JPO IRIS MEDIASCHOOL
Cyber Crisis Challenge
Vous allez participer à une simulation de crise cyber dans laquelle chaque décision compte. Une attaque majeure touche CyberLab, l’entreprise qui gère l’infrastructure numérique du Marché du Lez et sa plateforme de réservation. 27 phases . À chaque phase, une équipe devra choisir entre trois options. Chaque choix aura des conséquences sur l’évolution de la crise. Votre objectif est simple : prendre les bonnes décisions pour sauver l’entreprise.
Let's go!
CEO - Chief Executive Officer
Le CEO est le directeur général de l’entreprise. Il définit la vision stratégique, prend les décisions majeures, supervise les opérations globales et représente l'organisation auprès des parties prenantes. Il est responsable de la performance et du succès de l'entreprise.
Contexte
Notre entreprise, CyberLab conçoit, exploite et sécurise l’environnement numérique du Marché du Lez à Montpellier. CyberLab gère les services utilisés par les commerçants, le site web et la plateforme SaaS de réservation. L’infrastructure est hybride : une partie est hébergée sur site à Montpellier, l’autre dans un datacenter à Toulouse. Dans cette simulation, chaque groupe incarne un acteur clé de la gestion de crise. Chaque rôle ne voit pas la crise de la même manière. Une bonne décision technique peut avoir un coût business. Une bonne décision de communication peut être risquée si la situation n’est pas encore stabilisée. Dans une crise cyber, tout est question d’arbitrage
CSO - Chief Security Officer / RSSI
Le CSO protège les données et systèmes de l’entreprise contre les cybermenaces. Il est en charge de la cybersécurité dans l’entreprise. Il élabore et met en œuvre des stratégies de sécurité, surveille les risques et garantit la conformité aux normes de cybersécurité.
CIO - Chief Information Officer
Le CIO est responsable de la stratégie informatique de l’entreprise. Il gère les systèmes d'information, supervise les projets technologiques et veille à ce que les solutions IT soutiennent les objectifs business tout en assurant leur sécurité et leur efficacité.
M&C - Marketing & Communication
Le responsable Marketing & Communication élabore et met en œuvre des stratégies pour promouvoir l’image, les produits ou services de l’entreprise. Il gère la communication interne et externe, supervise les campagnes marketing et veille à renforcer la notoriété et l’attractivité de la marque.
Start
CSO
Il est 2 heures du matin Vous êtes réveillé par un appel urgent de l'équipe cybersécurité : « Chef, nous avons détecté une activité suspecte sur le réseau. Un transfert massif de données est en cours depuis notre SaaS sur le cloud vers une destination inconnue. Cela semble être une tentative d’exfiltration de données. »
A. Coupez immédiatement la connexion du serveur avec Internet !
B. Envoyez une équipe sur place, dans le datacenter de Toulouse, pour enquêter discrètement
C. Surveillez discrètement l’incident pour mieux comprendre ce qui se passe avant d’agir
Suivant
CSO
Répercussions immédiatesPeu après les premières mesures, plusieurs services liés à la plateforme SaaS et au portail de réservation deviennent instables. Les équipes d’exploitation confirment que l’attaque semble se propager et les responsables métiers du Marché du Lez demandent des explications immédiates.
A. Informez immédiatement le DG et le comité exécutif de la situation !
B. Gardez cette décision confidentielle et laissez l'équipe cybersécurité travailler pour isoler le problème
C. Déclenchez une alerte de crise et rassemblez une équipe dédiée pour une réponse immédiate
Suivant
CEO
Le chantage des attaquantsAprès quelques heures, un message des attaquants revendique l’attaque, exige une rançon et menace de publier des données sensibles issues de la plateforme SaaS si aucune réponse n’est donnée sous 48 heures.
A. Refusez de payer la rançon et concentrez-vous sur le renforcement des défenses
B. Engagez des négociations avec les attaquants pour gagner du temps
C. Proposez de payer une petite somme en échange d'un compromis temporaire
Suivant
CIO
Les complications techniquesLa situation technique s’aggrave : plusieurs services du portail de réservation, des applications internes et certains fichiers critiques deviennent inaccessibles ou chiffrés.
A. Déployez une procédure de confinement complète pour isoler les systèmes critiques
B. Demandez des conseils à l'ANSSI avant d'agir davantage
C. Continuez à tenter de restaurer les fichiers sans procéder à un confinement complet
Suivant
CSO
Point de situation avec la directionLa direction exige un état des lieux clair : périmètre touché, risques pour les commerçants, impact sur la plateforme de réservation, et premières mesures prises.
A. Expliquez en détail la situation actuelle et exposez le plan d’action détaillé élaboré avec la cellule de crise
B. Minimisez la gravité de la crise pour éviter de créer une panique parmi la direction
C. Organisez une réunion d'urgence impliquant tous les départements affectés pour discuter d'une stratégie coordonnée
Suivant
CIO
Problèmes de sauvegardeL’équipe IT découvre que certaines sauvegardes récentes du SaaS et de services métiers sont inexploitables ou suspectes. La reprise complète pourrait prendre plusieurs jours si aucune sauvegarde propre n’est disponible.
A. Restaurez les systèmes à partir des sauvegardes disponibles, même si elles sont partiellement corrompues
B. Attendez de trouver des sauvegardes propres pour éviter d'aggraver la situation
C. Contactez un spécialiste externe pour récupérer les données corrompues
Suivant
CEO
La pression des partenaires commerciauxDes commerçants, restaurateurs et partenaires du Marché du Lez commencent à réclamer des garanties immédiates sur la sécurité de leurs données et la continuité des services numériques.
A. Communiquez ouvertement avec les partenaires et partagez les grandes lignes du plan de réponse
B. Limitez la communication aux partenaires critiques pour éviter de répandre la panique
C. Tu gagnes quelques minutes côté opérationnel, mais tu perds rapidement la confiance commerciale. Les partenaires se sentent abandonnés et certains commencent à envisager des mesures contractuelles.
Suivant
CSO
Menace interneUn signalement interne laisse penser qu’un accès privilégié aurait pu être utilisé ou facilité par un collaborateur. La piste d’une compromission interne ou d’une complicité est désormais prise au sérieux
A. Ouvrez immédiatement une enquête interne pour identifier les responsables
B. Surveillez discrètement les employés suspects sans provoquer de panique
C. Ignorez l'alerte pour vous concentrer sur la réponse externe
Suivant
CEO
Coopération avec l’ANSSICompte tenu de la gravité de l’incident, un contact avec l’ANSSI permet d’envisager un appui méthodologique et technique, ainsi qu’un audit de sécurité approfondi.
A. Acceptez leur aide et laissez-les superviser la réponse technique
B. Acceptez partiellement l'audit tout en conservant la gestion interne des opérations
C. Refusez l'audit pour éviter que des faiblesses supplémentaires ne soient exposées
Suivant
CIO
Reprise des systèmes critiquesLes systèmes critiques restent hors ligne, notamment la plateforme de réservation et plusieurs services utilisés par les équipes du Marché du Lez. Chaque heure d’indisponibilité entraîne des pertes financières et des tensions croissantes.
A. Restaurez immédiatement les systèmes critiques, même si cela ralentit la réponse à la crise
B. Gardez les systèmes critiques isolés jusqu'à ce que toutes les menaces soient éliminées
C. Rétablissez les systèmes critiques partiellement, sous surveillance accrue
Suivant
M&C
Les partenaires exigent des garantiesCertains des principaux partenaires commerciaux de l'entreprise, inquiets pour la sécurité de leurs données, exigent des garanties immédiates. Certains menacent de rompre leurs contrats s'ils ne reçoivent pas rapidement des assurances.
A. Envoyez un rapport détaillé aux partenaires commerciaux sur les mesures de sécurité prises
B. Limitez la communication aux partenaires les plus stratégiques pour éviter une panique
C. Ignorez les demandes pour se concentrer sur la récupération des systèmes
Suivant
CEO
Le dilemme des employésDes employés inquiets commencent à exprimer des préoccupations concernant la sécurité de leurs informations personnelles. Certains d'entre eux se disent prêts à porter plainte à la CNIL.
