Ce n’est que lorsque “les autres” ont des problèmes que l’on se demande ce que l’on ferait … si cela arrivait “à nous aussi“.
Prenons comme cas d’école, celui d’un incident grave ou d’une crise affectant une société concurrente ou un partenaire, et mettons nous dans la situation d’un responsable informatique ou d’un dirigeant de l’entreprise qui se dit … “et pour nous ?”.
Voici donc un premier exemple d’approche rapide basée sur 5 questions visant à établir un diagnostic.
1 – mon entreprise est elle vulnérable à une crise similaire et en quoi sera-t-elle impactée par cet autre événement ?
2 – mon entreprise est elle préparée pour réagir efficacement face à une crise – y compris en terme de communication officielle – et quels sont les scénarii de crise pris en compte ?
3 – quel plan d’action dois-je lancer pour améliorer sur le niveau de préparation de mon entreprise ?
4 – quelles sont les personnes clefs en matière de contrôle et de détection d’incidents, et sur quelles procédures s’appuient elles pour remplir leurs fonctions ?
5 – quand sera-t-il possible de prévoir des tests grandeur nature pour mesurer la capacité réelle de réaction de mon entreprise ?
Un deuxième exemple d’approche rapide est lui aussi basé sur le questionnement.
1 – un regard sur le passé
– Quels sont les incidents ayant déjà affecté mon entreprise ?
– Quel était alors le niveau de préparation de l’entreprise ?
– Quelles actions ont elles été engagées pour adresser ces incidents et pour prévenir ou contrer des futurs incidents ?
2 – le présent et l’état des lieux
– Quel est l’impact pour mon entreprise de cette crise affectant ce concurrent – ou ce partenaire – en terme d’image, de métier, de relation clientèle, juridique et financier ?
– Quels sont les moyens actuels de détection de dysfonctionnement, d’incidents ou même de fraudes ?
– Quels sont les moyens dont les salariés disposent pour faire remonter des dysfonctionnements constatés en dehors de la filière hiérarchique classique ?
– Quels sont les points de surveillance fondamentaux mis en place et par qui sont ils contrôlés ?
– Quelle est l’organisation mise en place pour réaliser ces contrôles (cela s’appliquent tant aux métiers, qu’à l’équipe informatique, en passant par les équipes de contrôle permanent, d’analyse des risques opérationnels (si elles existent), ou d’audit ?
– Quelle est la capacité de la cellule de gestion de crise de réagir à un incident ?
3 – les axes futurs d’amélioration
– Quelles sont les cibles de sécurité, et les mesures d’urgence à mettre en œuvre pour être en mesure de détecter des incidents similaires à ceux constatés par ailleurs, et à quelle échéance ?
– Quand une remise à jour de l’expression de besoin métiers, et des analyses de risques est elle prévue ?
– Quelles sont les actions engagées visant à améliorer le suivi et le contrôle des opérations et des processus ?
– Quel processus de suivi ou de veille faut il mettre en œuvre, et sur quel périmètre ?
En conclusion, ces deux approches, qui sont parfois lancées dans l’urgence afin de parer au plus pressé, ne doivent en aucun cas remplacer des approches plus formelles et exhaustives.
Une bonne réaction à chaud, peut s’avérer mauvaise si elle n’est pas complétée par un traitement industriel et insérée dans une démarche plus formelle …
(4 votes)
Loading ...