Tester son BCMS par des exercices réguliers n'est pas optionnel : c'est une exigence explicite d'ISO 22301 (clause 8.5), de DORA (art. 25) et une bonne pratique incontournable pour tout programme de continuité sérieux. Mais trouver des scénarios pertinents, réalistes et pédagogiques est souvent le point bloquant. Voici 10 scénarios clés en main pour vos tabletops 2026, avec briefings, objectifs et métriques d'évaluation.
Avant les scénarios — rappel méthodologique
Types d'exercices (du plus léger au plus complet)
| Type | Durée | Coût | Perturbation |
|---|---|---|---|
| Discussion / walkthrough | 1-2h | Faible | Nulle |
| Tabletop | 2-4h | Faible | Nulle |
| Simulation fonctionnelle | Demi-journée | Moyen | Limitée |
| Exercice complet (live) | 1-3 jours | Élevé | Réelle |
| Test DRP technique | Variable | Élevé | Réelle IT |
Les tabletops offrent le meilleur rapport valeur/investissement : ils permettent de tester les processus, les rôles et les décisions sans impacter la production.
Structure type d'un tabletop
- Briefing initial (10 min) — présentation du scénario
- Injections (60-90 min) — nouvelles informations diffusées progressivement
- Décisions (observées et chronométrées)
- Debrief immédiat (15 min) — ressenti à chaud
- RETEX structuré (1-2 sem après) — rapport écrit + plan d'action
Scénario 1 — Ransomware multi-sites
Contexte
Un collaborateur clique sur un lien de phishing. En 2 heures, le ransomware s'est propagé à 40 serveurs dont l'ERP. Tous les fichiers sont chiffrés. Une demande de rançon de 850 000 € en bitcoins est découverte.
Objectifs
- Tester la procédure d'escalade cellule de crise
- Vérifier la chaîne décisionnelle : payer ou pas ?
- Tester la communication interne + externe
- Valider le plan de reprise sans backup compromis
- Évaluer la coordination avec autorités (ANSSI, CNIL, Police)
Injections clés (chronologie)
- T0 : Alerte SOC
- T+30min : Premier serveur indisponible
- T+1h : 10 applications métier HS
- T+2h : Journaliste contacte la DIRCOM
- T+3h : Un collaborateur contacté par les attaquants
- T+4h : Restaurations échouent (backup compromis)
Points clés à observer
- Délai décision « on coupe le réseau » ?
- Cellule de crise constituée en combien de temps ?
- Message clients préparé ?
- Notification RGPD 72h et NIS2 démarrée ?
- Dispositif alternatif (papier, Excel) activé ?
Scénario 2 — Coupure AWS / Azure prolongée
Contexte
Panne régionale majeure du fournisseur cloud principal. Indisponibilité estimée à 12-48 heures. 60 % des applications de l'entreprise sont hébergées sur cette région.
Objectifs
- Tester la dépendance cloud et les alternatives
- Valider les plans de bascule multi-région
- Évaluer l'impact sur les activités critiques
- Tester la communication avec les clients
Injections clés
- T0 : AWS status annonce incident
- T+1h : Confirmation région eu-west-3 down
- T+4h : Aucune ETA donnée par AWS
- T+8h : Plainte client major
- T+12h : Fin annoncée retardée à H+24
Points clés à observer
- Applications critiques correctement identifiées en amont ?
- Bascule multi-région activable ?
- Activités dégradées acceptables ou pas ?
- Décision d'activer plan B ?
Scénario 3 — Incendie data center principal
Contexte
Incendie dans le data center hébergeant la salle machine principale. Les pompiers ont maîtrisé le feu mais le data center est inexploitable pour 2-4 semaines. Heureusement, un site de secours existe.
Objectifs
- Activer et valider le DRP physique
- Tester le plan de crise physique (sécurité personnes, communication)
- Évaluer le délai de bascule vers le site de secours
- Vérifier la résilience en mode dégradé prolongé
Injections clés
- T0 : Alerte sécurité incendie
- T+30min : Évacuation du bâtiment
- T+2h : Pompiers confirment data center HS 2-4 semaines
- T+4h : Direction demande bascule site secours
- T+8h : Premiers services basculés, mais 3 restent HS
- T+24h : Certains process métier impactés durablement
Points clés à observer
- RTO/RPO du site secours respectés ?