A. Organisez une réunion interne pour rassurer les employés et leur expliquer la situation
B. Envoyez un communiqué officiel à tous les employés sans mentionner de détails techniques
C. Ignorez leurs préoccupations pour vous concentrer sur la récupération des systèmes critiques
Suivant
CSO
Complice interne confirméLes premières investigations confirment qu’un employé a facilité l’attaque ou aidé à maintenir un accès. Il est désormais probable qu’il ne s’agisse pas d’un simple incident isolé.
A. Suspendez immédiatement l'employé et déposez plainte immédiatement
B. Surveillez discrètement les communications internes pour tenter d'identifier d'autres complices
C. Ignorez cette révélation pour vous concentrer sur la réponse technique à la crise
Suivant
CSO
Tentatives de rebond sur d’autres périmètresDe nouvelles activités suspectes sont détectées sur d’autres segments interconnectés via le VPN, notamment des services secondaires et des environnements utilisés par plusieurs équipes. L’attaque semble chercher à se propager latéralement.
A. Mobilisez toutes les équipes cybersécurité pour surveiller et protéger chaque filiale
B. Concentrez les efforts sur les filiales les plus critiques et mettez les autres en mode surveillance renforcée
C. Contactez les régulateurs européens pour obtenir un soutien technique d’urgence
Suivant
CIO
Défaillance critique des systèmes de sauvegardeUn problème supplémentaire est détecté sur les mécanismes de sauvegarde et de restauration, compliquant fortement la reprise de données critiques liées à la plateforme SaaS et aux services métiers.
A. Restaurez à partir de sauvegardes plus anciennes et travaillez sur la récupération des plus récentes
B. Contactez un fournisseur externe pour tenter de restaurer les données corrompues
C. Suspendre toutes les tentatives de restauration jusqu'à ce que le problème de sauvegarde soit résolu
Suivant
M&C
Enquête médiatiqueDes médias locaux et spécialisés commencent à publier des articles spéculatifs sur une possible compromission de données et l’indisponibilité de services au Marché du Lez.
A. Organisez une conférence de presse pour rétablir la vérité et rassurer le public
B. Publiez un communiqué de presse succinct pour contrôler le discours médiatique
C. Ignorez les médias et concentrez-vous sur la résolution technique de la crise
Suivant
CEO
Violation de données : faut-il notifier et documenter immédiatement ?Une violation de données personnelles est désormais plausible, voire probable. L’entreprise doit documenter l’incident, qualifier le risque et décider rapidement des notifications réglementaires nécessaires, notamment auprès de la CNIL.
A. Collaborez pleinement avec les régulateurs pour fournir un audit complet
B. Produisez un rapport interne limité et partagez uniquement les informations essentielles
C. Demandez un délai pour l'audit afin de vous concentrer sur la reprise des opérations
Suivant
M&C
Surveillance des réseaux sociauxLes réseaux sociaux s’emballent : certains accusent l’entreprise d’avoir caché l’incident, d’autres relaient des informations inexactes sur l’ampleur des données volées.
A. Engagez une équipe pour surveiller les réseaux sociaux et répondre aux préoccupations publiques
B. Ignorez les réseaux sociaux pour vous concentrer sur la récupération des systèmes
C. Publiez un communiqué officiel pour contrer les rumeurs
Suivant
CEO
contre-mesure offensive ?Vos équipes découvrent une opportunité de contre-attaquer les attaquants en exploitant une faille dans leur infrastructure pour récupérer les données volées ou perturber les attaquants
A. Lancez la contre-attaque pour récupérer les données et démontrer votre capacité de défense
B. Ne prenez pas de risques supplémentaires, concentrez-vous sur la défense et la récupération
C. Proposez une trêve temporaire pour négocier une solution diplomatique
Suivant
CEO
Nouvelle pression des attaquantsLes attaquants lancent une nouvelle offensive en menaçant de publier des données sensibles volées si une rançon plus importante n'est pas payée. Ils augmentent la pression et promettent des répercussions si leurs exigences ne sont pas satisfaites dans les 24 heures.
A. Payez la rançon pour protéger les données sensibles
B. Renforcez les défenses et ignorez la demande de rançon
C. Proposez une négociation avec les attaquants pour obtenir plus de temps
Suivant
CSO
Audit approfondi et coopération avec les autorités compétentesAu vu de la gravité de l’incident, un audit de sécurité approfondi est demandé, avec une attente forte sur la documentation de l’attaque, les mesures prises et les écarts de sécurité constatés.
A. Collaborez pleinement avec l'ANSSI et soumettez un rapport complet sur l'incident
B. Proposez un audit interne partiel pour contrôler l'étendue des informations divulguées
C. Demandez un délai pour l'audit et concentrez-vous sur la reprise des systèmes critiques
Suivant
CIO
Cause racine identifiéeUne analyse approfondie révèle que la faille initiale qui a permis l'attaque était due à une erreur de configuration dans un logiciel tiers, utilisé par plusieurs environnements de l'entreprise. Cette découverte est cruciale pour comprendre l'ampleur de l'attaque.
A. Mettez en place des contrôles temporaires et planifiez une mise à jour coordonnée plus tard
B. Ignorez la mise à jour pour l'instant et concentrez-vous sur d'autres priorités
C. Déployez immédiatement des correctifs pour toutes les instances du logiciel concerné
Suivant
CIO
Panne d’un service métier essentielLe système central de réservation et de gestion des disponibilités tombe à son tour en panne. Les commerces et restaurants impactés ne peuvent plus gérer correctement les réservations et demandes clients.
A. Restaurez immédiatement le système à partir des sauvegardes, même si elles sont incomplètes
B. Isolez le système jusqu'à ce que des experts aient résolu le problème
C. Ignorez temporairement ce problème et concentrez-vous sur la résolution d'autres systèmes clés
Suivant
M&C
Rupture de confiance avec certains partenairesCertains partenaires et acteurs clés du Marché du Lez annoncent suspendre ou remettre en cause leur collaboration, en raison de la gestion perçue comme inefficace de la crise. Cela entraîne des pertes financières majeures et nuit à la réputation de l'entreprise.
A. Engagez immédiatement des discussions pour tenter de récupérer les contrats rompus
B. Ignorez les contrats rompus pour vous concentrer sur la sécurisation de vos autres partenaires
C. Lancez une action légale contre les partenaires pour rupture abusive des contrats
Suivant
CEO
Réunion de crise avec le conseil d’administration / investisseursLes investisseurs et membres de la gouvernance veulent comprendre les impacts réels de la crise sur la valeur de l’entreprise, sa pérennité et les mesures de redressement prévues.
A. Envoyez un rapport écrit aux actionnaires avec des détails limités pour éviter la panique
B. Organisez immédiatement une réunion d'actionnaires pour les rassurer et présenter un plan de redressement
C. Ignorez temporairement les demandes des actionnaires pour vous concentrer sur la résolution de la crise
Suivant
CSO
Plan de remédiation et renforcement durableÀ la suite de l’audit et du retour d’expérience, l’entreprise doit décider comment renforcer durablement ses dispositifs de sécurité, sa supervision, ses procédures et sa résilience.
A. Engagez une entreprise de cybersécurité externe pour moderniser les systèmes
B. Ignorez les recommandations pour éviter des coûts supplémentaires
C. Renforcez progressivement les systèmes internes en utilisant vos propres équipes
Suivant
M&C
Sortie de crise et reconstruction de la confianceAprès plusieurs semaines, les services ont été restaurés, mais la crise laisse des traces : défiance de certains partenaires, inquiétude persistante des usagers, image ternie. L’entreprise doit maintenant reconstruire sa crédibilité.
A. Lancez une campagne de communication pour restaurer l'image publique et rassurer les partenaires
B. Focalisez-vous sur la reconstruction interne de l'entreprise sans actions publiques immédiates
C. Ignorez les médias et concentrez-vous sur la résolution technique de la crise
Suivant
Alors, avez-vous réussi à sauver votre entreprise ?
40 à 69 points : Entreprise sauvée, mais fragilisée Vous avez évité le pire, mais avec plusieurs erreurs coûteuses. L’entreprise survit, les systèmes repartent, mais la réputation est abîmée, certains partenaires sont perdus et la reprise sera longue. La crise est contenue, sans être vraiment maîtrisée.
