L’importance de l’exercice, pour mieux gérer les crises

L’occasion pour Anthony Fuentes, consultant en cybersécurité spécialisé dans la gestion de crise, de revenir sur l’importance pour les entreprises de réaliser des exercices de ce genre.

« A entraînement difficile, guerre facile ». A l’image de l’adage de la Légion étrangère, une organisation se doit de s’entraîner, pour faire face au mieux à des situations de crise cyber. Avant d’entrer dans le vif du sujet, qui est l’importance de l’exercice au profit de la gestion d’une crise, questionnons-nous d’une part, sur ce qu’est une crise et d’autre part sur ce qu’est un exercice, appliqué à cette matière.

Selon l’étymologie grecque, le mot crise combine à la fois les notions de « jugement » et de « décision ». Si l’on s’intéresse par ailleurs à l’idéogramme chinois du mot crise, « danger » et « opportunité » se retrouvent accolés pour évoquer cette notion.

Ainsi, une crise est une situation anormale, venant perturber le fonctionnement habituel d’une organisation, pouvant aller jusqu’à la mettre en péril. Elle nécessite des réactions adaptées de la part des décideurs afin de revenir à une situation nominale, dans les meilleures conditions. Alors même que la crise dépasse les capacités d’organisation et nécessite des mesures exceptionnelles en interne ou en faisant appel à des tiers, elle est bien souvent la conséquence d’un ou plusieurs faits – prévisibles ou non – exogènes ou endogènes.

Afin de pouvoir réagir au mieux, la préparation, l’anticipation, la prévision, la sensibilisation et la formation sont des éléments essentiels permettant une gestion adaptée, cohérente et efficace dans des situations instables. Cela passe par la rédaction de politiques de gestion de crise et de continuité d’activité, l’investissement en ressources humaines et matérielles, ou encore, la formation à la gestion de crise.

L’exercice de crise, qu’il soit « sur table » ou « terrain »[1], annoncé ou inopiné, permet de manière transversale de répondre à plusieurs éléments de préparation à la gestion de crise, en fonction des objectifs de l’organisation et de son niveau de maturité.

Il faut alors considérer l’exercice de crise, d’une part en tant que moyen de validation de dispositifs et politiques, d’autre part en tant qu’outil andragogique et enfin, en tant que levier stratégique, le tout, au profit d’une gestion de crise plus efficiente.

Mettre en place pour la première fois une politique de gestion de crise ou revoir un dispositif de gestion de crise, doit provoquer l’automatisme de le tester, le valider de manière opérationnelle.

En effet, à froid et en théorie, la conception et la rédaction de politiques de gestion de crise et de continuité d’activité peuvent paraître complètes et opérationnelles. Cela est effectivement peut-être le cas. Cependant, les acteurs de la gestion de crise, réussiront-ils à les comprendre et à se les approprier le moment venu, en cas de crise réelle ? Seule une mise en situation – la plus réaliste possible – permettra de mettre en lumière d’éventuels effets de bord. Ces derniers pourront être corrigés dans des versions ultérieures des politiques de gestion de crise. La fameuse roue de Deming, avec le « PDCA » (Plan / Do / Check / Act)[2]  issu de la norme ISO entre alors en jeu pour une amélioration continue vertueuse.

Vérifier et valider les dispositifs de gestion de crise est incontestablement un atout permettant de gérer au mieux la potentielle crise à venir. Cela permet également, grâce à l’exercice de crise, de profiter de cette occasion pour sensibiliser et former les collaborateurs à la gestion de crise.

Dans la cadre de la formation des acteurs de la cellule de crise ou de la gestion de crise plus généralement, la mise en situation est une technique très efficace issue des méthodes d’andragogie active, spécifiquement adaptée aux publics adultes, qui pourront acquérir plus aisément les automatismes et être confrontés aux difficultés de la gestion de crise, mais de façon confortable, puisque sans conséquence.

En somme, il s’agit d’acquérir de l’expérience sans devoir attendre que l’entreprise ne soit confrontée à une réelle crise. Ainsi, dans des situations inhabituelles, provoquant l’ouverture de cellules de crise, les membres déjà entrainés et confrontés au stress – quand bien même il ne s’agisse que d’exercices –  sauront mieux s’approprier les dispositifs mis en place, comprendre la spécificité des interactions humaines entre les membres de la cellule de crise, qui diffèrent souvent du quotidien lors de situations de stress.

Pour gérer une crise, il faut posséder les savoirs, les savoir-faire et les savoir-être. Bien connaître les procédures, identifier les membres de la cellule de crise, ainsi que les moyens à disposition et les prérogatives des uns et des autres sont la clé de la réussite. L’entraînement, via des exercices de crise permet d’aboutir à un niveau de maîtrise toujours plus élevé.

En cas de problématiques soulevées à l’issue d’un exercice de crise, des orientations stratégiques peuvent voir le jour.

L’exercice de crise et les conclusions tirées de cet exercice (retour d’expérience ou débriefing) sont des leviers puissants pour permettre des prises de conscience et proposer des plans d’action voire d’investissement au sujet du management des risques, de la continuité d’activité, de la sécurité et de la sûreté dans le cadre de la gestion de crise d’une entreprise ou d’une organisation.

La direction pourra donc être – à défaut de partie prenante de l’exercice – informée des conclusions de celui-ci et des préconisations afférentes par l’entité ayant mis en œuvre cet exercice (qu’il s’agisse d’un cabinet de conseil ou du service en charge de la gestion de crise et de la continuité d’activité au sein de l’entreprise).

Par ailleurs, des plans de formation peuvent être proposés et mis en œuvre afin de faciliter la montée en compétences des collaborateurs devant intervenir de près ou de loin dans le cadre d’une crise. Gérer une crise n’est pas inné et ne repose pas uniquement sur l’expérience, mais aussi sur des fondamentaux théoriques et des savoirs dont l’acquisition doit passer par une phase d’apprentissage préalable.

Enfin, l’utilité ne s’arrête pas là. L’exercice de crise peut s’avérer être utile voire stratégique (parfois même, obligatoire) en fonction des domaines, face à des clients ou fournisseurs pour prouver ou aider à prouver de la résilience de l’organisation et de la réactivité et l’efficacité des personnes qui composent cette entreprise.

Pour conclure, l’exercice de gestion de crise apporte une réelle plus-value pour les organisations et doit faire partie intégrante des stratégies de préparation aux crises. Les exercices sont adaptés aux organisations, les objectifs prédéfinis et le scénario en place, cohérent et crédible dans le contexte de l’entreprise. Cela permettra aux « joueurs » de se projeter, d’apprendre au mieux, mais également, aux responsable de la sécurité, de la sûreté, de la continuité d’activité et de la gestion de crise, ainsi qu’aux décideurs, de pouvoir réagir et prendre des mesures grâce au « retex » (retour d’expérience) et aux recommandations qui en seront issues.