La simulation de crise, fer de lance d’une culture en devenir

La Suisse est souvent appréciée pour sa stabilité politique, économique et sociale. C’est dans l’ADN des Suisses de rechercher l’équilibre, le juste milieu. Or les crises et cyber crises à venir menacent cette stabilité, cet équilibre, car la Suisse est depuis quelque temps attaquée de toutes parts par des hackers. Même les administrations publiques, qui n’imaginaient pas que leur patrimoine informationnel puisse être convoité, font partie des cibles potentielles. Il est plus que temps de mettre nos forces en commun pour créer une culture du management de crise et de la cyber sécurité. 

Une culture qui ne s’acquiert pas dans les livres

S’il suffisait de quelques bons livres sur le management de crise et la gestion des cyberattaques, d’assister à quelques conférences pour créer une communauté de managers capables de protéger leur entreprise et leur patrimoine informationnel, les cyber pirates seraient faciles à neutraliser. Mais comme nous ne saurions apprendre à nager dans un livre, nous ne pouvons pas apprendre à gérer une crise ou une cyber crise en lisant. On doit se mettre à l’eau, pour finalement se maintenir à flot. La communauté des « nageurs » a bu des tasses avant de savoir nager ; la communauté des « managers capables de défendre leur entreprise en temps de crise » ont dû en passer par les simulations de crise avant de savoir protéger leur organisation.

Management de crise et de la cyber sécurité : modes de diffusion 

La simulation de crise est le vecteur qui permet de sensibiliser, de former l’individu au management de crise et de la cyber sécurité. Cet apprentissage de la gestion en terre inconnue est scénarisé, mis en scène et orchestré comme l’est une pièce de théâtre. Il est aussi filmé, mis valeur dans des vidéos. Mais le participant à la simulation n’est pas spectateur ; il est l’acteur qui se met en jeu, s’expose et apprend in situ, sur lui-même, sur ses interactions avec les autres membres de la cellule de crise, sur sa capacité à affronter l’incertitude avec sérénité et méthode. 

Une fois formé, le participant à la simulation va communiquer avec son environnement professionnel. Il sera à la fois prophète et guide, enseignant et coach pour les non-initiés. Il ne va pas seulement transmettre les bonnes pratiques, partager son expérience, accompagner les simulations-exercices qui s’imposent si l’on veut être prêt à affronter une possible crise. Il va partager des valeurs avec ses collègues, dont celle de la résilience, de la solidarité. Tous les acteurs de l’entreprise vont donner corps à une culture de la sécurité, qui va se nourrir et se renforcer au fil des simulations.

Semer les graines de la culture auprès des jeunes cadres

Les 14 et 15 janvier, la société CRISALEAD et la Haute école de gestion de Genève ont mené une simulation de crise durant 24 heures consécutives. Des cellules constituées par des membres de la Chancellerie de Genève, par des assistants en informatique de gestion et des professionnels de tous horizons ont subi « 24 heures dans la tempête ». Cyberattaques, attaques communicationnelles et atteintes à la réputation, attaques sur le corps métier (il s’agissait d’une banque) et kidnapping, rien ne leur a été épargné. Le bilan de la simulation est extrêmement encourageant : des jeunes sont enrichis, transformés, renforcés.

La sensibilisation des personnels aux risques et cyber risques, un premier pas nécessaire

Nous mettons souvent en avant la vulnérabilité des systèmes d’information alors que le maillon faible de la sécurité, c’est bien souvent l’homme. Par méconnaissance des bonnes pratiques, pour aller plus vite ou simplement par paresse, l’employé est souvent la cause de situations critiques. Le mot de passe sur un Post It collé à l’écran de l’ordinateur, le port USB chargé de données sensibles qu’on laisse traîner sur le bureau, l’e-mail d’un expéditeur inconnu que l’on ouvre… Autant d’exemples qui nous convainquent que c’est bien souvent l’homme qui est à l’origine de crises. 

Socrate estimait que « nul n’est méchant volontairement » Gageons comme lui qu’en matière de sécurité, nul n’est dangereux volontairement. La sensibilisation à la sécurité des systèmes d’information va lutter contre les mauvaises habitudes, consolider les bonnes pratiques, permettre d’éviter une bonne part des problèmes. Et surtout, la sensibilisation s’inscrit dans une logique d’anticipation. Anticiper, c’est limiter les risques, être vigilant et responsable des données qui nous sont confiées. Ainsi, avant d’avoir à gérer une crise, nous devons tout mettre en œuvre pour éviter les crises. 

La culture du management de crise que nous évoquions, si nous la traduisons en actes, débute par la sensibilisation pour s’achever dans les simulations de crise. 

Une simple lecture de la presse nous confirme qu’il ne s’agit pas d’un choix, car la Suisse est sommée de réagir dans l’urgence.