70 points et plus : Crise maîtrisée Vous avez piloté la crise avec sang-froid et méthode. L’attaque a causé des dégâts, mais vous avez réussi à protéger l’essentiel : l’activité, la confiance des partenaires et la capacité de l’entreprise à repartir. Votre gestion est crédible, coordonnée et mature.
Moins de 10 points : Échec de gestion de crise La crise a débordé l’organisation. Les erreurs de pilotage, de communication ou de sécurité ont aggravé l’attaque et ses conséquences. L’entreprise perd la confiance de ses partenaires, subit des impacts majeurs et entre dans une période très critique.
10 à 39 points : Survie en état de crise L’entreprise fonctionne encore, mais elle sort profondément affaiblie. Les pertes financières, la défiance des partenaires et les tensions internes laissent des traces durables. La crise n’a pas été bien pilotée.
+5
Tu contiens immédiatement l’exfiltration et tu reprends la main sur l’incident. En revanche, une partie du service devient indisponible, ce qui déclenche des alertes côté clients et une forte pression métier.
-3
Tu privilégies une investigation physique lente alors que l’attaque est en cours. Pendant le déplacement, l’exfiltration continue et des données supplémentaires peuvent être compromises.
Tu gagnes potentiellement des informations utiles sur l’attaque, mais tu laisses aussi l’attaquant poursuivre son action. Sans mesure conservatoire immédiate, le risque de perte de données augmente rapidement.
-5
Tu gagnes un peu de discrétion à très court terme, mais la direction découvre la situation par d’autres canaux. La confiance se dégrade, les décisions stratégiques tardent et la crise prend de l’ampleur.
+3
Tu mets la direction au courant rapidement, ce qui évite un effet de surprise et prépare les arbitrages stratégiques. En revanche, sans dispositif de crise formalisé, les échanges deviennent vite tendus et désordonnés.
+5
Ton choix permet de créer une structure de gestion de crise mais ralenti la prise de décision.
-3
Tu gagnes potentiellement quelques heures utiles, mais tu entres dans le tempo de l’attaquant sans garantie réelle. Cela peut offrir un peu de répit, ou au contraire compliquer la prise de décision.
+5
Tu refuses de financer l’attaquant et tu concentres l’organisation sur la remédiation et la reprise. La pression reste forte, mais tu gardes une ligne de conduite solide et cohérente.
-5
Tu envoies un signal de faiblesse et rien ne garantit ni l’arrêt de l’attaque ni la suppression des données volées. L’entreprise s’expose à payer sans résoudre le fond du problème.
-5
Tu privilégies la reprise trop tôt, alors que l’attaque n’est pas stabilisée. Les restaurations risquent d’échouer ou d’être recontaminées immédiatement.
+5
Tu limites la propagation et protèges les actifs encore sains. L’impact opérationnel est brutal et paralyse plusieurs départements.
+3
Tu cherches un appui pertinent et tu t’inscris dans une logique de gestion sérieuse. Mais si tu attends trop avant de contenir, l’attaque peut continuer à se propager entre-temps.
-5
Tu évites un choc immédiat, mais tu fragilises fortement la confiance. Quand la réalité remonte, la direction doute de la parole du CSO et la coordination se dégrade.
+5
Tu apportes de la clarté, tu rassures sans mentir et tu montres que la crise est pilotée. La direction obtient des éléments concrets pour arbitrer et soutenir les équipes.
+3
Tu renforces la coordination transverse et c’est utile. Mais si la réunion remplace le reporting clair au lieu de le compléter, elle peut aussi faire perdre un temps précieux.
Tu évites une restauration hasardeuse, ce qui est prudent. En revanche, l’indisponibilité se prolonge et la direction comme les clients commencent à perdre patience
+5
Tu fais appel à une expertise adaptée pour accélérer une reprise fiable. Cela coûte cher, mais tu augmentes fortement les chances de restaurer les données sans empirer la crise.
-3
Tu tentes une reprise rapide, mais tu risques de réinjecter des données incomplètes, incohérentes ou contaminées. La pression baisse un instant, puis les problèmes repartent de plus belle.
Tu priorises les partenaires les plus sensibles, ce qui peut se défendre à court terme. Mais ceux qui ne reçoivent aucune information risquent d’interpréter ce silence comme un aveu de désorganisation.
-5
Tu gagnes quelques minutes côté opérationnel, mais tu perds rapidement la confiance commerciale. Les partenaires se sentent abandonnés et certains commencent à envisager des mesures contractuelles.
+5
Tu montres que la crise est pilotée et que l’entreprise prend le sujet au sérieux. Les partenaires restent inquiets, mais la transparence mesurée permet d’éviter une rupture immédiate de confiance.
-5
Tu écartes une hypothèse potentiellement majeure alors même qu’un vecteur interne est plausible. Si l’alerte est fondée, l’attaque peut continuer à bénéficier d’un appui ou d’un accès déjà implanté.
+3
Tu prends l’alerte au sérieux et tu ouvres une piste potentiellement critique. En revanche, une enquête lancée trop brutalement peut perturber les équipes et brouiller la gestion de crise si elle n’est pas bien cadrée.
+5
Tu traites l’hypothèse interne avec prudence et méthode, sans déclencher une chasse aux sorcières. Tu préserves la stabilité des équipes tout en renforçant les capacités de détection.
+3
Tu conserves la main sur l’exploitation tout en ouvrant la porte à un appui externe utile. Cette approche peut fonctionner, mais elle demande une coordination très rigoureuse pour éviter les angles morts.
-5
Tu privilégies l’image à court terme au détriment de la résolution de crise. Le refus d’assistance fragilise la réponse technique et peut être perçu comme un manque de maturité face à l’incident.
+5
Tu t’appuies sur une expertise reconnue pour structurer la réponse technique. L’entreprise perd un peu d’autonomie apparente, mais gagne en méthode, en crédibilité et en efficacité.
+5
Tu mets en place une reprise progressive et contrôlée. Cela permet de restaurer une partie de l’activité tout en conservant une vigilance technique élevée sur les systèmes remis en service.
+3
Tu privilégies la sécurité et la maîtrise technique de la situation. Le coût opérationnel reste très élevé, mais tu réduis fortement le risque de rechute immédiate.
-3
Tu privilégies le redémarrage sous pression économique, mais tu risques de remettre en ligne des systèmes encore exposés. La reprise semble rapide au début, puis l’instabilité réapparaît.
-5
Tu sacrifies la relation de confiance au profit du seul volet technique. Très vite, les partenaires parlent entre eux, interprètent le silence comme un signal négatif et durcissent leur position.
+5
Tu réponds avec des éléments concrets et tu montres que l’entreprise agit. Les partenaires restent prudents, mais la qualité de l’information renforce la crédibilité de la réponse.
Tu concentres les efforts sur les partenaires majeurs, ce qui peut sembler pragmatique. Mais les autres partenaires se sentent négligés et la rumeur prend de l’ampleur.
-5
Tu laisses s’installer l’angoisse et la défiance au sein de l’entreprise. Les salariés commencent à chercher des réponses à l’extérieur et la crise humaine rejoint la crise cyber.
+5
Tu traites les inquiétudes à la source et tu redonnes un cadre collectif. Même sans tout révéler, tu montres que l’entreprise assume la situation et prend la protection des personnes au sérieux.
+3
Tu assures une communication rapide et homogène. Le message rassure partiellement, mais son manque de précision laisse subsister des doutes et des discussions en interne.
-5
Tu traites la crise comme un problème purement technique alors qu’un facteur humain interne est confirmé. Si d’autres complicités existent, elles continuent à fragiliser la réponse de l’intérieur.
+3
Tu neutralises rapidement un risque humain identifié et tu protèges l’entreprise sur le plan disciplinaire et judiciaire. En revanche, cette réaction visible peut alerter d’éventuels complices encore actifs.
+5
Tu privilégies une approche méthodique qui peut permettre de cartographier un réseau de complicité plus large. Tu gagnes en renseignement, mais la surveillance doit être très bien pilotée pour éviter toute fuite.
