Résilience et management de la continuité d'activité

10/06/2021 - 13 min. de lecture

Résilience et management de la continuité d'activité - Cercle K2

Cercle K2 neither approves or disapproves of the opinions expressed in the articles. Their authors are exclusively responsible for their content.

Daniel Guinier est Expert de justice honoraire et ancien expert près la Cour Pénale Internationale de La Haye.

---

La pandémie de Covid-19 a surpris le monde, les relations et les modes de travail ont dû être changés, utilisant de plus en plus les recours numériques pour soutenir au mieux les activités vitales, dans l'urgence, souvent sans y être préparé et en s'exposant ainsi à des risques. S'il est possible de profiter des retours d'expérience liés aux changements occasionnés, il faut aussi considérer la dissipation des effets immédiats de cette crise. C'est se que ressent la majorité des spécialistes en continuité d’activité qui estiment qu’il reste peu de temps pour tirer parti de ces enseignements pour renforcer la résilience[1], avant que l'oubli gagne les esprits lors du retour généralisé sur les lieux de travail et que le monde d'après, tant proféré, s'estompe pour laisser place au monde d'avant...

Il faut, à cet effet, noter que si la mémoire individuelle découle de sensations perçues par chacun, l’oubli est un phénomène naturel essentiel destiné à éviter l'accumulation d'informations et disposer activement de la mémoire pour se centrer sur ce qui est important. De surcroît, l'oubli soulage après un évènement ou une période traumatisante. À son tour, la mémoire collective résulte d'interactions entre les mémoires individuelles et les pratiques sociales et professionnelles[2], en référence à une situation vécue ou une expérience partagée par un groupe, un organisme ou une collectivité. Elle se forme et se modifie, avant de se dissoudre et de laisser place à l'oubli collectif.

 

La résilience et son rôle

Si la continuité est un caractère associé à une permanence, à une persistance, la résilience relève de la capacité à retrouver un état de fonctionnement normal après un évènement d'une gravité exceptionnelle. Autrement-dit, à prendre acte d'une crise, y survivre et rebondir en changeant de perspective, voire même d'en retirer une force ou un avantage. Elle découle de capacités d'adaptation et d'expériences positives. Au sein d'un organisme, la résilience est un phénomène complexe qui implique l'interaction de facteurs individuels et collectifs, y compris relationnels et sociaux, associés à des caractéristiques internes et à des processus défensifs.

Il s'agit en tout premier lieu de marquer la différence entre les termes "résilience" et "continuité d'activité" alors que certains professionnels de la continuité d'activité ont vu leur poste changé en résilience, mais sans modification de rôles et de portée. Cet artifice n'est guère favorable à l'évolution pour influencer et engager les parties prenantes dans une vision plus stratégique en la positionnant au plus proche de la direction. Certains pensent toujours que la fonction de continuité d'activité n'a pas sa place dans la prise de décision stratégique et qu'elle doit juste être en mesure de conseiller la direction sur la viabilité du plan de continuité d'activité (PCA).

La résilience globale relève de l'organisation et joue un rôle essentiel face à une situation incertaine ou un futur indéfini. De façon complémentaire, la résilience des équipes est liée à la capacité de solidarité, d'innovation et de flexibilité, tandis que la résilience individuelle s'appuie sur la formation et les bonnes pratiques. Par ailleurs, tandis que la santé mentale a été reconnue comme un problème majeur au vu de la progression et de la durée de la crise de Covid-19, nombre d'organismes ont été amenés à prendre en compte les problèmes psychologiques.

Il s'agit de tirer avantage de la position acquise sur la nécessité de continuité des activités vitales lors de la crise, à la fois pour les États, les entreprises, comme les organismes en général. Pour cela, bien des changements sont attendus, en attribuant formellement une position stratégique à la continuité, en procurant des ressources supplémentaires et en renforçant la planification par des processus et des procédures adaptés. Les modes de travail ont dû être bouleversés pour répondre à la crise, avec l'apport massif des technologies de l'information et de la communication (TIC), notamment avec le télétravail à domicile, le recours aux messageries, aux réseaux sociaux, aux plateformes numériques, etc., accélérant ainsi le passage vers une société numérique distante.
 

