Publié dans le numéro 48 de Global Security Magazine, notre article est également disponible ci-dessous en intégralité. Nous y livrons nos conseils et notre vision des exercices de crise, étape incontournable d’une préparation efficace à la gestion de crise.
La question n’est plus de savoir SI vous serez touchés par une crise mais QUAND vous le serez. Cette phrase, presque érigée au rang des adages populaires, flottent dans les esprits et les bureaux des responsables Risques, des Directeurs de la Communication ou encore des RSSI (Responsables de la Sécurité des Systèmes d’Information).
Les entreprises touchées par des crises ne sont plus des cas isolés. La sensibilité extrême de l’opinion publique, l’importance de la réputation, l’émergence des fake news, le durcissement de la réglementation, ou encore les tensions géopolitiques expliquent en partie la croissance du nombre de crises. Mais la médiatisation et la multiplicité des crises n’ont d’égales que leur complexité et leur intensité.
Face à ces situations d’exception, qui mettent l’organisation sous pression et la détournent de ses missions prioritaires, les dirigeants doivent prendre des décisions dans des délais de plus en plus serrés, tout en étant plongés dans l’inconnu : le dénominateur commun à l’ensemble des crises est l’INCERTITUDE.
UNE EXPOSITION CROISSANCE DES ENTREPRISE
La digitalisation, la compliance et le RGPD permettent d’accélérer et de sécuriser les affaires, mais ils exposent également nos entreprises à de nouvelles menaces. Si la vulnérabilité des organisations s’amenuise sous de nombreux aspects, la surface d’attaque augmente via l’émergence de ces nouveaux domaines.
Considérons par exemple la réputation d’une entreprise. Grâce aux réseaux sociaux, une organisation peut construire sa notoriété et gagner en visibilité rapidement. Les commentaires positifs et l’engagement des followers participent à la construction de sa réputation, la rendent sympathique et proche. Véritable argument commercial, la réputation de l’entreprise mobilise de nombreuses fonctions en interne, qui y veillent comme du lait sur le feu. Mais la croissance de la réputation de l’entreprise est inversement proportionnelle à sa fragilité, car si elle lui permet de gagner rapidement la préférence des consommateurs, elle la rend particulièrement vulnérable : « Il faut 20 ans pour construire une réputation et cinq minutes pour la détruire » (Warren Buffett). Un paradoxe que certains activistes ou défenseurs d’une cause ont bien compris et auquel ils ont recours, les réseaux sociaux leur offrant un territoire d’expression infini. Car dans la confrontation qui oppose parfois certaines organisations à leurs consommateurs ou à leurs détracteurs, l’outil de la réputation permet de rétablir, voire d’inverser le rapport de force. Quel meilleur levier pour faire tendre l’oreille à une entreprise, un politique ou une commune que de laisser planer un voile sombre sur son image en le menaçant de publier certaines images « choc », certains rapports dérangeants… Il est ici utile de préciser que la véracité des éléments publiés importe peu, surtout lorsque l’on sait qu’une « fake news » se répand 6 fois plus vite [1] qu’une information juste.
DES SITUATIONS DE PLUS EN PLUS INTENSES
Dans la tourmente, le dirigeant se voit contraint de décider dans l’urgence de la réponse opérationnelle à apporter (ou pas), de la stratégie à adopter pour gérer l’évènement, des ressources internes et externes à mobiliser. Il ne dispose plus, comme il y a encore quelques années, d’un laps de temps significatif pour réagir posément, après avoir analysé les informations en sa possession.
L’avènement des réseaux sociaux a fait passer la gestion de crise à la moulinette de l’instantanéité. Ainsi, l’organisation amorce fréquemment sa gestion de crise en réaction à un tweet, à l’appel d’un journaliste ou d’un consommateur et non en étant le porteur de la nouvelle. Ces précieuses minutes qui séparent l’annonce de la crise des premières décisions à prendre se comptent sur les doigts de la main et doivent être parfaitement employées.
Le dispositif de gestion de crise et les modalités de mobilisation doivent bien entendu être définis en amont : ce n’est pas le jour de l’évènement qu’il convient de s’interroger sur les ressources à impliquer et la manière de contacter ses collaborateurs. En possession de ces éléments théoriques, c’est au travers d’exercices de crise réguliers que l’organisation gagnera en efficacité et utilisera à bon escient les quelques minutes qu’il lui reste pour construire une riposte et prendre les premières mesures conservatoires. Tel l’orchestre qui répète sa partition jusqu’à l’avoir faite sienne, l’entreprise et les membres de la cellule de crise doivent s’entraîner pour que le dispositif soit fluide et efficient.
