Alerter en cas de crise : comment bien choisir une solution d'EMNS

Imaginez la situation suivante : vous êtes réveillé(e) au beau milieu de la nuit par la sirène d'alerte publique qui retentit dans votre ville. Vous attrapez votre téléphone sur la table nuit et une alerte sur l'écran vous informe qu'un incident majeur dans une usine de composants chimiques vient de se produire dans une ville voisine. Vous sortez immédiatement de votre lit et allumez la télévision pour en savoir plus.

Dans les minutes qui suivent, votre manager, qui (comme par hasard) vit dans le même quartier que vous, vous appelle et vous demande "Tu es au courant ?" suivi de "Nos collègues savent quoi faire demain, n’est-ce pas ?" et là vous vous dites "Oui, ils devraient le savoir, puisque nous avons récemment procédé aux exercices de simulation basés sur un scénario similaire."

Mais vos collègues se souviennent-ils vraiment de ce qu’ils doivent faire ? Et là, vous réalisez que seuls les représentants de votre département ont participé à cet exercice. Et cela ne correspond qu’à 5% du bureau. Nous sommes en plein milieu de la nuit… comment faire ?

Ce qui vient d’être décrit doit probablement être l’un des pires cauchemars d’un chef d’entreprise ou d’un gestionnaire de crise. Aucune raison d’être surpris, car selon l’étude "Gartner Security and Risk Management", seulement 37% des répondants ont indiqué avoir mis en place un système de notification massive d’urgence (EMNS – Emergency Mass Notification System) dans leur entreprise. Cependant, depuis le début de la crise de la Covid-19, de plus en plus d’entreprises et organisations ont eu recours à ces systèmes et leur usage a été étendu au-delà des situations d’urgence traditionnelles. D’ailleurs, les utilisateurs habituels de ces solutions (responsables informatiques, de la reprise après sinistre et de la gestion de crise) ont été rejoint par des profils variés tels que des professionnels des ressources humaines et/ou de la finance mais aussi des médecins, des opérateurs de transports public, des éducateurs, etc.

Or le marché regorge de solutions EMNS. Comment les chefs d’entreprise et les collectivités peuvent-ils déterminer quelle solution est la plus adaptée à leurs besoins ? Avant de passer en revue les critères auxquels doit répondre ce type de solution, il est essentiel de se poser les bonnes questions :

  1. Quelle est la cause de vos insomnies ? En tant que chef d’entreprise, vous savez ce qui pourrait nuire à vos activités commerciales ou entacher la réputation de votre entreprise. En général les principales mesures mises en place viennent adresser des menaces plutôt classiques comme les catastrophes naturelles, les incendies, etc. Mais d’autres risques peuvent survenir sans avoir été anticipés. Dans ce cas, le premier réflexe consiste souvent à prendre contact avec les principales parties prenantes pour leur partager des informations et des instructions afin qu’elles les valident et que vous puissiez les intégrer dans votre stratégie de communication. En vous appuyant sur une équipe identifiée préalablement, vous pourrez mieux anticiper collectivement la prochaine réponse à apporter si un incident venait à se produire.
  2. Qui vous réglemente ? Les entreprises qui évoluent dans certains secteurs peuvent être soumises à des réglementations spécifiques. Par exemple, les entreprises qui exploitent des infrastructures d’informations critiques peuvent être tenues de signaler les incidents de cybersécurité dans un délai précis aux « régulateurs du secteur » à qui elles doivent également préciser la durée ou l’état d’avancement du blocage ou de la résolution de l’incident. Cette obligation ne se limite pas uniquement à la vitesse à laquelle l’information est remontée. Les équipes informatiques ou de cybersécurité de l'organisation doivent fournir une image complète de la situation de l'incident tout en faisant le nécessaire pour aboutir à une résolution rapide. Par conséquent, les chefs d'entreprise ne devraient pas se fier uniquement aux communications par courrier électronique et par SMS. Il est préférable d'opter pour une plateforme sécurisée qui peut faciliter la réponse à l'incident en donnant un aperçu unifié de la situation, en effectuant des alertes automatisées et en renforçant la collaboration entre toutes les parties prenantes concernées.
  3. De qui êtes-vous responsable ?  Lorsqu'un événement critique est susceptible d'entraîner la perte de vies humaines, les entreprises ont un devoir de diligence envers leur personnel et les autres parties prenantes. Cela ne concerne pas uniquement les personnes opérant dans les locaux physiques, mais toute personne engagée par l'entreprise doit être prise en compte (oui, les travailleurs à distance et les fournisseurs de services externalisés doivent être inclus). Les entreprises qui continuent à utiliser le système manuel d’arborescence d’appels (qui répertorie toutes les personnes à contacter dans un ordre bien précis) vont devoir contacter chaque personne une à une ou attendre la réponse du "prochain responsable de niveau identifié". Tandis qu’une plate-forme de communication permet de diffuser rapidement des alertes, d’enregistrer des accusés de réception et facilite le partage d'informations essentielles avec les premiers intervenants avec pour conséquence un temps de réponse et de résolution nettement réduit.
  4. Qui doit savoir ?  Lorsqu'un événement critique se produit (ou est sur le point de se produire), l'équipe de direction ou les membres du conseil d'administration ont-ils besoin de recevoir personnellement et en premier lieu toutes les informations ? Qu'en est-il des autres membres du personnel et des fournisseurs essentiels au sein de l'entreprise ? Se fier uniquement aux courriels et aux SMS ne sera pas suffisant, en particulier lorsque les événements critiques se produisent au milieu de la nuit, pendant un week-end ou un jour férié. Si les événements critiques nécessitent une autorisation pour que certaines actions puissent être mises en place, il ne faut certainement pas attendre le lendemain matin pour les obtenir. Le temps de réaction est crucial dans une situation de crise et une plateforme d’EMNS fiable et robuste permet d’assurer la diffusion rapide des informations et de diminuer les temps de réponse.

Les critères clés pour savoir quelle solution choisir :

Pour être jugée efficace, une plateforme d’EMNS devrait a minima permettre d’intégrer en direct des changements de plans critiques et de dernière minute (car une situation de crise peut évoluer très rapidement). Elle doit aussi assurer l’envoi rapide de notifications en cas d'activation, fournir des moyens de suivi (état d’avancement, respect des engagements, etc.), faciliter la collecte et la gestion d'informations critiques par les équipes d'intervention opérationnelles et tactiques et, surtout, faciliter la collaboration avec les parties prenantes identifiées.

Tous ces éléments doivent être gérés sur une plateforme sécurisée et fiable qui respecte les normes de sécurité reconnues par l'industrie et les meilleures pratiques en matière de résilience. Le cas échéant, une équipe de services managés dédiée doit être prête à aider les entreprises en cas de besoin.

Il va sans dire que la solution d’EMNS choisie ne doit pas être strictement limitée aux cas d'urgence traditionnels, ni aux cas d'utilisation liés à la sécurité. Ainsi, les entreprises pourront maximiser leur retour sur investissement.