+5
Tu arbitres selon la criticité et tu alloues les ressources là où l’impact métier serait le plus fort. Cette priorisation améliore la résilience globale malgré une couverture inégale.
+3
Tu fais preuve d’ouverture institutionnelle et tu prépares le terrain sur le plan réglementaire. Cela peut être utile, mais ce n’est pas la première réponse opérationnelle attendue face à une attaque en cours.
Tu affiches une réponse globale ambitieuse, mais tu disperses fortement les ressources. L’effort est généreux, mais le risque est de protéger tout le monde un peu, sans protéger personne vraiment bien.
+3
Tu redonnes un socle minimal de fonctionnement à l’entreprise en acceptant une perte de fraîcheur des données. Ce n’est pas idéal, mais cela peut accélérer une reprise contrôlée.
-3
Tu évites des manipulations hasardeuses, mais tu figes aussi la reprise dans un moment où chaque heure compte. L’entreprise s’enfonce dans l’indisponibilité et la pression s’accroît.
+5
Tu mobilises une expertise spécialisée adaptée à une situation dégradée. La reprise reste coûteuse, mais les chances de récupération fiable augmentent nettement.
-5
Tu laisses le vide informationnel se remplir de rumeurs, d’extrapolations et de récits hostiles. Très vite, l’entreprise perd la maîtrise de son image publique.
+3
Tu reprends l’initiative publiquement et tu montres que l’entreprise assume la situation. Mais une conférence trop précoce peut aussi exposer des zones d’incertitude et générer de nouvelles questions difficiles.
+5
Tu poses une ligne officielle sobre, factuelle et maîtrisée. Cela permet de réduire la spéculation sans t’exposer à une prise de parole trop risquée trop tôt.
Tu gagnes un peu de souffle opérationnel, ce qui peut se justifier si la situation est encore instable. Mais ce report doit être cadré et argumenté, sinon il sera interprété comme une tentative de temporisation.
+5
Tu montres une posture responsable, coopérative et conforme aux attentes institutionnelles. Cela alourdit la charge de travail, mais renforce la crédibilité de l’entreprise dans la gestion de crise.
-3
Tu cherches à contrôler l’exposition, mais cette approche peut être perçue comme insuffisante ou défensive. Les régulateurs risquent d’intensifier leurs demandes.
-5
Tu abandonnes un terrain clé de la perception publique. Les rumeurs s’installent, les critiques se durcissent et la réputation se dégrade plus vite que la reprise technique ne progresse.
+5
Tu réintroduis de l’écoute, de la veille et une capacité de réponse rapide. L’entreprise ne contrôle pas tout, mais elle redevient présente dans la conversation publique.
+3
Tu poses un repère officiel utile, mais sans dispositif de veille ni interaction, le message reste partiel. C’est mieux que le silence, sans être aussi efficace qu’une stratégie active de monitoring et de réponse.
-5
Tu t’engages dans une action offensive risquée, juridiquement floue et techniquement dangereuse. L’entreprise s’expose à aggraver la situation, à perdre la maîtrise de la crise et à créer un nouveau front de responsabilité.
+5
Tu refuses l’escalade et tu recentres l’entreprise sur la remédiation, la reprise et la protection des actifs restants. Cette discipline évite de transformer une crise grave en crise incontrôlable.
-3
Tu cherches à calmer le jeu, mais tu restes dépendant du bon vouloir des attaquants. Cela peut faire gagner un peu de temps, sans apporter de garantie réelle ni de solution durable.
+5
Tu gardes une ligne claire et tu renforces la protection de l’entreprise au lieu d’alimenter le chantage. La pression reste forte, mais la stratégie reste cohérente et défendable.
-5
Tu engages l’entreprise dans une logique de paiement sans garantie de confidentialité, de restitution ou d’arrêt des menaces. Les attaquants peuvent encaisser et poursuivre malgré tout.
Tu peux gagner quelques heures utiles pour la remédiation, mais tu restes dans une logique dictée par l’attaquant. Cette option peut aider ponctuellement sans constituer une vraie solution.
Tu privilégies la continuité d’activité à très court terme, ce qui peut s’entendre si la situation reste instable. Mais ce report doit être très bien justifié, sinon il sera perçu comme une réticence.
-5
Tu cherches à garder la main sur le récit, mais tu donnes l’impression de freiner l’analyse d’un incident majeur. Cette posture détériore la confiance des autorités et peut compliquer la suite de la crise.
+5
Tu adoptes une posture responsable et coopérative. Cette transparence encadrée renforce la crédibilité de l’entreprise et favorise une meilleure compréhension technique et organisationnelle de la crise.
-5
Tu connais maintenant l’origine de la faille mais tu la laisses ouverte. Cette inaction fragilise toute la reprise et peut permettre une rechute ou une nouvelle compromission.
+3
Tu réduis le risque à court terme sans provoquer un changement massif immédiat. C’est une approche pragmatique, mais elle laisse subsister une fenêtre d’exposition tant que le correctif complet n’est pas déployé.
+5
Tu traites la racine technique du problème et tu réduis fortement le risque de réexploitation. La mise à jour demande un effort rapide, mais elle sécurise durablement l’environnement.
-5
Tu laisses un système métier critique s’enfoncer dans l’indisponibilité. Les pertes s’accumulent, les équipes terrain décrochent et la crise prend une dimension business encore plus lourde
+5
Tu évites une remise en ligne précipitée d’un système potentiellement encore compromis. La perte opérationnelle continue, mais tu protèges le reste de l’environnement et tu prépares une reprise plus saine.
Tu essaies de remettre rapidement l’activité en route, mais avec un risque élevé d’incohérence ou d’instabilité. Cela peut offrir un soulagement partiel sans régler le fond du problème.
Tu protèges le périmètre encore récupérable, ce qui peut être rationnel. Mais tu acceptes aussi de perdre sans combattre des partenaires clés, avec un impact durable sur l’activité.
+5
Tu t’efforces de réparer la relation avant qu’elle ne se dégrade définitivement. Tous les contrats ne seront pas sauvés, mais cette réaction montre que l’entreprise assume et cherche à reconstruire la confiance.
-5
Tu entres dans une logique conflictuelle au plus mauvais moment. Au lieu de restaurer la confiance, tu aggrav es la crise d’image et tu détournes l’attention des vraies priorités.
+5
Tu assumes la situation face aux actionnaires et tu donnes de la visibilité sur la sortie de crise. Même si les échanges sont tendus, tu renforces la confiance en montrant qu’un plan existe.
Tu fournis un minimum d’information et tu évites une confrontation immédiate. Mais un message trop limité risque d’être perçu comme une tentative de contrôle plutôt que comme une vraie prise en charge de la crise.
-5
Tu laisses s’installer l’inquiétude au plus haut niveau de gouvernance. Les actionnaires interprètent ce silence comme un signe de désorganisation et la pression augmente encore.
-5
Tu traites la crise comme un épisode clos alors que les causes profondes restent présentes. L’entreprise économise à court terme, mais se prépare surtout à revivre une crise similaire plus tard.
+5
Tu accélères la montée en maturité de l’entreprise avec un regard externe et une expertise spécialisée. Le coût est important, mais la crédibilité et la robustesse du plan de sécurisation progressent fortement.
+3
Tu capitalises sur les équipes internes et tu construis une amélioration plus maîtrisée dans le temps. C’est une option valable, mais plus lente face à l’ampleur des faiblesses révélées.
+5
Tu entres dans une logique de reconstruction de la confiance. Cette communication de sortie de crise aide à rassurer les partenaires, les clients et le public sur la capacité de l’entreprise à rebondir.
-5
Tu restes enfermé dans une logique purement technique alors que la crise est devenue réputationnelle et relationnelle. La reprise existe, mais l’image de l’entreprise continue de se dégrader.
+3
Tu privilégies la consolidation interne avant de reprendre la parole. C’est prudent, mais tu laisses plus longtemps le terrain public à l’interprétation extérieure.
