Simulation de crise cyber · Clé en main

Êtes-vous vraiment prêts
à répondre à une cyberattaque ?

La conformité NIS2 est une base. Mais êtes-vous capables de réagir à une attaque réelle ? Notre exercice de simulation, basé sur la méthodologie ANSSI, vous permet de l'éprouver — et de corriger vos faiblesses le jour même.

1 jourSimulation complète
ANSSIMéthodologie certifiée
50%PME en défaillance sous 6 mois post-incident
J+0Plan d'actions livré le jour même

Organiser votre exercice cyber

Échange de cadrage 30 min · Scénario personnalisé

Échange de cadrage offert · Sans engagement

Pour qui ?

Cet exercice est fait pour vous si…

50%

Votre PCA n'a jamais été testé en conditions réelles

Une PME sur deux voit son risque de défaillance augmenter de 50% dans les 6 mois suivant un incident cyber. Avoir un document PCA ne suffit pas — il faut savoir s'en servir sous pression, en équipe, avec des systèmes compromis.

⚖️

NIS2 vous oblige à démontrer votre résilience opérationnelle

La directive NIS2 impose aux entités concernées de tester régulièrement leur capacité de réponse aux incidents. Notre exercice vous permet de cocher cette exigence avec un rapport documenté — et de l'utiliser comme preuve de conformité.

🎯

Vous voulez identifier vos vraies failles avant qu'un attaquant ne le fasse

Coordination défaillante, rôles flous, communication de crise inexistante — les exercices révèlent ce que les audits ne voient pas. Mieux vaut découvrir ces failles dans un cadre contrôlé que pendant une vraie attaque.

Déroulé de l'exercice

Trois phases, une journée, des résultats concrets.

Chaque exercice est entièrement personnalisé à votre secteur, votre organisation et vos risques spécifiques. Aucun scénario générique.

Phase 1

Pré-exercice — Préparation sur-mesure

2 à 4 semaines avant le Jour J
Audit de votre organisation : effectifs, processus, actifs critiques
Conception du scénario de crise adapté à vos risques réels
Définition des objectifs d'apprentissage (ransomware, exfiltration, etc.)
Formation préalable des participants aux rôles de crise
Briefing détaillé + attribution des rôles (IT, direction, juridique, RH, commercial)
Phase 2

Jour J — Simulation complète en conditions réelles

8 à 9 heures d'exercice
Activation de la cellule de crise (direction, opérations, juridique)
Stimuli chronométrés et réalistes : « Les serveurs sont down », « Les données ont été exfiltrées », « Les médias appellent »
Main courante en direct : suivi de toutes les décisions
Contraintes réalistes : absence d'équipes, systèmes compromis, incertitude initiale
RETEX à chaud immédiat (1h–1h30) en fin de journée
Phase 3

Post-exercice — Analyse et plan d'actions

2 à 3 semaines après le Jour J
Analyse approfondie de la main courante et des enregistrements
Évaluation détaillée par rôle et par objectif testé
Identification des failles structurelles et des bonnes pratiques
Plan d'actions priorisé pour renforcer votre résilience
Rapport de conformité NIS2 utilisable auprès de vos parties prenantes
Ce que l'exercice teste

Sept capacités critiques évaluées en conditions réelles.

L'exercice ne teste pas vos documents — il teste vos réflexes, votre coordination et votre capacité à décider sous pression. C'est la seule façon de savoir si votre PCA tient vraiment la route.

Chaque objectif est évalué sur la base des décisions prises pendant la simulation, documentées dans la main courante en temps réel.

Activation et fonctionnement de la cellule de crise
Prise de décision rapide en situation d'incertitude
Coordination inter-métiers — technique et direction
Communication de crise interne et externe
Respect des procédures d'escalade et de notification
Plan de continuité d'activité (PCA/PRA) opérationnel
Rôles et responsabilités clairement définis et assumés
Les livrables

Deux niveaux d'analyse. Des actions dès le Jour J.

La force de notre approche : vous ne repartez pas les mains vides. Le RETEX à chaud vous donne des premières pistes d'action le soir même — le RETEX à froid les structure en plan de transformation.

Jour J · 1h–1h30

RETEX à chaud — Premiers insights

Rassemblement immédiat de tous les participants à l'issue de la simulation. Les mémoires sont fraîches, les émotions encore présentes — c'est le moment le plus riche pour identifier ce qui a vraiment fonctionné ou pas.

Débriefing structuré par rôle et par fonction
Identification rapide des points forts et axes d'amélioration
Questionnaire flash pour recueillir les impressions à chaud
Premières actions correctives identifiées immédiatement
2–3 semaines après · Analyse complète

RETEX à froid — Plan de transformation

Analyse approfondie de la main courante, des enregistrements et des questionnaires. Chaque décision prise pendant la simulation est décortiquée pour en tirer les enseignements structurels.

Rapport d'analyse détaillé par objectif testé
Évaluation des forces et failles organisationnelles
Plan d'actions priorisé avec responsables et délais
Rapport de conformité NIS2 prêt à l'emploi
On pensait être préparés. On avait un PCA rédigé, des procédures documentées, une équipe IT compétente. L'exercice Harington Impact nous a montré en deux heures que notre cellule de crise ne savait pas communiquer sous pression et que notre DG n'avait jamais lu le PCA. Le RETEX a été le moment le plus utile de l'année pour notre direction.
RSSI, ESN spécialisée
Infrastructures critiques PCA validé NIS2
FAQ

PCA/PRA : vos questions

Quelle est la différence entre un PCA et un PRA ?

Le PCA (Plan de Continuité d'Activité) vise à maintenir les services essentiels sans interruption malgré un incident. Le PRA (Plan de Reprise d'Activité) intervient après une rupture pour reconstruire le SI et restaurer les données. Harington Impact articule ces deux dispositifs pour minimiser l'impact financier et opérationnel de toute crise cyber.

Comment définir un RTO et un RPO acceptables pour une PME Tech ?

Le RTO est la durée maximale d'interruption admissible, tandis que le RPO est la perte de données maximale tolérée. En 2026, pour les services critiques, nous visons souvent un RTO < 4h et un RPO proche de zéro. Ces métriques sont définies lors de notre analyse d'impact métier (BIA).

Comment tester l'efficacité d'un Plan de Reprise d'Activité (PRA) ?

Un PRA non testé est un PRA inexistant. Harington Impact organise des tests en conditions réelles (exercices de bascule) et des simulations de cyber-attaques. Ces tests permettent de valider la documentation, de former les équipes et de s'assurer que les délais de reprise (RTO) sont tenus sous pression.

Un PCA est-il obligatoire pour la conformité NIS2 ?

Oui. La directive NIS2 impose aux entités essentielles et importantes de mettre en place des mesures de gestion des incidents et de continuité d'activité. L'accompagnement Harington Impact intègre ces exigences réglementaires pour sécuriser votre conformité et votre résilience opérationnelle face aux crises cyber.

Pourquoi externaliser la conception de son PCA / PRA ?

L'externalisation apporte un regard neutre et une expertise sur les dépendances critiques (Cloud, SaaS, fournisseurs). Nos consultants identifient les points de défaillance uniques (SPOF) et conçoivent des architectures redondantes et résilientes, garantissant une protection objective de vos actifs numériques.

Première étape offerte

Découvrez si votre organisation est vraiment prête.

30 minutes pour définir le scénario adapté à vos risques, identifier les participants clés et cadrer l'exercice. Sans engagement — avec un premier diagnostic offert.

Organiser mon exercice cyber →

Échange de cadrage offert · Sans engagement · fts@harington.fr · +33 6 03 16 64 89