Gérer les risques
Aujourd'hui et demain

Sûreté et sécurité

Gestion de crise : place aux exercices pratiques

Analyse des risques, définition d’une gouvernance de crise, plan de continuité d’activité, mise en place d’une cellule de crise… Toute cette stratégie ne sert à rien si on ne la teste pas. Les grands points à retenir.

war-rooms-salles-de-reunions

Les War Rooms gagnent à se configurer à la volée dans des salles de réunions souvent utilisées afin de garantir leur disponibilité le moment venu.
© Magellan Consulting

On sait quand une crise démarre. Pas quand elle se termine. Avec la pandémie du coronavirus, le confinement s’est imposé à la moitié de l’humanité.

Bars, restaurants, compagnies aériennes, agences de voyages, hôtels… Du jour au lendemain, des millions d’entreprises ont dû fermer leurs portes. Défense, aérien, énergie, industries à risque, banques, hôtellerie…

Qui avait vu venir cette crise à la fois sanitaire, sociale et économique ? Comment les entreprises l’ont-elles gérée ? S’y étaient-elles préparées en amont en recourant aux services et aux plateformes d’opérateurs de gestion de crise ? À l’heure du déconfinement, quelles leçons peut-on en tirer ?

Face à ce virus, les War Rooms sont restées closes. Les outils collaboratifs bureautiques génériques les remplacent-ils définitivement ? Où en est la gestion de crise en France ? Les exercices de gestion de crise préalables se sont-ils avérés fructueux ?

L’indispensable analyse préalable des risques

« Les crises sont multiformes et multifactorielles. Pour les anticiper il faut commencer par mener une analyse cohérente des risques », reprend Olivier Velin, consultant en gestion de crise chez Devoteam, qui classe les risques en six catégories. À commencer par les catastrophes naturelles, risques du vivant (virus, bactéries, sang contaminé, Covid-19…).

Viennent les défaillances techniques (panne moteur dans un avion), les risques socio-technologiques (Tchernobyl, AZF, Lubrizol..). Puis les risques stratégiques qui mettent en cause la stratégie d’une entreprise. Ou d’un État (stratégie nucléaire après Fukushima, par exemple). Enfin, citons les risques anthropiques comme la cybermalveillance ou le terrorisme.

Influence de la réglementation

« Le paysage de l’analyse de risque est extrêmement hétérogène. Les entreprises les plus matures sont les banques car elles doivent réaliser régulièrement des Stress Tests. De même, les industries de Défense, de l’énergie et de la chimie sont soumises à des réglementations. Du coup, elles ont développé une culture d’analyse de risque et donc de gestion de crise, rappelle Dominique Pourchet, associé chez Magellan Consulting en charge de l’activité de sécurité globale. S’il n’y a pas d’obligation légale, les entreprises ne font pas leur analyse de risque. Du coup, elles n’ont pas de stratégie de gestion de crise. Jusqu’à ce qu’elles en subissent une. »

dominique-pourchet-associe-magellan-consulting-activite-securite-globale

Dominique Pourchet est associé chez Magellan Consulting en charge de l’activité de sécurité globale. ©  Magellan Consulting

Implication de la présidence

Mais qui doit procéder à cette analyse de risques en amont ? Bien sûr, celle-ci doit être impulsée et dirigée par la présidence du groupe ou de l’entreprise. Depuis les attentats de 2015, et les mouvements sociaux (gilets jaunes, retraites…), les conseils d’administration mobilisent leur Comex.

Ils réclament de leur présenter non seulement une analyse de risques et une stratégie gestion de crise. Mais aussi un plan de continuité d’activité (PCA) ainsi qu’une résilience cyber. « Il s’agit donc d’assurer la continuité d’activité face à des événements qui ne sont pas planifiables », insiste Dominique Pourchet.

Selon leurs spécificités, l’analyse de certains risques sera conduite par les directions support, les directions opérationnelles ou des cabinets extérieurs.

Un mode de gouvernance pour revenir à la normale

Pour chaque catégorie de risques, on définit des indices de probabilité d’occurrence et de gravité sur divers plans : Social, sociétal, judiciaire, réputation, finances, poursuit l’expert.

