicitement ce qui ne sera pas simulé les actions qui, même en exercice, ne peuvent pas être jouées car elles entraîneraient un risque réel pour la production ou la sécurité. Ces "zones interdites" doivent être communiquées à tous les participants avant le début de l'exercice. Sans cette délimitation, des participants bien intentionnés peuvent prendre des initiatives qui perturbent réellement les opérations.
4. Oublier la communication de crise
Qui prévient les clients si la livraison va être retardée ? Qui communique avec les régulateurs si l'incident touche une infrastructure critique ? Qui gère la communication interne vers les équipes qui ne sont pas dans la cellule de crise ? Ces questions de communication sont systématiquement sous-testées dans les exercices cyber OT. Pourtant, une mauvaise gestion de la communication peut aggraver considérablement l'impact business d'un incident parfois plus que l'incident lui-même.
5. Ne pas faire de retex structuré à chaud
Le retour d'expérience (retex) dans les 24 à 48 heures qui suivent l'exercice est ce qui transforme un exercice en apprentissage réel. Un retex structuré couvre : ce qui a bien fonctionné et doit être capitalisé, ce qui n'a pas fonctionné et doit être corrigé, les décisions qui ont pris trop de temps et pourquoi, les informations qui manquaient et comment les rendre disponibles la prochaine fois. Sans ce retex, l'exercice reste un événement ponctuel sans impact durable sur la maturité de l'organisation.
Comment structurer un exercice OT efficace en pratique
Un exercice de crise cyber OT bien construit suit une logique en quatre temps. D'abord la définition des objectifs pédagogiques : que veut-on tester spécifiquement ? La coordination IT/OT ? La chaîne de décision d'arrêt de production ? La communication de crise externe ? Chaque exercice doit avoir un ou deux objectifs prioritaires clairs, pas une liste de vingt points à tester en même temps.
Ensuite la construction du scénario : il doit être réaliste, basé sur les menaces réelles qui pèsent sur le secteur d'activité, et calibré pour mettre à l'épreuve les objectifs définis. Le scénario doit être suffisamment détaillé pour guider les animateurs, mais suffisamment ouvert pour laisser les participants prendre de vraies décisions.
Puis l'animation de l'exercice : un bon animateur guide sans imposer, injecte des éléments d'information au bon moment, et veille à ce que tous les participants, pas seulement les plus à l'aise, soient impliqués dans les décisions.
Enfin le retex : structuré, facilité, documenté, et suivi d'un plan d'action avec des responsables et des délais. C'est le retex qui donne sa valeur à l'exercice.
Ce qu'il faut retenir
Un exercice de crise cyber OT qui rate ses objectifs, ce n'est pas seulement du temps perdu c'est une fausse assurance. Les participants repartent avec le sentiment d'avoir "fait leur exercice" sans avoir vraiment testé leur capacité de réponse réelle. Les cinq pièges présentés ici sont évitables avec une préparation rigoureuse et une volonté de sortir du confort d'un exercice purement IT transposé à l'OT.
Vous voyez un post LinkedIn sur le sujet , n’hésitez pas et partagez cet article en commentaire !