Une préoccupation constante

Les cyberattaques, les catastrophes naturelles, l’agitation politique et sociale, les crimes financiers : dans le contexte d’affaires actuel, une crise organisationnelle peut prendre d’innombrables formes. De plus, l’œil du public les scrutant avec plus d’attention que jamais, les organisations n’ont jamais eu autant intérêt à aiguiser leurs capacités de gestion de crise.

Malgré tout, bon nombre d’entreprises continuent de tenir pour acquis qu’elles sont bien préparées à faire face aux crises, sans même prendre de mesure pour confirmer l’exactitude de leurs suppositions. Dans une récente étude de Deloitte (en anglais seulement), 90 % des participants ont répondu qu’ils étaient prêts à gérer un scandale d’entreprise, tandis que seulement 17 % avaient testé leur hypothèse au moyen d’un exercice de simulation. De façon similaire, 70 % des répondants avaient confiance en leur capacité à gérer un rappel de produit, mais seulement 22 % avaient réellement pris des mesures pour s’assurer que leur confiance était justifiée.

Cet écart flagrant entre la perception qu’ont les entreprises de leur niveau de préparation à une crise et la réalité est problématique. Parmi les organisations ayant réellement dû faire face à une crise, la plupart ont reconnu, après analyse, que bien que la crise n’ait pas toujours été prévisible, elles auraient pu faire certaines choses pour l’éviter. Par exemple, 33 % d’entre elles ont ciblé des occasions d’améliorer la détection et les systèmes de prévention, 27 % ont dit qu’elles consacreraient plus d’efforts à la prévention, et 26 % ont choisi de faire davantage pour mieux repérer les scénarios de crise potentielle.

Ces réponses montrent que, même si les crises sont presque inévitables, la plupart des organisations continuent de croiser les doigts en espérant que tout ira pour le mieux, plutôt que d’adopter une approche proactive de gestion de crise. Espérer que tout ira pour le mieux n’est pas une stratégie.

Afin d’outiller votre organisation pour qu’elle puisse s’attendre à l’inattendu, il faut aborder la gestion de crise sur un cycle de vie comme un processus continu de préparation, de réponse et de redressement. L’objectif ultime ne devrait pas être d’éviter les crises, mais plutôt de s’y préparer le mieux possible, de réduire les dommages au minimum lorsqu’ils se produisent, de se redresser rapidement et d’appliquer toutes les leçons apprises dans le prochain cycle. Heureusement, vous pouvez prendre des mesures précises pour atteindre ce niveau de résilience organisationnelle et éviter d’être la victime d’un excès de confiance injustifié.

Élaborer un plan de gestion de crise axé sur le réel 

Un cadre de gestion de crise réussi commence par une évaluation stratégique des risques et un plan solide qui définit les risques pertinents et établit précisément la voie à suivre pour y répondre. Mais ce n’est pas tout. Pour que ce plan soit vraiment efficace, il doit évoluer en harmonie avec votre organisation.

Cela signifie que les entreprises doivent effectuer des examens fréquents afin de repérer les répercussions possibles des nouveaux marchés, de l’évolution des exigences des parties prenantes et des autres changements dans l’entreprise. En révisant régulièrement votre plan de gestion de crise, et en faisant de petits changements additionnels, au besoin, vous faites en sorte que vos procédures de gestion de crise, vos besoins de formation et l’implication de vos experts sont pertinents lorsque les catastrophes surviennent.

Parce que les entreprises évoluent à des rythmes différents, il n’existe pas de fréquence optimale pour réaliser ces examens. Par exemple, une entreprise manufacturière pourra probablement revoir son plan de gestion de crise moins fréquemment qu’une institution financière. Cela étant dit, certains événements pourraient faire en sorte qu’un examen soit nécessaire. À titre d’exemple, si votre fonction de gestion des risques repère de nouveaux risques qui pourraient avoir une incidence sur l’entreprise ou si les TI voient venir une nouvelle menace à la cybersécurité, il est peut-être temps de réviser votre plan de gestion de crise. 

Faites en sorte que vos gens soient prêts à affronter la tempête

Les crises surviennent vite, et, lorsqu’elles éclatent, chaque membre de votre organisation a son rôle à jouer. C’est pourquoi il est essentiel d’élaborer un solide plan de réponse que les principaux membres du personnel de votre organisation connaîtront bien.