Les exercices de gestion de crise donnent également à leurs protagonistes l’occasion de se confronter à une dimension sous-estimée : l’épreuve du temps. Si l’état de gestion de crise était souvent un évènement circonscrit dans un temps court, il peut désormais perdurer sur plusieurs jours. La pression médiatique et interne qui accompagne régulièrement ce type d’évènements occasionne bien souvent « une crise dans la crise », génératrice de rebondissements et d’épisodes successifs.
La pression très forte subie par l’entreprise au coeur de la crise rend l’épreuve particulièrement éprouvante. Toucher du doigt l’intensité d’un tel épisode permet de limiter l’état de sidération qui peut parfois frapper les personnes impliquées dans la gestion de l’évènement, de tester la cohésion de l’équipe et de mieux connaître ses capacités personnelles dans de telles situations.
DE L’EXERCICE SUR TABLE DE DEUX HEURES A L’EXERCICE EN TEMPS REEL SUR 24h OU PLUS : DES MISES EN SITUATION A CALIBRER EN FONCTION DES ENJEUX
En amont de tout exercice, des objectifs précis doivent lui être assignés. S’agit-il de tester l’efficacité du dispositif de mobilisation ? De roder l’utilisation des outils mis à disposition ? De piloter la coordination entre plusieurs cellules de crise ? De déclencher le PCA (Plan de Continuité d’Activités) ou le PRA (Plan de Reprise d’Activités) ?
L’exercice de crise n’est en aucun cas un produit sur étagère que l’on réutilise à l’envie, mais un projet à part entière, qui nécessite de connaître l’entreprise pour laquelle l’exercice est conduit, d’en maîtriser l’organigramme, les spécificités, les codes. C’est par le soin porté aux détails que l’exercice sera réaliste et que les participants se « prendront au jeu ».
Au-delà de la situation initiale qui sera dépeinte aux participants, l’exercice doit être enrichi de nombreux stimuli, qui permettront d’accélérer l’exercice, de le ralentir, d’intensifier la pression ou encore d’amener les participants à douter des décisions prises et des orientations à donner. Il peut s’agir d’appels téléphoniques, d’emails, de coupures de presse, de tweets… Si la narration revêt une importance capitale dans la crédibilité de l’exercice, son tempo est tout aussi crucial. Pour les exercices sur table notamment, les participants doivent être projetés dans le temps et jouer en parallèle sur le temps réel et le temps de la fiction.
De même, les exercices se concentrent généralement sur la phase de démarrage de la gestion de crise. Pour certaines entreprises déjà rodées, il peut être intéressant de se confronter à la gestion du « jour d’après » ou encore à l’étape cruciale de sortie de crise.
Des mises en situation en conditions et temps réels sont également possibles. Généralement conduites pour des organisations rompues à la gestion de crise, elles nécessitent souvent l’implication d’intervenants externes (SDIS, DREAL, forces de l’ordre…) et permettent de tester des dispositifs de grande ampleur et la coordination des nombreuses parties prenantes. On citera ici les exercices menés par Aéroports de Paris, ou encore Cyberfenua, qui simule une cybercrise grandeur nature sur la Polynésie Française pour tester sa résilience et la coordination avec la métropole, complexifiée par la distance et le décalage horaire. Les organisations qui le souhaitent pourront aussi mettre en oeuvre des stages de type « bootcamp », menés en collaboration avec d’anciens agents gouvernementaux ou des militaires par exemple afin de tester la résistance du collectif et la prise de décision collégiale en situation de stress intense.
Pour conclure, il est important de garder à l’esprit qu’un exercice de crise n’est ni un jeu ni un moment convivial, mais un test grandeur nature de la résilience de l’organisation et de la cohésion de ses équipes confrontées à l’incertitude. La gestion d’évènements dits de crise ne s’improvise aucunement et la réactivité imposée par le monde actuel nécessite une préparation idoine.
[1] The spread of true and false news online, Soroush Vosoughi, Deb Roy, Sinan Aral, Science 09 Mar 2018, Vol. 359, Issue 6380, pp. 1146-1151 DOI:
10.1126/science.aap955