- Équipes techniques mobilisables en astreinte ?
- Communication claire vers utilisateurs métier ?
Scénario 4 — Attaque DDoS ciblée
Contexte
Attaque DDoS massive (500 Gbps) contre le site web principal et l'API publique. L'attaque est revendiquée par un groupe hacktiviste suite à une prise de position médiatique de la direction.
Objectifs
- Tester la coordination avec le fournisseur anti-DDoS
- Valider le plan de communication de crise
- Tester les scénarios dégradés front-end
- Évaluer la pression médias et réseaux sociaux
Injections clés
- T0 : Site web ralenti puis inaccessible
- T+30min : Confirmation DDoS par le FAI
- T+1h : Revendication sur Twitter/X
- T+2h : Trending topic négatif
- T+4h : Clients non-trouvables sur app mobile
- T+6h : Nouvelle vague sur autre vecteur
Points clés à observer
- Activation anti-DDoS efficace ?
- Messaging cohérent direction + com ?
- Impact business chiffré ?
Scénario 5 — Crise dirigeant / absence critique
Contexte
Le directeur général est victime d'un accident grave. Le DSI est en congé (injoignable). La responsable communication est en arrêt maladie. Un incident de production majeur se déclare ce jour-là.
Objectifs
- Tester la délégation d'autorité et les backups nommés
- Valider la gestion en mode dégradé humain
- Évaluer la prise de décision sans chaîne hiérarchique habituelle
Injections clés
- T0 : Incident qualité majeur produit
- T+30min : Tentative d'escalade direction → personne joignable
- T+1h : Pression client + presse
- T+2h : Délégataires désignés mobilisés (ou pas)
- T+4h : Décisions prises ou reportées
Points clés à observer
- La chaîne de délégation est-elle connue et testée ?
- Les backups humains ont-ils les infos + accès nécessaires ?
- Quelqu'un prend-il la décision ?
Scénario 6 — Compromission fournisseur critique
Contexte
Votre éditeur SaaS de paie (utilisé pour 2 000 salariés) a subi une intrusion. Des données personnelles de vos salariés sont potentiellement compromises. Vous êtes notifié par le fournisseur 5 jours après les faits.
Objectifs
- Tester les clauses contractuelles fournisseurs
- Valider la communication DPO + notification CNIL
- Évaluer la coordination multi-partie (vous, fournisseur, autorités)
- Tester la gestion de la colère salariés potentielle
Injections clés
- T0 : Mail du fournisseur signalant brèche
- T+2h : Confirmation données exposées
- T+4h : Décision notification CNIL sous 72h
- T+8h : Syndicat sollicite réunion extraordinaire
- T+24h : Presse interroge
Points clés à observer
- Inventaire des données chez ce fournisseur à jour ?
- Notification RGPD démarrée ?
- Communication interne salariés préparée ?
- Coordination juridique fournisseur ?
Scénario 7 — Catastrophe naturelle + pandémie
Contexte
Inondation majeure rend le siège social inaccessible pendant 1 semaine. En parallèle, une résurgence pandémique impose le télétravail à 100 %. 40 % des équipes sont touchées par le virus.
Objectifs
- Tester la continuité en double contrainte (locaux + RH)
- Valider les capacités de télétravail à grande échelle
- Évaluer la priorisation des activités critiques
- Tester la communication interne étendue
Injections clés
- T0 : Alerte météo + fermeture locaux
- T+4h : Confirmation inondation durable
- T+24h : Annonces absents maladie nombreux
- T+48h : Bascule tout télétravail
- T+72h : Fournisseur critique également impacté
Points clés à observer
- Capacité VPN + MFA pour 2 000 utilisateurs ?
- Priorisation activités (MBCO) claire ?
- Remplacement postes critiques (délégation) ?
Scénario 8 — Fuite de données R&D
Contexte
Un employé démissionnaire est soupçonné d'avoir téléchargé 15 Go de plans produits R&D avant son départ, et les aurait vendus à un concurrent étranger.
