Une crise se gagne avant qu'elle n'éclate. Le plan qu'on n'a pas écrit et exercé à froid ne s'improvisera jamais à chaud : anticiper et armer la crise, c'est tout préparer avant la rupture.
Crise, risque, incident : ne pas confondre
Le vocabulaire commande la réponse. Un incident est un dysfonctionnement courant, absorbé par les procédures habituelles ; un risque est un événement potentiel que l'on anticipe ; une crise est une rupture qui déborde les procédures ordinaires et menace l'entreprise dans ce qu'elle a d'essentiel. Elle cumule trois traits : urgence, incertitude et fort enjeu (survie, réputation, sécurité). Deux axes aident à préparer les bons scénarios : l'origine (interne ou externe) et la cinétique (crises rapides, qui exigent des fiches réflexes, ou lentes).
Anticiper : signaux faibles et scénarios redoutés
La préparation commence par l'anticipation, qui prolonge la gestion des risques : parmi les risques cartographiés, lesquels pourraient dégénérer en crise ? Ces scénarios redoutés sont écrits et hiérarchisés. L'anticipation repose ensuite sur les signaux faibles — un délai fournisseur qui s'allonge, des avis clients qui se dégradent — qu'une veille organisée sait croiser. Le pire ennemi reste le déni : « ça ne peut pas nous arriver ».
Plan de gestion de crise, cellule et niveaux d'activation
Le plan de gestion de crise, écrit à froid, dit qui fait quoi, comment et avec quels moyens. Ses composantes clés :
- Scénarios redoutés et leurs premières réponses ;
- Critères d'alerte et niveaux d'activation gradués (vigilance, alerte, crise) ;
- Cellule et rôles : pilote, coordinateur, référents métiers, avec suppléants ;
- Fiches réflexes d'une page et annuaire de crise tenu à jour.
Restreinte pour décider vite mais pluridisciplinaire, la cellule n'a qu'un seul pilote, et tout le monde sait qui.
Continuité (PCA, ISO 22301) et exercices
Armer la crise, c'est aussi préparer la continuité via le PCA, cadré par la norme ISO 22301 : identifier les activités essentielles, fixer pour chacune un délai de reprise (RTO) et une perte de données tolérable (RPO), et prévoir des solutions de repli. Un plan jamais exercé reste un plan de papier : l'exercice sur table ou grandeur nature, suivi d'un débriefing, révèle les failles avant que la réalité ne le fasse. Ainsi, une PME qui a inscrit la cyberattaque parmi ses scénarios, rédigé sa fiche réflexe et entraîné sa cellule n'a, le jour venu, plus rien à inventer.