Pourquoi un tabletop, pas un document de politique
La plupart des PME algériennes qui disent « avoir un plan de réponse à incident » ont en réalité un document Word — pas un plan. La différence devient douloureusement claire lors de la première attaque réelle. Un exercice de tabletop est une conversation animée et guidée par un scénario qui fait traverser à l’équipe dirigeante un incident de rançongiciel en temps réel : qui répond au premier appel, qui décide de payer ou non, qui parle aux clients, qui restaure la sauvegarde. Il révèle les failles que le document ne montre jamais.
L’environnement de la menace justifie l’effort. Le rapport State of Ransomware de mars 2026 de BlackFog documente une hausse soutenue des attaques divulguées publiquement sur le premier trimestre. L’analyse d’Industrial Cyber sur le rançongiciel qui atteint une nouvelle normalité élevée présente la tendance comme structurelle plutôt que cyclique, tandis que Breached.Company rapporte que les attaques par rançongiciel ont bondi d’environ 30 % en 2026. La synthèse de CM-Alliance sur les plus grosses cyberattaques, violations de données et rançongiciels de mars 2026 liste parmi les victimes du mois des prestataires de santé, des districts scolaires et des industriels de milieu de marché — exactement les profils d’entreprises que la plupart des PME algériennes reconnaissent.
Ce qui est nouveau en 2026 n’est pas la technique d’attaque — la plupart des rançongiciels commencent encore par un email de phishing ou un port RDP exposé — mais la professionnalisation de l’écosystème d’affiliés et la normalisation de la double extorsion vol-de-données-plus-chiffrement. L’implication pour les PME : même une rançon payée ne garantit pas que les données n’apparaîtront pas aussi sur un site de fuites.
Le tabletop de 90 minutes : structure et rôles
Un premier tabletop n’a pas besoin d’être un exercice de plusieurs jours. Quatre-vingt-dix minutes dans une salle de réunion avec les bonnes personnes et un scénario simple en extraient l’essentiel de la valeur. La structure ci-dessous est celle que la plupart des animateurs de la région utilisent.
Durée : 90 minutes, divisées en quatre phases.
Participants : 6 à 10 personnes maximum. Au-delà, cela devient une réunion plénière, pas un drill.
Format : Discussion animée, pas une simulation technique en direct.
Rôles obligatoires dans la salle :
- Animateur — lit le scénario, injecte de nouvelles informations, gère le temps. Idéalement quelqu’un d’extérieur aux opérations quotidiennes qui ne sera pas aspiré dans le rôle.
- Directeur général ou PDG — prend les décisions ultimes payer/ne-pas-payer et les choix de communication publique.
- Responsable IT ou RSSI — décrit ce qui est techniquement possible à chaque injection.
- Directeur financier — s’exprime sur la couverture assurance, la mécanique de paiement de la rançon et l’impact en aval sur paie et fournisseurs.
- Conseil juridique ou conseiller externe — soulève les obligations de divulgation et les implications contractuelles.
- Responsable communication / RH — gère le message aux clients, salariés et presse.
- Responsable opérations — traduit l’indisponibilité IT en impact réel de production, livraison ou service.
Optionnels mais utiles : un représentant MSP ou MSSP externe, et une personne qui prend les notes sans participer.
Quatre phases :
- Minutes 0-15 — Alerte initiale. Le scénario tombe : un mardi à 08h40, l’équipe comptabilité ne peut plus ouvrir ses fichiers, les écrans affichent une note de rançon, un compte à rebours de 72 heures démarre. Discussion : qui appelez-vous en premier ? Quelqu’un est-il en congés ? Y a-t-il un commandant d’incident formel ?
- Minutes 15-45 — Triage et confinement. L’animateur injecte : le responsable IT confirme que le serveur de fichiers est chiffré, une seconde injection révèle que le partage de sauvegarde est aussi chiffré parce qu’il était monté en écriture. Discussion : pouvez-vous isoler le réseau ? Savez-vous quels systèmes sont touchés ? Avez-vous des sauvegardes hors ligne ?
- Minutes 45-75 — Décision et communication. L’animateur injecte : l’attaquant publie un compte à rebours sur son site de fuites avec des captures de données clients. Discussion : payer ou non ? Qui parle aux clients ? Faut-il notifier les régulateurs ou les schémas de carte ? Que couvre réellement votre police de cyber-assurance ?
- Minutes 75-90 — Débriefing. Chacun écrit les trois failles qu’il a remarquées. Lecture à voix haute, regroupement, assignation d’un propriétaire et d’une échéance à chacune.
Les quinze dernières minutes sont la partie la plus précieuse de l’exercice. Sans liste de failles écrite et sans propriétaires, le drill n’est que du théâtre.
Publicité
Trois modèles de scénario pour démarrer
Scénario A — Chiffrement classique. Lundi matin, la finance ne peut pas ouvrir les fichiers Excel, une note de rançon exige 30 000 USD en Bitcoin dans 72 heures. Les sauvegardes existent mais personne n’a testé de restauration depuis six mois. C’est le scénario réel le plus courant et le meilleur pour un premier exercice.