Un tel plan doit décrire, étape par étape, les mesures que doivent prendre vos gens en situation de crise, en commençant par la façon de reconnaître un scénario de crise. Trop souvent, les crises passent inaperçues au départ, comme des braises qui brûlent lentement sans que l’on s’en rende compte, jusqu’à ce que, « soudainement », tout brûle. En définissant les éléments déclencheurs et en aidant vos employés et votre équipe de direction à reconnaître une situation de crise en formation (ou mieux, en étouffant dans l’œuf un problème avant qu’il ne devienne un incident), vous pourrez évaluer s’il est temps de lancer les procédures de gestion de crise ou s’il ne s’agit que de la routine habituelle.

Votre plan d’intervention doit également prévoir l’implication des hauts dirigeants, qui sont souvent aux premières lignes lorsque les catastrophes surviennent. En plus de bien connaître le protocole et les processus à jour, ils doivent avoir l’occasion de répéter les procédures de gestion de crise afin d’être mieux préparés à assimiler l’information pertinente rapidement, à demander l’aide de tiers au besoin et à prendre les bonnes décisions pendant la crise.

La formation ne devrait pas s’arrêter à la haute direction. Si l’on veut que tout le personnel soit à la hauteur pour faire face à la crise et qu’il soit habilité à jouer son rôle le moment venu, il faut mettre en pratique le vieux proverbe : c’est en forgeant qu’on devient forgeron. Les simulations sont l’un des moyens les plus efficaces pour réduire au minimum les soubresauts causés par la crise et pour bien faire comprendre à chaque membre de votre équipe comment il doit agir tout au long d’une crise.

Transformer votre faiblesse en force

Lorsque la crise frappe, une réponse et un redressement réussis reposent sur beaucoup de choses, mais la connaissance du niveau de maturité de votre organisation en matière de gestion de crise est, dans bien des cas, la plus importante. Les entreprises sont trop souvent ignorantes de leurs déficiences internes, et ne peuvent donc pas savoir si elles ont besoin d’un soutien extérieur, comme celui de spécialistes de la cybersécurité, de professionnels de l’informatique judiciaire, de spécialistes de la récupération de données ou de professionnels des communications de crise, pendant ou après une attaque.

Pour cette raison, il est important d’évaluer objectivement le niveau de maturité de votre organisation en matière de gestion de crise avant que la crise survienne. Par exemple, les entreprises peu matures n’ont habituellement pas de plan organisé pour guider leur conduite en situation de crise, soit parce qu’elles pensent qu’elles n’auront jamais à faire face à une crise, soit parce que les crises antérieures n’étaient pas graves. Celles dotées d’un niveau de maturité moyen ont souvent des procédures et des mesures en place (p. ex., avoir recours à une agence de relations publiques pour les aider à répondre aux questions des médias en temps de crise), mais n’ont habituellement pas de procédures documentées pour les orienter.

En revanche, les entreprises très matures ont généralement en place des procédures bien documentées, étape par étape. Chaque membre de l’organisation comprend ses responsabilités pour différents scénarios de crise et sait comment réagir, et la direction a retenu les services d’une agence de relations publiques externes, de conseillers juridiques et même de conseillers en cybersécurité afin de l’appuyer.

Une évaluation de votre maturité en matière de gestion de crise avant les problèmes simplifiera votre gestion de crise, mais contribuera aussi à orienter votre évaluation postérieure à la crise et vous aidera à repérer les améliorations possibles.

Stimuler le rendement

En abordant la gestion de crise comme un cycle continu plutôt que comme un événement isolé, elle devient normalisée et une composante des activités quotidiennes d’une entreprise. L’analyse pragmatique des éventuels scénarios les plus pessimistes, sans que la peur entre en ligne de compte, permet aux organisations de cibler les occasions offertes par les crises et de repérer comment elles peuvent devenir des entreprises plus fortes et plus résilientes.

Dans les prochaines publications de cette série, nous approfondirons ce sujet pour exposer les divers éléments d’une stratégie fructueuse de gestion de crise. Nous commencerons par la façon de concevoir un programme de simulation efficace.