« À partir de là, on hiérarchise les priorités de risque à traiter en proposant un arbitrage. Puis on définit des plans de prévention et de protection dans l’optique d’une mitigation (réduction) des risques. Dont le PCA qui permet à l’entreprise de fonctionner en mode dégradé, enchaîne Olivier Velin. La gestion de crise apparaît alors comme un mode de gouvernance qui permet de revenir à un mode usuel de vie. »

Constituer une cellule de crise

Une fois la gouvernance installée, reste à constituer la cellule de crise. Celle-ci se compose de membres issus des différentes directions (DG, direction financière, juridique, RH, production, informatique, sécurité-sûreté, communication…).

De membres permanents ou temporaires (en fonction de la nature de la crise). Le secrétaire de crise est en charge de la main courante qui retranscrit tous les événements du début de la crise à sa conclusion.

« Dans une cellule de crise qui fonctionne bien : il n’y a pas de hiérarchie. En effet, les décisions se prennent collectivement. Elles résultent d’un savoir-faire collectif. Et, s’il n’y a qu’une personne à la cellule, les autres membres sont obligés d’accepter ses décisions. C’est un principe de base des cellules de crise », détaille Olivier Velin. Parfois, les cellules de crise embarquent des attachés de presse, des consultants spécialisés, des prestataires de gestion de crise.

selim-miled-president-crisalyde

Selim Miled est président de Crisalyde.
© BFM TV

Des fiches réflexes pour garder son calme et faire face à l’urgence

« Sur le terrain, pas question de plancher sur un plan de gestion de crise de 250 pages », convient Selim Miled, président de Crisalyde, une startup parisienne créée juin 2017 qui réalise 700 000 euros de chiffre d’affaires. Et emploie huit permanents ainsi qu’une trentaine d’experts principaux.

Mieux vaut utiliser des check-listes préalablement rédigées qui indiquent les dix mesures à prendre dès que démarre la crise. Évaluer la gravité de la crise. Convoquer les membres de la cellule de crise. Réserver une salle (le cas échéant). Annuler des réunions. Commander à manger.

En cinq ou dix minutes, la cellule doit être en place. « Ces fiches ne fournissent pas toutes les réponses. Elles aident surtout à se poser les bonnes questions. Ce sont juste des guides méthodologiques », insiste Selim Miled. Les fiches réduisent le stress et évitent le mode panique.

war-rooms-magellan-consulting

Les War Rooms restent indispensables aux sociétés qui doivent gérer de nombreuses crises. © Magellan Consulting

Télétravail quasi obligatoire

Ces bonnes méthodes se sont-elles révélées utiles à l’occasion de la crise du coronavirus ? « Les entreprises qui avaient des activités à Wuhan, source de la pandémie, se sont posé des questions. Dès novembre ou décembre 2019, elles ont cherché à anticiper ce qui était susceptible de se produire en France », explique Dominique Pourchet, associé chez Magellan Consulting en charge de l’activité de sécurité globale.

Néanmoins, la plupart d’entre elles ont quand même dû accepter que leur personnel entre en confinement. Faute de pouvoir s’équiper en masques, gel hydroalcoolique et tests sérologiques en quantités suffisantes…

La pandémie et les décisions du gouvernement ont basculé les organisations centralisées vers un fonctionnement éclaté en mode télétravail. Chaque crise est différente des précédentes.

baptiste-maulion-responsable-grands-projets-cedralis

Baptiste Maulion est responsable des grands projets de Cedralis. © Cedralis

Les opérateurs de gestion de crise en ordre de marche

Adenium, Altair, Cedralis, Crisalyde, Crisisoft, Crisotech, Devoteam, Gedicom, Iremos, Magellan, RiskAttitude, WaryMe… Avec le Covid-19, les cabinets de gestion de crise ont répondu présent. Ils proposent des alertes remontantes, la mobilisation et la gestion collaborative d’une cellule de crise.

Ainsi que les alertes et la mobilisation des équipes, la cartographie numérique et la documentation de crise. Mieux, ils appliquent ce qu’ils préconisent à leurs clients !

