De l’incident à la crise : comment éviter l’escalade ?
De la simple panne informatique à la cyberattaque, les incidents perturbent l’activité de l’entreprise et ses performances sont remises en question. Si la gestion des incidents fait partie intégrante du quotidien des entreprises, nul besoin de déclencher une cellule de crise tous les jours ! Le plus souvent, fort heureusement, une crise se résout sans encombre.
Souvenons-nous de ces journées marquées d’une pierre blanche où les messageries électroniques se sont emballées, où les écrans de contrôle ont viré au rouge, lorsque nos meilleurs experts n’étaient plus tout à fait certains de la prochaine action à enclencher, ni de son résultat. Il est désormais temps d’anticiper le chaos et de profiter de ces moments pendant lesquels les équipes ont les idées encore suffisamment claires pour pouvoir agir efficacement, pour rentrer en crise. Car c’est la pérennité même de l’entreprise qui est en jeu.
Il apparaît donc fondamental de se préparer au mieux à ces situations. Qu’il s’agisse de la gestion de la situation à chaud, ou de l’anticipation des conséquences et des risques potentiels pour l’entreprise à court et moyen terme.
Qualifier et prioriser finement les incidents
La qualification d’un incident constitue une étape primordiale de la gestion de crise avec, en premier lieu, l’identification des impacts. Ces derniers doivent être analysés sous plusieurs angles et pas seulement sous l’angle opérationnel. Car c’est bien souvent l’analyse des impacts d’un incident qui va faire basculer la gestion en posture de crise.
Comment peut-on procéder ? Les incidents doivent être classifiés à chaud, en fonction de deux composantes : leur impact et leur urgence pour l’organisation. La combinaison de ces deux indicateurs au sein d’une matrice appelée Matrice de priorité, permet une meilleure lisibilité du niveau de priorité de traitement de l’incident.
La matrice présentée ci-dessus doit être adaptée au contexte de chaque organisation. Aussi, prenez le temps d’affiner les indicateurs de votre propre matrice selon différents critères :
- la granularité du niveau d’impact et du niveau d’urgence,
- le nombre de niveaux pour chaque indicateur,
- les indicateurs permettant de mesurer l’impact de l’incident,...
Une fois la matrice établie, on obtient une classification des niveaux de priorité allant de P1 à P4. Cette classification est un élément fondamental de la gestion des incidents et va permettre de déterminer la stratégie à mettre en place ainsi que les moyens à mobiliser pour résoudre la situation, à savoir : la liste des acteurs à mobiliser, le niveau de management à impliquer, les règles de communication à appliquer,… Ces éléments doivent être listés précisément pour chaque niveau de priorité.
Il est important de garder en mémoire l’idée que le niveau de priorité est susceptible d’évoluer pendant le traitement de l'incident – selon que la situation s’aggrave ou semble s’améliorer - et, avec elle, la stratégie mise en œuvre.
Notez également qu'il n'est pas rare de classifier les incidents à très fort impact en priorité P0. Pardon, ITIL® ! [1] Car il faut bien classifier aussi ces incidents mémorables, ceux que l’on se raconte encore dans les couloirs des années plus tard.
Appréhender le niveau d’urgence
Lors de la classification des incidents, il est essentiel de considérer deux autres indicateurs, à savoir : la durée maximale pendant laquelle l’organisation est en capacité de se priver d’une ressource ainsi que l’objectif de temps nécessaire au rétablissement d’une situation. Les impacts d’un incident surviennent lorsque ce deuxième indicateur est supérieur au premier. L’urgence mesure ainsi la rapidité avec laquelle l’incident doit être résolu.
Pour améliorer ce facteur temps, les organisations disposent de plusieurs leviers. La plupart d’entre elles misent sur des architectures redondées pour l’ensemble de leurs services critiques avec des temps de bascule très faibles.
La robustesse des contrats de service et la capacité des fournisseurs à honorer leurs engagements sont aussi des facteurs clé et peuvent s’avérer tout aussi importants que l’infrastructure mise en place. Ne négligez pas la négociation de vos contrats de service, et notamment des clauses qui touchent à la garantie de temps de rétablissement (GTR) !
Considérer les impacts
Les impacts d’un événement, qu’ils soient d’ordre humain, opérationnel, environnemental, réputationnel, juridique ou financier, sont à considérer minutieusement et rapidement afin de permettre une qualification pertinente de l’événement. Ils doivent également prendre en compte les éventuels liens d’interconnexion dans le cas d’une infrastructure mutualisée entre plusieurs applications, services ou organisations.
En juin 2017, l’Université de Bourgogne Franche-Comté est victime d’une panne informatique consécutive à la rupture d’une canalisation qui a entraîné l’inondation de la salle informatique située sur le campus universitaire de la Bouloie à Besançon. Un incident d’apparence banal dont les conséquences vont s’avérer être catastrophiques.
