Le 5 juin 2025, l’EDPS a organisé la deuxième édition de PATRICIA, un exercice de simulation destiné à sensibiliser les institutions européennes à la gestion des violations de données en contexte de cyberattaque. Un rapport post-exercice, publié cette semaine, revient sur les enseignements tirés et les améliorations attendues pour renforcer la résilience des organisations européennes.
Conclusions et recommandations
Le rapport met en lumière plusieurs fragilités, à commencer par la coordination entre les équipes amenées à gérer une violation de données. L’EDPS invite les institutions à « améliorer la coordination et la compréhension partagée » entre responsables IT, équipes cybersécurité et délégués à la protection des données. Cette articulation reste l’un des points sensibles identifiés lors de l’exercice.
La question du vocabulaire revient aussi comme un frein opérationnel. Le document recommande de « développer un glossaire standardisé des termes et concepts clés liés aux violations de données et incidents de cybersécurité », afin de garantir une lecture commune des situations de crise. Cette harmonisation s’étend aux processus : l’EDPS préconise de revoir les procédures internes, les formulaires de déclaration et les outils utilisés, de manière à construire une chaîne d’action cohérente.
La formation constitue un autre axe clé. Le rapport souligne la nécessité de « promouvoir des formations interdisciplinaires régulières », réunissant IT, sécurité, DPO, juridique et direction. L’objectif est d’ancrer une culture commune de la gestion des violations de données. Plusieurs participants ont également insisté sur un point essentiel : lors d’un incident, l’évaluation des risques pour les personnes doit être menée au même niveau que celle portant sur l’organisation, un réflexe encore insuffisamment intégré dans les pratiques courantes.
En quoi consistait l’exercice
PATRICIA II a rassemblé 36 professionnels issus de huit institutions européennes. Responsables IT, DPO, LISO, LCO : l’ensemble des profils impliqués dans la réponse aux incidents étaient représentés. CERT-EU a suivi l’exercice en tant qu’observateur. La journée, d’une durée de six heures, alternait simulation d’incidents et retours collectifs.
La première partie reposait sur trois scénarios successifs. Les équipes, réparties par institution, devaient réagir selon leurs propres procédures : qualification de l’incident, gestion de l’information, évaluation des risques, mobilisation des rôles internes. Chaque inject était ensuite discuté en plénière, permettant aux participants de confronter leurs approches techniques, juridiques et organisationnelles.
La seconde partie était consacrée au débriefing. Pour plusieurs participants, c’était la première occasion d’aborder de manière transversale les mécanismes de réponse à une violation de données. Le rapport indique que « les scénarios ont été jugés réalistes, et les discussions directement pertinentes pour le travail quotidien ».
Fort de ces retours, l’EDPS prépare déjà une nouvelle édition, destinée cette fois aux organisations européennes plus vastes, Parlement, Commission, Conseil, où la coordination inter-directions constitue un enjeu encore plus marqué.