Cyber Crisis Challenge
SystemOps
Created on March 18, 2026
Start designing with a free template
Discover more than 1500 professional designs like these:
View
Teaching Challenge: Transform Your Classroom
View
Branching Scenario Mission: Innovating for the Future
View
Branching Scenarios Challenge Mobile
View
Branching Scenario: Academic Ethics and AI Use
View
Branching Scenario: College Life
View
Strategic Decisions: Branching Scenario
View
Branching Scenarios Challenge
Explore all templates
Transcript
JPO IRIS MEDIASCHOOL
Cyber Crisis Challenge
Vous allez participer à une simulation de crise cyber dans laquelle chaque décision compte. Une attaque majeure touche CyberLab, l’entreprise qui gère l’infrastructure numérique du Marché du Lez et sa plateforme de réservation. 27 phases . À chaque phase, une équipe devra choisir entre trois options. Chaque choix aura des conséquences sur l’évolution de la crise. Votre objectif est simple : prendre les bonnes décisions pour sauver l’entreprise.
Let's go!
CEO - Chief Executive Officer
Le CEO est le directeur général de l’entreprise. Il définit la vision stratégique, prend les décisions majeures, supervise les opérations globales et représente l'organisation auprès des parties prenantes. Il est responsable de la performance et du succès de l'entreprise.
Contexte
Notre entreprise, CyberLab conçoit, exploite et sécurise l’environnement numérique du Marché du Lez à Montpellier. CyberLab gère les services utilisés par les commerçants, le site web et la plateforme SaaS de réservation. L’infrastructure est hybride : une partie est hébergée sur site à Montpellier, l’autre dans un datacenter à Toulouse. Dans cette simulation, chaque groupe incarne un acteur clé de la gestion de crise. Chaque rôle ne voit pas la crise de la même manière. Une bonne décision technique peut avoir un coût business. Une bonne décision de communication peut être risquée si la situation n’est pas encore stabilisée. Dans une crise cyber, tout est question d’arbitrage
CSO - Chief Security Officer / RSSI
Le CSO protège les données et systèmes de l’entreprise contre les cybermenaces. Il est en charge de la cybersécurité dans l’entreprise. Il élabore et met en œuvre des stratégies de sécurité, surveille les risques et garantit la conformité aux normes de cybersécurité.
CIO - Chief Information Officer
Le CIO est responsable de la stratégie informatique de l’entreprise. Il gère les systèmes d'information, supervise les projets technologiques et veille à ce que les solutions IT soutiennent les objectifs business tout en assurant leur sécurité et leur efficacité.
M&C - Marketing & Communication
Le responsable Marketing & Communication élabore et met en œuvre des stratégies pour promouvoir l’image, les produits ou services de l’entreprise. Il gère la communication interne et externe, supervise les campagnes marketing et veille à renforcer la notoriété et l’attractivité de la marque.
Start
CSO
Il est 2 heures du matin Vous êtes réveillé par un appel urgent de l'équipe cybersécurité : « Chef, nous avons détecté une activité suspecte sur le réseau. Un transfert massif de données est en cours depuis notre SaaS sur le cloud vers une destination inconnue. Cela semble être une tentative d’exfiltration de données. »
A. Coupez immédiatement la connexion du serveur avec Internet !
B. Envoyez une équipe sur place, dans le datacenter de Toulouse, pour enquêter discrètement
C. Surveillez discrètement l’incident pour mieux comprendre ce qui se passe avant d’agir
Suivant
CSO
Répercussions immédiatesPeu après les premières mesures, plusieurs services liés à la plateforme SaaS et au portail de réservation deviennent instables. Les équipes d’exploitation confirment que l’attaque semble se propager et les responsables métiers du Marché du Lez demandent des explications immédiates.
A. Informez immédiatement le DG et le comité exécutif de la situation !
B. Gardez cette décision confidentielle et laissez l'équipe cybersécurité travailler pour isoler le problème
C. Déclenchez une alerte de crise et rassemblez une équipe dédiée pour une réponse immédiate
Suivant
CEO
Le chantage des attaquantsAprès quelques heures, un message des attaquants revendique l’attaque, exige une rançon et menace de publier des données sensibles issues de la plateforme SaaS si aucune réponse n’est donnée sous 48 heures.
A. Refusez de payer la rançon et concentrez-vous sur le renforcement des défenses
B. Engagez des négociations avec les attaquants pour gagner du temps
C. Proposez de payer une petite somme en échange d'un compromis temporaire
Suivant
CIO
Les complications techniquesLa situation technique s’aggrave : plusieurs services du portail de réservation, des applications internes et certains fichiers critiques deviennent inaccessibles ou chiffrés.
A. Déployez une procédure de confinement complète pour isoler les systèmes critiques
B. Demandez des conseils à l'ANSSI avant d'agir davantage
C. Continuez à tenter de restaurer les fichiers sans procéder à un confinement complet
Suivant
CSO
Point de situation avec la directionLa direction exige un état des lieux clair : périmètre touché, risques pour les commerçants, impact sur la plateforme de réservation, et premières mesures prises.
A. Expliquez en détail la situation actuelle et exposez le plan d’action détaillé élaboré avec la cellule de crise
B. Minimisez la gravité de la crise pour éviter de créer une panique parmi la direction
C. Organisez une réunion d'urgence impliquant tous les départements affectés pour discuter d'une stratégie coordonnée
Suivant
CIO
Problèmes de sauvegardeL’équipe IT découvre que certaines sauvegardes récentes du SaaS et de services métiers sont inexploitables ou suspectes. La reprise complète pourrait prendre plusieurs jours si aucune sauvegarde propre n’est disponible.
A. Restaurez les systèmes à partir des sauvegardes disponibles, même si elles sont partiellement corrompues
B. Attendez de trouver des sauvegardes propres pour éviter d'aggraver la situation
C. Contactez un spécialiste externe pour récupérer les données corrompues
Suivant
CEO
La pression des partenaires commerciauxDes commerçants, restaurateurs et partenaires du Marché du Lez commencent à réclamer des garanties immédiates sur la sécurité de leurs données et la continuité des services numériques.
A. Communiquez ouvertement avec les partenaires et partagez les grandes lignes du plan de réponse
B. Limitez la communication aux partenaires critiques pour éviter de répandre la panique
C. Tu gagnes quelques minutes côté opérationnel, mais tu perds rapidement la confiance commerciale. Les partenaires se sentent abandonnés et certains commencent à envisager des mesures contractuelles.
Suivant
CSO
Menace interneUn signalement interne laisse penser qu’un accès privilégié aurait pu être utilisé ou facilité par un collaborateur. La piste d’une compromission interne ou d’une complicité est désormais prise au sérieux
A. Ouvrez immédiatement une enquête interne pour identifier les responsables
B. Surveillez discrètement les employés suspects sans provoquer de panique
C. Ignorez l'alerte pour vous concentrer sur la réponse externe
Suivant
CEO
Coopération avec l’ANSSICompte tenu de la gravité de l’incident, un contact avec l’ANSSI permet d’envisager un appui méthodologique et technique, ainsi qu’un audit de sécurité approfondi.
A. Acceptez leur aide et laissez-les superviser la réponse technique
B. Acceptez partiellement l'audit tout en conservant la gestion interne des opérations
C. Refusez l'audit pour éviter que des faiblesses supplémentaires ne soient exposées
Suivant
CIO
Reprise des systèmes critiquesLes systèmes critiques restent hors ligne, notamment la plateforme de réservation et plusieurs services utilisés par les équipes du Marché du Lez. Chaque heure d’indisponibilité entraîne des pertes financières et des tensions croissantes.
A. Restaurez immédiatement les systèmes critiques, même si cela ralentit la réponse à la crise
B. Gardez les systèmes critiques isolés jusqu'à ce que toutes les menaces soient éliminées
C. Rétablissez les systèmes critiques partiellement, sous surveillance accrue
Suivant
M&C
Les partenaires exigent des garantiesCertains des principaux partenaires commerciaux de l'entreprise, inquiets pour la sécurité de leurs données, exigent des garanties immédiates. Certains menacent de rompre leurs contrats s'ils ne reçoivent pas rapidement des assurances.
A. Envoyez un rapport détaillé aux partenaires commerciaux sur les mesures de sécurité prises
B. Limitez la communication aux partenaires les plus stratégiques pour éviter une panique
C. Ignorez les demandes pour se concentrer sur la récupération des systèmes
Suivant
CEO
Le dilemme des employésDes employés inquiets commencent à exprimer des préoccupations concernant la sécurité de leurs informations personnelles. Certains d'entre eux se disent prêts à porter plainte à la CNIL.
A. Organisez une réunion interne pour rassurer les employés et leur expliquer la situation
B. Envoyez un communiqué officiel à tous les employés sans mentionner de détails techniques
C. Ignorez leurs préoccupations pour vous concentrer sur la récupération des systèmes critiques
Suivant
CSO
Complice interne confirméLes premières investigations confirment qu’un employé a facilité l’attaque ou aidé à maintenir un accès. Il est désormais probable qu’il ne s’agisse pas d’un simple incident isolé.
A. Suspendez immédiatement l'employé et déposez plainte immédiatement
B. Surveillez discrètement les communications internes pour tenter d'identifier d'autres complices
C. Ignorez cette révélation pour vous concentrer sur la réponse technique à la crise
Suivant
CSO
Tentatives de rebond sur d’autres périmètresDe nouvelles activités suspectes sont détectées sur d’autres segments interconnectés via le VPN, notamment des services secondaires et des environnements utilisés par plusieurs équipes. L’attaque semble chercher à se propager latéralement.
A. Mobilisez toutes les équipes cybersécurité pour surveiller et protéger chaque filiale
B. Concentrez les efforts sur les filiales les plus critiques et mettez les autres en mode surveillance renforcée
C. Contactez les régulateurs européens pour obtenir un soutien technique d’urgence
Suivant
CIO
Défaillance critique des systèmes de sauvegardeUn problème supplémentaire est détecté sur les mécanismes de sauvegarde et de restauration, compliquant fortement la reprise de données critiques liées à la plateforme SaaS et aux services métiers.
A. Restaurez à partir de sauvegardes plus anciennes et travaillez sur la récupération des plus récentes
B. Contactez un fournisseur externe pour tenter de restaurer les données corrompues
C. Suspendre toutes les tentatives de restauration jusqu'à ce que le problème de sauvegarde soit résolu
Suivant
M&C
Enquête médiatiqueDes médias locaux et spécialisés commencent à publier des articles spéculatifs sur une possible compromission de données et l’indisponibilité de services au Marché du Lez.
A. Organisez une conférence de presse pour rétablir la vérité et rassurer le public
B. Publiez un communiqué de presse succinct pour contrôler le discours médiatique
C. Ignorez les médias et concentrez-vous sur la résolution technique de la crise
Suivant
CEO
Violation de données : faut-il notifier et documenter immédiatement ?Une violation de données personnelles est désormais plausible, voire probable. L’entreprise doit documenter l’incident, qualifier le risque et décider rapidement des notifications réglementaires nécessaires, notamment auprès de la CNIL.
A. Collaborez pleinement avec les régulateurs pour fournir un audit complet
B. Produisez un rapport interne limité et partagez uniquement les informations essentielles
C. Demandez un délai pour l'audit afin de vous concentrer sur la reprise des opérations
Suivant
M&C
Surveillance des réseaux sociauxLes réseaux sociaux s’emballent : certains accusent l’entreprise d’avoir caché l’incident, d’autres relaient des informations inexactes sur l’ampleur des données volées.
A. Engagez une équipe pour surveiller les réseaux sociaux et répondre aux préoccupations publiques
B. Ignorez les réseaux sociaux pour vous concentrer sur la récupération des systèmes
C. Publiez un communiqué officiel pour contrer les rumeurs
Suivant
CEO
contre-mesure offensive ?Vos équipes découvrent une opportunité de contre-attaquer les attaquants en exploitant une faille dans leur infrastructure pour récupérer les données volées ou perturber les attaquants
A. Lancez la contre-attaque pour récupérer les données et démontrer votre capacité de défense
B. Ne prenez pas de risques supplémentaires, concentrez-vous sur la défense et la récupération
C. Proposez une trêve temporaire pour négocier une solution diplomatique
Suivant
CEO
Nouvelle pression des attaquantsLes attaquants lancent une nouvelle offensive en menaçant de publier des données sensibles volées si une rançon plus importante n'est pas payée. Ils augmentent la pression et promettent des répercussions si leurs exigences ne sont pas satisfaites dans les 24 heures.
A. Payez la rançon pour protéger les données sensibles
B. Renforcez les défenses et ignorez la demande de rançon
C. Proposez une négociation avec les attaquants pour obtenir plus de temps
Suivant
CSO
Audit approfondi et coopération avec les autorités compétentesAu vu de la gravité de l’incident, un audit de sécurité approfondi est demandé, avec une attente forte sur la documentation de l’attaque, les mesures prises et les écarts de sécurité constatés.
A. Collaborez pleinement avec l'ANSSI et soumettez un rapport complet sur l'incident
B. Proposez un audit interne partiel pour contrôler l'étendue des informations divulguées
C. Demandez un délai pour l'audit et concentrez-vous sur la reprise des systèmes critiques
Suivant
CIO
Cause racine identifiéeUne analyse approfondie révèle que la faille initiale qui a permis l'attaque était due à une erreur de configuration dans un logiciel tiers, utilisé par plusieurs environnements de l'entreprise. Cette découverte est cruciale pour comprendre l'ampleur de l'attaque.
A. Mettez en place des contrôles temporaires et planifiez une mise à jour coordonnée plus tard
B. Ignorez la mise à jour pour l'instant et concentrez-vous sur d'autres priorités
C. Déployez immédiatement des correctifs pour toutes les instances du logiciel concerné
Suivant
CIO
Panne d’un service métier essentielLe système central de réservation et de gestion des disponibilités tombe à son tour en panne. Les commerces et restaurants impactés ne peuvent plus gérer correctement les réservations et demandes clients.
A. Restaurez immédiatement le système à partir des sauvegardes, même si elles sont incomplètes
B. Isolez le système jusqu'à ce que des experts aient résolu le problème
C. Ignorez temporairement ce problème et concentrez-vous sur la résolution d'autres systèmes clés
Suivant
M&C
Rupture de confiance avec certains partenairesCertains partenaires et acteurs clés du Marché du Lez annoncent suspendre ou remettre en cause leur collaboration, en raison de la gestion perçue comme inefficace de la crise. Cela entraîne des pertes financières majeures et nuit à la réputation de l'entreprise.
A. Engagez immédiatement des discussions pour tenter de récupérer les contrats rompus
B. Ignorez les contrats rompus pour vous concentrer sur la sécurisation de vos autres partenaires
C. Lancez une action légale contre les partenaires pour rupture abusive des contrats
Suivant
CEO
Réunion de crise avec le conseil d’administration / investisseursLes investisseurs et membres de la gouvernance veulent comprendre les impacts réels de la crise sur la valeur de l’entreprise, sa pérennité et les mesures de redressement prévues.
A. Envoyez un rapport écrit aux actionnaires avec des détails limités pour éviter la panique
B. Organisez immédiatement une réunion d'actionnaires pour les rassurer et présenter un plan de redressement
C. Ignorez temporairement les demandes des actionnaires pour vous concentrer sur la résolution de la crise
Suivant
CSO
Plan de remédiation et renforcement durableÀ la suite de l’audit et du retour d’expérience, l’entreprise doit décider comment renforcer durablement ses dispositifs de sécurité, sa supervision, ses procédures et sa résilience.
A. Engagez une entreprise de cybersécurité externe pour moderniser les systèmes
B. Ignorez les recommandations pour éviter des coûts supplémentaires
C. Renforcez progressivement les systèmes internes en utilisant vos propres équipes
Suivant
M&C
Sortie de crise et reconstruction de la confianceAprès plusieurs semaines, les services ont été restaurés, mais la crise laisse des traces : défiance de certains partenaires, inquiétude persistante des usagers, image ternie. L’entreprise doit maintenant reconstruire sa crédibilité.
A. Lancez une campagne de communication pour restaurer l'image publique et rassurer les partenaires
B. Focalisez-vous sur la reconstruction interne de l'entreprise sans actions publiques immédiates
C. Ignorez les médias et concentrez-vous sur la résolution technique de la crise
Suivant
Alors, avez-vous réussi à sauver votre entreprise ?
