ATOUT RISK MANAGER N°18
DOSSIER GESTION DE CRISE : AVANT TOUT, UNE GESTION DU FACTEUR HUMAIN l’origine ? Comment éviter que cela ne se reproduise ? Qu’aurait-il fallu faire pour être plus efficace ? « Cet outil ne sera pas utilisé efficacement si les personnes sont dans une posture d’auto-complaisance et rejettent la faute sur d’autres acteurs ou sur des facteurs exogènes à l’entreprise» , ajoute la Risk Manager qui s’appuie sur un cabinet spécialisé dans les dispositifs de gestion de crise pour réaliser des simulations. « Quand on clôture ces simulations avec le consultant, nous faisons un retour aux personnes sur leurs comportements face à la crise (empathie, écoute, cohérence, approche collaborative, …). Nous pourrions aujourd’hui aller encore plus loin en leur proposant des formations en développement personnel pour les aider à alimenter leur capacité à mieux gérer des crises. » Intégrer le facteur stress Autre facteur aggravant : le stress, qui aura des répercussions sur les comportements en cas de crise. « Si les gens arrivent en stress dans la cellule de crise, ils vont développer des comportements pathogènes (posture de sidération ou réaction épidermique) qui déstabiliseront tous les efforts de préparation de gestion de crise » , affirme ainsi Benoît Vraie, président de la commission gestion de crise et PCA de l’AMRAE (ouvrage sur le PCA, 2015), maître de conférences associé au sein du Master « Gestion globale des Risques et des crises» (Paris 1 Sorbonne), ajoutant que « la prise en compte de cette fragilité humaine est encore exploratoire» . Il conseille de détacher du groupe un coordinateur qui ne prenne pas part au contenu de la décision finale mais qui se chargera du cadençage de la prise de décision à l’échelle du groupe. « Il s’agit souvent du Risk Manager ou de la personne en charge de la gestion de crise» , précise-t-il. L’apport du Risk Manager ? « S’il n’est pas et ne doit pas être un expert, son rôle peut être de canaliser les effets du stress sur le groupe et coordonner la cellule de crise. Il doit maintenir le ciment entre les individus pour les faire travailler ensemble dans une logique de construction d’une stratégie de gestion de crise » , poursuit Benoît Vraie. UNE MATIÈRE HAUTEMENT EXPOSÉE La gestion de crise est un sujet intime propre à chaque organisation. Elle dépendra de la place qu’occupe la fonction Risk Management, du passé et éventuellement du passif de l’entreprise en termes de crises et du niveau d’appétence des Risk Managers pour cette matière délicate et hautement exposée. « Il faut être honnête , déclare un Risk Manager, il y a plus de coups à prendre que de lauriers à récolter en gestion de crise ! Beaucoup de Risk Managers préfèrent donc rester en retrait. » En retrait mais pas hors-jeu pour autant car la gestion de crise demeure la ligne de défense ultime donc déterminante pour le Risk Management. « Il n’y a rien de plus redoutable dans la vie de l’entreprise qu’une crise. C’est aussi à ce moment-là qu’elle construit sa propre culture du risque et qu’elle peut améliorer sa résilience » , explique Leopold Larios, Risk Manager de Mazars et Administrateur de l’AMRAE, avant d’ajouter que « l’une des missions du Risk Manager consiste donc à renforcer cette barrière ultime en aidant l’organisation à se préparer au mieux à résister aux crises» . Ce dernier est d’ailleurs impliqué dans les problématiques de gestion de crise et œuvre actuellement à structurer la remontée d’incidents grâce à la présence de relais en local. Il utilise également à cet effet la plateforme du consultant IREMOS. APPRÉHENDER ET OBJECTIVER LES DIFFÉRENCES CULTURELLES D’APPRÉCIATION Parvenir à qualifier une crise reste un exercice complexe car la perception d’un incident peut être différente d’un pays à un autre. «Dans notre dispositif Groupe, la définition d’une crise est assez générique car nous faisons appel au bon sens des équipes locales pour qualifier leur crise en fonction de la connaissance qu’elles ont des spécificités de leur environnement » , explique Sophie Mauclair. Pour cela, le groupe Gemalto a nommé des « Incident Assessment Coordinators », des personnes en local chargées de capter les alertes de crise de leur organisation (site, RETOUR D’EXPERIENCE CYBERATTAQUE NOTPETYA. Retour d’expérience du CEO de la filiale française d’un groupe britannique positionné sur le secteur du marketing digital. « Il y a eu un avant et un après. » Comment votre groupe a-t-il géré la cyberattaque NotPetya ? En quelques minutes, tous nos ordinateurs se sont éteints les uns après les autres, sous nos yeux. Une cellule de crise a été immédiatement mise en place au siège londonien puis déclinée dans tous les pays où notre groupe est présent. L’intégralité de la gestion IT étant sous-traité à un prestataire, nous avions un plan d’action avec un suivi toutes les deux heures mais des difficultés pour communiquer avec eux car tout fonctionne en télémaintenance. Si cette cyberattaque a fortement impacté notre groupe, notre modèle de gestion informatique n’a pas encore évolué. Aviez-vous été sensibilisé à ce type de crise ? Nous avions suivi des formations avec des experts de la sécurité informatique, des mises en situations via des « war room », des « back up » mais personne n’est véritablement préparé à ce genre d’attaque. Nous avons tout de même réussi à tout remettre en état en quelques heures ou jours selon les cas. Les clients ont été tenus informés tous les jours du suivi de la gestion de cette crise sans précédent pour nous. En revanche, tout ce qui était sur les ordinateurs n’a jamais pu être récupéré. Avez-vous mis en place un plan de prévention depuis ? Oui, nous devons tous (management et salariés) suivre des sessions de e-learning sur la sécurité informatique afin que chacun soit sensibilisé. Il y a clairement eu un avant et un après « NotPetya ». 18 ATOUT RISK MANAGER, LA REVUE DES PROFESSIONNELS DU RISQUE ET DE L'ASSURANCE I N°18 I AUTOMNE 2018
Made with FlippingBook
RkJQdWJsaXNoZXIy NjQyNDQw