DÉFIS ACTUELS ET ÉMERGENTS DES GESTIONNAIRES ET SPÉCIALISTES DE CRISE
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
Lettre d'information sur les Risques et les Crises N°65 - FÉVRIER 2022
DOSSIER THÉMATIQUE
DÉFIS ACTUELS ET ÉMERGENTS
DES GESTIONNAIRES
ET SPÉCIALISTES DE CRISE
POINT DE VUE RECHERCHE
LES DÉFIS ET LES STRATÉGIES PROJET APRIL
DE LEADERSHIP PROGRAMME AGENCE NATIONALE
EN GESTION DE CRISE DE LA RECHERCHE
n°65 FÉVRIER 2022 ÉDITORIAL
ÉRIC FREYSSELINARD
Préfet, directeur de l’Institut des hautes études
du ministère de l'Intérieur
Depuis sa création en 2009, la LIREC s’appuie sur une veille continue
des événements nationaux et internationaux. Son ambition est
d’apporter un éclairage pluridisciplinaire, tout en proposant des
DÉPARTEMENT préconisations destinées à éclairer les parties prenantes, publiques et
ÉTUDES ET RECHERCHES privés.
Ce 65e numéro de la LIREC se concentre sur les défis émergents
Le département Études et recherches auxquels les gestionnaires et spécialistes des crises devront faire face
de la direction de la recherche et de la dans les années à venir.
prospective (DIREP), de l'Institut des
hautes études du ministère de l'Intérieur Le premier article pose la question du renforcement de la crédibilité
(IHEMI) publie la Lettre d’information
et de la légitimité de l’autorité publique en temps de crise. Avec la
sur les Risques et les Crises – LIREC
médiatisation quasi immédiate des crises, la communication s’est
imposée comme une des composantes essentielles de la gestion de
Directeur de la publication : la crise. Lorsque la légitimité du décideur est contestée, la capacité
Éric FREYSSELINARD à incarner un message impacte fortement l’efficacité de la gestion de
crise. Une fonctionnaire de Défense et de Sécurité, du ministère de
Directeur de la rédaction : la Culture, possédant une riche expérience de terrain, apporte son
Nacer LALAM éclairage à cette problématique.
Rédactrice en chef : Le deuxième article, issu du monde de la recherche en milieu industriel,
Cheila DUARTE COLARDELLE s’interroge sur les modalités d’évaluation d’une gestion de crise. Quatre
approches sont proposées afin d’identifier des indicateurs d’évaluation
de la performance de la gestion de crise.
Pour vous abonner,
envoyez-nous un courriel à : Le troisième article porte un regard sur les stratégies de résilience
lirec@ihemi.fr face au scénario d’un dysfonctionnement ou d’une cyber attaque
provoquant l’indisponibilité des systèmes d’information en cellule de
crise. Il présente des stratégies d’action proposées par un décideur en
Vous pouvez nous envoyer des cybersécurité émanant du secteur privé.
informations concernant un événement,
une manifestation ou Enfin, le quatrième article permettra d’exposer certains défis auxquels
une proposition d’article à : des décideurs sont exposés et des stratégies de leadership possibles en
lirec@ihemi.fr gestion de crise.
Suivez nous :
Je vous souhaite une excellente lecture et profite de ce message pour
rappeler l’importance du partage des connaissances notamment à
travers la formation et la recherche afin de faire face aux défis futurs.
Les informations contenues dans ce document
sont issues de sources ouvertes et ne sauraient être Bonne lecture !
interprétées comme une position officielle
ou officieuse de ses rédacteurs ou des services
de l’Etat.
ISSN 2265 – 464X
Photo de couverture :
©alphaspirit - stock.adobe.com
LA LIREC n°65
SOMMAIRE 3
5
4
DOSSIER THÉMATIQUE
BRÈVES
DÉFIS ACTUELS ET ÉMERGENTS
DES GESTIONNAIRES ET SPÉCIALISTES DE CRISE
14
POINT DE VUE
Les défis et stratégies
de leadership en gestion
de crise
Colonel Pierre DE VILLENEUVE
16
RECHERCHE
6 Comment renforcer la crédibilité de l’autorité en temps de crise ?
Projet ANR APRIL Dominique BUFFIN
8 La résilience des dispositifs de crise au niveau stratégique face
à la perte des Systèmes d’Information
Marie-Odile CRINON
11 Évaluer une gestion de crise, l’appel pour une vision cognitiviste
et alter-prospectiviste
Raphaël DE VITTORIS
17 18
FORMATION AGENDA
•4• INTERNATIONAL
•4• LA LIREC n°65
BRÈVES
LES 10 RISQUES MONDIAUX, ÉMÉRGENTS
(source : Future Risks Report AXA 2021)
Cette étude mondiale a analysé l’évolution de la perception révèle également une forte inquiétude en ce qui concerne
des risques émergents selon une double perspective : un le risque cyber dans un contexte encore marqué par
panel d’experts en gestion des risques et le grand public, l’accélération de la transformation numérique et une
avec plus de 23 000 personnes interrogées. augmentation des cyber attaques. En troisième place se
situe le risque de pandémie (premier risque en 2020).
