Exercice tabletop « blocage d'Hormuz » : scénario complet clé en main (2026)

Tester votre plan de continuité face à une crise énergétique n'est pas optionnel : ISO 22301 (clause 8.5), DORA (Art. 25), NIS2 (Art. 21) l'exigent explicitement. Mais trouver un scénario réaliste, structuré et pédagogique reste le défi principal pour les BCM et Risk Managers.

Voici un scénario tabletop complet et clé en main — basé sur le blocage du détroit d'Hormuz — que vous pouvez animer dès demain avec votre COMEX et vos équipes opérationnelles.

Pourquoi ce scénario est le meilleur choix pour 2026

• Plausibilité maximale : tensions géopolitiques réelles, événements récents (Houthis 2024-2025, Iran-Israël 2024)
• Couverture transversale : énergie + supply chain + cyber + RH + finance + communication
• Adaptable à tous secteurs (pas que finance ou industrie)
• Pression temporelle réaliste : impacts en 24-48h puis cascade sur 30 jours
• Enseignements concrets pour votre BCP, votre SRP, votre cellule de crise

Fiche de préparation de l'exercice

Objectifs pédagogiques

• Vérifier la cohérence du BCP face à une crise énergétique
• Tester la cellule de crise sur un scénario non-cyber (la plupart des tabletops sont cyber)
• Identifier les dépendances énergétiques inconnues
• Évaluer les procédures de priorisation (carburant, électricité, salariés)
• Tester la communication multi-audience (salariés, clients, fournisseurs, régulateurs)
• Mesurer le temps d'activation et la qualité des décisions

Format recommandé

Composition équipe "joueurs"

Type type pour une ETI / grand groupe :

• Directeur général / COO (décisionnaire)
• Directeur financier
• DSI / CISO
• Directeur des achats / supply chain
• Directeur production / opérations
• DRH
• Directeur communication
• BCM / Risk Manager (animateur si neutre, sinon joueur)
• Juriste (force majeure, contrats)
• Responsable logistique / flotte

Observateurs (silencieux, prennent notes)

• Auditeurs internes
• DORA officer / NIS2 officer (si applicable)
• Commissaire aux comptes (optionnel, pour CIF français)
• Expert externe (consultant BCM / crisis management)

Le scénario minute par minute

Contexte initial (briefing — 10 min)

Date fictive : lundi 8 juin 2026, 8h00

Votre entreprise [NOM] compte [X] salariés, [Y] sites en France + UE, un chiffre d'affaires de [Z] M€. Vous importez [détails secteur] dont [%] de fournisseurs au Moyen-Orient / Asie. Votre flotte comprend [N] véhicules, vos sites consomment [volume électricité], votre activité critique est [fonction métier principale].

Depuis 72h, les tensions entre Iran et Israël s'intensifient. Hier (dimanche), 3 pétroliers ont été saisis par les Gardiens de la Révolution dans le détroit d'Hormuz. Ce matin (lundi), CNN et Bloomberg rapportent des tirs de missiles iraniens vers des cibles US en mer d'Oman. Le Brent a bondi de 65 $ à 118 $ en 72h. Le TTF gaz européen explose à 85 €/MWh (vs 35 €/MWh la semaine dernière).

Votre cellule de crise est convoquée à 9h00.

Round 1 — J+0 (9h-10h30, animation 60 min)

Injection 1 — 9h00 (alerte initiale)

Communication officielle ACPR + Ministère Économie : "Plan gouvernemental de préparation aux tensions énergétiques activé. Les entreprises sont invitées à limiter leurs déplacements non-essentiels et à prioriser leurs consommations."

Vos premiers constats :

• Hausse à la pompe : +22 % sur 48h
• Votre fournisseur gazole historique annonce un rationnement : 70 % du volume habituel pour 2 semaines
• Votre site principal reçoit une alerte Enedis : possible "effacement" en cas de pic de demande

Questions à l'équipe :

1. Qui prend la main de la cellule de crise ?
2. Quels sont vos 3 processus critiques à protéger en priorité ?
3. Devez-vous communiquer maintenant aux salariés ? Aux clients ? Quel message ?
4. Combien de jours de carburant avez-vous ? Combien d'autonomie vos GE ?

⏱ Temps de décision : 20 minutes

Injection 2 — 9h45 (stress supply chain)

Votre principal fournisseur de [matière première critique] — basé à Duisbourg (Allemagne) — appelle : "Nous activons notre clause de force majeure. Livraisons suspendues pour les 15 prochains jours. Nous vous recontacterons."

