Décideurs it

Rempar25 : la France prête à une cyber-crise (ou presque)

L’ANSSI et ses partenaires ont mené un vaste exercice national de simulation de cyber-crise, Rempar25, dont le retour d’expérience a été publié.

L’ANSSI a publié le retour d’expérience de Rempar25. - © ANSSI
L’ANSSI a publié le retour d’expérience de Rempar25. - © ANSSI

Le 18 septembre 2025, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) a organisé un exercice de simulation de cyber-crise massive baptisé Rempar25. Cet exercice prenait la suite du précédent, il y a trois ans, Rempar22. Cette fois, les Jeux Olympiques et Paralympiques de Paris étaient passés et l’ampleur de l’exercice était sans précédent. 52 partenaires ont accompagné l’ANSSI parmi lesquels le Campus Cyber national, le Club de la continuité d’activité (CCA), le Club de la sécurité de l’information français (CLUSIF), le Club des experts de la sécurité de l’information et du numérique (CESIN)… 1263 organisations publiques et privées, réparties dans 13 régions et 9 territoires ultramarins, ont participé à l’exercice en impliquant au total 5 680 professionnels. La moitié des participants n’avait aucune fonction dans le numérique ou la sécurité afin de valider la préparation de l’ensemble des métiers face à une crise majeure.

Le scénario de l’exercice comprenait un black-out numérique. Il s’agissait donc de contrôler les procédures de continuité d’activité. L’objectif était bien de vérifier que les crises systémiques d’origine cyber était correctement appréhendées par chaque organisation participantes et intégrées de manière adéquate aux plans de continuité d’activité et de résilience. Une fois l’exercice achevé, une enquête de retour d’expérience a été réalisée avec comme objectif de contrôler la maturité de chaque organisation.

Un bilan en demi-teintes

Globalement, de tels exercices de gestion de crise sont désormais bien entrés dans les mœurs. Les fondamentaux semblent acquis, du moins parmi les participants. Cependant, des points d’amélioration ont été soulevés par l’ANSSI dans son bilan, au premier chef desquels la communication de crise. De plus, si la crise durait un certain temps, les moyens logistiques, en ressources humaines, juridiques et financiers seraient insuffisants. Les stratégies de continuité d’activité sont habituellement peu testées.

Plusieurs points méritent des efforts particuliers. Ainsi, l’organisation étendue est insuffisamment prise en compte, notamment pour bloquer l’extension du périmètre attaqué. La sortie de crise et l’après-crise sont également à améliorer. Les considérations économiques (résilience business au-delà de la résilience IT), assurantielles et d’enquête sont également jugées insuffisantes.

En savoir plus

- Sur le site de l’ANSSI : « Retour d’expérience (RETEX) de l’exercice REMPAR25 ».