Les risques liés au changement climatique dominent
les préoccupations et constituent les menaces les plus Pour télécharger le rapport : AXA Future Risks Report
importantes en termes de probabilité et d’impact. L’étude 2021 | AXA
LES IMPACTS
ENVIRONNEMENTAUX
DU NUMÉRIQUE
EN FRANCE, EN 2020
(Source : Rapport « iNum », GreenIT.fr)
Entre janvier et juin 2020, un groupe d’experts
a réalisé l’étude « iNum », publiée en janvier
2021. Cette étude vise à quantifier les impacts
environnementaux du numérique en France
et à identifier des pistes d’actions adaptées
aux spécificités françaises. Pour accéder à ce
rapport : https://www.greenit.fr/wp-content/
uploads/2021/02/2021-01-iNum-etude-
impacts-numerique-France-rapport-0.8.pdf
Réduire l’empreinte environnementale du
numérique est également l’objet des deux études
commandées par une mission d’information du
Sénat (2020 et 2021). Pour en savoir plus : Réduire
l’empreinte environnementale du numérique :
un état des lieux inédit et une feuille de route
pour la France - Sénat (senat.fr)
DOSSIER THÉMATIQUE
DÉFIS ACTUELS ET ÉMERGENTS
DES GESTIONNAIRES
ET SPÉCIALISTES DE CRISE
©alphaspirit - stock.adobe.com
•6• DOSSIER THÉMATIQUE LA LIREC n°65
Comment renforcer la crédibilité
de l’autorité en temps de crise ?
par Dominique BUFFIN
À PROPOS DE L'AUTEUR
Dominique BUFFIN CHERCHER LE
Elle est entrée dans l’administration publique d’État en tant qu’officier RENSEIGNEMENT
de police en 2001.
Après un passage par les services de renseignements, elle rejoint UTILE À LA DÉCISION
en 2007 la direction centrale de la Police judiciaire, où elle exerce
d’abord dans un groupe d’enquête de l’office central de Lutte contre le La décision peut s’appuyer sur des in-
crime organisé, puis à l’office central de Lutte contre le trafic de biens culturels (OCBC). formations qui ne sont pas forcément
En 2013, elle est mise à disposition du ministère de la Culture, où elle sera conseillère partagées par tous, surtout dans le cas
pour la sûreté des musées de France pendant quatre ans, auprès de la direction d’une crise à cinétique rapide, où le
générale des Patrimoines. temps de la pédagogie vers les popula-
En juin 2017, elle est nommée haute fonctionnaire de défense et de sécurité adjointe tions cibles est forcément contraint.
au ministère de la Culture, où elle travaille notamment à la formalisation et à
l’amélioration du dispositif de gestion de crise du ministère, et à la formation des
Ainsi, plus la décision est étayée par
fonctionnaires concernés.
des preuves de renseignements fiables,
plus la crédibilité du décideur est
Au cours des six dernières années, dont l’application sera plus aisée car augmentée.
le milieu culturel a été confronté à mieux acceptée, et donc plus efficace à
des crises exceptionnelles en France. court, moyen et long terme. Le choix des membres qui composent
Certaines de ces crises étaient la cellule de crise, ainsi que des experts
sectorielles, multifactorielles, ou souvent La crédibilité de l’autorité chargée de qui l’alimentent en renseignements,
transversales : les attentats de Charlie la gestion de crise est donc essentielle vont jouer un rôle non négligeable.
Hebdo et ceux du Bataclan en 2015, la dans ces périodes où les décisions
crue de la Seine en 2016, la dégradation doivent se prendre rapidement, avec Pour un évènement comme un
de sites en 2018 lors de manifestations des temps de consultation réduits. incendie, la responsabilité de la
(l’Arc de Triomphe, le jardin des gestion de l’évènement dans les tout
Tuileries), l’incendie de la cathédrale La crédibilité, le crédit ou encore la premiers temps de la crise incombe
de Paris et celle de Nantes en 2019, et, confiance accordée par la population à logiquement aux pompiers. La police
depuis 2020, la crise sanitaire, au cours l’autorité qui gère la crise ne se décrète ou la gendarmerie nationales doivent
de laquelle il a été interdit aux organismes pas. également éventuellement assurer la
patrimoniaux et de spectacle vivant protection du site afin de réguler la
d’ouvrir au public, tandis que l’ouverture De plus, dans la mesure où la crise circulation, d’éviter un suraccident…
des archives, des bibliothèques et des est un déséquilibre, et qu’elle est Les services du ministère de l’Intérieur
lieux d’enseignement culturel était considérée comme une anomalie par sont donc les services qui dirigent.
subordonnée à des règles sanitaires la population, le crédit disponible d’une
rigoureuses. autorité auprès d’une population va Toutefois, si l’incendie touche un
nécessairement se dégrader. monument historique bien suivi et
La crise relative à la pandémie de documenté, dans ce premier temps de
COVID-19 a démontré une grande Comment renforcer cette crédibilité la crise, les experts comme l’architecte
capacité d’adaptation et une forte pour faciliter et rendre plus efficace la des Bâtiments de France, l’architecte
plasticité des professionnels de la gestion de crise ? en chef des Monuments historiques,
culture, en ce qu’ils ont accepté les le conservateur des Monuments
nouvelles règles et les ont mises en Il nous semble que cette crédibilité peut historiques peuvent apporter un
application. Ainsi, ils ont su inventer être travaillée et remise en question concours non négligeable, notamment
des substituts aux offres culturelles au cours des trois étapes suivantes : sur la façon dont le feu peut être attaqué
qu’ils proposaient auparavant, et la recherche du renseignement utile au regard de l’architecture du bâtiment,
adapter des solutions existantes. à la décision, la communication sur la ou encore sur la mise en application du
décision et la mise en application de la plan de sauvegarde des biens culturels
Une mesure comprise est une mesure décision. (destiné à préparer le sauvetage du
qui fera moins l’objet de critiques et patrimoine mobilier le cas échéant).LA LIREC n°65 DOSSIER THÉMATIQUE •7•
Ce sont également les professionnels La communication relative à la mise en Ces chiffres ont été communiqués
du patrimoine qui seront capables application de cette mesure s’est faite au grand public pendant l’été, les
de déterminer le temps nécessaire en plusieurs temps et sur plusieurs activités qui avaient été empêchées ou
aux travaux de restauration, les aspects : affectées par les trois premières vagues
problématiques du chantier à venir et épidémiques ont pu se poursuivre, et les
ses éventuels chausse-trapes. Ce sont –
Le président de la République manifestations contre le passe sanitaire
ces experts que le gestionnaire devra annonce le 12 juillet que le champ rassemblent un nombre toujours
savoir écouter pour sortir du cycle de d’application du passe sanitaire, décroissant de personnes (moins de
la crise qui ne se clôt pas simplement réservé jusqu’alors aux évènements 70 000 dans l’ensemble du territoire le
à l’extinction des dernières braises. culturels et sportifs de plus de 5 000 25 septembre).
