1️⃣ Phase de cadrage avec le client

Objectif : Définir les attentes, le périmètre et les contraintes de l’exercice

• Réunion initiale avec le client pour comprendre ses enjeux spécifiques, son niveau de maturité en cybersécurité et ses besoins en formation.
• Identification des parties prenantes : sélection des équipes impliquées (direction, IT, SOC, communication de crise, métiers critiques).
• Définition des objectifs pédagogiques et opérationnels, incluant les compétences à développer et les scénarios d’attaque à tester.
• Validation des ressources techniques (infrastructure, accès aux environnements simulés, outils de monitoring, etc.).

2️⃣ Conception des scénarios et élaboration du plan d’exercice

Objectif : Construire un scénario sur mesure en fonction des besoins et du niveau des participants

• Création des scénarios d’attaque personnalisés, ajustables en fonction du niveau des équipes (attaque ransomware, compromission interne, DDoS, etc.).
• Attribution des rôles et responsabilités : répartition des participants entre Red Team (attaque) et Blue Team (défense), avec définition des missions spécifiques.
• Préparation des environnements techniques : simulation en environnement contrôlé, mise en place des outils réseau et sécurité (SIEM, IDS, scanners de vulnérabilités, etc.).
• Rédaction des supports d’exercice : documents d’instruction, matrices d’évaluation, plans de gestion de crise et checklists opérationnelles.

3️⃣ Validation et briefing avec le client et les participants

Objectif : Aligner toutes les parties prenantes avant l’exercice

• Présentation du scénario au client pour validation et ajustements finaux.
• Session de briefing avec les participants : introduction aux enjeux, répartition des rôles, rappel des règles et limites de l’exercice.
• Distribution des accès et des outils nécessaires à l’exécution du scénario.

4️⃣ Déroulement de l’exercice

Objectif : Plonger les équipes dans un scénario immersif en temps réel

• Lancement de la simulation : la Red Team initie l’attaque tandis que la Blue Team détecte, analyse et répond à l’incident.
• Interactions dynamiques entre les équipes, avec ajustements progressifs de la menace selon la réaction des défenseurs.
• Prise en compte des dimensions techniques et organisationnelles, incluant la communication de crise et la gestion des parties prenantes.

5️⃣ Débriefing et restitution des enseignements

Objectif : Capitaliser sur l’expérience et proposer des axes d’amélioration

• After Action Review (AAR) : chaque équipe analyse ses actions, identifie les forces et faiblesses de sa stratégie.
• Synthèse des consultants sur la performance globale, avec recommandations concrètes pour améliorer la posture cyber.
• Établissement d’un rapport détaillé, incluant les enseignements clés et un plan d’optimisation des capacités de réponse.
• Session de restitution avec le client, avec discussion sur les mesures correctives et les formations complémentaires nécessaires.