Audit des risques, mise en place d'une équipe dédiée, formation, apps, War Room, exercices, débriefing, processus d’amélioration continue… la gestion de crise ne supporte pas l’improvisation.
Multiplication des cyclones tropicaux comme Idai en Afrique australe (près de 700 morts, 300 000 déplacés), attentats de l’EI au Sri Lanka (359 morts et plus de 500 blessés), pandémie (Ebola, H1N1), crash du Boeing 737 Max d’Ethiopian Airlines, crises des gilets jaunes depuis mi-novembre, cyberattaques, scandales médiatiques, cambriolages, risques géopolitiques, attentats… entreprises et administrations sont confrontées à de nombreuses crises. D’ici cinq ans, le réchauffement climatique, la croissance des inégalités sociales et les cybermenaces constitueront les principaux risques émergents identifiés dans la seconde édition du « Baromètre des risques émergents pour le secteur de l’assurance et de la réassurance » en France, publié en février dernier. Et chacun de ces risques générera des crises soudaines. Des sociétés spécialisées, comme Adenium, Altair Conseil, Crisalyde, Crisotech, Deveryware, Gedicom, Iremos, Magellan Partners, RiskAttitude ou encore WaryMe aident les organisations à s’y préparer et à y faire face.
Percevoir l’entrée en crise
Afin de bien s’y préparer, il faut tout d’abord définir ce qu’est une crise. En effet, la perception de la situation diffère selon les personnes et les organisations. « Pour une société comme la SNCF, la gestion de crise est permanente et les équipes sont rodées grâce à une solide organisation, estime Pierre Martinez, ancien commandant des opérations spéciales (COS) et responsable de l’offre « sûreté et résilience opérationnelle » chez Magellan, un groupe de conseil en organisation et système d’Information de 1 000 salariés. Pour la plupart, les sociétés sont rarement confrontées à des crises et ne disposent pas de structures adéquates. Quelle que soit la définition retenue de la crise, l’entreprise devra anticiper et apporter à chaque maillon de la chaîne des correctifs pour limiter l’impact d’un sinistre ou la dégradation d’une situation afin de prévenir la catastrophe. Bref, il faut éviter le pire en limitant l’improvisation. Voici quelques exemples d’erreurs classiques lors d’une situation de crise : rester sidéré par les événements compte tenu de leur ampleur, ne pas détecter assez tôt l’entrée en crise, réagir trop tard, nier ses propres responsabilités, sous-estimer le rôle des acteurs extérieurs en adoptant un esprit de forteresse, s’abstenir de communiquer.
Se poser les bonnes questions
Ensuite, il faut se poser les bonnes questions. Pour sa part, Adenium en référence une vingtaine dans son guide 2018 intitulé « Mettre en œuvre un plan de gestion de crise » : « Avez-vous déjà fait face à des crises ? Qu’avez-vous fait ? Qu’en avez-vous retiré ? Y a-t-il eu des crises similaires dans votre secteur d’activité ? » ; « Aujourd’hui, quelles sont les crises auxquelles votre entreprise vous semble préparée et non préparée ? Des scénarios de crises sont-ils prévus ? Lesquels ? Avez-vous formalisé des plans de réaction et d’urgence ? » ; « L’entreprise a-t-elle mis en place une cellule de crise ? Si oui, qui la compose ? Quel est son rôle ? Quelles sont les consignes de mobilisation ? A-t-elle déjà été activée lors d’exercices de simulation ou d’une crise réelle ? Y a-t-il des personnes extérieures dans cette cellule de crise ? Existe-t-il une salle et une infrastructure particulières pour cette cellule de crise ? Avez-vous des plans de communication de crise ? »
Audit initial
Non exhaustif, ce questionnaire sert de trame à l’audit de gestion de crise avant d’élaborer le plan de gestion de crise : organisation, procédures, moyens humains et techniques, formations, exercices. C’est aussi l’occasion de réaliser un audit à finalités multiples. « Lorsque c’est possible, nous rassemblons sous la même bannière l’audit de sécurité physique, de sécurité incendie, de sécurité informatique et de gestion crise. Car ces différentes démarches ont un important tronçon commun », explique Pierre Martinez. Mais l’audit a ses limites : la définition du périmètre de l’enquête par la direction générale de l’organisation concernée. « Nous n’auditons jamais tous les sites d’une entreprise. En général, l’étude se limite au siège social et à un ou deux sites emblématiques », reprend Pierre Martinez. « En moyenne, l’audit dure de trois à six mois », indique Delphine Nguyen, associée fondatrice de la start-up parisienne Crisalyde, qui a été chargée de la planification opérationnelle des ministères de l’Intérieur et de la Santé et a fait partie de l’équipe responsable de la gestion de la Cellule interministérielle de crise (CIC). A noter que celle-ci propose l’audit, le plan de gestion de crise, la formation, les exercies et l’assistance à la gestion de crise sous forme d’abonnement mensuel.