La mise en œuvre de leurs conseils personnes, va être largement étendu à
permettra éventuellement d’éviter un compter du 21 juillet pour les activités
rebond de la crise. pour lesquelles cette possibilité est LA MISE EN
déjà prévue par la loi, puis début août
Le nerf de la guerre de la prise de pour d’autres (après intervention du APPLICATION DES
décision réside dans la fiabilité législateur).
des renseignements portés à la
DÉCISIONS
connaissance du décideur et dans L’objectif assumé et communiqué
l’écoute que le décideur est capable était d’encourager fermement à la L’autorité chargée de la gestion de
d’accorder aux responsables qui vaccination, comme seule solution crise est « autorité » notamment parce
l’entourent. contre une nouvelle augmentation que c’est à elle qu’incombe la prise de
des contaminations. décisions, et c’est elle qui dispose des
Écouter les propositions ne signifie ressources (financières, matérielles,
pas qu’elles doivent systématiquement Si un peu plus de 60 millions de humaines) pour les faire appliquer.
être acceptées. Mais le devoir des doses avait été administrées à cette
participants à la gestion de crise consiste époque, le rythme de vaccination Enfin, l’exécution d’un ordre, d’une
à exposer l’ensemble des solutions et risquait de ralentir en raison des commande d’une autorité, constitue
des problématiques pour permettre aux vacances d’été. D’autre part, étant une preuve en elle-même que cette
décideurs de prendre une décision de la donné l’augmentation des chiffres de dernière a autorité sur ses troupes.
manière le plus éclairée possible. contamination, il fallait convaincre
rapidement les personnes qui, sans Le temps de la crise est d’autant plus
être opposées à la vaccination, une période de test de l’autorité que
JUSTIFIER restaient indécises quant au fait la décision doit être appliquée dans
d’effectuer cette démarche pour l’urgence.
LES DÉCISIONS elles-mêmes.
Lorsque la décision est étayée par
ET COMMUNIQUER – Dans les jours et les semaines qui ont des renseignements que l’on estime
suivi, les ARS ont travaillé à mettre en crédibles, l’annonce de la décision
Il peut être nécessaire d’exposer les place des centres de vaccination dans aux populations cibles doit se faire
différentes solutions qui se présentent, des lieux de vacances des Français (y rapidement, dès lors que la
et d’expliquer pourquoi une décision a compris mobiles comme sur le Tour certitude qu’elle pourra être mise
été prise plutôt qu’une autre. Par la suite, de France), afin de permettre à ces en application est acquise.
et pendant tout le temps d’application derniers de bénéficier d’une ou deux
de la mesure, la communication peut injections loin de leur domicile. Ces La problématique à ce stade est moins
être axée d’une part sur les modalités démarches ont, là encore, fait l’objet l’adhésion à la mesure qu’il faut obtenir
d’application de la mesure et d’autre de publicité. auprès du grand public que la conviction
part sur les marqueurs d’efficacité de que les services qui doivent la mettre en
cette dernière. Au fil de l’été, de nombreux reportages œuvre ont compris la commande, sont
sur les modalités d’application capables de l’expliquer aux populations
Si l’exercice peut paraître chronophage, du passe dans les différents cibles et sont appuyés par d’autres
il est nécessaire pour obtenir l’adhésion, établissements qui y étaient soumis services/administrations/structures
même rétroactivement. ont été diffusés. qui contrôleront sa mise en œuvre.
La mesure de généralisation du passe – Fin septembre, le chiffre de 90 La décision et son annonce doivent ab-
sanitaire au mois de juillet 2021 aux millions de doses de vaccins solument être suivies d’effet si l’autorité
musées, aux spectacles enregistrés administrées en France était atteint, souhaite conserver sa crédibilité.
(cinémas), puis au mois d’août à d’autres et le chiffre symbolique de 50 millions
entreprises comme les restaurants, a de personnes primo-vaccinées a été En d’autres termes, l’annonce
pu faire l’objet de critiques de la part dépassé au milieu du mois. d’une mesure contraignante que le
du grand public. Elle a notamment responsable de la gestion de crise
provoqué des manifestations qui ont Les contaminations sont en baisse assume peut être de nature à renforcer
rassemblé entre 150 000 et 200 000 depuis le mois d’août, ainsi que le son autorité, si les moyens mis en
personnes au plus fort de l’été dans le nombre d’hospitalisations. œuvre permettent à cette mesure d’être
courant du mois d’août. bien appliquée n•8• DOSSIER THÉMATIQUE LA LIREC n°65
La résilience des dispositifs de crise
au niveau stratégique face à la perte
des systèmes d’information
par Marie-Odile CRINON
À PROPOS DE L'AUTEUR
Ces cyberattaques peuvent
Marie-Odile CRINON
avoir des conséquences
Diplômée de l’EPF école d’Ingénieurs et du Churchill College- redoutables pour les entre-
Cambridge University, Marie-Odile Crinon a eu pendant plus de vingt- prises, les administrations,
cinq ans des responsabilités de management chez IBM, puis chez
Devoteam.
les hôpitaux… Comment gère-
En 2014, elle crée MRC2, cabinet de conseil spécialisé dans le t-on une cybercrise ?
