Sections
Identité de l'organisation
Infrastructure & sauvegardes
Données sensibles
Gouvernance & PSSI
Assurance & budget cyber
Profil de risque
Score de maturité
calculé en fin d'enquête
Section 1 — Identité
Votre organisation
Ces informations calibrent le scénario de crise et le niveau de menace réaliste pour votre contexte.
01Secteur d'activité
Santé / hôpital / clinique
Risque élevé
Industrie / OIV / infrastructure critique
Risque élevé
Services financiers / assurance / banque
Risque moyen
Collectivité locale / administration publique
Risque moyen
PME / commerce / services généraux
Standard
02Nombre d'employés
250
105001 0005 000+
Section 1 / 6
Section 2 — Infrastructure
Sauvegardes & systèmes
L'état de vos sauvegardes est le facteur le plus déterminant dans votre capacité à refuser de payer.
03Politique de sauvegarde en place
Sauvegardes hors ligne (air-gap), testées régulièrement, stockées hors site
+3 pts
Sauvegardes cloud + locales, non testées récemment
+2 pts
Sauvegardes uniquement sur réseau interne (connectées)
+1 pt
Pas de politique de sauvegarde formalisée
0 pt
04Temps de restauration estimé (RTO)
Inconnu — jamais testé
Critique
Plusieurs semaines (> 15 jours)
Très long
Quelques jours (3 à 10 jours)
Acceptable
Moins de 24h — PCA testé et documenté
Bon
05Systèmes critiques potentiellement exposés
Sélectionnez tout ce qui s'applique
Active Directory / contrôleurs de domaine
ERP / CRM (SAP, Salesforce…)
Systèmes industriels / SCADA / IoT
Infrastructure cloud (AWS / Azure / GCP)
Messagerie interne / communication
Section 2 / 6
Section 3 — Données sensibles
Ce que vous avez à perdre
Le type de données détermine l'exposition légale (RGPD) et la pression exercée par les attaquants en cas de double extorsion.
06Données personnelles traitées (RGPD)
Données de santé / données sensibles (catégorie particulière Art. 9)
Notification CNIL obligatoire
Données clients / employés en volume (> 10 000 personnes)
Notification probable
Données internes limitées (employés uniquement)
Évaluation requise
Peu ou pas de données personnelles
Risque limité
07Propriété intellectuelle & secrets d'affaires
Brevets, R&D, formules, codes sources stratégiques
Exposition critique
Contrats clients, données commerciales confidentielles
Exposition forte
Données opérationnelles standard, peu stratégiques
Exposition faible
Section 3 / 6
Section 4 — Gouvernance
Maturité cyber & PSSI
La gouvernance détermine votre capacité à répondre vite et bien — et à ne pas paniquer sous la pression.
08Politique de sécurité (PSSI) formalisée
PSSI complète, validée par la direction, révisée annuellement
+3 pts
PSSI partielle ou ancienne (> 2 ans)
+2 pts
Aucune PSSI formalisée
0 pt
09Plan de réponse aux incidents (PRI / PCRA)
Plan documenté, exercices de crise réalisés (> 1/an)
Préparé
Plan existant, jamais testé en conditions réelles
Partiel
Aucun plan — réponse ad hoc en cas d'incident
Vulnérable
10Présence d'un RSSI ou référent cybersécurité
RSSI dédié à temps plein, rattaché à la direction
+3 pts
Référent cyber (IT manager avec casquette sécurité)
+2 pts
Aucun référent — gestion externalisée ou inexistante
0 pt
Section 4 / 6
Section 5 — Assurance & budget
Capacité financière de réponse
L'assurance cyber change radicalement la dynamique de négociation — et parfois la pression à payer.
11Assurance cyber souscrite
Assurance cyber complète avec couverture rançon + frais de crise
Couvert
Assurance partielle (RC pro étendue, pas de couverture rançon)
Partiel
Aucune assurance cyber
Non couvert
Note documentaire
Dans "Don't go to the police", plusieurs entreprises ont payé car leur assurance le couvrait — créant un cercle vicieux qui finance les groupes criminels.
12Budget annuel cybersécurité (% du budget IT)
5%
0%5%10%20%+
Section 5 / 6
Section 6 — Profil de risque
Contexte d'exposition
Ces dernières questions finalisent votre profil et débloquent le score de maturité.
13Avez-vous déjà subi un incident cyber significatif ?
Oui — ransomware ou exfiltration de données
Cible connue
Oui — phishing ou intrusion mineure
Exposé
Non — aucun incident connu
Première fois
14Sensibilisation des employés à la cybersécurité
Formations régulières + simulations phishing internes
+3 pts
Quelques sessions ponctuelles, pas de suivi
+1 pt
Aucune sensibilisation formelle
0 pt
Section 6 / 6
Résultat — Profil généré
Votre score de maturité cyber
Ce profil configure le scénario PHANTOM GROUP dans le Module 02.
Score global de maturité--
NIVEAU DE RISQUE
Élevé
Cible attractive pour PHANTOM
CAPACITÉ À REFUSER
Limitée
Sauvegardes insuffisantes
EXPOSITION RGPD
Modérée
Notification CNIL probable
RANÇON ESTIMÉE
600 000 €
Basé sur le profil sectoriel
/// Scénario configuré — prêt pour le Module 02
Votre profil a été analysé. Le groupe PHANTOM adaptera sa demande de rançon, sa pression et ses menaces à votre contexte réel.
Lancer le simulateur de crise →
SIMULATION PÉDAGOGIQUE — PROJET 0H01 — AUCUN SYSTÈME RÉEL N'EST AFFECTÉ