Centralisation versus distribution

Selon le rapport du BCI, l'unanimité des professionnels de la continuité d'activité considèrent la planification comme leur plus important attribut, tandis qu'au début de la pandémie de Covid-19, nombre de directions, ignorant les plans de continuité d'activité, ou n'en disposant pas, ont été amenées à privilégier les plans élaborés dans la précipitation, de façon arbitraire, sans identification des activités critiques. Ceci justifie le souhait de la majorité des professionnels de disposer d'un lien direct avec le comité de direction. Ils sont maintenant attendus avec des talents en termes de communication, de collaboration et d'influence pour s'assurer de l'engagement de la direction générale dans la planification de la continuité, et en cas de crise majeure, pour entraîner l'ensemble de l'organisme. En outre, l'expérience pratique prime sur le niveau de qualification, et l'aspect professionnel l'emporte sur le degré académique.
 
Il s'agit aussi de tirer avantage d'une situation qui a obligé la collaboration entre les différents services et de disposer d'une vision partagée qui s’articule autour de valeurs connues de tous pour donner du sens et guider les actions. Les premiers disciples seront utiles pour installer progressivement la culture de la résilience. Il a été suggéré qu'un membre du comité de direction soit chargé de la résilience et de s'assurer que l'importance de disposer d'une telle culture soit comprise à tous les niveaux de l'organisme. Si une telle représentation est nécessaire, elle apparaît difficile à obtenir dans la majorité des cas où elle est reléguée de façon répartie à d'autres directions ou services, tels que l'informatique, les ressources humaines, l'audit, la gestion des risques, etc. Certains jugent préférable d'inciter chacune de ces entités à veiller à sa propre résilience pour ne perturber pas le reste de l'organisme. Ceci aurait néanmoins pour inconvénient que la direction générale sous-estime l'importance de développer une culture de la résilience et ne considère pas le plan de continuité d'activité (PCA) comme primordial.

La planification centralisée s'avère plus cohérente et plus efficace, en assurant une meilleure résonance, tout en permettant l'ajustement des plans en fonction des priorités. En revanche, le déploiement des plans et leur exécution devraient rester sous la responsabilité des équipes locales. Il faut noter que les concepteurs de PCA, trop liés à l'audit ou à l'informatique, manquent parfois de connaissances sur le fonctionnement de la globalité de l'organisme, alors que ce plan devrait être conçu à la lumière d'un noyau critique représenté par l'ensemble des processus vitaux qui auront été préalablement déterminés en s'appuyant sur l'analyse des risques.
 
Une plus grande collaboration et une révision de l'organisation sont attendues, alors qu'un incident grave peut survenir de façon superposée à d'autres. De tels cas se sont produits en pleine crise de Covid-19, avec des cyberattaques en nombre, des incendies, des inondations, etc. En situation de catastrophe ou de chaos, il est rappelé la force que confère la planification, la coopération, l’auto-organisation, voire l’interventionnisme des pouvoirs publics dans les cas les extrêmes[3]
 

Modèles de management

Le modèle hiérarchique peut ne plus correspondre aux besoins de situations ou encore aux attentes des organismes qui doivent considérer les individus comme moteurs de l’action, tout en garantissant à la fois l'autonomie et la responsabilité, dans une vision partagée. Certains ont fait le choix de l’intelligence collective qui se construit et s'anime en groupe, là où les intelligences individuelles interagissent, favorisent la créativité et l'engagement, et où les points forts des uns compensent les points faibles des autres. Cette démarche porte une dimension collaborative dans une approche transverse. Cette dernière fait émerger une équipe où chacun a un rôle à jouer, avec la possibilité de s’exprimer et d’influer sur le fonctionnement d'un projet. Pourtant, l’intelligence collective ne serait pas suffisante à elle seule. Il est nécessaire de lui associer une autorité distribuée pour disposer d'un levier essentiel : le leadership, de façon à rendre l'organisation efficiente et favorable à l'innovation.

