ENISA 2026: méthodologie d’exercices pour opérer DORA article 24

Le 16 février 2026, l’ENISA a publié “The ENISA Cybersecurity Exercise Methodology”, un guide et un ensemble d’outils (scénarios, injects, feuilles d’évaluation) pour planifier, conduire et évaluer des exercices du niveau technique au niveau de direction. Source ENISA. Dans le même temps, les interruptions de service et l’extorsion par rançongiciel se multiplient, comme l’a illustré Autovista le 15 avril 2026. The Register.

Le cadre légal qui s’applique

• DORA — Article 24: impose un programme de tests fondé sur les risques, comprenant des exercices scénarisés réguliers, couvrant les fonctions critiques, avec évaluation et amélioration continue. EUR‑Lex – Règlement (UE) 2022/2554 et détails art. 24.
• Au Luxembourg, la CSSF a réaffirmé en 2026 la priorité donnée à l’intégration de DORA et à la supervision basée sur les risques. CSSF – Priorités 2026. Pour une approche locale, voir DORA au Luxembourg.

Traduction opérationnelle: un programme d’exercices approuvé par les dirigeants, couvrant la continuité ICT, les sauvegardes et le PRA, l’organisation de crise, la coordination avec les fournisseurs TIC et la communication réglementaire — avec preuves d’exécution, résultats et amélioration.

La solution technique à déployer

Objectif: mettre en place des tabletop exercises structurés, alignés DORA art. 24, en s’appuyant sur la méthodologie ENISA 2026.

Comment ça marche, très concrètement

• Planification basée sur les risques: cartographier services critiques, dépendances internes/externes, RTO/RPO et scénarios de menace (ransomware chiffrant l’ERP et exfiltration, perte d’un SaaS critique, compromission d’un fournisseur). ENISA – Methodology + templates.
• Conception de scénarios et d’injects: utiliser les gabarits ENISA pour rédiger 1 à 3 scénarios réalistes, avec injects techniques (journaux EDR, alertes SIEM) et métiers (indisponibilité paiement, demandes client, médias). ENISA – outils prêts à l’emploi.
• Exécution “tabletop” multi-équipes: réunir IT/SEC, métier, juridique, communication et fournisseurs TIC; simuler 2–3 heures; minuter la décision, l’escalade et la communication (clients, autorités, CSSF le cas échéant).
• Évaluation et preuves: appliquer les feuilles d’évaluation ENISA; produire un rapport d’écarts et un plan d’actions, suivi dans le registre DORA (actions, délais, responsables).

Les exercices doivent s’articuler avec le plan de continuité et reprise d’activité afin de vérifier les sauvegardes, la restauration et les procédures de bascule.

Contrôles de référence

• ISO/IEC 27001:2022 – A.5.30, A.5.29, A.8.16.
• ISO 22301 (BCMS) et ISO 22398 (exercices).
• NIST CSF 2.0 – PR‑IP, RS‑RP, RC‑IM.

Comment Luxgap déploie cela

• Gouvernance ISO 27001: cadrage du programme DORA art. 24, matrice de couverture (processus/fonctions/tiers) et runbook de crise consolidé.
• SOC managé 24/7: injection de signaux réalistes (alertes EDR/XDR, IOC) et mesure détection/triage/élévations, pour relier l’exercice à l’opérationnel. Voir notre capacité de détection d’incident.
• Formations PECB: montée en compétence du management body et des équipes (rôles gold/silver/bronze, PRA, communication régulateur).

1. Atelier “design de scénario” (½ journée) avec métiers et IT.
2. Rédaction des injects et livrets selon les modèles ENISA.
3. Pilotage de l’exercice (2–3 h), chronométrage des décisions, capture des preuves.
4. Rapport d’écarts et plan d’actions priorisé, prêt pour audit CSSF/interne.
5. Re‑test ciblé 4 à 8 semaines après.

Cas concret UE/Luxembourg

Une société de gestion soumise à DORA a mené, en six semaines, un cycle “tabletop ransomware + perte SaaS critique” selon la méthodologie ENISA. Résultats: −40% sur le temps de décision PRA, fiches prêtes pour notifier un incident majeur et script client validé. Le re‑test a confirmé la correction des écarts (bascule vers sauvegardes immuables, clarification des rôles juridiques/COM). [Exemple anonymisé]

Premiers pas concrets

• Télécharger la méthodologie et les modèles ENISA; choisir un scénario prioritaire et fixer une date d’exercice avant fin juin 2026. Guide + toolkit ENISA.
• Cartographier 5 services critiques, leurs RTO/RPO et dépendances (fournisseurs TIC, identités, sauvegardes).
• Pré‑rédiger trois documents prêts: check‑list de crise, mail client, trame de rapport d’incident majeur DORA.
• Tester une restauration à froid d’un système critique et noter le temps réel (preuve DORA).
• Nommer un Exercise Controller et un Scribe pour tracer décisions et actions.

Sources officielles

• ENISA — The ENISA Cybersecurity Exercise Methodology (16 février 2026): https://www.enisa.europa.eu/publications/the-enisa-cybersecurity-exercise-methodology
• DORA — Règlement (UE) 2022/2554 (art. 24): https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32022R2554 et https://eur-lex.europa.eu/eli/reg/2022/2554/oj
• CSSF — Priorités 2026 (résilience TIC/DORA): https://www.cssf.lu/en/2026/03/the-cssfs-2026-priorities-for-supervising-the-investment-fund-sector/
• Actualité — Rançongiciel Autovista (15 avril 2026): https://www.theregister.com/security/2026/04/15/autovista-blames-ransomware-for-service-disruption/

En synthèse: utilisez la méthodologie ENISA 2026 pour industrialiser vos exercices, produire des preuves DORA article 24 et raccourcir vos temps de décision le jour où cela compte. Pour échanger avec nos équipes: contactez-nous.