Management des Risques et Crises Cyber. Elle conseille de grandes entreprises
Sidération ! C’est le premier mot qui me
internationales privées et publiques dans le management de risques et de crises en
lien avec leur transformation numérique. Elle effectue, pour des comités exécutifs, des
vient à l’esprit quand on est confronté
directions métiers ou numériques, des missions de sensibilisation au cyberrisque et à à une cyberattaque. C’est toujours un
la cyberrésilience, des analyses de risques, des exercices de (cyber)crise en France et choc de voir ces écrans noirs partout,
à l’étranger. avec un message indiquant que vos
Marie-Odile Crinon est conférencière à Sciences Po Paris (Executive Master), à l’Institut données ont été chiffrées. Rappelez-
national des hautes études de la sécurité et de la justice (INHESJ/IHEMI), au Forum vous le témoignage du directeur général
International de la Cybersécurité (FIC). de TV5 Monde !
Elle est administratrice de l’EPF école d’Ingénieurs et de l’école de l’air et de l’espace.
Marie-Odile Crinon est auditrice de l’IHEDN et de l’INHESJ/IHEMI et colonel de réserve Il faut néanmoins rapidement
citoyenne de la cyberdéfense et de l’armée de l’air. organiser le dispositif de crise avec
www.mrc2.fr ses composantes stratégique et
https://www.linkedin.com/in/marie-odile-crinon-349b1b1b/
opérationnelle pour avoir la capacité
de traiter tous les aspects d’une crise
d’origine cyber.
Votre cabinet est spécialisé La difficulté principale est de
dans le Management des devenue plus lucrative que le trafic de prendre des premières décisions très
drogue, grâce à la revente de données rapidement, alors que l’incertitude est
Risques et Crises Cyber.
volées ou au paiement de rançons, très grande sur la nature et l’étendue
Comment analysez-vous sans oublier bien sûr l’espionnage ou la de l’attaque, ainsi que sur la motivation
l’évolution de la menace déstabilisation d’États. des attaquants. La fameuse « golden
cyber ? hour »… Il s’agit d’éviter – si possible –
Et la menace de demain sera le de propager la contamination à
Nous vivons dans un monde de plus cyberterrorisme avec des attaques l’intégralité des systèmes d’information
en plus numérisé. Plus de 4 milliards contre des moyens de transport ou des de l’entreprise (et de ses partenaires),
d’utilisateurs sont actifs sur les réseaux producteurs d’énergie, comme l’attaque et donc d’accepter de s’isoler
sociaux ! La pandémie a imposé d’une station d’eau potable en Floride numériquement en coupant les flux.
un recours massif au télétravail et en février 2021. Décision difficile !
a donc favorisé le développement
des cyberattaques grâce à une La question aujourd’hui pour une Les investigations techniques, qui
ouverture plus importante des entreprise ou une administration n’est peuvent prendre plusieurs jours,
systèmes d’information. Le nombre plus « serai-je attaqué », mais « quand sont placées sous la responsabilité
d’interventions de l’ANSSI (Agence serai-je attaqué » et « suis-je prêt à de la composante opérationnelle du
nationale de sécurité des systèmes poursuivre mes activités critiques en dispositif de crise. La cellule de crise
d’information) a ainsi été multiplié par cas de cyberattaque ? » stratégique doit, elle, qualifier les
quatre en 2020. La cybercriminalité est impacts de l’attaque non seulement surLA LIREC n°65 DOSSIER THÉMATIQUE •9•
les activités de l’entreprise, mais aussi Stratégiquement, comment se des fournisseurs de solutions de
sur sa réputation, sur ses engagements, traduit cette perte de système visioconférence, d’outils de gestion de
dont le respect de certaines législations d’information? crise (main courante, plan d’action),
comme la loi de programmation de messagerie de substitution, de
militaire (LPM) ou le règlement La cellule de crise stratégique a dans un centres d’appels, de sites Web… Elles
général sur la protection des données premier temps deux priorités : peuvent ainsi mieux piloter la crise
(RGPD), et prendre les décisions grâce à une communication plus aisée
nécessaires à sa survie. Chaque année – Communiquer : au sein du dispositif avec les parties prenantes, et faciliter
des PME disparaissent à cause d’une de crise, avec les collaborateurs, le redémarrage de leur capacité
cyberattaque. les clients, les fournisseurs, les informatique.
partenaires, les autorités, les
Le dispositif de crise doit se structurer régulateurs, les médias… la liste est
pour partager dans la durée son temps longue !
Comment ces recommandations
et ses ressources entre continuité
s’articulent-elles avec les
d’activité et restauration du système –
Poursuivre les activités essentielles
d’information (qui peut prendre de l’organisation, même en mode travaux actuels de cyberrési-
plusieurs mois). La priorisation des dégradé. lience des administrations
activités essentielles est toujours un et des entreprises ?
exercice délicat pour la cellule de crise Cela requiert à la fois des capacités
stratégique. de communication – donc des outils Alors que la cybersécurité met
externalisés que les dirigeants peuvent l’accent sur la protection du système
prendre en main aisément – et des plans d’information, la détection d’attaques
La perte du système de continuité d’activité (PCA) préparés ou la sensibilisation des utilisateurs,
d’information liée à une en amont et soutenus si possible par la cyberrésilience offre une vision
cyberattaque provoque des des capacités informatiques en dehors plus globale et décalée de réponse à
de l’organisation. Ou, à défaut, par des la menace cyber. Il s’agit de prévoir la
difficultés particulières en
outils plus simples, comme parfois le résilience des activités de l’entreprise
gestion de crise. Pouvez-vous
papier et le crayon ou le fax. ou de l’administration, et d’assurer
nous éclairer sur ce point ? dans les meilleurs délais la restauration
Plus tard, il s’agira d’étudier les options de capacités informatiques intègres.
