4 questions à vous poser pour bien choisir votre solution de gestion de crise
Les gestionnaires de crise commencent à investir dans des solutions qui vont au-delà des systèmes de notification d'urgence, en vue de planifier, détecter, voire anticiper, et se remettre plus rapidement des évènements critiques menaçant les entreprises modernes.
Imaginez-vous allumer votre ordinateur professionnel et découvrir avec horreur ce message : "Oups ! Vous voulez récupérer vos fichiers ? Voici comment payer." Que feriez-vous ? En cas d'attaque par ransomware, l'IT et les dirigeants s'empressent de restaurer les versions précédentes du système via des solutions de cybersécurité avancées... ou songent à payer la rançon s'ils n'y arrivent pas.
Du côté des employés, les modules d’e-learning sur la prévention des cyberattaques ou les mots de passe sécurisés ne sont alors plus d’aucune utilité, car il est trop tard. Vos collaborateurs doivent continuer à servir les clients malgré l’indisponibilité complète des systèmes. Après la Covid, vous ne pouvez pas vous permettre de suspendre vos activités. Et qui protègera les emplois si votre entreprise perd de l’argent ? Les employés sont dans le noir, et le chaos est proche.
Malgré le caractère cauchemardesque de ces situations du point de vue managérial, il est surprenant de constater que les organisations ne font pas grand-chose pour éviter la confusion et les perturbations causées par ces incidents imprévus. Selon l’enquête 2019 de Gartner sur la gestion de la sécurité et du risque, 37% seulement des répondants indiquent qu’ils ont déployé un système de notification d’urgence de masse (emergency mass notification system, EMNS) complet au sein de leur organisation. Face à la diversité des défis rencontrés par toutes les entreprises en 2020, qu’il s’agisse d’incendies dévastateurs, de tensions civiles ou de la pandémie, les gestionnaires de crise commencent cependant à investir dans des solutions qui vont au-delà de ces EMNS, en vue de planifier, détecter, anticiper si possible ou gérer et se remettre plus rapidement des évènements critiques menaçant les entreprises modernes.
Beaucoup se rendent compte qu’une technologie appropriée pourrait aider à limiter toute perturbation supplémentaire lors du retour au bureau, mais, comme le montre l’exemple du ransomware, l’utilité de ces communications de crise ne se limitera pas au contexte post-Covid. Aucune organisation n’est à l’abri, quel que soit le lieu de travail de ses collaborateurs. Elles doivent déployer une solution de gestion des évènements critiques (critical event management, CEM) alignée sur les besoins de leur activité. Pour faire le bon choix, les gestionnaires de crise doivent se poser les quatre questions suivantes :
- Quelles sont vos principales préoccupations ? En tant que chef d’entreprise, quels évènements sont susceptibles de perturber vos opérations ou de nuire à votre réputation ? S’il est possible d’élaborer des stratégies de gestion et de reprise pour les catastrophes naturelles ou autres incidents humains (par exemple, des fusillades, ou des incendies dans les locaux), il existe sans doute d’autres risques tout à fait imprévisibles. Dans ce cas, la première chose à faire sera probablement de contacter les principales parties prenantes, de les rassurer ou de leur transmettre des consignes, et de leur demander d’en accuser bonne réception dans le cadre de votre stratégie de communication. En recensant vos employés, vous pourrez réfléchir plus efficacement ensemble à la marche à suivre pour faire face à la situation.
- De quels organismes réglementaires dépendez-vous ? Certains secteurs d’activité peuvent être soumis à des exigences réglementaires spécifiques. Par exemple, les entreprises exploitant des infrastructures d’information critiques (critical information infrastructures, CII) peuvent être tenues de signaler leurs incidents de cybersécurité dans un délai donné à des autorités réglementaires sectorielles, en fournissant des détails pertinents comme la portée ou l’avancée des mesures d’endiguement et de résolution. Les équipes IT et cybersécurité de l’organisation sont alors sous pression : en parallèle à la rapidité demandée pour les remontées et le reporting aux autorités, elles doivent également fournir une vue complète sur l’état de l’incident et contribuer à la résolution rapide du problème.
Compte tenu de la nature de ce type de menace, les responsables business qui s’appuient uniquement sur les communications par email et par SMS prennent des risques inutiles. Il serait plus judicieux d’opter pour une plateforme sécurisée capable de prendre en charge l’ensemble du cycle de réponse aux incidents via une vue opérationnelle commune, avec des alertes automatiques et une collaboration en direct avec les parties prenantes concernées. - De qui êtes-vous responsable ? En cas d’évènement critique susceptible d’entraîner des catastrophes, les entreprises ont un devoir de diligence envers leurs employés et les autres parties prenantes. Ici, il s’agit de recenser non seulement les personnes travaillant dans les locaux de l’organisation, mais aussi tous les professionnels sous contrat avec l’entreprise (y compris les collaborateurs en télétravail et les prestataires de services externes). Les entreprises qui s’appuient encore sur un système d’arborescence d’appels manuel devront laborieusement contacter chaque employé individuellement, ou attendre la réponse du "prochain responsable de niveau identifié". Par opposition, les plateformes de communication capables d’envoyer rapidement des alertes, d’enregistrer les accusés de réception et de faciliter l’échange d’informations critiques avec les premiers secours peuvent accélérer la réponse et donc la reprise de manière significative.
- Faut-il signaler les incidents à quelqu’un ? En cas d’évènement critique (en cours ou imminent), faut-il informer directement l’équipe de management ou le conseil d’administration ? Faut-il aussi transmettre ces informations à d’autres collaborateurs et fournisseurs essentiels dans l’entreprise ? Les communications uniquement par email et SMS peuvent s’avérer problématiques, en particulier si l’évènement se produit en pleine nuit, pendant le weekend ou un jour férié. Si certaines mesures de réponse nécessitent une autorisation pour être lancées, il n’est pas question de devoir attendre le lendemain matin. Pour limiter ce risque, il serait judicieux d’opter pour une plateforme CEM fiable, robuste et capable de rassurer les parties prenantes tout en permettant des communications bidirectionnelles sécurisées, en vue de diffuser rapidement les informations et d’accélérer la réponse.
Quels sont les éléments non négociables pour les plateformes CEM ?
Quelle que soit la solution CEM choisie par les gestionnaires de crise, elle doit pouvoir prendre en charge des changements de stratégie de dernière minute "en direct", sur une plateforme accessible et sécurisée. Puisque les évènements perturbateurs évoluent constamment, les technologies doivent être en mesure de transmettre rapidement les informations. La plateforme doit pouvoir envoyer rapidement des notifications en cas d’activation, offrir des capacités de suivi des responsabilités, faciliter la collecte d’informations critiques et la gestion de la part des équipes de réponse stratégique et opérationnelles et, surtout, permettre à toutes les personnes contribuant au bon fonctionnement de l’entreprise de collaborer. Sans une plateforme sécurisée, ces mesures ne seront d’aucune utilité. Chaque plateforme doit reposer sur des normes de sécurité reconnues par le secteur et justifier d’une résilience éprouvée aux tentatives de piratage. Beaucoup de ces solutions sont aujourd’hui étayées par une équipe de services gérés capable d’offrir une assistance de confiance en cas d’urgence.
Le chaos ne provient pas de la source de la perturbation, mais des équipes qui cèdent à la panique. Avec une plateforme CEM, vous pouvez apaiser ce tumulte parmi vos parties prenantes en attendant de trouver une solution, ce qui réduira considérablement l’impact de l’évènement sur les opérations quotidiennes de votre entreprise.