La "gestion" des crises : limites et bonnes pratiques
Est-il raisonnable de parler de « gestion de crise » ? Oui, mais... Et le "mais" à une grande importance.
PublicitéCa y est ! Mr. Murphy et sa célèbre loi viennent, une fois de plus, de rendre visite à la production informatique : l'incident que l'on avait des raisons de redouter s'est déclaré au plus mauvais moment. Il altère ou rend indisponible un service métier critique. Une perte d'exploitation est en train de se construire, un nombre croissant de clients s'alarment, les autorités réglementaires vont s'éveiller, et les dommages potentiels s'aggravent de façon exponentielle avec le temps qui passe ...
Pas question dans ces conditions de se cantonner à une approche purement technique de résolution d'incident : il faut passer en « gestion de crise » et s'organiser, en collaboration avec ses clients, pour :
- prendre les mesures conservatoires qui s'imposent (côté métier - PCA - et côté informatique),
- parvenir à un rétablissement du service dans les meilleurs délais, toute mesure palliative étant bonne à adopter,
- communiquer en interne et auprès des clients sur la progression de la situation (ce qui est également un gage de sa convenable prise en charge).
Limites de la « gestion » de crise
Comment imaginer qu'il soit possible de mettre au point la « gestion » d'un phénomène :
- qui a fort peu de chances de se reproduire à l'identique, car il résulte le plus souvent d'une conjonction heureusement « improbable » (mais dramatiquement réelle) d'événements ou d'aléas défavorables qui affectent une architecture logicielle et une infrastructure technique appelées à évoluer en permanence,
- et dont les principaux ingrédients sont la déstabilisation (il y a disqualification de fait des processus, organisation et dispositifs de régulation permanents), la nécessité d'improviser (faute de certitudes sur le diagnostic et les actions à entreprendre), la pression du temps et la vindicte des utilisateurs.
Ces éléments discréditent par avance toute tentative de scénarisation poussée ou de modélisation opérationnelle des décisions à prendre selon les circonstances (le retour sur l'investissement cérébral nécessaire paraissant plutôt aléatoire ...)
En d'autres termes, le pragmatisme (dans son sens primaire et non galvaudé) doit prévaloir.
Si le mot « gestion » laisse entendre qu'il serait possible de pré-définir des règles et des méthodes pour prendre à coup sûr les bonnes décisions tactiques selon le bon timing, la réponse à la question initiale est NON.
S'il s'agit en revanche de fournir aux décideurs quelques points de repère et bonnes pratiques visant à :
- étayer leur jugement et leurs prises de décision,
- faciliter et fluidifier la mise en jeu et le fonctionnement du dispositif de crise qu'ils vont avoir à diriger,
la réponse est OUI, MAIS ...
PublicitéLa « gestion » de crise : OUI, MAIS ...
En premier lieu, le manager de crise doit avoir la latitude de transgresser, en connaissance de cause, ces points de repère et bonnes pratiques. Ceci n'amoindrit pas leur intérêt : ils restent un référentiel par rapport auquel il sera possible d'évaluer la pertinence des décisions prises à chaud.
En second lieu, et ce n'est pas le moindre des paradoxes, la qualité et l'adéquation de la gestion de crise se jouent pour une grande part avant la crise proprement dite, même si celle-ci aura sûrement des causes imprévisibles, voire masquées.
Le temps de la crise est réservé à des cycles courts « décision - action - résultats » : on se trouve dans le domaine des réflexes et de la mobilisation des énergies en temps réel et compté.
Ceci implique qu'aient été préalablement définis, partagés et rôdés une stratégie, une organisation et quelques outils de base :
Enfin, et ce n'est surtout pas à négliger, la gestion d'une crise alimente ... la gestion de la crise suivante : tirer les enseignements d'une crise pour amender - enrichir ces points de repère, et veiller au maintien en conditions opérationnelles de tous les dispositifs cités ci-dessus sont des conditions sine qua non d'amélioration de la prise en charge des crises futures.
Quels sont les péchés capitaux à éviter ?
Il est possible de pardonner à une production informatique d'avoir sur-réagi à un incident qui s'avèrera en définitive mineur.
Il lui sera en revanche extrêmement difficile de justifier :
- d'avoir sous-évalué de façon persistante les conséquences de l'incident pour ses utilisateurs,
- d'avoir réagi tardivement,
- de ne pas avoir communiqué en temps utile sur la situation, sur ses actions en cours,
- de s'être trompée d'objectif : éradiquer la cause vs rétablir le service au plus tôt.
Et si une partie de la réponse se situait ailleurs ?
Il est essentiel de mettre l'accent (et la priorité) sur des actions de prévention et de sécurisation visant à :
- limiter la probabilité de survenance de crises par la mise en oeuvre d'une politique de maintenance préventive, voire prédictive, fondée sur une urbanisation maîtrisée, et visant à éliminer en premier lieu les noeuds de fragilité du système (les « SPOF »),
- améliorer la précocité de leur détection en jouant sur le centrage convenable et la fiabilité des outils de surveillance.
C'est à ce prix qu'il deviendra théoriquement jouable de recourir le moins souvent possible à... la gestion de crise.
Article rédigé par
François Noraz, Directeur chez Sopra Consulting
Le parcours professionnel de François Noraz se partage entre cabinets de conseil et entreprises industrielles (Direction Générale, Direction Informatique).
Au sein de la practice « Information Strategy for Business », il dirige des missions de conseil et de réalisation en management et en organisation auprès d'entreprises des secteurs industrie et services financiers. Ces missions portent sur la gouvernance du système d'information, l'organisation de la fonction informatique et le management de programmes.
Commentaire
INFORMATION
Vous devez être connecté à votre compte CIO pour poster un commentaire.
Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire