La crise fait malheureusement désormais partie de notre quotidien.
Les attentats terroristes succèdent aux crises économiques, ils laissent la place aux pandémies qui génèrent quant à elles des crises sociales et politiques. La crise semble désormais plus présente et plus destructrice. Notre époque semble ainsi devenue plus incertaine et plus ambiguë. C’est d’ailleurs fort de ce constat que l’acronyme VUCA (1*- fut élaboré.
Dans ce foisonnement de crises, désormais regroupées en familles (2*- , une typologie de crise inquiète davantage des décideurs des organisations aussi bien publiques que privées : il s’agit de la cyberattaque. Cette crise est en effet la plus crainte par les comités exécutifs des entreprises et les directeurs d’organisations publiques du fait de certains caractères particuliers qui s’ajoutent aux dimensions déjà ambiguës, anxiogènes et incertaines des autres types de crise.
La cyberattaque est donc l’évènement qui empêche de dormir les décideurs. Mais pourquoi ? Avant de traiter de la nature toute singulière de cette typologie de crise nous pouvons nous interroger sur le déclic de cette peur qui étreint les grands responsables.
Quel évènement cyber a-t-il pu effrayer à ce point les organisations ?
Les grands décideurs ont alors pu s’interroger quant à leur propre structure et constater, pour ceux qui n’avaient pas été impactés, qu’ils avaient été chanceux de n’avoir pas compté parmi les malheureux frappés par cette foudre numérique. Ils ont pu appréhender la pleine réalité de cette course effrénée (et perdue d’avance) qui oppose les organisations aux cyber-assaillants. Ils ont constaté que l’objet même qu’ils se réjouissaient d’implanter au sein de la totalité de leurs processus, à savoir les systèmes informatiques (3*- , est devenu la cible d’attaquants dont ils ne connaissent ou comprennent ni le profil, ni les motivations et encore moins les modes opératoires.
Dans ce foisonnement de crises, désormais regroupées en familles (2*- , une typologie de crise inquiète davantage des décideurs des organisations aussi bien publiques que privées : il s’agit de la cyberattaque. Cette crise est en effet la plus crainte par les comités exécutifs des entreprises et les directeurs d’organisations publiques du fait de certains caractères particuliers qui s’ajoutent aux dimensions déjà ambiguës, anxiogènes et incertaines des autres types de crise.
La cyberattaque est donc l’évènement qui empêche de dormir les décideurs. Mais pourquoi ? Avant de traiter de la nature toute singulière de cette typologie de crise nous pouvons nous interroger sur le déclic de cette peur qui étreint les grands responsables.
Quel évènement cyber a-t-il pu effrayer à ce point les organisations ?
Selon nous, deux évènements qui ont secoué l’année 2017 (les cyberattaques mondiales Wannacry et NotPetya) sont à l’origine de cette prise de conscience de la faiblesse généralisée des systèmes d’informations et de communications de la plupart (toutes ?) les institutions. Le monde a vu des multinationales entières, des secteurs d’activités complets voire des ministères de pays développés s’effondrer ou menacer de s’effondrer lors de ces deux attaques.
Les grands décideurs ont alors pu s’interroger quant à leur propre structure et constater, pour ceux qui n’avaient pas été impactés, qu’ils avaient été chanceux de n’avoir pas compté parmi les malheureux frappés par cette foudre numérique. Ils ont pu appréhender la pleine réalité de cette course effrénée (et perdue d’avance) qui oppose les organisations aux cyber-assaillants. Ils ont constaté que l’objet même qu’ils se réjouissaient d’implanter au sein de la totalité de leurs processus, à savoir les systèmes informatiques (3*- , est devenu la cible d’attaquants dont ils ne connaissent ou comprennent ni le profil, ni les motivations et encore moins les modes opératoires.
(1*- / Terme apparu en 1987 et publié en 1991 dans un document de recherche réalisé par Herbert F. Barber et intitulé “Developing Strategic Leadership: The US Army War College Experience, Strategic Leadership Primer” et publié sous la coordination du Dr Rod Mage
(2*- / Crises économiques, environnementales, sociales, industrielles, technologiques, financières, sécuritaires, etc.
(3*- / Et dont ils ne maîtrisent aucunement les arcanes
Penser la cyberattaque en gestion de crise, c’est se pencher sur la crise-mère dont les conséquences peuvent toucher les points les plus éloignés de l’organisation.
C’est se confronter véritablement à la théorie des systèmes complexes et admettre… qu’on ne comprend pas ses propres systèmes.
Il convient ainsi de comprendre quelles sont les caractéristiques de les cyberattaques partagent avec les autres typologies de crise (la Fortune, le timing, la panique, la continuité d’activité, et
la communication) et celles qui lui sont davantage spécifiques (le manque de clarté de la gouvernance, l’option de paiement (1*/ , l’aide extérieure, la croyance d’impact uniquement processuel et non pas humain, l’embarras des décideurs, la délégation spontanée par peur de l’incompréhension, le paradoxe d’une vision simplifiée du système, et la difficulté toute singulière du sensemaking).
(1*/ En cas de ransomware
la communication) et celles qui lui sont davantage spécifiques (le manque de clarté de la gouvernance, l’option de paiement (1*/ , l’aide extérieure, la croyance d’impact uniquement processuel et non pas humain, l’embarras des décideurs, la délégation spontanée par peur de l’incompréhension, le paradoxe d’une vision simplifiée du système, et la difficulté toute singulière du sensemaking).
(1*/ En cas de ransomware
L'auteur : Raphael de Vittoris
Raphaël De Vittoris consacre son travail à la discipline de la gestion de crise qu’il pratique et étudie depuis 2015. Docteur en Sciences de Gestion, il est à la fois Group Crisis Manager de Michelin depuis 2015, Enseignant-Chercheur en gestion de crise et fondateur d’Antifragile.fr. Il est l’auteur de « Surmonter les crises : idées reçues et vraies pistes pour les entreprises » paru aux Eds. Dunod en 2021, de « Par-delà la résilience et l’antifragilité – L’entreprise du XXIe siècle » paru aux editions Eska-Management en 2022 et de divers articles sur le sujet de la gestion de crise