Effectivement ! Qu’il s’agisse d’une de restauration ou de reconstruction On comprend mieux ce défi en
cyberattaque ou d’une panne informa- du système d’information et de faire se rappelant les attaques comme
tique, la perte du système d’informa- des choix toujours délicats entre temps NotPetya en 2017, qui a contraint des
tion est un élément primordial de dés- d’indisponibilité et risques résiduels entreprises à reconstruire le socle de
tabilisation, complexe à illustrer dans (comme l’intégrité des postes de travail milliers de postes de travail, chantier
les travaux préparatoires de gestion de ou des données). titanesque. Ou, plus récemment, un
crise et de continuité d’activité. grand laboratoire pharmaceutique a dû
arrêter tout son système informatique
Le numérique est partie intégrante de (y compris dans ses usines), pour
Peut-on anticiper ce risque ?
nos vies professionnelle et personnelle. reconstruire un système propre,
Quelles sont, selon vous,
Plus de système d’information signifie opération qui prend en moyenne deux
plus de télétravail, plus d’Internet, mais les bonnes pratiques ? mois. On pourrait également évoquer
aussi plus de téléphonie, point souvent les récentes attaques contre des
omis dans la cartographie des risques. Oui, bien sûr, même si on ne peut hôpitaux contraints de fermer des lits,
Gérer une crise dans une entreprise jamais imaginer le scénario exact de de transférer des patients, de retarder
ou dans une administration sans outil l’attaque. des interventions.
de communication professionnel est
un exercice complexe… Le recours à Il faut travailler en amont avec les Ces exemples démontrent la nécessité
des SMS ou à des groupes WhatsApp équipes pour identifier leurs activités de travailler sur la cyberrésilience
devient alors la pratique courante essentielles, leurs données critiques. On de l’organisation en intégrant
malgré le risque lié à la confidentialité pourra ainsi placer ces données dans un le scénario d’indisponibilité des
des échanges (et encore faut-il avoir coffre-fort externe (sans oublier de les systèmes d’information tant pour
un annuaire des contacts intègre et mettre régulièrement à jour) et pour piloter la crise et assurer la continuité
disponible). chaque activité décrire un éventuel de l’activité que pour restaurer – si
plan B. Cette liste permettra également ce n’est reconstruire – les capacités
De même, la restauration du système d’établir un ordre de redémarrage informatiques. Cela requiert, selon moi,
d’information sans sauvegarde des lors de la restauration du système l’implication forte des dirigeants, un
données (au moins des données les plus d’information. poste budgétairedédié, la sensibilisation
stratégiques, qu’elles soient techniques accrue des collaborateurs et des agents
ou fonctionnelles) dans un lieu sûr Certaines organisations, mieux pour qu’ils anticipent cette situation très
– électronique et/ou physique – reste préparées, ont anticipé la perte de dégradée et s’entraînent régulièrement
encore un problème d’importance tous les composants du système grâce à des exercices de cybercrise.
aujourd’hui en cas de cyberattaque. d’information. Elles ont par exemple C’est une obligation annuelle dans
souscrit des abonnements chez certaines entreprises.•10• DOSSIER THÉMATIQUE LA LIREC n°65
La cyberrésilience n’est pas qu’une cyber. En fonction du score, ils peuvent de l’évaluation de la maturité cyber
affaire technique et de direction décider de ne plus consulter certaines d’une organisation, entreprise ou
informatique ! Loin de là… Les conseils entreprises lors d’appels d’offre ou de administration.
d’administration nous sollicitent les éliminer de leur liste de « preferred
maintenant pour les aider à intégrer ce partners ». Même si l’évaluation se On voit donc s’opérer dans la
sujet dans leurs travaux. fait encore souvent en mode déclaratif, quantification du risque cyber un
on perçoit un durcissement dans la mouvement de prise en compte de la
démarche. On retrouve les mêmes résilience des dispositifs de crise au
mécanismes chez certains assureurs niveau stratégique.
Peut-on imaginer que la rési-
lors de la souscription d’une police de
lience des dispositifs de crise
cyberassurance, comme de votre police Le développement exponentiel du
stratégiques soit prochaine- automobile d’ailleurs. Les critères de numérique repose sur la confiance
ment intégrée à la quantifica- cyber rating sont nombreux, de la mise de toutes les parties prenantes et
tion du risque cyber imposée en œuvre d’outils et de procédures de impose donc des contrôles comme le
par des donneurs d’ordre ou protection de Système d’Information, cyberrating pour assurer une meilleure
des assureurs ? de détection d’évènements jusqu’aux résilience de nos activités et, plus
séances de sensibilisation des globalement, de notre pays n
Le cyber rating, ou « quantification collaborateurs ou des agents aux
du risque cyber », est un sujet en bonnes pratiques de cybersécurité.
plein développement. On voit ainsi La structuration, l’équipement,
de grands donneurs d’ordre de de l’entraînement du dispositif de réaction
l’industrie imposer à leurs sous- à la cyber-attaque, donc de pilotage
traitants une démarche de notation de cybercrise, sont des composantsLA LIREC n°65 DOSSIER THÉMATIQUE •11•
Évaluer une gestion de crise,
l’appel pour une vision cognitiviste
et alter-prospectiviste
par Raphaël De VITTORIS
À PROPOS DE L'AUTEUR
Raphaël De VITTORIS premiers rapprochements, la
comparaison n’est pas si évidente.
Après une carrière internationale dans le secteur de l’hygiène, la
Quelle crise fut-elle réellement la plus
sécurité et l’environnement, il est le gestionnaire de crise du Groupe
grave : Tchernobyl ou Fukushima ? Le
Michelin depuis 2013. Il est aussi enseignant et chercheur en sciences
de gestion sur les problématiques de gestion de crise, gestion des Bataclan ou Charlie Hebdo ? Katrina ou
risques, communication de crise, négociation de crise et biais cognitifs Hugo ?
en situation de crise. Docteur en sciences de gestion et qualifié maître de conférence,
diplômé d’un master en physiologie en environnement extrême, d’un master en Les analystes de la crise admettent
administration d’entreprise et d’un master en hygiène, sécurité et environnement, pourtant qu’à peu de choses près, les
il enseigne dans divers masters et il est membre du board de l’Institut d’études des conséquences des crises affrontées
crises et d’intelligence économique et stratégique. Il est l’auteur de Surmonter les auraient pu être tout autres pour une
crises, paru en 2021 aux éditions Dunod et le fondateur d’Antifragile.fr gestion pourtant totalement identique.