Votre 2e fournisseur (Pologne) : "Nous pouvons prendre le relais mais capacité limitée à 40 % de votre volume habituel. Prix : +35 %."

Questions :

1. Activez-vous votre plan B fournisseur ?
2. Qui informez-vous en interne ? En externe ?
3. Contactez-vous vos 3 plus gros clients pour anticiper ?
4. Faut-il saisir la direction juridique pour contester la force majeure ?

Injection 3 — 10h15 (crise RH)

Vos stations essence locales affichent "file d'attente 2h". 43 salariés ont appelé le standard ou envoyé email pour dire qu'ils ne peuvent pas venir travailler (pas assez d'essence, peur, enfants à récupérer école).

Un salarié en déplacement à Dubaï envoie email : "Je dois rentrer en France, des news ?"

Questions :

1. Comment répondez-vous aux 43 salariés ?
2. Activez-vous le télétravail généralisé ?
3. Le salarié à Dubaï : qui gère ? Plan rapatriement ?
4. Devez-vous mobiliser la médecine du travail (stress, psycho) ?

Round 2 — J+3 (pause 15 min, puis 60 min)

Injection 4 — Mardi 11 juin, 8h00

Cyberattaque détectée sur votre système de gestion de stocks. Fichiers chiffrés, rançon 1,2 M€ demandée. Les hackers — groupe probablement lié à l'Iran — ont laissé une note : "Continuation of the struggle. Pay or your data goes public."

Parallèlement, les médias contactent votre service communication : "Des rumeurs disent que vous êtes en difficulté énergétique. Qu'en dites-vous ?"

Questions :

1. Qui dirige la réponse cyber ? Qui la réponse médiatique ?
2. Payez-vous la rançon ? Pourquoi / pourquoi pas ?
3. Notifiez-vous la CNIL (RGPD) ? L'ANSSI (NIS2) ?
4. Comment protégez-vous la cohérence entre cellule crise énergie et cellule cyber ?

Injection 5 — Mardi 11 juin, 14h00

Le préfet appelle la direction générale : "Votre site industriel est classé SEVESO, nous avons besoin de votre cellule de crise dans 1h. Nous activons un plan ORSEC. Quels sont vos impacts, vos besoins ? Combien de salariés sur site ?"

Votre comptable : "Nous avons 22 factures fournisseurs non payées dont 3 au-dessus de 100 K€ qui arrivent à échéance cette semaine. Cash-flow compressé par la hausse énergie. Devons-nous décaler certains paiements ?"

Questions :

1. Que répondez-vous au préfet ?
2. Priorisez-vous le paiement des 3 gros fournisseurs critiques ?
3. Activez-vous une ligne de crédit de secours ?

Round 3 — J+14 (60 min)

Injection 6 — 2 semaines plus tard

Le blocage persiste. Prix Brent à 135 $. Votre facture énergie +67 % sur le mois. Taux d'absentéisme chez vos salariés : 18 %. Vos 3 plus gros clients demandent des délais supplémentaires de 30-45 jours pour paiements. Votre banque appelle : "Nous devons revoir votre ligne de crédit compte tenu du contexte."

Un hedge fund vous contacte : "Nous sommes intéressés par une prise de participation stratégique en capital. Nous pouvons injecter 50 M€ en 48h."

Votre commissaire aux comptes : "Avec cette situation, nous devrons attirer l'attention sur la continuité d'exploitation (going concern) dans notre rapport à venir."

Questions stratégiques :

1. Acceptez-vous l'offre du hedge fund ? À quelles conditions ?
2. Activez-vous des mesures sévères : PSE, vente d'actifs, déménagement ?
3. Comment gérez-vous la relation avec les CAC et le Comité d'audit (Art. L.823-19) ?
4. Préparez-vous une communication publique sur la situation ?

Grille d'évaluation

Chaque décision est notée sur 3 axes :

Axe 1 — Rapidité

Axe 2 — Cohérence

Axe 3 — Communication

Score global = Σ (Rapidité + Cohérence + Communication) × nombre d'injections.

