Comment assurer la continuité d’activité face aux crises : blackout, cyberattaques et pandémies
Blackouts inattendus, cyberattaques, pandémies ou tensions géopolitiques : les crises sont désormais une constante pour les entreprises. Pour maintenir leurs activités, elles doivent anticiper les risques, hiérarchiser les priorités et renforcer leur résilience. Retour sur les conseils d’experts issus d’un échange sur la gestion de crise en période d’incertitude extrême.
Pannes massives d’électricité, attaques informatiques, pandémies ou instabilité géopolitique : les entreprises évoluent désormais dans un environnement où la crise n’est plus l’exception, mais une donnée permanente. Pour répondre à ces nouvelles menaces et préserver leur continuité d’activité, elles doivent apprendre à anticiper, à hiérarchiser leurs priorités et à renforcer leur résilience. C’est ce qu’ont expliqué Thomas Garnon, solution expert chez Everbridge, Jean-Paul Joanany, Emmanuel Lenain, directeur sûreté de Suez France, et Yoann Parronnaud, manager RPCA chez Accenture France, lors d’un échange consacré à la gestion de crise en cette période d’incertitude extrême.
Blackout inattendu en Europe : un signal d’alarme
Le point de départ de la discussion : le récent blackout en Espagne, qui a touché une partie du sud de la France. Pour les citoyens, cela s’est traduit par l’arrêt des feux de signalisation ou des ascenseurs. Pour les entreprises, c’est une perte nette d’activité. Lorsque les télécoms sont affectés et que la capacité à communiquer s’effondre temporairement il est impératif d’avoir un plan de gestion. Ce type de crise, rarement anticipé, met en lumière les dépendances critiques : énergie, télécommunications, logistique. Thomas Garnon le reconnaît : « Ce n’était pas vraiment quelque chose qu’on avait prévu : on pense plutôt au risque cyber, aux risques climatiques, un blackout en Espagne un peu moins. » Ce genre d’événement appelle à des solutions concrètes : des générateurs de secours, comme cela se fait dans les hôpitaux ou les data centers, mais aussi des dispositifs de communication adaptés en cas d’isolement, surtout quand des collaborateurs sont situés à l’étranger.
À lire aussi : Réseaux sociaux interdits aux mineurs : les VPN bientôt ciblés par la régulation numérique ?
Au-delà de l’identification des menaces connues, l’analyse doit intégrer des scénarios plus rares mais à fort impact. La fréquence n’est pas le seul critère : la vraisemblance, la portée et le coût de la reprise doivent également être pris en compte. Dans une logique de résilience, il ne s’agit pas seulement de savoir ce qui peut arriver, mais d’être en mesure de faire des choix éclairés lorsqu’il faut prioriser le redémarrage des activités. Cela suppose d’anticiper les effets médiatiques, humains et financiers d’un arrêt prolongé, et d’évaluer ce qui est soutenable pour les équipes. Une gestion de crise efficace implique de canaliser les ressources là où elles auront le plus d’effet, sans chercher à tout résoudre en parallèle. Il faut accepter de laisser certaines activités secondaires en pause : vouloir tout sauver est la pire des illusions.
Diminuer l’incertitude par la préparation
Face à des risques multiples, les entreprises doivent travailler sur ce que les experts appellent le delta d’incertitude : plus une organisation est préparée, plus ce delta diminue. Il ne s’agit pas de tout prévoir, mais de savoir quelles sont les activités critiques à maintenir coûte que coûte. Cela impose de bien connaître ses interdépendances, notamment dans les chaînes d’approvisionnement. La méthode repose sur des analyses précises comme le BIA (Business Impact Analysis), qui permet d’identifier les fonctions vitales à préserver. Il ne s’agit pas de tout sauver, mais de maintenir les missions essentielles. Jean-Paul Joanany le rappelle : « Il faut ne pas perdre de vue ces missions et c’est celles-là qu’on va garantir. »
Les entreprises développent des plans de continuité selon différentes logiques : certaines partent des causes (cyberattaque, incendie, pandémie), d’autres des conséquences (perte d’accès à un site, indisponibilité des outils numériques, rupture de chaîne logistique). Chacune de ces méthodes a ses avantages. L’approche par impact permet souvent une mobilisation plus rapide des ressources, en se concentrant sur les effets concrets. À l’inverse, l’approche par typologie favorise l’analyse en profondeur des scénarios spécifiques. Dans tous les cas, ces choix doivent être alignés avec la réalité opérationnelle de l’organisation. La clé : agir vite là où l’impact est le plus fort.
.jpg)
Une crise, mais laquelle ?
