• 6 heures
  • Difficile

Ce cours est visible gratuitement en ligne.

course.header.alt.is_video

course.header.alt.is_certifying

J'ai tout compris !

Mis à jour le 12/06/2023

Gérez les situations de crise de votre entreprise 

Vous avez maintenant des plans de continuité d’activité validés régulièrement. La survenance d’un événement perturbateur, quel qu’il soit, peut désorganiser le fonctionnement de votre entreprise. Le processus de décision normal n’est plus adapté ; même si l’impact sera évidemment plus faible si un PCA a été mis en place.

Prévoyez des cellules de crise

Pour que vous puissiez piloter la continuité d’activité, une organisation ad hoc de crise est nécessaire. Elle agit dans le cadre de la délégation de compétences et des pouvoirs définie par la Direction générale.  L’expérience montre qu’il est nécessaire de prévoir deux types de cellules de crise : une cellule de crise décisionnelle (CCD) et une ou des cellules de crise opérationnelles (CCO).

La cellule de crise décisionnelle partage informations et décisions avec la cellule de crise organisationnelle. Cette seconde cellule est en contact direct avec les métiers, l'informatique, et les moyens généraux.
L'organisation des cellules de crise

La cellule de crise décisionnelle (CCD) 

La CCD est composée des membres de la Direction générale, des directions métiers, Informatique, Risques, Communication, Ressources humaines, du responsable du plan de continuité d’activité (RPCA), du responsable de la sécurité des systèmes d’information (RSSI), etc. Sa composition est variable en fonction de l’événement perturbateur.

Par exemple, suite à une cyberattaque avec chiffrement des données et demande de rançon, la CCD sera étoffée par des juristes, un négociateur, un DPO délégué à la protection des données liée au RGPD, règlement nᵒ 2016/679, dit Règlement général sur la protection des données.

La ou les cellule(s) de crise opérationnelle(s) (CCO)

La CCO est composée des différents centres de compétences IT (production, système, réseau, data bases, infrastructure…), des représentants des services généraux (logistique), du RPCA, et pour chaque direction métier concernée par l’événement perturbateur, des correspondants du PCA. 

Pour gérer une crise efficacement, vous devez avoir décidé avant la survenance de l’événement perturbateur :

  • qui va activer la gestion de crise ;

  • comment on s'organise (décision, anticipation, main courante…) ;

  • quelles sont les obligations et les responsabilités des cellules de crise ;

  • quels sont les compétences, les suppléants, la préparation, l'entraînement ;

  • quelle stratégie de gestion de crise adopter ;

  • quelle stratégie de communication interne et externe prévoir ;

  • quelle logistique de crise mettre en place (salle de réunion, moyens de communication, main courante, fiches réflexes…).

Découvrez comment s’effectue la remontée d’alerte d’un événement perturbateur 

Pour assurer la transmission de l’événement à un organe de décision, trois niveaux ont été prévus, pour alerter, qualifier et décider.

Niveau 1 : Incident -> Traitement du signalement

Tout incident significatif constaté est signalé, en fonction du type d’événement, à l’informatique, aux moyens généraux ou à la DRH. Un état des lieux/diagnostic de l’incident est réalisé par la direction concernée.

  • Si l’incident peut être maîtrisé ou maîtrisable dans un délai relativement court, la direction concernée traite la situation

  • Si l’incident ne peut être maîtrisé ou maîtrisable dans un délai relativement court et risque d’avoir de lourdes conséquences sur l’entreprise, la direction concernée alerte immédiatement leur Directeur.

Niveau 2 : Incident perturbateur -> Qualification et traitement

Le directeur en charge du traitement de l’incident fait appel, si besoin, à d’autres directeurs concernés et au responsable de la continuité d’activité (RPCA). Il s’agit de :

  • qualifier les conséquences de l’incident perturbateur en termes d’impacts sur l’activité ;

  • informer, si besoin, le Directeur général ;

  • évaluer les conséquences sur l’interruption des activités (ne devant pas dépasser, pour les activités les plus critiques, leur durée maximale d’interruption admissible).

Il pourra alors :

  • soit proposer l’activation du PCA ou des solutions de contournement : passage en niveau 3 en convoquant le CCD

  • soit traiter l’incident en restant au niveau 2

Dans tous les cas, il mettra en place les premières mesures d’information auprès du personnel concerné directement.

Niveau 3 : Événement perturbateur -> Décision

Les membres de la CCD doivent prendre connaissance de la situation et des solutions proposées par les personnes du niveau 2, afin de décider le plus rapidement possible des actions à entreprendre pour assurer la reprise des activités critiques dans le délai correspondant à leur durée maximale d’interruption admissible définie dans le BIA, dont l’activation du PCA.

C'est ensuite leur responsabilité de :

  • mobiliser les personnes concernées par le PCA (interne et externe) à hauteur de l’événement ;

  • décider du contenu des informations à communiquer en interne et en externe ;

  • anticiper les actions à prévoir pour maîtriser la situation dans les jours à venir.

Outillez-vous de moyens et d'outils adéquats

Vous devez disposer des moyens et outils de gestion de crise suivants :

  • des outils de mobilisation des intervenants ;

  • deux salles de crise situées dans des lieux différents non soumis aux mêmes risques ;

  • plusieurs moyens de communication intercellules de crise (messagerie nominale et de secours, call conférence, SMS…), 

  • les annuaires des parties prenantes (problématique des numéros de téléphone privés) ;

  • les moyens et règles de communication (confidentialité, authentification, traçabilité) ;

  • une main courante enregistrant les décisions prises et leur suivi ;

  • un suivi des informations concernant l’entreprise : radio, télévision, réseaux sociaux… ;

  • les fiches réflexe listant les points essentiels à traiter. 

Communiquer en situation de crise : une action essentielle

En situation de crise, la communication est essentielle. Vous devez vous y préparer.

Avant la crise

  • Définir la politique de communication.

  • Identifier les cibles (médias, partenaires, fournisseurs, clients, organismes de tutelle, collectivités locales…).

  • Préparer des messages/communiqués de presse à transmettre. Ils seront modifiés par la CCD, avant diffusion.

  • S’entraîner à répondre à tous types de situation.

  • Définir les canaux d’information à utiliser : réunion, numéro vert, messagerie, réseaux sociaux. 

En période de crise

  • Appliquer la politique de communication.

  • Veiller à la cohérence de l’information.

  • Faire passer des messages clairs et appropriés.

  • Jouer la transparence : 

    • un refus d’information peut être interprété comme un aveu ;

    • un manque d’explication peut faire propager des rumeurs. 

En résumé 

  • L’aspect décisionnel est séparé de l’aspect opérationnel, d’où deux types de cellules de crise : une CCD (cellule de crise décisionnelle) et une ou des CCO (cellules de crise opérationnelles). 

  • La communication de crise est sous la responsabilité de la CCD

  • La gestion de crise nécessaire au PCA doit s’intégrer à la gestion quotidienne des incidents.

  • La gestion de crise se décompose en trois phases : l’alerte, la crise proprement dite, et la sortie de crise qui se termine par un bilan. 

Exemple de certificat de réussite
Exemple de certificat de réussite