Objectifs
- Tester la coordination RSSI + DRH + juridique
- Valider les process post-employment (révocation accès, suivi)
- Évaluer la réponse légale (plainte, référé)
- Tester la communication interne (sans panique)
Injections clés
- T0 : Alerte DLP historique
- T+2h : Analyse forensique confirme téléchargement massif
- T+4h : Salarié injoignable
- T+8h : Rumeurs produit concurrent annoncé
- T+24h : Décision plainte au pénal
Points clés à observer
- Procédure révocation accès efficace et rapide ?
- Preuves numériques conservées et opposables ?
- Communication interne contrôlée ?
Scénario 9 — Panne de paiement B2B prolongée
Contexte
Votre système de paiement fournisseur est HS depuis 36 heures (bug logiciel après mise à jour). Les fournisseurs critiques menacent de couper les livraisons. Le mois est en fin et 3 000 virements sont en retard.
Objectifs
- Tester la continuité financière
- Valider les alternatives manuelles
- Évaluer la gestion relation fournisseurs
- Tester les priorisations de paiement
Injections clés
- T0 : Bug identifié
- T+12h : Échec patch
- T+24h : Fournisseurs sollicités
- T+36h : Major fournisseur menace interruption
- T+48h : Décision paiement manuel prioritaire
Points clés à observer
- Process manuel existant et documenté ?
- Qui a le pouvoir de signer des chèques d'urgence ?
- Communication fournisseurs cohérente ?
Scénario 10 — Double incident (cyber + physique)
Contexte
Une intrusion cyber lance en parallèle un chiffrement des postes et un incident physique (fuite eau salle serveurs) déclenché par un initié. L'objectif de l'attaquant est de maximiser les dégâts.
Objectifs
- Tester la gestion multi-incidents simultanés
- Valider la priorisation crise cyber vs crise physique
- Évaluer les ressources humaines disponibles (saturation)
- Tester la coordination multi-cellules
Injections clés
- T0 : Alertes SIEM + détecteur eau
- T+30min : Deux cellules activées en parallèle
- T+1h : Fatigue décisionnelle évidente
- T+2h : Nouvelles injections sur 3e vecteur
Points clés à observer
- Commandement unique ou double ?
- Allocation ressources aux deux incidents ?
- Fatigue des équipes ?
- Capacité à maintenir la chronologie ?
Tableau récapitulatif
| # | Scénario | Type dominant | Durée | Complexité |
|---|---|---|---|---|
| 1 | Ransomware multi-sites | Cyber | 4h | Élevée |
| 2 | Coupure AWS/Azure | Technique | 3h | Moyenne |
| 3 | Incendie data center | Physique | 3h | Moyenne |
| 4 | DDoS ciblé | Cyber + Com | 2h | Moyenne |
| 5 | Absence dirigeants | Humain | 2h | Faible |
| 6 | Compromission fournisseur | Cyber + Juridique | 3h | Élevée |
| 7 | Inondation + pandémie | Physique + RH | 4h | Élevée |
| 8 | Fuite données R&D | Cyber + Juridique | 3h | Moyenne |
| 9 | Paiement B2B HS | Financier | 2h | Faible |
| 10 | Cyber + physique | Multi | 4h | Très élevée |
Cadence recommandée
Pour une organisation mature :
- 2 tabletops/an obligatoires (1 cyber + 1 physique/RH)
- 1 exercice complet live tous les 2 ans
- Tests DRP techniques trimestriels sur les systèmes critiques
- RETEX intégré dans un cycle d'amélioration
Comment ResiPlan structure vos exercices
- Bibliothèque de 40+ scénarios clé en main
- Générateur d'injections personnalisables selon vos systèmes
- Workflow d'exercice avec chronologie, rôles, observateurs
- RETEX structuré avec plan d'action intégré
- Tableau de bord maturité exercices par activité critique
- Calendrier annuel avec suivi des cadences
Démarrer un essai gratuit pour accéder à la bibliothèque complète de scénarios.
Conclusion
Les exercices sont le seul moyen de vérifier qu'un BCMS fonctionne. Sans tests réguliers, les plans deviennent de la littérature morte dans des classeurs. Les 10 scénarios présentés couvrent 80 % des situations de crise que votre organisation rencontrera.
Le vrai ROI d'un programme d'exercices n'est pas dans la validation (tout exercice révèle des trous), mais dans l'amélioration continue. Chaque exercice identifie 3-5 points d'amélioration concrets qui, cumulés, transforment la résilience réelle de l'organisation.
Pour aller plus loin :