Vous avez vingt minutes pour reprendre le contrôle : j’ai testé un jeu vidéo qui simule une crise cyber
Une entreprise paralysée et des décisions à prendre dans l’urgence : le serious game BlackOut sensibilise ses joueurs au risque cyber en les confrontant à un ransomware (presque) comme dans la vie réelle.
À peine le jeu lancé, l’inquiétude s’installe. Avec BlackOut, son nouveau serious game lancé en juin 2026, l’éditeur BlueSecure, spécialisé dans la sensibilisation au risque cyber, entraîne les joueurs dans une aventure que beaucoup préfèreraient éviter. L’intrigue débute lors d’une sombre matinée d’hiver à La Défense, où le narrateur invite le joueur à se glisser dans la peau d’un collaborateur d’une entreprise nommée Demotex.
Le personnage principal, Manu Sotrin, découvre rapidement que son entreprise est fortement exposée aux risques cyber. En effet, Demotex est une « entreprise industrielle fournisseur de pièces essentielles pour les réseaux électriques », un type d’entreprise particulièrement ciblé par les cybercriminels. Une attaque réussie pourrait entraîner l’arrêt de toute une chaîne d’approvisionnement et avoir des répercussions significatives sur l’économie nationale.
Un collaborateur négligent
Dès son arrivée au bureau, Manu ouvre sa boîte mail et clique sur un e-mail frauduleux prétendument envoyé par la direction générale des finances publiques. En cliquant sur une pièce jointe, il déclenche une alerte : un message d’un groupe de cybercriminels nommé HAXX, lui annonçant que ses fichiers ont été chiffrés et qu’il doit envoyer 500 BTC sous peine de voir ses données publiées sur le dark web.
Le narrateur laisse alors le joueur prendre les commandes. Celui-ci doit choisir entre déconnecter le poste de travail du réseau, fermer la fenêtre ou redémarrer l’ordinateur. En déconnectant le poste, le joueur reçoit des félicitations pour avoir limité la propagation de l’attaque.
Le compte à rebours commence
Le RSSI de l’entreprise, Liam, confirme que les serveurs tombent un à un. Un compte à rebours s’active : il ne reste plus que vingt minutes « pour décider, mobiliser, contenir et reprendre le contrôle » de la situation. Liam réunit en urgence une cellule de crise, composée du délégué à la protection des données (DPO), Georges, du DRH, Marc, et de la responsable de la communication, Mathilde. La directrice générale, Ana, est absente.
Chaque personnage aborde la crise avec ses priorités. Le DRH souhaite éviter de paniquer les employés, tandis que le DPO insiste sur le respect des obligations légales en cas de crise cyber. Le RGPD impose de prévenir la Cnil dans les 72 heures si des données personnelles ont été compromises.
Les décisions prises par le joueur influencent directement la résolution de la crise. Une mauvaise décision peut ralentir le processus, ajoutant des minutes au compteur.
Un jeu éducatif
BlackOut vise principalement les collaborateurs peu sensibilisés aux risques cyber. Ce serious game permet de mer l’impact d’une négligence sur l’ensemble de l’organisation. Le format du jeu vidéo implique davantage les joueurs que des tests de phishing classiques.
Le lancement de ce jeu est pertinent pour les entreprises soumises aux obligations de la directive NIS 2. Cependant, une absence notable dans le jeu est celle du DSI, qui joue un rôle central dans la gestion de crise au sein des PME et ETI.
En conclusion, BlackOut constitue un outil de sensibilisation efficace, permettant d’appréhender les conséquences d’une attaque cybernétique sur une entreprise.
Source : Journal du Net
