Gestion du risque & résilience : le rôle clé de la cellule de crise

Dans un environnement où les risques se sont multipliés, les stratégies traditionnelles de prévention sont moins efficaces. La question n’est plus de savoir si une entreprise risque de subir une interruption d’activité, mais quand.

Face à un nouveau contexte où les risques se multiplient, les organisations doivent adopter une approche basée sur la gestion du risque, et non sur son élimination. D’abord, parce que la suppression du risque est impossible, mais aussi parce qu’elle entraverait l’agilité de l’organisation. On parle alors de résilience.

La résilience envisage le risque selon une définition plus large qui vise à cartographier l’ensemble des menaces pour en limiter l’impact, permettre un fonctionnement des applications essentielles et prévoir une reprise rapide de l’activité. La gestion du risque concerne l’organisation tout entière. C’est pourquoi, pour être efficace, la gestion des incidents sérieux doit être confiée à une double cellule de crise. Elles réunissent les entités clés de l’entreprise, du comité de direction aux directions métier en passant par la DSI, et répond à des processus définis en amont.

Ainsi, l’adoption d’une stratégie de résilience impose un solide travail de préparation afin d’assurer une sortie de crise rapide et un retour de l’entreprise à son état normal de fonctionnement.

Cartographier les risques & constituer une cellule de crise

Une crise, c’est une situation inattendue dont les conséquences sont potentiellement graves et pour laquelle les mécanismes habituels sont inadaptés. Afin d’établir une stratégie efficace de gestion des risques, il convient d’abord d’identifier méthodiquement, mais aussi d’évaluer, les menaces qui pèsent sur l’entreprise. Les risques peuvent être classés selon plusieurs catégories. On distingue les risques stratégiques - liés à l’exploitation d’un secteur particulier - les risques financiers, opérationnels, de compliance - associé au respect des régulations - et enfin les risques informatiques.

La gestion de crise passe par la mise en place d’un dispositif spécifique maintenu dans la durée. Une fois la cartographie de menaces réalisée, il convient alors de constituer une double cellule de crise : une cellule de crise décisionnelle (CCI) et une cellule de crise opérationnelle (CCO). Travaillant de concert, leur mission est de conduire l’entreprise vers une reprise rapide de l’activité.

Cellule de crise décisionnelle & cellule de crise opérationnelle

La cellule de crise décisionnelle réunit les membres permanents de la cellule - sélectionnés en amont - ainsi que les membres de la Direction et/ou des Métiers impliqués dans la-dite crise. La mission de cette cellule est d’abord d’assurer le suivi et le pilotage de la gestion de crise. Elle est chargée de prendre des décisions justes et rapides, malgré le poids de la pression.

La gestion de crise doit marcher sur deux jambes. La cellule de crise opérationnelle se compose, elle, de coordinateurs issus des métiers et des fonctions supports, coordonnés par le sponsor de la continuité d’activité souvent œuvrant au sein de la DSI. Le rôle de cette seconde cellule est d’analyser la situation de crise, d’apprécier ses conséquences, et surtout de proposer à la cellule décisionnelle un plan d’action, tout en lui transmettant des bilans de façon régulière. La CCO pilote également les actions des acteurs opérationnels avec la possibilité de solliciter des experts en fonction de la nature de la crise.

L’apprentissage par la pratique : les wargames

Une fois, les cellules constituées, il s’agit de définir les responsabilités de chacun de façon formelle, d’identifier les objectifs, puis de mettre en place des processus. Les cellules décisionnelles et opérationnelles sont ensuite testées via des exercices de gestion de crise en conditions proches du réel : les wargames, qui visent à éprouver les systèmes de prise de décisions grâce à des scenarios probables, possibles et redoutés.

Les wargames sont la pierre angulaire d’une stratégie de gestion de crise efficace. Ils permettent d’éprouver les processus et les hommes dans le but d’améliorer, par l’expérience, les dispositifs existants.

Vers une entreprise résiliente

Les processus d’identification, d’évaluation et de réponses aux incidents sont autant d’étapes nécessaires à une bonne gestion du risque. Ces processus doivent être complétés par des dispositifs d’information, de communication et de contrôle, portés par les cellules de crise.

Ainsi, une entreprise résiliente, c’est une entreprise qui parvient à maîtriser l’inattendu du facteur « risque » par un travail préparatoire d’identification des menaces, mais aussi en se dotant des outils qui lui permettront d’agir le moment venu afin d’assurer un retour vers un fonctionnement normal de l’organisation.