Circuit de l’information
Selon les organisations, il faut concevoir le circuit de remontée des alertes vers la direction et les bonnes personnes, apprendre à évaluer l’information et mobiliser les acteurs et la cellule de crise. « Dans les préconisations, il est nécessaire de reformaliser sous un modèle de check-lists tous les documents internes relatifs à la gestion de crise, souligne Delphine Ngyen. En réalité, les entreprises disposent d’une importante littérature dans leur placards mais, la plupart du temps, celle-ci n’est pas à jour. » Le circuit de l’information ainsi que la chaîne de commandement dépendent intimement de la configuration de l’entreprise. Dans une compagnie pétrolière, si un incident se déclare sur une plateforme Offshore en mer du Nord, il existe déjà une organisation de sécurité avec sa propre gestion de crise à bord. A terre, une seconde organisation est susceptible d’intervenir avec des bateaux ou des hélicoptères… « C’est à ces niveaux-là qu’on applique les consignes des fiches réflexes et qu’on décidera ou non d’envoyer les pompiers, précise Pierre Martinez. Mais, c’est au niveau de la direction que l’on prendra des décisions relatives aux cours en Bourse ou aux contrats d’assurance. Plus on monte en niveau hiérarchique, plus on a besoin d’être réactif dans l’évaluation, la réflexion et l’anticipation. »
est permanente et les équipes sont rodées grâce à une solide organisation, estime Pierre Martinez, responsable sûreté
et résilience opérationnelle chez Magellan.
© Magellan
Cellule de crise, apps et War Room
Vient ensuite la mise en place la cellule de crise avec des membres spécifiquement désignés : DG, partenaires, DRH, directeur juridique, directeur de la communication, directeur de la sécurité, directions métier, secrétaire de direction… Ces membres sont formés et répertoriés dans des annuaires de l’entreprise ainsi que dans les applications, à l’image de celles de Crisalyde, Crisotech, Gedicom, Iremos ou Streamwide. Ces apps servent à mobiliser la cellule de crise, à en informer la direction et les partenaires, ainsi qu’à alerter les salariés dans de cadre du Plan de continuité d’activité (PCA) de l’entreprise grâce à l’ensemble des canaux disponibles de communication. La cellule de crise va donc se réunir dans une salle de crise dûment prédéfinie, connue, équipée et testée. Bien sûr, cette salle doit embarquer toute « l’artillerie » nécessaire à la gestion de la crise : écrans, téléphones, pieuvres, PC, paperboard…
les membres de la cellule de crise et la direction. © Gedicom
Vers des War Rooms mutualisées
« Chaque War Room est spécifique et n’est utilisée que par l’organisation à laquelle elle appartient », constate Pierre Martinez. Ce qui, jusqu’ici, en a fait l’apanage des multinationales du CAC40 ou des ministères. Mais, depuis octobre 2017, Crisotech change la donne avec sa War Room parisienne. Murs en ardoise magnétique modulables et effaçables, ordinateurs reliés à un réseau en fibre optique, huit lignes téléphoniques, pieuvres analogiques pour les téléconférences, pieuvres Bluetooth pour les conférences sur portables, rétroprojecteurs, destructeurs de documents, écrans TV, vidéoconférence, plateau TV… tout y est !
« Au départ, cette salle, qui est un véritable lieu de repli, sert à la formation de nos clients aux exercices de gestion de crise en situation réelle, détaille Louis Bernard, président fondateur de Crisotech. De fait, elle a déjà servi une demi douzaine de fois de véritable War Room maintenue en conditions opérationnelles 24h/24 pour nos clients, des entreprises de taille intermédiaire (ETI) et de grosses PME. » Chaque entreprise dispose ainsi de ses propres armoires renfermant les cartes géographiques et les plans d’architectures de leurs sites, les guides de procédures de sécurité, les annuaires… Ainsi qu’une app pour ouvrir la serrure électronique à toute heure du jour ou de la nuit.
« Une fois la crise passée, il faut organiser la démobilisation et débriefer à chaud avec les acteurs encore « dans le jus » de ce qui vient de se passer, poursuit Pierre Martinez. Ensuite, on refait un débriefing quelques jours ou quelques semaines pus tard afin d’analyser ce qui a fonctionné ou pas, tirer des conclusions et des conséquences dans le cadre d’un schéma d’amélioration continue. »
Erick Haehnsen
de gestion de crise ainsi qu’une app pour ouvrir la serrure électronique à toute heure du jour ou de la nuit. © Crisotech
Commentez