L’exercice national de grande ampleur piloté par l’ANSSI, REMPAR25 a mobilisé près de 5 700 professionnels autour d’un scénario de black-out numérique systémique. Au-delà du retour d’expérience, l’agence met désormais à disposition un kit opérationnel permettant aux organisations de rejouer l’exercice en interne. Un levier concret pour éprouver ses dispositifs de gestion de crise cyber, au-delà des équipes IT.
Un kit clé en main pour organiser un exercice de crise cyber en interne
C’est l’information à retenir : REMPAR25 ne se limite pas qu’à un exercice national ponctuel. L’ANSSI met à disposition un kit complet, prêt à l’emploi, destiné à toutes les organisations qui souhaitent organiser, en autonomie, un exercice de gestion de crise d’origine cyber.
Concrètement, ce kit reprend l’ingénierie de l’exercice tel qu’il a été joué à l’échelle nationale. Il comprend le scénario détaillé de la chaîne de compromission, les chronogrammes associés, plusieurs déclinaisons sectorielles, ainsi que des versions spécifiques pour les CSIRT territoriaux et les préfectures. Les organisations disposent également de l’ensemble des supports nécessaires à l’animation d’un exercice complet : documents de briefing pour les animateurs et observateurs, dossier de mise en situation, outils opérationnels comme la main courante, l’annuaire de crise ou les grilles d’observation, sans oublier les supports dédiés à la conduite du retour d’expérience.
Le kit est conçu pour être adaptable au contexte, à la taille et au niveau de maturité de chaque structure. Il peut servir aussi bien à une première sensibilisation des équipes dirigeantes qu’à un entraînement plus avancé intégrant des arbitrages stratégiques, des décisions métiers en mode dégradé et des enjeux de communication de crise.
REMPAR25 : un exercice national grandeur nature, pensé pour le réel
Si ce kit revêt une telle valeur, c’est parce qu’il est directement issu d’un exercice d’une ampleur inédite. Le 18 septembre 2025, l’ANSSI organisait REMPAR25, un exercice de crise d’origine cyber massifié, avec le soutien du Campus Cyber national, du CLUSIF, du CESIN, du Club de la continuité d’activité et de 52 partenaires répartis sur l’ensemble du territoire.
Près de 5 680 professionnels, issus de 1 263 organisations publiques et privées, ont participé à l’exercice, dont environ la moitié n’appartenait ni aux métiers du numérique ni à ceux de la cybersécurité. Tous ont été confrontés à un scénario de black-out numérique systémique simulant l’interruption massive de services numériques essentiels, avec des impacts en cascade sur de multiples secteurs.
Le scénario retenu reposait sur la compromission d’une mise à jour d’une solution de sécurité massivement utilisée, attribuée à un acteur étatique fictif. L’attaque combinait exfiltration de données, effacement destructif des systèmes et divulgation progressive assortie de demandes de rançon. Un enchaînement volontairement réaliste, inspiré de l’état actuel de la menace, destiné à tester la capacité des organisations à détecter, analyser et gérer une crise cyber complexe tout en maintenant leurs activités critiques.
L’exercice a été conçu pour mettre en évidence la dimension profondément transverse des crises cyber. Ressources humaines, juridique, finance, communication, directions métiers et instances de décision étaient pleinement intégrées aux cellules de crise, aux côtés des équipes IT et cyber. Deux modalités de participation étaient proposées : un jeu en autonomie, dans les locaux de l’organisation, ou une participation au sein de cellules de crise fictives réparties sur 19 sites d’accueil en métropole et en outre-mer.
Des enseignements clairs pour les décideurs IT
Le retour d’expérience publié par l’ANSSI dresse un constat sans ambiguïté. Si les réflexes techniques de détection et de réponse à incident sont globalement bien maîtrisés, des fragilités structurelles persistent. La communication de crise reste souvent insuffisamment anticipée, l’anticipation stratégique demeure limitée et les plans de continuité d’activité, bien que largement existants, sont encore trop peu éprouvés ou mal connus des équipes.
L’exercice a toutefois joué un rôle d’accélérateur. Près de 95 % des participants indiquent que REMPAR25 a été l’occasion de mettre en place ou de renforcer des actions en matière de gestion de crise et de sécurité des systèmes d’information.