La notion même de crise est plurielle et dépend fortement du contexte dans lequel elle se manifeste. Elle peut être d’ordre sanitaire, économique, technologique, environnemental, ou encore sociopolitique. Cette diversité rend difficile une catégorisation universelle. S’il existe une norme de référence pour la continuité d’activité, la norme ISO 22301, elle ne donne pas une définition unique de la crise. Chaque secteur, chaque organisation a sa propre perception. Une situation banale dans un secteur peut être critique dans un autre. Par exemple, une panne informatique de quelques heures pourra être tolérable dans une administration publique mais absolument critique dans une salle de marché ou un hôpital. Ce caractère subjectif de la crise souligne l’importance du prisme sectoriel. Thomas Garnon note : « Il n’y a pas aujourd’hui de consensus théorique sur la définition de ce qu’est une crise. »
À lire aussi : Cybersécurité et IA : Comment sécuriser l’intelligence artificielle face aux cybermenaces
Jean-Paul Joanany souligne quant à lui la confusion fréquente : « Crise, c’est un mot un peu fourre-tout. » La clé est de pouvoir évaluer si l’événement reste localisé à un métier ou s’il déborde sur d’autres dimensions afin d’établir les actions suivantes. Une analyse fine de l’impact de l’événement sur les différents maillons de l’organisation est donc essentielle. Pour Emmanuel Lenain, il faut définir des critères de gradation : « Il est important à mon avis de pouvoir graduer la crise. » Yoann Parronnaud ajoute : « Il faut enseigner la différence entre l’état d’urgence et l’état de crise. »
La cyber, une crise pas comme les autres
Si le risque cyber fait aujourd’hui l’objet d’une attention majeure, c’est parce qu’il touche au cœur des organisations. L’informatique est omniprésente et souvent insuffisamment cartographiée. Une cyberattaque peut paralyser toute une entreprise, parfois sans qu’on sache immédiatement où se situe le point d’entrée. La reprise est souvent longue et partielle. Jean-Paul Joanany pose la question concrète : « Moi ce qui m’intéresse, c’est : si j’ai pas d’électricité, comment on fait ? ».
La continuité d’activité repose autant sur des outils et procédures que sur l’adhésion des personnes concernées. Une crise peut avoir des effets collatéraux importants si les besoins de base ne sont pas pris en compte : par exemple, une panne informatique empêchant le versement des salaires peut créer une seconde crise au sein même de l’entreprise. « On en oublie qu’une crise cyber, c’est une crise opérationnelle », rappelle Emmanuel Lenain.
Des risques difficiles à hiérarchiser
La hiérarchie des risques évolue aussi selon les contextes. Après la pandémie de Covid, les risques sanitaires étaient en tête des priorités. Aujourd’hui, les menaces géopolitiques, énergétiques ou économiques reprennent le dessus. Thomas Garnon constate cette tendance : « Comme par hasard, après le Covid, un des plus gros risques c’était la pandémie. Maintenant c’est déjà en train de redescendre. »
L’arrivée de réglementations comme NIS 2 oblige désormais les entreprises à mettre en place des plans, avec des moyens dédiés. Il ne s’agit plus seulement de bonne volonté : c’est une exigence juridique, avec des budgets associés.
Des méthodes, mais pas de recette unique
La continuité d’activité est normalisée, mais dans la pratique, chaque entreprise la met en œuvre à sa manière. Tout dépend de la structure, de la culture interne, des choix d’analyse, par cause ou par impact. Yoann Parronnaud le résume ainsi : « Il y a autant de façons de faire de la continuité que de gens qui en font. »
À lire aussi : Chiffré, mais pas secret : quand Signal révèle les limites de la confidentialité politique
Le rôle du responsable RPCA est donc central : il doit connaître l’organisation en profondeur et faire des choix rationnels, y compris dans des moments de tension extrême. Il faut aussi prévoir des scénarios très concrets, comme le paiement des salaires « Sinon vous créez la crise dans la crise », affirme Emmanuel Lenain. La capacité à documenter, graduer et réorienter les efforts est déterminante dans la durée. Sans une gouvernance agile, toute réponse devient obsolète dès la première heure.
La communication de crise : anticiper
La communication reste un levier stratégique majeur en situation de crise. Elle doit être claire, transparente, sincère et surtout préparée à l’avance. Emmanuel Lenain prévient : « Quand on est en crise, on perd des neurones ! »
Au-delà du contenu des messages, c’est aussi leur temporalité et leur cohérence qui font la différence. Les moyens de communication eux-mêmes doivent être redondants : en cas de coupure des systèmes informatiques ou des télécoms, des solutions alternatives doivent être activables immédiatement. Il faut aussi penser à la communication descendante (informer), mais également ascendante (recueillir les remontées du terrain), afin d’ajuster les décisions au plus près de la réalité.
Enfin, la communication de crise ne s’arrête pas à la phase aiguë. Elle joue également un rôle clé dans la sortie de crise, la gestion de la réputation, et le retour à la normale. Une communication bien préparée renforce la légitimité et la crédibilité de l’organisation. Thomas Garnon conclut : « Une bonne communication de crise peut dans certains cas éclipser une mauvaise gestion de crise. »
.avif)