Quand la capacité de décision et la répartition des responsabilités sont attribuées en fonction des compétences et des aspirations de chacun, l'autorité est distribuée, à l'opposé des modèles hiérarchiques pyramidaux. Ce mode de gouvernance et de prise de décision permet à l'organisme de s'autoorganiser comme une entité vivante. Quand cette forme de management est formalisée dans une "constitution", il est question d'holacratie[4]. Chacun remplit les rôles qui lui ont été confiés et dont il est le seul décisionnaire en tant que détenteur d'une autorité qui résulte d’un processus de distribution qui s'accorde sur une gouvernance, des processus, et des rôles partagés et connus de tous. Ainsi, chacun développe son autonomie au travers des autres et de l’intelligence collective. La prise de décision est ainsi répartie au sein d'une organisation en cercles, à la fois autonomes et dépendants de l'ensemble. Ces cercles regroupent les participants qui ont des rôles proches, auxquels peuvent être attribuer d'autres rôles plus ou moins différents en fonction des besoins, des aptitudes et des disponibilités. Il reste pourtant à imaginer cette organisation, où chacun connaît et assume ses responsabilités, et à convaincre les perplexes qu'il est possible d'agir de concert, et de donner la latitude à décider de manière autonome, avec un leadership suffisant, sans organigramme et sans chef... Il faut pourtant être conscient qu'un tel bouleversement, auquel peu sont préparés, nécessiterait beaucoup d'investissement, d'agilité et d'initiatives de la part des dirigeants, des cadres, comme des collaborateurs. C'est le prix à payer pour atteindre l'autonomie et la maturité nécessaires afin de remplir les rôles conférés pour lesquels chacun serait le seul détenteur de l’autorité. Il s'agit maintenant d'examiner la possibilité de se fonder sur d'autres modalités de management mises en pratique.

 

Approche organisée en rôles-activités

Une approche d'organisation associant rôles et activités s'est avérée propice à l'exécution du plan de continuité d'activité (PCA) dans des secteurs variés pour affronter des circonstances diverses.

Conformément au paradigme d'organisation détaillé en 1994[5], en vue de faire face à une crise de continuité catastrophique, la juxtaposition de modèles de management permet de concilier centralisation et distribution. Il s'agit en fait de la conjugaison d'un ensemble de variations dans les mécanismes de coordination et de contrôle. Les participants peuvent alors agir et gérer leur ligne de conduite, leurs talents, en fonction des rôles et de l'interaction[6]. L'alignement sur une vision partagée permet le déroulement d'activités sans ordres ni négociations pour réaliser des actions unifiées ou parallèles, avec efficience si les efforts des différents groupes organisés sont coordonnés.

Ces caractéristiques correspondent à des besoins en termes de conception, de développement, de test, et de mise en œuvre de plans. Ceci permet de considérer à la fois la création, mais aussi de faire face pour une mission critique, ce qui est le cas du PCA en vue de la résilience. L'organisation repose sur plusieurs groupes avec une recherche d'autonomie fondée sur des rôles auxquels sont attachées des activités et des tâches[7]. Le groupe D réduit de direction se réunit au sein d'une cellule de crise pour prendre les décisions. Un porte-parole autonome, désigné par la direction générale, est habilité pour la communication avec l'extérieur et les médias. Le groupe C3 - pour coordination, contrôle et communication - coordonne, contrôle et assure la communication interne du PCA au niveau central, tandis que le groupe O se charge de l'exécution des opérations avec une plus grande autonomie au niveau local. La cellule de crise concrétise la réunion des responsables D-C3. Elle regroupe les organes de décision et de cohésion pour la bonne exécution du plan. Elle pilote et assure la gestion de la crise et le soutien aux opérations. Son responsable décide de l'activation, du fait d'un état avéré de crise selon la procédure, au vu des moyens prévus et des informations qui lui sont fournies, en s'appuyant sur une échelle de gravité préétablie. Pour faire face à la diversité des situations, les équipes sont constituées pour assumer les responsabilités qui leur sont confiées et les tâches dont elles auront la charge. La politique de sécurité interne[8] de l'organisme fait  alors office de "constitution" pour fournir les principes et règles à adopter au niveau décisionnel, pour en déduire les procédures et mesures au niveau opérationnel, selon le degré de besoin et les normes et règlements en vigueur.
 

