Pour éradiquer la cause et limiter les impacts d’une situation dépassant désormais le seul périmètre technique, la DSI doit mettre en œuvre une véritable stratégie de management de crise, dont elle est le pivot.
Selon le CESIN (Club des Experts de la Sécurité de l’Information et du Numérique), 92% des entreprises françaises ont été touchées par une cyberattaque en 2017. Cette même année, plus de 700 millions de cyberattaques ont été enregistrées à travers le monde, soit une augmentation de 37% par rapport à l’année précédente. On se souvient notamment des ransomwares wannacry ou Petya/NotPetya qui avaient paralysé des milliers d’entreprises, et coûté des milliards de dollars.
Des attaques informatiques de plus en plus nombreuses, élaborées et dangereuses, qui exposent quotidiennement les entreprises au risque de crises de plus en plus difficiles à maîtriser.
De la défaillance technique à la crise d’image
A l’heure de la digitalisation croissante des activités, les entreprises sont plus jamais SI-dépendantes. De plus en plus complexes et interconnectés, les systèmes d’information sont devenus le centre névralgique des organisations, dont une majorité (ou la totalité) des activités repose désormais sur la performance et la robustesse des infrastructures informatiques. Si bien qu’en cas de crise sur le SI, c’est toute l’entreprise qui se trouve potentiellement paralysée.
Interruption de services, arrêt de la production, blocage de la supply chain… : les conséquences d’un dysfonctionnement informatique peuvent être dévastatrices pour une entreprise. A fortiori quand elle provient d’une cyberattaque dont il est toujours complexe d’évaluer l’origine, l’ampleur et les effets. D’autant que les répercussions pour l’entreprise se limitent plus à la seule « salle des machines » : elles investissent désormais l’espace public.
L’hypermédiatisation, les réseaux sociaux ou encore l’information en continu, concourent aujourd’hui à transformer une crise informatique en crise d’image. D’où l’importance de pouvoir rapidement endiguer la crise afin de limiter son impact non seulement entre les murs de l’entreprise, mais aussi en dehors.
La DSI à l’épicentre de la gestion de crise
Gérer une crise informatique, c’est donc à la fois remettre le système en marche, et en contrôler au maximum les retombées négatives dans l’ensemble de l’écosystème de l’entreprise. La DSI endosse, à ce titre, un rôle pivot, en ce qu’il lui incombe de résoudre le problème technique, et désormais aussi de prendre les rênes de la communication autour de ce problème.
Pourquoi la DSI ? Parce qu’elle est la seule à pouvoir faire le lien entre, d’une côté le service informatique en charge de la résolution de la défaillance, de l’autre l’ensemble des métiers et services extérieurs qui sont potentiellement impactés. Elle se retrouve ainsi à l’épicentre de la gestion de la crise, usant de sa connaissance de la cartographie et des mécanismes de l’entreprise pour adopter la meilleure stratégie et prendre les meilleures décisions.
La DSI doit donc apprendre à maîtriser ce nouveau rôle de communicant, et à se positionner comme une source d’information fiable pour l’ensemble de l’organisation et son environnement. Ce qui signifie apprendre à communiquer de manière régulière, intelligible et pertinente, en adaptant son discours à ses interlocuteurs en fonction des enjeux et des besoins propres à chacun. Car la maîtrise d’une crise passe pour beaucoup dans la capacité à communiquer sur cette crise et à apporter les bonnes réponses, au bon moment, aux bonnes parties prenantes.
Mais bien sûr, tout cela ne s’improvise pas ! Cette double-casquette impose aux DSI d’avoir une véritable stratégie de management de la crise, avant même que celle-ci se produise. Elles doivent être préparées pour avoir les bons réflexes, la bonne approche et la bonne communication.
Stratégie de management de crise : prévenir pour mieux guérir
« Si vis pacem, para bellum » – si tu veux la paix, prépare la guerre ! Gérer une crise, ou plutôt la maîtriser, c’est d’abord s’y préparer. Mieux les équipes SI seront organisées avant l’arrivée de la crise, mieux elles seront armées pour y faire face.
Cela passe par exemple par la constitution, en amont, des équipes les plus à même de résoudre le problème initial et d’en maîtriser les retombées. Il incombe alors à la DSI d’identifier, au sein de ses propres équipes et de services extérieurs, les collaborateurs qu’elle devra mobiliser pour adresser la crise. Cela demande de bien connaître ses collaborateurs, leurs compétences mais aussi leur résilience face à l’adversité, pour éviter toute « erreur de casting » au moment critique.
Cette vision transversale de l’organisation est également indispensable pendant la crise elle-même. C’est parce qu’elle aura une connaissance de l’ensemble des rouages et ramifications dans l’organisation que la DSI sera en mesure d’évaluer l’ampleur des impacts de la crise et la meilleure façon de les contenir.
Enfin, trop souvent oubliée, l’après-crise est pourtant une étape essentielle de la gestion de crise. Le calme après la tempête : c’est le temps du bilan, de l’analyse des évènements pour comprendre ce qui s’est passé et comment, surtout, éviter que cela se reproduise.
La transformation digitale a redéfini en profondeur le rôle des DSI, leur positionnement dans l’entreprise et leurs responsabilités. Un changement de statut exacerbé par une situation de crise, qui agit comme un miroir grossissant. Les DSI doivent apprendre à s’emparer de ces nouvelles prérogatives et faire valoir leur position de plus en plus stratégique dans l’entreprise.