Scénario B — Double extorsion. Même déclencheur que le scénario A, mais dès la seconde injection l’attaquant prétend aussi avoir exfiltré 120 Go de données clients et de fichiers RH, et publie des échantillons sur un site de fuites pour le prouver. Teste si l’organisation a un plan de communication sur une violation de données, pas seulement un plan de reprise IT.
Scénario C — Activité entièrement cloud. Une PME qui dépend d’un SaaS où le rançongiciel n’est pas sur les postes locaux mais dans un tenant Microsoft 365 compromis — fichiers OneDrive chiffrés via une application OAuth malveillante. Teste si l’équipe comprend que « nous sommes tous dans le cloud » ne signifie pas « nous ne pouvons pas être rançonnés ». C’est de plus en plus le scénario pertinent pour les PME algériennes digital-first.
Choisissez-en un pour le premier exercice. Gardez les autres pour les trimestres suivants.
Les rôles, les points de décision et le test de restauration
Trois éléments séparent un exercice utile d’un exercice performatif.
Rôles clairs. Chaque participant doit savoir quelle est sa fonction avant le début du scénario. Une fiche-rôle imprimée d’une page par siège — « Vous êtes le DAF. Vous autorisez les paiements jusqu’à X. Vous détenez la police cyber-assurance. Vous rapportez au DG » — empêche le drill de s’effondrer en monologue par celui qui parle le plus fort.
Points de décision explicites. L’animateur doit forcer des décisions binaires spécifiques, pas des discussions vagues. Exemples :
- Point 1 (minute 10) : Qui est le commandant d’incident pour les 24 prochaines heures ? Nommez une personne.
- Point 2 (minute 30) : Déconnectons-nous Internet pour tout le bureau ? Oui/non.
- Point 3 (minute 55) : Engageons-nous un négociateur rançongiciel ? Oui/non, et d’ici quand ?
- Point 4 (minute 70) : Publions-nous une déclaration publique aujourd’hui ? Oui/non, rédigée par qui ?
Une décision que l’équipe ne peut pas prendre dans le drill est une décision qu’elle ne prendra pas à 3h du matin quand cela comptera vraiment.
Un mini-test de restauration en direct. Les tabletops sont des discussions, mais la marque de l’heure est le bon moment pour mettre pause et demander à l’IT de démontrer — là, tout de suite, sur un ordinateur portable — qu’il peut restaurer avec succès un fichier test depuis le système de sauvegarde. Cette seule étape expose le fossé entre « nous avons des sauvegardes » et « nous avons des sauvegardes récupérables ». Les équipes qui ne peuvent pas restaurer un seul fichier en quinze minutes ont un vrai problème, et le tabletop est le bon endroit pour le découvrir.
Cadence, livrable et suivi
Un premier tabletop doit être suivi de :
- Un rapport écrit de deux pages dans la semaine — résumé du scénario, failles observées, propriétaires, échéances. Pas plus de deux pages ; les rapports plus longs ne sont pas lus.
- Un exercice répété dans les six mois — même scénario ou un plus difficile, pour mesurer si les failles du premier tour ont réellement été refermées.
- Visibilité au niveau du conseil — le DG devrait briefer le conseil (ou l’organe de gouvernance équivalent) sur le résultat de l’exercice. Les tabletops qui restent dans l’IT ne débloquent pas de budget.
Le résultat mesurable après deux cycles est un temps-décision raccourci lors du prochain drill, une restauration de sauvegarde testée et un plan de réponse à incident d’une page qui remplace le document Word oublié. Pour la plupart des PME algériennes, ce niveau de préparation les met en avance sur leur modèle de menace.
Questions fréquentes
Combien coûte un exercice de tabletop rançongiciel pour une PME algérienne ?
Organiser l’exercice en interne ne coûte quasiment rien au-delà des 90 minutes de temps de travail, si vous utilisez un modèle de scénario disponible librement. Faire intervenir un animateur externe — typiquement un MSSP local ou un consultant spécialisé — coûte environ 800 à 2 500 USD pour une demi-journée incluant un rapport écrit. Le ROI se mesure aux failles détectées avant qu’un attaquant ne les trouve.
Une PME doit-elle payer la rançon si elle est attaquée ?
Il n’existe pas de réponse universellement correcte, mais le défaut pratique est « non » — payer ne garantit pas la récupération des fichiers, n’empêche pas la publication sur le site de fuites en cas de double extorsion et peut enfreindre les régimes de sanctions selon l’acteur de menace. La décision doit être prise à l’avance par la direction, codifiée dans une courte politique écrite et répétée en exercice de tabletop. Les organisations qui décident dans l’instant décident généralement mal.
À quelle fréquence une PME algérienne doit-elle mener ces exercices ?
Une fois par an au minimum, deux fois par an pour les entreprises offrant des services numériques aux clients, détenant des données personnelles sensibles ou relevant d’un secteur réglementé (banques, santé, télécoms, industrie critique). Le deuxième exercice de l’année devrait utiliser un scénario différent du premier — alterner entre chiffrement classique, double extorsion et compromission de tenant cloud couvre le paysage réaliste de la menace.