La chance, le sort, la fatalité sont autant
de facteurs qui viennent influencer
les conséquences parfois de manière
INTRODUCTION UNE APPROCHE bien plus considérable que toutes les
mesures proposées par les cellules.
L’actualité récente a rendu le concept CLASSIQUE,
de crise omniprésent dans les esprits. Dans ce cas comment interpréter les
La gestion de crise fait désormais partie
LARGEMENT indicateurs ? Sont-ils représentatifs de
des fondamentaux de la plupart des or-
ganisations. Comme pour tout proces-
DÉPENDANTE la gestion effectuée ? Doit-on y inclure
un quotient de chance ? Une gestion
sus, il est naturel de s’interroger sur les DU RETOUR maladroite mais heureuse doit-elle
indicateurs permettant à l’organisation susciter davantage de reproduction
de le suivre et de le piloter. D’EXPÉRIENCE ultérieure qu’une gestion habile mais
malchanceuse ?
Or, il semble difficile aux organisations, L’évaluation des crises la plus fréquente
pourtant rompues à l’art du suivi et du repose sur une conception classique Une seconde approche classique
pilotage, de quantifier avec précision des crises où l’évènement est considéré consiste à qualifier les composantes
les niveaux de performance en gestion par ses manifestations extérieures : de la gestion aux niveaux techniques,
de crise. Cette difficulté pourrait selon ses conséquences. Cette approche est organisationnel et humain (approche
nous être le fruit d’une imprécision la plus intuitive, donc la plus aisée à TOP). Un tel diagnostic, plus structurel
quant à l’angle de conceptualisation de appliquer. Les conséquences peuvent et moins opérationnel que l’approche
la gestion de crise même. en effet se quantifier en nombre de précédente, permet de segmenter des
victimes, en coûts, en nombres de familles d’éléments pour identifier
Après analyse de la littérature références médiatiques ou de posts. avec davantage de finesse les forces
scientifique et des approches de diverses C’est cette approche qui fournit a priori et les faiblesses de la structure.
organisations, quatre grilles de lecture les données objectives les plus solides, Cependant, il amène à multiplier
différentes des crises semblent émerger car elles sont directement issues des les indicateurs évaluant les moyens
avec autant de voies d’évaluation de ce constats. (fiabilité, disponibilité, maîtrise,
qu’est une « bonne » gestion de crise. etc.), l’organisation (simulations,
Nous proposons de passer en revue On peut alors avoir la tentation etc.) et les personnes (formations,
ces quatre approches et d’en tirer des de comparer les crises par leurs etc.). Certains auteurs ajoutent à ces
indicateurs potentiels. conséquences. Pourtant, dès les paramètres l’influence de la culture•12• DOSSIER THÉMATIQUE LA LIREC n°65
de l’organisation et la psychologie des choix calculé entre les alternatives 3 Indicateurs psycho-structuraux
décideurs 1. ». La gestion de crise est alors le possibles : succès/insuccès des
fruit de décisions, les décisions sont alternatives choisies, collégialité des
Cette approche classique, qu’elle se le fruit de calculs d’alternatives, les décisions, compréhension collective
fonde sur les conséquences pures ou alternatives sont le fruit d’analyses, commune des évènements, présence/
les éléments structurels du dispositif de les analyses sont le fruit d’une collecte absence de points de situations
gestion de crise, a l’avantage de fournir et d’une interprétation des données. réguliers, etc.
des données et de permettre une Le processus repose d’abord sur des
interprétation rapide de l’évènement. modèles abstraits et conceptuels
Toutefois, après autant d’années (principes, références à des situations
d’évaluation des crises multiples ayant similaires, valeurs et culture de UNE APPROCHE
fait l’objet d’analyses fines et de retours l’organisation et du décideur, etc.),
d’expériences détaillés, comment le plus souvent personnels, où ORGANISATIONNELLE
expliquer les fiascos retentissants des les ancrages, les influences, les
plus grandes crises qui secouent notre heuristiques et les autres biais cognitifs
OFFRANT DES
quotidien ? posent les limites de la rationalité des
choix. L’idée précédant l’action, l’idée
DIMENSIONS
Indicateurs de constat possibles : biaisée entraînera nécessairement une NOUVELLES
nombres de victimes, effet médiatique, action peu pertinente.