40 à 69 points : Entreprise sauvée, mais fragilisée Vous avez évité le pire, mais avec plusieurs erreurs coûteuses. L’entreprise survit, les systèmes repartent, mais la réputation est abîmée, certains partenaires sont perdus et la reprise sera longue. La crise est contenue, sans être vraiment maîtrisée.
70 points et plus : Crise maîtrisée Vous avez piloté la crise avec sang-froid et méthode. L’attaque a causé des dégâts, mais vous avez réussi à protéger l’essentiel : l’activité, la confiance des partenaires et la capacité de l’entreprise à repartir. Votre gestion est crédible, coordonnée et mature.
Moins de 10 points : Échec de gestion de crise La crise a débordé l’organisation. Les erreurs de pilotage, de communication ou de sécurité ont aggravé l’attaque et ses conséquences. L’entreprise perd la confiance de ses partenaires, subit des impacts majeurs et entre dans une période très critique.
10 à 39 points : Survie en état de crise L’entreprise fonctionne encore, mais elle sort profondément affaiblie. Les pertes financières, la défiance des partenaires et les tensions internes laissent des traces durables. La crise n’a pas été bien pilotée.
+5
Tu contiens immédiatement l’exfiltration et tu reprends la main sur l’incident. En revanche, une partie du service devient indisponible, ce qui déclenche des alertes côté clients et une forte pression métier.
-3
Tu privilégies une investigation physique lente alors que l’attaque est en cours. Pendant le déplacement, l’exfiltration continue et des données supplémentaires peuvent être compromises.
Tu gagnes potentiellement des informations utiles sur l’attaque, mais tu laisses aussi l’attaquant poursuivre son action. Sans mesure conservatoire immédiate, le risque de perte de données augmente rapidement.
-5
Tu gagnes un peu de discrétion à très court terme, mais la direction découvre la situation par d’autres canaux. La confiance se dégrade, les décisions stratégiques tardent et la crise prend de l’ampleur.
+3
Tu mets la direction au courant rapidement, ce qui évite un effet de surprise et prépare les arbitrages stratégiques. En revanche, sans dispositif de crise formalisé, les échanges deviennent vite tendus et désordonnés.
+5
Ton choix permet de créer une structure de gestion de crise mais ralenti la prise de décision.
-3
Tu gagnes potentiellement quelques heures utiles, mais tu entres dans le tempo de l’attaquant sans garantie réelle. Cela peut offrir un peu de répit, ou au contraire compliquer la prise de décision.
+5
Tu refuses de financer l’attaquant et tu concentres l’organisation sur la remédiation et la reprise. La pression reste forte, mais tu gardes une ligne de conduite solide et cohérente.
-5
Tu envoies un signal de faiblesse et rien ne garantit ni l’arrêt de l’attaque ni la suppression des données volées. L’entreprise s’expose à payer sans résoudre le fond du problème.
-5
Tu privilégies la reprise trop tôt, alors que l’attaque n’est pas stabilisée. Les restaurations risquent d’échouer ou d’être recontaminées immédiatement.
+5
Tu limites la propagation et protèges les actifs encore sains. L’impact opérationnel est brutal et paralyse plusieurs départements.
+3
Tu cherches un appui pertinent et tu t’inscris dans une logique de gestion sérieuse. Mais si tu attends trop avant de contenir, l’attaque peut continuer à se propager entre-temps.
-5
Tu évites un choc immédiat, mais tu fragilises fortement la confiance. Quand la réalité remonte, la direction doute de la parole du CSO et la coordination se dégrade.
+5
Tu apportes de la clarté, tu rassures sans mentir et tu montres que la crise est pilotée. La direction obtient des éléments concrets pour arbitrer et soutenir les équipes.
+3
Tu renforces la coordination transverse et c’est utile. Mais si la réunion remplace le reporting clair au lieu de le compléter, elle peut aussi faire perdre un temps précieux.
Tu évites une restauration hasardeuse, ce qui est prudent. En revanche, l’indisponibilité se prolonge et la direction comme les clients commencent à perdre patience
+5
Tu fais appel à une expertise adaptée pour accélérer une reprise fiable. Cela coûte cher, mais tu augmentes fortement les chances de restaurer les données sans empirer la crise.
-3
Tu tentes une reprise rapide, mais tu risques de réinjecter des données incomplètes, incohérentes ou contaminées. La pression baisse un instant, puis les problèmes repartent de plus belle.
Tu priorises les partenaires les plus sensibles, ce qui peut se défendre à court terme. Mais ceux qui ne reçoivent aucune information risquent d’interpréter ce silence comme un aveu de désorganisation.
-5
Tu gagnes quelques minutes côté opérationnel, mais tu perds rapidement la confiance commerciale. Les partenaires se sentent abandonnés et certains commencent à envisager des mesures contractuelles.
+5
Tu montres que la crise est pilotée et que l’entreprise prend le sujet au sérieux. Les partenaires restent inquiets, mais la transparence mesurée permet d’éviter une rupture immédiate de confiance.
-5
Tu écartes une hypothèse potentiellement majeure alors même qu’un vecteur interne est plausible. Si l’alerte est fondée, l’attaque peut continuer à bénéficier d’un appui ou d’un accès déjà implanté.
+3
Tu prends l’alerte au sérieux et tu ouvres une piste potentiellement critique. En revanche, une enquête lancée trop brutalement peut perturber les équipes et brouiller la gestion de crise si elle n’est pas bien cadrée.
+5
Tu traites l’hypothèse interne avec prudence et méthode, sans déclencher une chasse aux sorcières. Tu préserves la stabilité des équipes tout en renforçant les capacités de détection.
+3
Tu conserves la main sur l’exploitation tout en ouvrant la porte à un appui externe utile. Cette approche peut fonctionner, mais elle demande une coordination très rigoureuse pour éviter les angles morts.
-5
Tu privilégies l’image à court terme au détriment de la résolution de crise. Le refus d’assistance fragilise la réponse technique et peut être perçu comme un manque de maturité face à l’incident.
+5
Tu t’appuies sur une expertise reconnue pour structurer la réponse technique. L’entreprise perd un peu d’autonomie apparente, mais gagne en méthode, en crédibilité et en efficacité.
+5
Tu mets en place une reprise progressive et contrôlée. Cela permet de restaurer une partie de l’activité tout en conservant une vigilance technique élevée sur les systèmes remis en service.
+3
Tu privilégies la sécurité et la maîtrise technique de la situation. Le coût opérationnel reste très élevé, mais tu réduis fortement le risque de rechute immédiate.
-3
Tu privilégies le redémarrage sous pression économique, mais tu risques de remettre en ligne des systèmes encore exposés. La reprise semble rapide au début, puis l’instabilité réapparaît.
-5
Tu sacrifies la relation de confiance au profit du seul volet technique. Très vite, les partenaires parlent entre eux, interprètent le silence comme un signal négatif et durcissent leur position.
+5
Tu réponds avec des éléments concrets et tu montres que l’entreprise agit. Les partenaires restent prudents, mais la qualité de l’information renforce la crédibilité de la réponse.
Tu concentres les efforts sur les partenaires majeurs, ce qui peut sembler pragmatique. Mais les autres partenaires se sentent négligés et la rumeur prend de l’ampleur.
-5
Tu laisses s’installer l’angoisse et la défiance au sein de l’entreprise. Les salariés commencent à chercher des réponses à l’extérieur et la crise humaine rejoint la crise cyber.
+5
Tu traites les inquiétudes à la source et tu redonnes un cadre collectif. Même sans tout révéler, tu montres que l’entreprise assume la situation et prend la protection des personnes au sérieux.
+3
Tu assures une communication rapide et homogène. Le message rassure partiellement, mais son manque de précision laisse subsister des doutes et des discussions en interne.
-5
Tu traites la crise comme un problème purement technique alors qu’un facteur humain interne est confirmé. Si d’autres complicités existent, elles continuent à fragiliser la réponse de l’intérieur.
+3
Tu neutralises rapidement un risque humain identifié et tu protèges l’entreprise sur le plan disciplinaire et judiciaire. En revanche, cette réaction visible peut alerter d’éventuels complices encore actifs.