Facteurs de succès et conflits

La confiance et la motivation, le talent et l'adaptation, comme la réduction de la complexité sont des facteurs à considérer. La confiance mutuelle qui s'installe dans le groupe est un facteur primordial de succès favorisant la motivation. Le talent individuel et la faculté d'adaptation sont à encourager car ils compensent, en quelque sorte, les effets réducteurs du formalisme méthodologique. La cohésion du groupe sera guidée par la satisfaction vis-à-vis du projet. Un groupe possédant une grande cohésion ne tolérera guère des positions extrêmes[9], ce qui est souvent le fait de personnes talentueuses et imaginatives. Une médiation sera nécessaire pour ne pas prendre le risque de faire éclater le groupe, notamment lorsque les rôles individuels sont bien compris et acceptés, et pour réduire les problèmes de pouvoirs ou de territorialité. Tandis que la complexité est presque toujours la règle souvent associée au chaos, sa réduction est aussi attendue comme importante.

Les conflits qui apparaissent à l'intérieur du groupe, et qui sont maîtrisés en ayant recours à la médiation, ne sont pas seulement négatifs. Ce sont également des éléments de facilitation de l'apprentissage. C'est notamment le fait de personnes qui sont soit des nouveaux venus qui apportent de nouvelles connaissances ou un nouveau style, lesquels ne sont pas immédiatement compris et utilisables pour le projet, soit le fait d'une coalition dominante[10]

 

Conclusion et prospective

Il paraît nécessaire de tirer parti des enseignements de la période de Covid-19 pour renforcer la résilience des organismes avant que l'oubli gagne les esprits et que le monde d'après s'estompe pour laisser place au monde d'avant... La culture de la résilience n'est pas un artifice mais bien une nécessité qui doit être comprise avant les prochaines crises qui, malheureusement, ne manqueront pas d'arriver[11]. Il s'agit, pour cela, de favoriser le temps long pour mieux garantir le futur, en se dégageant des échéances du temps court et de l'illusion de la culture du résultat, entretenues par le privilège de l'immédiat.

Les convictions ne suffisent plus quand l'actualité montre des défaillances constantes dans les plans de continuité d'activité (PCA) avec le risque de non-résilience. Il a été abordé plusieurs modes de management et la possibilité de juxtaposition pour concilier centralisation et distribution, en s'appuyant sur plusieurs groupes, avec une recherche d'autonomie. Celle-ci est fondée sur des rôles auxquels sont attachées des actions, pour assurer les missions critiques. À ce propos, il serait souhaitable qu'un membre du comité de direction soit attaché à la résilience en s'impliquant dans le PCA et que le rapport annuel du conseil d'administration consacre un chapitre sur l'évolution de la résilience et sur les résultats des tests et de l'audit du PCA et les mesures conséquentes prises.