nombre de posts, coûts, réactions des D’ÉVALUATION
employés, impact psychologique, D’autre part, le sensemaking tel que
qualité des interactions dans la développé par Weick 4, au contraire, Selon une vision d’abord
cellule, alignement des visions et des considère que c’est bien l’action initiale organisationnelle de l’évènement,
interprétations, etc. qui nourrit la pensée en permettant l’efficacité du pilotage peut être
une interprétation collective cohérente considérée comme la bonne réalisation
de la cellule de crise. Au moyen de des différentes missions devant être
l’analyse de catastrophes célèbres réalisées au sein de la cellule de crise. En
ÉVALUATION PSYCHO- (Mann Gulch, Bhopal, etc.), il propose effet, face à l’impossibilité d’embrasser
un « passage de la prise de décision la pluralité des évolutions et des
STRUCTURELLE au sens » en étudiant la création de dénouements potentiels d’une crise, il
sens. Une des particularités de cette est possible d’admettre l’impossibilité
La littérature scientifique en sciences approche est de considérer le processus de déterminer si les décisions prises
de gestion offre cependant des pistes de sensemaking d’abord comme un ont été judicieuses ou non. L’évaluation
intéressantes inspirées des sciences processus collectif et distribué qui de résultat étant impossible (car
cognitives avec deux approches repose sur des identités partagées ; relevant uniquement du constat), les
apparemment globalement similaires ce qui le distingue du processus de organisations peuvent se rabattre sur
mais reposant sur des principes decision-making inspirée par le choix un résultat d’organisation. Il est alors
contraires. Elles abordent la notion de rationnel et voyant son centre d’analyse possible de découper les missions de la
gestion de crise par la conceptualisation dans l’esprit de l’individu. Selon une cellule de crise en fonctions principales
du phénomène de crise et l’influence de approche sensemaking, le décideur et d’évaluer le bon fonctionnement
cette abstraction sur les décisions au n’œuvre pas seul mais se réduit à un des différentes missions. Ces missions
niveau individuel ou collectif. composant d’un collectif (la cellule peuvent être découpées en cinq
de crise), dont l’action immédiate fonctions principales :
D’une part, le decision-making tel permet la réflexion et l’interprétation
que développé par March 2 est une de la situation en vue d’un ajustement •
Le leadership, dont la mission
approche qui se base sur le présupposé perpétuel (par bricolage) et d’une principale de prendre des décisions
que la réflexion précède l’action. Ce progression de la pertinence. Les et de rendre des comptes aux reste de
concept implique un phénomène de influences, les heuristiques et les biais l’organisation.
collecte et d’interprétation des données cognitifs peuvent alors être gérés de
disponibles permettant ainsi une manière collective et l’organisation •
L’anticipation, dont la mission de
anticipation des conséquences. Dans peut même en tirer bénéfice si cela fournir des éléments de projection
ce cas, le processus décisionnel collectif permet une interprétation collective qui permet de disposer d’un temps
est comparable à « la présence d’un cohérente plus pertinente. d’avance sur les évènements.
.....
(1) Mitroff, I. et Anagnos, G. (2001), Managing Crises Before They Happen. What Every Executive and Manager Needs to Know about Crisis Management, New
York, Amacom, 2001.
(2) March, J. G. (1978), « Bounded rationality, ambiguity, and the engineering of choice », The Bell Journal of Economics, 9, p. 587-608 ; March, J. G. (1982),
« Theories of choice and making decisions », Society, 20, 29-39 ; March, J. G. (1994), A primer on decision making: How decisions happen, New York, Free
Press ; March, J. G. (2006), « Rationality, foolishness, and adaptive intelligence », Strategic Management Journal, 27, p. 201-214.
(3) Schulz, M. (2014), Logic of consequences and logic of appropriateness, in M. Augier et D. Teece (dir.), Palgrave Encyclopedia of Strategic Management,
Londres, Palgrave Macmillan, p. 1-6.
(4) Weick, K. E. (1993), « The collapse of sensemaking in organizations. The Mann Gulch disaster », Administrative Science Quarterly, 38, p. 628-652 ; Weick, K. E.
(1995), Sensemaking in Organizations, Thousand Oaks, Sage ; Weick, K. E. (1996), « Drop your tools. An allegory for organizational studies », Administrative
Science Quarterly, 41, p. 301-313 ; Weick, K. E. (2010), « Reflections on enacted sensemaking in the Bhopal Disaster », Journal of Management Studies, 47, p.
537-550 ; Weick, K. E., Sutcliffe, K. M., et Obstfeld, D. (2005), « Organizing and the process of sensemaking », is 16, p. 409-421.LA LIREC n°65 DOSSIER THÉMATIQUE •13•
•
La facilitation, dont la mission de survenues. La recherche probabiliste CONCLUSION
fluidifier le fonctionnement de la permet toutefois de contourner cette
cellule de crise et d’en assurer la apparente impossibilité factuelle. Des La plupart des organisations
pérennité (fonctionnement longue outils probabilistes peuvent modéliser publiques et privées sont familières
durée). des trajectoires d’évènements. En d’une approche classique avec
effet, des logiciels comme « Monte retour d’expérience (malgré leurs
•
L’intervention, dont la mission Carlo » sont couramment utilisés pour biais caractéristiques susceptibles
principale est d’intervenir sur le mesurer les champs des possibles. d’en déformer significativement
terrain. Une telle approche permet ainsi de les conclusions 5) qui offrent des
comparer une situation réelle face à indicateurs de constat.
• La communication, dont la mission est la multitude des situations possibles
de fournir un plan de communication et ceci de manière statistique. Si une Toutefois, de nombreux acteurs
couvrant les parties prenantes telle approche a peu de sens pour les s’accordent à constater que ces outils
internes et externes gestionnaires de crises à cinétiques très d’évaluation sont insuffisants pour
rapides et à portée réduite, elle prend qualifier les dynamiques psycho-
en revanche pleinement son sens pour structurelles, organisationnelles ou
Indicateurs organisationnels les organisations ayant à affronter alterprobabilistes des gestions de crise
possibles : type de leadership des mégacrises couvrant des échelles et piloter le progrès.
développé, fourniture de scénarios de spatio-temporelles très vastes (comme
rupture pour l’anticipation collective, la pandémie de Covid-19 de 2020 ou Une approche « blended », en
survenue des développements de l’éruption de l’Eyjafjöll en 2010). Si mesure de proposer des indicateurs
la crise anticipée, langage et codes les entreprises peuvent difficilement variés combinant des approches
communs, interprétation commune, tirer un bénéfice immédiat de telles complémentaires, permettrait peut-
manquement de moyens, capacité approches au vu de leur implication être une qualification plus pertinente
d’intervention, prise en compte/ dans la gestion de crises à magnitudes des gestions. Une telle approche
négligence de la communication plus faibles, des organisations étatiques ouvrirait à de nouvelles perspectives
interne, existence/absence d’un plan ou supraétatiques pourraient en dans une discipline où les organisations
de communication, etc. revanche revoir leur approche de la ne doivent plus se contenter de « se
gestion de crise en ce sens. L’évaluation préparer à être surprises » mais plutôt
alterprospectiviste offre ainsi une assumer pleinement le fait qu’elles le
perspective nouvelle à l’anticipation et seront n
ÉVALUATION ALTER- donc à la prise de décision de la cellule
de crise.