Car cette salle informatique est un nœud régional du réseau RENATER, le Réseau National des télécommunications pour la Technologie, l'Enseignement et la Recherche. Déployé au début des années 90, le réseau RENATER connecte l’ensemble des établissements d’enseignement supérieur et de recherche de France. L’incident du 17 juin 2017 a entraîné l’indisponibilité des messageries, des applications et des sites Internet universitaires de toute la région Franche-Comté pendant 24 heures.
À travers le cas de l’Université de Besançon, il est important de comprendre que la disponibilité d’un service doit s’appréhender au-delà d’une simple architecture technique et qu’une vision globale est primordiale.
Apaiser les esprits avec une communication maîtrisée
En cas d’incident à fort impact et, a fortiori, en situation de crise, il est souvent difficile de garder la tête froide et de savoir qui informer et quoi communiquer. Le personnel technique déjà mobilisé pour le rétablissement de la situation ne peut pas assurer la communication en parallèle. Prévoir ou désigner une équipe restreinte habilitée et formée à gérer la communication interne et externe jusqu’au rétablissement de la situation est un élément essentiel du plan de gestion de crise.
Pour cette équipe, le défi consiste à communiquer de manière judicieuse et à conserver la maîtrise de la communication tout au long du processus de gestion de crise et de reprise d’activité. Nous savons tous qu’une communication claire apaise les esprits et balaie la plupart des questionnements. Ce que l’on souhaite dans ces situations, c’est de pouvoir éliminer le brouhaha et rester focalisé sur l’objectif numéro un : rendre le service.
Alors, qui informer ? Pour répondre à cette question, il faut y réfléchir à froid, et, idéalement, pour chaque type d’incident. Qui contacte-t-on si nos clients ne peuvent plus utiliser notre service en ligne ? Et si c’était notre outil national de remontée des données des alarmes incendie qui ne fonctionnait plus ? Deux crises, deux publics.
En 2020, une attaque sophistiquée contre l’éditeur de logiciels américain SolarWinds a permis à des cybercriminels de compromettre le logiciel Orion utilisé pour la supervision des réseaux informatiques de grandes entreprises et d’administrations. Les hackeurs en auraient profité pour infiltrer les réseaux informatiques de nombreuses organisations gouvernementales et entreprises dans le monde entier. Deux ans plus tard, Sudhakar Ramakrishna, directeur général de SolarWinds estime que la stratégie de transparence pour laquelle il a opté à l’époque des faits lui a permis de regagner la confiance de ses clients.
« Lorsqu'on subit une cyberattaque, la transparence avec les clients doit être la priorité », déclare Sudhakar Ramakrishna dans un entretien accordé au journal La Tribune en décembre dernier[2].
Bien que douloureuse pour l’entreprise, cette stratégie de communication était nécessaire et permet aujourd’hui à l’entreprise de tabler sur une croissance forte à court et moyen terme.
L’acceptation, clé de la gestion de crise
Il ne fait aucun doute que les incidents continueront de perturber la vie des entreprises et que le nombre de cyberattaques, pour ne citer qu’elles, continuera d’augmenter dans les prochaines années. La crise fait partie de notre quotidien et les entreprises devront continuer à faire évoluer leur culture et leurs procédures internes pour y faire face le plus sereinement possible.
La meilleure façon d'appréhender ces situations reste encore d’envisager les solutions qui permettront de s’y préparer. La gestion de crise est un engagement avant tout humain, dans un monde sans certitudes.
Dans le même temps, les organisations devront faire évoluer leur communication autour de ces sujets. Car une communication ouverte et transparente autour des incidents et des crises est aujourd’hui vue comme un moyen de renforcer la confiance d’une organisation auprès de ses collaborateurs, de ses partenaires et de ses clients.
Nous pouvons chercher à l’éviter, à l’ignorer mais la crise viendra toujours perturber l’existant au moment où on s’y attend le moins. Alors pourquoi ne pas en tirer parti ? Chaque crise est unique et apporte avec elle son lot d'enseignements. Car, oui, une crise n'est pas seulement néfaste, elle donne aussi une occasion de s'améliorer. D'ailleurs, crise, en chinois, se dit Wēijī – 危机 : ce mot est composé des deux caractères qui signifient respectivement "danger" et "opportunité". À méditer…
[1] Information Technology Infrastructure Library
[2] MANENS François, « Lorsqu'on subit une cyberattaque, la transparence avec les clients doit être la priorité » (Sudhakar Ramakrishna, directeur général de SolarWinds), La Tribune, 7 décembre 2022.