Daniel Guinier

---

Bibliographie sélective

  • Curtis B., Krasner H., Iscoe N. (1988) : A field study of the software design process for large systems. Comm. ACM, vol. 31, n° 11, pp. 1268-1287.
  • Elliott R. (2020) : The Future of Business Continuity and Resilience. Rapport BCI – FortressAS, 70 pages.
  • Guinier D. (1994) : Catastrophe et management. Plans d'urgence et continuité des systèmes d'information. Collection Stratégies et Systèmes d'Information, Ed. Masson, 1995, 344 pages.
  • Guinier D. (2006) : La politique de sécurité, pp. 1486-1498, in L'encyclopédie de l'informatique et des systèmes d'information, Vuibert Sciences, 2088 pages.
  • Guinier D. (2009) : Face à une pandémie annoncée et à la crise suivante… Réponses pour la continuité de l'activité des entreprises. Expertises, n° 340, octobre, pp. 337-342.
  • Guinier D. (2021a) : La part humaine déterminante face aux crises majeures. Revue de la Gendarmerie nationale, n° 268, janvier, pp. 155-162.
  • Guinier D. (2021b) : L'hébergement des données : un sujet brûlant... Retour sur les convictions et le risque d'indisponibilité. Expertises, n° 468, mai, pp. 200-204.
  • Holt A.W., Ramsey H.R., Grimes J.D. (1983) : Coordination system technology as the basis for a programming environment. Electrical Comm., vol. 57, n° 4, pp. 307-314.
  • Hyman R. B. (1993) : Creative chaos in high-performance teams : an experience report. Comm. ACM, vol.36, n° 10, pp. 57-60.
  • Klein O., Licata L. (2007) : Mémoire collective - psychologie sociale, Encyclopædia Universalis.
  • Piéron H. (1912) :  Recherches sur la phase d'évanouissement des souvenirs. In L'année psychologique. vol. 19, pp. 160-186.
  • Rimé B, Christophe V. (2015) : How individual emotional episodes feed collective memory, in Collective memory of political events : Social psychological perspectives, Psychology Press, 315 pages.
  • Norme ISO/IEC 22301 : Sécurité et résilience - systèmes de management de la continuité d'activité.

---

[1] Selon le rapport du BCI, le Business Continuity Institute (R. Elliott - 2020), fondé sur des discussions au sein de groupes et sur une enquête, une majorité de professionnels pensent qu'il reste moins de six mois avant que la Covid-19 devienne "une actualité du passé", un quart pensent qu'il reste jusqu'à un an, tandis que 20 % pensent qu'il faudrait entre 2 et 5 ans pour mettre en œuvre les changements.

[2] Pour B. Rimé et V. Christophe (2015), les expériences émotionnelles individuelles alimentent la mémoire collective par le partage social des émotions.

[3] D. Guinier (2021a), p. 155.

[4] Du grec holos : entier, pour désigner ce qui est à la fois tout et partie d'un tout, et kratos : autorité, qui renvoie au pouvoir. C'est en 2001 que  B. Robertson, Président de Ternary Softwares, a imaginé ce système pour un fonctionnement plus agile, fondé sur un management horizontal, où chaque partie du tout dont elle dépend est autonome et décisionnaire. Il repose sur la raison d'être de l'organisme, et plus sur l'exécution des décisions des dirigeants.

[5] D. Guinier (1994) détaille les stratégies d'organisation dans "Catastrophe et management...", pp. 111-122.

[6] Selon A.W. Holt et al. (1983), les deux concepts les plus importants sont le rôle et l'interaction.

[7] Ibid. D. Guinier (1994), pp. 187-192, concernant le concept D-C3, les rôles et les activités des équipes du PCA.

[8] D. Guinier (2006) en précise la formalisation, l'élaboration, la mise en œuvre et les facteurs de succès.

[9] Voir R. B. Hyman (1993).

[10] Voir B.Curtis et al. (1988).

[11] Face à la pandémie annoncée et la crise suivante, D. Guinier (2009) indique les réponses à apporter pour la continuité de l'activité des entreprises, tout en soulignant la diversité, la fréquence et la superposition des crises.

10/06/2021

Últimas Publicações