PROSPECTIVISTE
Dans l’approche précédente, nous avons Indicateurs de trajectoire pos-
souligné que l’évaluation de résultat est sibles : Enchaînements d’évène-
impossible en gestion de crise puisque ments les plus extrêmes, pattern
les conséquences observées ne relèvent d’enchaînements d’évènements les
que du constat et ne peuvent être plus récurrents, présence/absence de
comparées aux conséquences possibles boucle d’auto-alimentation des évè-
mais n’étant pas (par définition) nements, etc.
.....
(5) De Vittoris R. (2021), Surmonter les crises. Idées reçues et vraies pistes pour les entreprises, Paris, Dunod.•14• POINT DE VUE LA LIREC n°65
POINT DE VUE
LES DÉFIS ET LES STRATÉGIES DE LEADERSHIP
EN GESTION DE CRISE
par le Colonel Pierre Le BASTART de VILLENEUVE
d’action, puis de préparer l’équipe disponible au scénario
le plus difficile pour acquérir des mécanismes communs
et, enfin, de se ménager régulièrement (et pratiquement) le
temps de réflexion indispensable à la prise de décision et à
son exécution. Il s’agit surtout, et de plus en plus, de s’armer
du courage nécessaire à la décision qu’impose l’analyse
toujours plus rapide et risquée d’une situation.
Colonel Pierre Le Bastart de Villeneuve
Actuellement à l’État-Major des armées / Inspection des armées
/ chef de la division de l’audit interne. IDENTIFIER SON CHAMP
Commandant des formations militaires de la sécurité civile à
Paris (20e) 2017-2020. DE MANŒUVRE
Chef du centre opérationnel interministériel de la sécurité civile
(COGIC) – 2012- 2017. Quelle que soit l’entité engagée dans la crise (détachement,
centre opérationnel, réservoir de force…), il existe des
contraintes qui limitent la liberté d’action ou de réaction. Par
exemple, dans un détachement opérationnel comme celui
Officier des formations militaires de la sécurité civile, soldat de de la Chine en 2008, le chef de mission doit « coller » à son
l’infanterie, ancien chef de corps du 7e régiment d’instruction autorité directe pour suivre les informations et apprécier
et d’intervention de la sécurité civile (RIISC) de Brignoles et les emplois tactiques de son détachement. Sa liberté de
chef du centre opérationnel de la DGSCGC de juillet 2012 à mouvement est réduite mais sa position « au plus près »
juillet 2016, j’ai pu expérimenter à quel point la question du facilite l’engagement tactique sur le terrain.
leadership reste et doit rester un sujet complexe et étendu.
Pour faire face et réussir, il est nécessaire de s’appuyer sur Dans un cadre interministériel, l’unanimité des décisions
son expérience, de se connaître (qualités et défauts), d’assurer est souvent recherchée. Cependant, la crise exige toujours
une méthode pour obtenir un travail adapté et adaptable. Et des engagements directs et rapides de première urgence.
après plusieurs années, il s’agit aussi de croire à sa chance, Cette liberté d’engagement doit être acceptée et comprise
voire de la provoquer ! même au plus haut niveau. Il s’agit alors de laisser chaque
échelon jouer son rôle et d’informer ou de rendre compte (le
Sans chercher à fixer ici définitivement les règles ou les plus régulièrement possible et en termes compréhensibles)
moyens d’action, tant le sujet est complexe, je peux proposer, à l’autorité, qui dispose alors d’éléments de langage qui la
très modestement, quelques axes de réflexion permettant à rassurent devant son chef ou l’opinion publique. Cette liberté
chacun d’appréhender avec intelligence et professionnalisme de manœuvre correspond aussi à une prise de responsabilité
une façon de faire face aux défis de la gestion de crise. personnelle sachant assumer une partie des décisions et
sachant les expliquer de différentes manières en fonction des
L’expérience acquise lors des opérations civiles et militaires, interlocuteurs. Décider, présenter et expliquer.
à l’étranger ou en France, de façon inopinée ou planifiée, au
niveau tactique ou politique, conduit à envisager plusieurs Il est évident qu’avec l’expérience et le récurrence des crises
axes de stratégies. Il s’agit d’abord de bien définir sa mission : (exemple des inondations de 2016), les mécanismes sont plus
faire face à un ou plusieurs événements qui bouleversent, plus connus, les décisions mieux comprises et la liberté permise
que d’habitude, le climat ou la vie quotidienne dans laquelle plus importante, surtout si le pouvoir en place n’a pas trop
s’accomplissent les missions de sa structure et de « jouer son changé. Cela est apparu très clairement lors des campagnes
rôle ». Je n’aborde pas volontairement la notion de sensibilité « feux de forêt d’hiver » en Corse à partir de 2016. D’abord
particulière, qu’elle soit politique ou médiatique. Le lent à mettre en place, le renforcement immédiat des moyens
professionnel reste dans le champ de l’analyse opérationnelle « feu de forêt d’hiver » est devenu un mécanisme opérationnel
« froide et précise ». Il laisse volontairement et clairement normal, comme lors des feux en été.
cette « sensibilité » s’exercer par d’autres spécialistes qui
viennent automatiquement affecter son champ. Cependant, cette liberté d’action est subordonnée à certains
mécanismes de conduite permettant de conserver la capacité
Les points suivants seront successivement développés. Il à anticiper et à prendre le « temps d’avance ».
s’agit de comprendre sa liberté de manœuvre et son champVous pouvez aussi lire
