Voici la démarche préconisée par le référentiel RECYF concernant les scénarios de crises :

• Identification par l’analyse de risques : Les scénarios de menaces cyber doivent être identifiés à l’occasion de l’analyse de risques que l’entité est tenue de réaliser.
• Définition des priorités pour les entraînements : Dans le cadre de sa stratégie d’entraînement et de préparation, l’entité doit documenter explicitement « les scénarios de risques ou d’attaques à tester en priorité  » pour éprouver ses capacités opérationnelles.
• Orientation de la détection et de la supervision : Les journaux et les événements de sécurité collectés par l’entité doivent être utiles à la détection des scénarios principaux de menaces. La démarche d’amélioration continue de la supervision doit d’ailleurs viser à optimiser la couverture de ces scénarios identifiés.
• Adaptation des plans et de la communication : La stratégie de communication de crise, ainsi que les plans de continuité et de reprise d’activité (PCA/PRA), doivent impérativement prendre en compte les scénarios de menaces cyber préalablement identifiés.

Bien qu’il n’impose pas un scénario précis, le document met en exergue l’incident de type rançongiciel en le citant systématiquement à titre d’exemple. Ce scénario majeur nécessite de mettre en place des mesures de protection spécifiques, telles que le stockage hors-ligne, pour garantir que les sauvegardes ou les relevés d’incidents techniques ne soient pas rendus inexploitables ou chiffrés par l’attaquant lors de la crise.