Publié le 29/09/2025 par Laurent PAITA.
Retour d’expérience de l’exercice REMPAR25
Le 3 janvier 2020, j’ai vécu ma première cyberattaque sans y être préparé. Quinze jours de remédiation plus tard, j’avais compris une chose simple : l’entraînement fait toute la différence.
Le 18 septembre 2025, j’ai animé l’une des neuf cellules de crise de REMPAR25 au Campus Région du numérique. Ce billet partage ce que j’ai observé de l’intérieur, et comment transformer cette expérience en actions concrètes pour votre organisation.
1) REMPAR25 : c’est quoi ?
C’est un exercice national “massifié” coordonné par l’ANSSI, mobilisant près de 1000 organisations et plusieurs milliers de participants partout en France, le 18 septembre 2025. Objectif : éprouver la gestion de crise (décision, com, juridique, RH, direction) plus que la réponse purement technique.
Mise en situation particulièrement réaliste : newsroom, faux journaux télévisés, flux sociaux anxiogènes, communiqués, rumeurs… le tout pour tester le tri de l’information et la tenue des rituels de décision.
2) Ce que j’ai vu “depuis l’aquarium”
A. Décider sous pression (et pas seulement anticiper)
- Anticiper ≠ décider. Ma cellule voyait venir beaucoup
de stimuli… sans toujours trancher. Le passage du débat à la décision explicite
est le cœur du jeu.
- Redémarrer, mais quand ? Sans cause racine confirmée, relancer trop tôt peut aggraver. Documenter les seuils de criticité (isolement, coupure, bascule) et surtout qui décide.
B. Communication
- Bruit VS information. Les écrans attirent, mais
l’attention est une ressource critique. La cellule décide, le service
communication trie et alimente, c’est son rôle.
- Langage commun. “Business” ne veut pas dire la même chose pour un chef d’atelier (machines qui tournent) et un directeur commercial (ventes). L’alignement du vocabulaire est essentiel quitte à avoir un lexique commun pour une parfaite compréhension du plan de remédiation global.
- Une tenue rigoureuse de la main courante = continuité de la mémoire de crise ; elle protège la décision et facilitera le RETEX.
C. Rôles
- Humain d’abord. Soutien moral, gestion de la fatigue,
organisation du travail : la crise, ce sont d’abord des personnes. Et si c’était
au rôle du PDG de gérer le choix des pizzas et autres sushis ?
- Il nous a manqué un expert métier/production et un secrétariat pour horodater, synthétiser, distribuer les tâches.
D. Outils et “Bob Gate”
Dans notre cellule, j’ai ajouté un stimulé avec Bob qui
avait effectué un backup non autorisé avec son PC personnel… pour rajouter un
peu de piment et de réalisme.
- Shadow IT : parfois sauveur mais souvent hors cadre. Notre “Bob Gate” a englouti l’attention de la cellule au détriment du reste. Moralité : un cas ne doit pas absorber la manœuvre.
- Procédures vivantes. Les PCA / PRA aident… s’ils sont connus, entraînés et mis à jour après chaque exercice.
E. Capitalisation
- Fin d’exercice ≠ fin du travail. Après chaque exercice
ou crise réelle le retex doit être systématique. On transforme le stress en amélioration
continue : mise à jour PCA/PRA, simplification des rituels, etc…
3) Préconisations
A. Gouvernance & rituels
- Constituez un noyau de crise minimaliste (rôles,
suppléances, quorum).
- Fixez un rythme de décisions (ex : toutes les 20–30 min) avec un format de note d’arbitrage d’une page (“quoi / qui / quand / pourquoi / risques”).
- Ajoutez un secrétariat dédié : horodatage, main courante, diffusion des décisions.
- Intégrez un expert métier/production à la table (atelier, logistique, parc machine).
B. Communication & gestion du bruit
- Séparez les fonctions : la communication qualifie les
signaux (newsroom/JT/réseaux sociaux), la cellule se concentre sur les
arbitrages.
- Préparez 3 messages types (interne, clients, partenaires) + un Question&Réponse validé par le juridique.
C. Décision & technique
- Formalisez des seuils déclencheurs (isoler, couper,
basculer) et qui peut activer chaque seuil.
- Politique Shadow IT en crise : cadres de tolérance bornés (qui, quoi, durée) avec une régularisation post-crise.
D. Capitalisation
- Effectuez un retex à J+7 et J+30 : 30–60 min pour en
tirer des enseignements / actions correctives.
- Faites vivre votre PCA/PRA : testez les au moins 1 fois/an et mettez-les à jour après chaque incident/exercice.
4) Pourquoi s’entraîner change tout ?
Des retours officiels et reportages l’attestent : REMPAR25 ne visait pas à faire de chaque participant un technicien, mais à vérifier la capacité collective à tenir la crise : décider dans le temps et sous stress, coordonner les services communication/juridique/métiers et parler d’une seule voix. C’est cet entraînement qui fait la différence entre incident maîtrisé et catastrophe, et qui crée des réflexes mobilisables le jour où la « vraie crise » arrivera.
5) Boîte à outils
✅Organiser un exercice de gestion de crise cyber (ANSSI) (télécharger)
✅Anticiper et gérer une crise cyber (ANSSI) (télécharger)
✅Anticiper & gérer sa communication de crise cyber (ANSSI) (télécharger)
✅Besoin d’un accompagnement cyber ? Confier votre besoin aux membres du Club Experts Cybersécurité by Digital League en le partageant via le service Digital Leads (je partage mon besoin)
6) Remerciements
Merci aux équipes mobilisées, aux animateurs/observateurs, et aux participants qui ont accepté de se mettre sous pression.
Clin d’œil spécial à mes deux observateurs, Vincent (Ovide) et Jérôme (Groupe Althays), pour leurs retours justes et utiles.
Et merci à la Team ANSSI régionale comme au Campus Région du numérique pour l’accueil en Auvergne-Rhône-Alpes.