+5
Tu privilégies une approche méthodique qui peut permettre de cartographier un réseau de complicité plus large. Tu gagnes en renseignement, mais la surveillance doit être très bien pilotée pour éviter toute fuite.
+5
Tu arbitres selon la criticité et tu alloues les ressources là où l’impact métier serait le plus fort. Cette priorisation améliore la résilience globale malgré une couverture inégale.
+3
Tu fais preuve d’ouverture institutionnelle et tu prépares le terrain sur le plan réglementaire. Cela peut être utile, mais ce n’est pas la première réponse opérationnelle attendue face à une attaque en cours.
Tu affiches une réponse globale ambitieuse, mais tu disperses fortement les ressources. L’effort est généreux, mais le risque est de protéger tout le monde un peu, sans protéger personne vraiment bien.
+3
Tu redonnes un socle minimal de fonctionnement à l’entreprise en acceptant une perte de fraîcheur des données. Ce n’est pas idéal, mais cela peut accélérer une reprise contrôlée.
-3
Tu évites des manipulations hasardeuses, mais tu figes aussi la reprise dans un moment où chaque heure compte. L’entreprise s’enfonce dans l’indisponibilité et la pression s’accroît.
+5
Tu mobilises une expertise spécialisée adaptée à une situation dégradée. La reprise reste coûteuse, mais les chances de récupération fiable augmentent nettement.
-5
Tu laisses le vide informationnel se remplir de rumeurs, d’extrapolations et de récits hostiles. Très vite, l’entreprise perd la maîtrise de son image publique.
+3
Tu reprends l’initiative publiquement et tu montres que l’entreprise assume la situation. Mais une conférence trop précoce peut aussi exposer des zones d’incertitude et générer de nouvelles questions difficiles.
+5
Tu poses une ligne officielle sobre, factuelle et maîtrisée. Cela permet de réduire la spéculation sans t’exposer à une prise de parole trop risquée trop tôt.
Tu gagnes un peu de souffle opérationnel, ce qui peut se justifier si la situation est encore instable. Mais ce report doit être cadré et argumenté, sinon il sera interprété comme une tentative de temporisation.
+5
Tu montres une posture responsable, coopérative et conforme aux attentes institutionnelles. Cela alourdit la charge de travail, mais renforce la crédibilité de l’entreprise dans la gestion de crise.
-3
Tu cherches à contrôler l’exposition, mais cette approche peut être perçue comme insuffisante ou défensive. Les régulateurs risquent d’intensifier leurs demandes.
-5
Tu abandonnes un terrain clé de la perception publique. Les rumeurs s’installent, les critiques se durcissent et la réputation se dégrade plus vite que la reprise technique ne progresse.
+5
Tu réintroduis de l’écoute, de la veille et une capacité de réponse rapide. L’entreprise ne contrôle pas tout, mais elle redevient présente dans la conversation publique.
+3
Tu poses un repère officiel utile, mais sans dispositif de veille ni interaction, le message reste partiel. C’est mieux que le silence, sans être aussi efficace qu’une stratégie active de monitoring et de réponse.
-5
Tu t’engages dans une action offensive risquée, juridiquement floue et techniquement dangereuse. L’entreprise s’expose à aggraver la situation, à perdre la maîtrise de la crise et à créer un nouveau front de responsabilité.
+5
Tu refuses l’escalade et tu recentres l’entreprise sur la remédiation, la reprise et la protection des actifs restants. Cette discipline évite de transformer une crise grave en crise incontrôlable.
-3
Tu cherches à calmer le jeu, mais tu restes dépendant du bon vouloir des attaquants. Cela peut faire gagner un peu de temps, sans apporter de garantie réelle ni de solution durable.
+5
Tu gardes une ligne claire et tu renforces la protection de l’entreprise au lieu d’alimenter le chantage. La pression reste forte, mais la stratégie reste cohérente et défendable.
-5
Tu engages l’entreprise dans une logique de paiement sans garantie de confidentialité, de restitution ou d’arrêt des menaces. Les attaquants peuvent encaisser et poursuivre malgré tout.
Tu peux gagner quelques heures utiles pour la remédiation, mais tu restes dans une logique dictée par l’attaquant. Cette option peut aider ponctuellement sans constituer une vraie solution.
Tu privilégies la continuité d’activité à très court terme, ce qui peut s’entendre si la situation reste instable. Mais ce report doit être très bien justifié, sinon il sera perçu comme une réticence.
-5
Tu cherches à garder la main sur le récit, mais tu donnes l’impression de freiner l’analyse d’un incident majeur. Cette posture détériore la confiance des autorités et peut compliquer la suite de la crise.
+5
Tu adoptes une posture responsable et coopérative. Cette transparence encadrée renforce la crédibilité de l’entreprise et favorise une meilleure compréhension technique et organisationnelle de la crise.
-5
Tu connais maintenant l’origine de la faille mais tu la laisses ouverte. Cette inaction fragilise toute la reprise et peut permettre une rechute ou une nouvelle compromission.
+3
Tu réduis le risque à court terme sans provoquer un changement massif immédiat. C’est une approche pragmatique, mais elle laisse subsister une fenêtre d’exposition tant que le correctif complet n’est pas déployé.
+5
Tu traites la racine technique du problème et tu réduis fortement le risque de réexploitation. La mise à jour demande un effort rapide, mais elle sécurise durablement l’environnement.
-5
Tu laisses un système métier critique s’enfoncer dans l’indisponibilité. Les pertes s’accumulent, les équipes terrain décrochent et la crise prend une dimension business encore plus lourde
+5
Tu évites une remise en ligne précipitée d’un système potentiellement encore compromis. La perte opérationnelle continue, mais tu protèges le reste de l’environnement et tu prépares une reprise plus saine.
Tu essaies de remettre rapidement l’activité en route, mais avec un risque élevé d’incohérence ou d’instabilité. Cela peut offrir un soulagement partiel sans régler le fond du problème.
Tu protèges le périmètre encore récupérable, ce qui peut être rationnel. Mais tu acceptes aussi de perdre sans combattre des partenaires clés, avec un impact durable sur l’activité.
+5
Tu t’efforces de réparer la relation avant qu’elle ne se dégrade définitivement. Tous les contrats ne seront pas sauvés, mais cette réaction montre que l’entreprise assume et cherche à reconstruire la confiance.
-5
Tu entres dans une logique conflictuelle au plus mauvais moment. Au lieu de restaurer la confiance, tu aggrav es la crise d’image et tu détournes l’attention des vraies priorités.
+5
Tu assumes la situation face aux actionnaires et tu donnes de la visibilité sur la sortie de crise. Même si les échanges sont tendus, tu renforces la confiance en montrant qu’un plan existe.
Tu fournis un minimum d’information et tu évites une confrontation immédiate. Mais un message trop limité risque d’être perçu comme une tentative de contrôle plutôt que comme une vraie prise en charge de la crise.
-5
Tu laisses s’installer l’inquiétude au plus haut niveau de gouvernance. Les actionnaires interprètent ce silence comme un signe de désorganisation et la pression augmente encore.
-5
Tu traites la crise comme un épisode clos alors que les causes profondes restent présentes. L’entreprise économise à court terme, mais se prépare surtout à revivre une crise similaire plus tard.
+5
Tu accélères la montée en maturité de l’entreprise avec un regard externe et une expertise spécialisée. Le coût est important, mais la crédibilité et la robustesse du plan de sécurisation progressent fortement.
+3
Tu capitalises sur les équipes internes et tu construis une amélioration plus maîtrisée dans le temps. C’est une option valable, mais plus lente face à l’ampleur des faiblesses révélées.
+5
Tu entres dans une logique de reconstruction de la confiance. Cette communication de sortie de crise aide à rassurer les partenaires, les clients et le public sur la capacité de l’entreprise à rebondir.
-5
Tu restes enfermé dans une logique purement technique alors que la crise est devenue réputationnelle et relationnelle. La reprise existe, mais l’image de l’entreprise continue de se dégrader.
+3
Tu privilégies la consolidation interne avant de reprendre la parole. C’est prudent, mais tu laisses plus longtemps le terrain public à l’interprétation extérieure.