Points clés à observer (grille auditeur)

• La cellule de crise s'est-elle activée en < 1h ?
• Les 3 processus critiques (CIF) ont-ils été identifiés spontanément ?
• Le BCP a-t-il été consulté ou ignoré ?
• Y a-t-il eu dispute de leadership entre directions ?
• La communication salariés a-t-elle été empathique ET factuelle ?
• La communication clients a-t-elle respecté les SLA contractuels ?
• L'équipe a-t-elle anticipé l'injection suivante ou subi ?
• Les silos sont-ils apparus (cyber vs énergie vs RH) ?
• Le reporting ACPR/ANSSI a-t-il été envisagé dans les délais (Art. 17 DORA / Art. 23 NIS2) ?
• Une traçabilité écrite (registre de crise) a-t-elle été tenue ?

Structure du RETEX (Return on Experience)

Section 1 — Chronologie

• Timeline minute par minute des décisions et actions
• Temps de chaque phase : détection / activation / décision / exécution / communication

Section 2 — Points forts

• Ce qui a bien fonctionné et pourquoi
• Les décisions rapides et justes
• Les outils qui ont été efficaces

Section 3 — Axes d'amélioration

• Décisions manquantes ou tardives
• Dépendances non identifiées dans le BCP actuel
• Procédures à renforcer ou à créer
• Formations à déployer

Section 4 — Plan d'action post-exercice

Pour chaque écart identifié :

• Action corrective (SMART)
• Responsable
• Deadline
• KPI de succès
• Revue trimestrielle

Section 5 — Conformité

• ISO 22301 clause 8.5 : exercice documenté ? ✅/❌
• DORA Art. 25 : test documenté dans le registre DORA ? ✅/❌
• NIS2 Art. 21(c) : BCP testé ? ✅/❌

Comment ResiPlan accélère votre tabletop

ResiPlan transforme ce tabletop de 2 jours de préparation en 2 heures :

✅ Scénarios prêts à l'emploi : Hormuz, pénurie carburant, APT Iran, blackout, ransomware ICT, inondation data center + 15 autres.

🎮 Testez le Simulateur Hormuz maintenant — aperçu public gratuit du moteur Crisis Gaming, 15 minutes, sans inscription. ✅ Configuration en 30 min — votre premier tabletop dans la journée. ✅ Multi-équipes : 5 à 100 joueurs simultanés.

Démarrer l'essai gratuit 14 jours →

FAQ

À quelle fréquence organiser ce tabletop ?

Minimum 1 fois par an pour respecter ISO 22301 / DORA / NIS2. Idéal 2 fois par an avec 2 scénarios différents (ex : Hormuz en juin, cyberattaque en décembre).

Faut-il l'animer en interne ou avec un prestataire externe ?

Les deux approches sont valables :

• Interne : moins cher, mais risque de biais (le BCM joue ET observe)
• Externe : plus objectif, RETEX challenging mais coût 8-25 K€ par tabletop
• Mix optimal : animation interne avec outil Crisis Gaming ResiPlan + observateur externe

Faut-il inclure le CEO obligatoirement ?

Oui pour les tabletops stratégiques (1/an minimum). Le CEO ne peut pas improviser en crise réelle. Le tabletop est son seul entraînement en conditions non-production.

Comment motiver les dirigeants à y participer ?

• Argumentaire conformité : DORA Art. 25 + NIS2 Art. 20 imposent responsabilité dirigeants
• Argumentaire audit : CAC / auditeurs internes vérifient la participation
• Argumentaire reputation : scénario "gestion de crise médiatique" les implique en direct
• Argumentaire pédagogique : 4h = équivalent 1 an de formation théorique en efficacité

Le scénario Hormuz doit-il être adapté à mon secteur ?

Oui, à la marge. Pour la banque : accentuer impact liquidité + reporting ACPR. Pour l'industrie : SEVESO + préfet + rationnement. Pour la tech / SaaS : data centers + électricité + clients B2B.

Combien coûte ce tabletop ?

• Temps interne : 10 participants × 4h + préparation = ~50 h homme
• Salle + matériel : 500-1500 €
• Traiteur : 300-600 €
• Avec ResiPlan : 0 € supplémentaire (inclus dans le plan Professional à 299 €/mois)
• Prestataire externe : 8-25 K€ par tabletop

TCO : ~3-5 K€ pour un tabletop interne bien fait, ~15 K€ en externe. Pour info, 1h de downtime en crise réelle coûte souvent 50-500 K€...

Articles liés

• Blocage du détroit d'Hormuz : guide complet de résilience
• Pénuries de carburant : plan de continuité en 10 étapes
• Impact du blocage d'Hormuz sur la supply chain européenne
• DORA, NIS2 et risques géopolitiques
• 10 scénarios d'exercice de crise pour 2026