Face à un monde où tout semble se dérégler, et dans lequel les vagues de crises se succèdent, il devient difficile pour les entreprises d’appréhender l’avenir. Tous les acteurs impliqués expriment le souhait de pouvoir anticiper les crises, alors que plus de 6 entreprises sur 10 en ont déjà subi. Cela fait déjà près de 2 ans que des situations difficiles émergent, dont certaines peuvent être fatales, à l’image des cyberattaques.

Nous sommes indéniablement dans une période de crise. Par définition, et pour répondre aux caractéristiques inhérentes à ce moment difficile, une posture dérogatoire doit être mise en place. Pour tous ceux et celles qui connaissent ces instants, un constat clair et binaire apparaît : soit nous sommes prêts, soit nous ne le sommes pas. Et c’est ce qui fait toute la différence avec notre modèle de référence, qui ne s’appuie pas sur les fondamentaux de la gestion de crise, mais sur les bases de la gestion des risques. Cela ne veut pas dire que ces méthodes sont mauvaises. Elles ne sont simplement plus adaptées aux périodes actuelles et futures.

Les méthodes passées et actuelles ne suffisent plus

À trop vouloir anticiper, nous en oublions l’essentiel : nous ne possédons pas encore toutes les capacités humaines et organisationnelles pour faire face à la réalité d’une crise. Néanmoins, nous pouvons apprendre, car c’est pendant cette phase que nous devons créer un modèle de réponse qui n’existe pas. Ce qui impose que l’individu, au sein de la cellule de crise, fasse preuve de créativité en s’appuyant sur ce qu’il connaît, tout en intégrant ce qu’il ne connaît pas. En effet, le fait de ne pas savoir est déjà une information sur laquelle nous devons agir avec méthode.

Et pourtant, à y regarder de plus près, peu de choses ont évolué. Nous savons certes mieux appréhender certains risques. Depuis 2020, nous subissons de nombreuses vagues, qui génèrent un état de changement ne répondant pas toujours aux attentes. En premier lieu, dans la liste des solutions à apporter, la volonté incessante de l’humain de tout anticiper. Ceci peut se comprendre en période d’incertitudes, de dérèglements et de pénuries. Il est vrai que nous pouvons imaginer tous les scénarios de risques possibles. Chaque scénario déclenchera des impacts, et la réponse donnée s’articulera autour d’un plan dont le but premier est de mettre en place une organisation. Dès la mobilisation de celle-ci, l’objectif sera de gérer par les moyens prévus à l’avance les conséquences immédiates, en s’appuyant sur les premiers intervenants impliqués et prévus. Sur le papier et dans les esprits, tout cela pourrait paraître suffisant. Et pourtant, le décalage avec les attendus est déjà présent.

Intelligence artificielle et algorithme versus intelligence humaine

Les années passées, que ce soit en matière de gestion des risques ou de gestion des crises, la solution miracle résidait dans la mise en place d’algorithmes pour construire des systèmes prédictifs. Ce fut le cas, par exemple, dans le domaine des actes de malveillance, où toutes les données possibles ont été rassemblées pour prédire la réalisation d’un vol, d’une agression, d’un meurtre. En d’autres mots, tout ce qui peut toucher à ce que nous nommons la sûreté. Comme si le scénario du film Minority Report devenait réalité. Quelques années plus tard, cette analyse prédictive a été abandonnée par de nombreuses forces de police, en particulier aux États-Unis. Plusieurs raisons sont évoquées, et en particulier un décalage important entre les prévisions et la vérité du terrain.

Créer une équation de la prédiction dans le domaine de la sûreté revient, malgré toutes les meilleures volontés, à produire un véritable miracle.

Créer une équation de la prédiction dans le domaine de la sûreté revient, malgré toutes les meilleures volontés, à produire un véritable miracle. En effet, dans ce domaine, toutes les actions malveillantes proviennent d’un être ou d’un groupe d’humains qui décident à un moment précis, ou par contrainte, de passer à l’acte pour atteindre un ou plusieurs objectifs. Seule l’étude précise des éléments de contexte nous permet d’envisager une potentialité de passage à l’acte. Nous voudrions tous et toutes nous appuyer sur des probabilités fiables, et ainsi mieux envisager les situations à venir. À l’instar des prévisions météorologiques, il est difficile d’affirmer que la Nature respectera, dans ses épisodes climatiques intenses, le niveau de couleur évalué par les modèles et les analyses des expertes et experts pourtant chevronnés. 

Trois raisons principales viennent brouiller nos modèles existants. 