« Nous avons mis en œuvre notre propre PCA en mode télétravail. Nous avons aussi ainsi renforcé notre service client. Notre infrastructure et nos services téléphoniques ont ainsi supporté des pics 20 fois supérieurs à la normale. Avec 1,6 million d’appels sur une douzaine de jours », indique Xavier Berujon, responsable commercial de Cedralis, seule TPE française de douze salariés certifiée ISO 22301 (management des PCA).

« Nous avons signé plusieurs contrats avec des villes, des hôpitaux, des grands comptes et un aéroport », renchérit Baptiste Maulion, responsable des grands projets chez Cedralis. Laquelle réalise un chiffre d’affaires de 1,5 million d’euros et emploie douze personnes.

xavier-berujon-est-responsable-commercial-de-cedralis.

Xavier Berujon est responsable commercial de Cedralis. © D.R.

Des exercices concrets et réguliers

Condition indispensable, mettre en œuvre des exercices de simulation. « On convoque les membres de la cellule de crise dans une salle, généralement pour la journée. À partir d’un scénario, on les invite à gérer une crise virtuelle, aussi proche que possible d’une crise réelle. L’aspect comportemental, notamment en termes de tolérance au stress, a autant d’importance que la capacité à gérer efficacement la situation proposée », décrit Olivier Velin.

Il est nécessaire d’organiser au moins un exercice par an. La première année, les membres de la cellule de crise stressent beaucoup. L’année suivante, ils cessent de buter sur le tapis.

Ils ont déjà capitalisé sur l’expérience passée. Ils commettent moins d’erreurs et d’oublis. L’objectif n’est pas d’envisager tous les scenarii. Mais d’adopter une posture qui permet de résoudre la crise. De rester neutre. De collecter les informations, les traiter, prendre les décisions, les suivre.

Et, enfin, de les analyser après coup dans le cadre d’un retour d’expérience.

louis-bernard-president-crisotech

Louis Bernard est président de Crisotech. ©  Crisotech

Des scenarii sophistiqués

Chez Crisotech, on ne plaisante pas avec le réalisme de la simulation de crise !

« La durée de l’exercice s’étend d’une demi-journée à deux jours. Nous réunissons l’équipe de crise, soit 10 à 15 personnes, pour créer une bulle de cohérence. Il s’agit de simuler la réalité au plus près de ce qu’il pourrait se passer », souligne Emmanuel Descola, directeur technique de Crisotech qui dispose d’une News Room où s’élaborent des faux articles de presse et JT avec de vrais journalistes.

Dans la foulée, la société exploite également une plateforme qui simule le comportement des internautes sur les réseaux sociaux. « Ces exercices se déroulent une fois par an. Mais certaines entreprises demandent de le mettre en œuvre dans toutes leurs filiales », constate Louis Bernard, président de cette société créée en 2010 qui réalise un chiffre d’affaires d’un million d’euros. Et emploie une dizaine de salariés.

Que retiennent les gens ? « L’expérience de se confronter à quelque chose qui les dépasse. Les dirigeants ont l’habitude de prendre des décisions mais dans leur zone de confort, enchaîne Louis Bernard. En cellule de crise, ils doivent prendre des décisions très vite avec des coûts exorbitants et des enjeux encore inconnus. Parfois, ils se bloquent devant l’incertitude. C’est le genre de chose qu’on ne peut pas savoir tant qu’on n’a pas fait l’exercice. »

La War Room victimes du coronavirus ?

Le confinement dû au coronavirus a fait une victime : la War Room. Les outils collaboratifs génériques, comme Microsoft Teams ou Zoom, les ont remplacés.

« Les OIV ou les sociétés comme la SNCF qui gèrent de très nombreuses crises en ont toujours besoin, reconnaît Selim Miled de Crisalyde. Mais la salle dédiée qui plante à cause d’une mise à jour Windows ne sert plus à rien. Mieux vaut utiliser une salle de réunion qu’on transforme pour l’occasion. »

Erick Haehnsen

1 commentaire

Participez à la discussion


The reCAPTCHA verification period has expired. Please reload the page.

  1. Interview : Comment choisir et préparer sa cellule de crise ? - Magellan Consulting

    - il y a 3 années

    […] L’interview disponible dans Infoprotection. […]