La première, nous entrons dans une ère de dérèglements importants. Ces modifications viennent donc perturber les évaluations actuelles, en rendant les impacts immédiats automatiquement plus sévères. Ce qui revient à dire que les cartographies des risques réalisées il y a quelques semaines sont déjà fausses. En d’autres mots, le propriétaire des risques doit considérer que son seuil d’acceptabilité est de plus en plus bas, et que la probabilité n’est plus un indicateur fiable. Tout ceci résumé en deux constats : 

  • La question n’est pas de savoir si, mais quand. 
  • Tout ce qui a été prévu dans les plans initiaux ne sera pas suffisant. 

La deuxième est liée à une des caractéristiques principales de la gestion de crise : la compréhension et la prise en compte des attentes des parties prenantes. Même si nous pouvons, en temps de paix, lister les attentes des parties prenantes qui seraient potentiellement impactées par un événement, ces attentes peuvent toujours se modifier pendant la crise, sous l’effet des émotions générées et du battage médiatique. Trop de plans et beaucoup de cellules de crise se focalisent sur la gestion des impacts. La définition universelle de la gestion de crise nous indique pourtant que, même si la prise en compte des conséquences, donc des risques, est essentielle, elle ne peut pas se départir de la compréhension des attentes des entités impliquées, impactées et à informer.

La dernière raison est liée à l’évolution des éléments de contexte. Ceux-ci viennent, au gré de l’actualité et de son utilisation, modifier plus ou moins nos certitudes. Ces éléments, lorsqu’ils sont suivis et analysés, permettent de dégager des informations nécessaires à un indicateur d’incertitudes. Plus celui-ci sera élevé, et plus les impacts d’un événement pourtant connu dépasseront le seuil d’acceptabilité mis en place par le gestionnaire de risque.

Face à cette évolution majeure, une équation complexe qui sera résolue par la mise en place de nouveaux métiers

L’équation est complexe à résoudre. Et pourtant, nous devons plus que jamais prendre une posture qui s’installe dans le temps, et éviter les sempiternels phénomènes de l’autosatisfaction et des « on prend les mêmes et on recommence ». 

Le contexte actuel nous incite à agir. Face à cet état, seule une conduite du changement pragmatique pourra installer un sentiment d’acceptation. Car la clé est dans l’état d’acceptation. Pour pouvoir installer cette nouvelle culture, s’appuyer sur les gestionnaires de risques ne suffit plus. Installer une véritable culture de l’acceptation du monde qui nous entoure, et de ses conséquences immédiates ou potentielles, passe par la mise en place de nouveaux métiers reconnus, et bâtis dans l’arène de la réalité du terrain. 

Veiller, analyser, et mettre en place des postures, c’est-à-dire des réponses étagées et complémentaires en fonction du niveau des impacts et des attentes des parties prenantes : cela s’apprend. Aujourd’hui, tout le monde a le droit de se dire expert ou experte en gestion de crise pour une raison très simple. Il n’existe pas de véritables normes et standards dans le domaine. Dans le contexte actuel où les risques se transforment très rapidement en crise, il serait peut-être temps de réfléchir à ce que veut dire gérer une crise. Former des femmes et des hommes à entrer dans une cellule de crise prend du temps, encore plus si cette équipe fait partie d’une organisation à de multiples niveaux.

L’état de Nature nous rappelle régulièrement une règle trop souvent oubliée en période de crise : soit nous sommes prêts, soit nous ne le sommes pas. Et la situation actuelle ne permet plus l’entre-deux. 

LAUGERAT Lilian

Président de Solace et expert en gestion des risques sûreté

Lilian Laugerat dirige le cabinet de conseil Solace, spécialisé dans l'analyse des risques sûreté et la posture de gestion de crise. Solace est une entité de Cecys Group, filiale du Groupe Goron.

Lire aussi

« La cybersécurité n’est pas un métier d’homme »

Métiers & Formations
6 février 2024

Pourquoi si peu de femmes dans la cybersécurité ? Pour tenter de remédier au manque d’attractivité structurel de cette filière pour les talents féminins, Nacira Salvan, docteure en informatique, a fondé en 2016 le Cercle des femmes de la cybersécurité. Selon elle, les idées reçues ont encore la vie dure, dans…

Formation à la sécurité incendie : quelles obligations pour les entreprises ?

Métiers & Formations
31 octobre 2023

Les incendies ne font pas de distinction, et peuvent survenir partout, quel que soit le lieu. Y compris dans les bureaux d’une entreprise, une usine de production, un commerce de détail, ou encore un entrepôt. La priorité est bien entendu la préservation de l’intégrité des membres du personnel. Mais la…