Formation SI gestion crise

Envoi du lien de cette page par mail

• Quand peut-on parler de situation de crise ?
• Les étapes de la gestion de crise
• Gestion de la continuité des services

Dirigeant, directeur des systèmes d'informations, responsable SI, ingénieur, chef de projets et tout intervenant ayant à traiter de situations de crise.

Connaissances de base des composantes et du rôle d'une DSI. Expérience requise en gestion SI.

Quand peut-on parler de situation de crise ?

- Définir ce qu'est une crise, les conséquences éventuelles et pourquoi s'y préparer.

- Les événements exceptionnels de par leur ampleur et/ou leur caractère brutal.

- Durée d'interruption non quantifiable (impossibilité de donner un délai).

- Dépassement du seuil psychologique en termes de stress, de contrôle des événements.

- Incapacité immédiate de rétablissement de la situation.

- Le changement, un vecteur de crises.

- Le lancement de nouveaux projets, l'utilisation/l'intégration de nouvelles technologies.

- La capacité (ou l'incapacité) à réagir, au travers de l'organisation, des infrastructures et des procédures.

Les étapes de la gestion de crise

Anticiper et se préparer

- Définir les scénarii de catastrophes.

- Analyser, évaluer et hiérarchiser les risques principaux, les enchaînements possibles de causes et conséquences. Trouver des parades, des moyens d'adaptation et de restauration.

- Identifier les scénarii hors-périmètre (hors cadre).

- Formaliser les niveaux de déclenchement (délais maximum, typologies).

- Construire la cellule de crise (organisation, moyens).

- Evaluer le couple probabilité d'occurrence / gravité potentielle la plus élevée.

- Chercher les leviers d'actions permettant d'y parer, en analysant les différentes relations de cause à effet pouvant amener à la réalisation du risque.

Surveiller, prévenir et se protéger

- Mise en place d'indicateurs de suivi adapté. Mesurer au fur et à mesure. Etre attentif aux changements.

- Utiliser les mesures pour réduire la probabilité de survenance déterminée lors de l'analyse de risque.

- Définir et localiser le risque.

- Se préparer au danger pour accélérer les réponses et la résilience lors de la survenance de la crise.

- Réduire la gravité de l'événement quand et s'il se produit. Etudier et prédéployer les mesures de protection à l'avance. Les concevoir pour en limiter les impacts et les dégâts collatéraux.

Gérer une crise

- Résoudre la crise passe par un mode de gouvernance et un mode de communication spécifiquement adaptés à la situation : la gestion de crise, l'exécution du plan de continuité d'activités et la communication de crise.

- Les étapes invariables.

- Diagnostic, action et décision. Elle exige une capacité de diagnostic, de bonne réaction et donc de décision dans un contexte d'urgence. Percevoir rapidement la gravité de la situation, les priorités induites et les décisions les plus adaptées aux circonstances est donc essentiel.

- Organisation. La gestion de crise requiert également de la part des autorités responsables une capacité à organiser et à rassembler les efforts des différents intervenants. Elles veillent à l'unité et à la cohérence des différentes interventions.

- L'organisation de la cellule de crise et le plan de communication sont essentiels pour informer et rassurer, y compris en situation post-crise.

- Communication. Le caractère fondamental de la communication de crise.

- Communication en interne, pour organiser les actions et optimiser le temps de réaction.

- Communication vers l'externe pour alerter et informer, mais également pour conserver la confiance des parties prenantes.

Les outils de la gestion de crise

- Plan de gestion de crise.

- Plan de communication de crise.

- Plans opérationnels de crise.

- Plans de prévention : sécurité (biens), sûreté (personnes), sûreté de fonctionnement (fiabilité).

- Plans de protection : plans de continuité d'activités (métier de l'entreprise), plan de secours (informatique).

Simuler, tirer parti de l'expérience

- Gérer le risque c'est agir sur deux domaines essentiels que sont la prévention et l'intervention. D'où l'importance de tirer un bilan de la crise dans un souci de résilience.

- Les crises étant imprévisibles, il est important de prévoir et d'anticiper pour agir le plus rapidement et le plus efficacement possible. A cet effet, des mises en situations sont organisées afin de mettre en pratique les grandes étapes de la gestion de crise listées.

Gestion de la continuité des services

Objectifs et périmètre

- Permettre à l'entreprise de survivre après une catastrophe.

- Maintenir l'accessibilité à l'information en toutes conditions.

- Diminuer la durée des interruptions de services conséquentes à un sinistre.

- Maîtriser l'impact d'un incident majeur.

- Rassurer et conserver les clients de l'entreprise.

- Menaces, vulnérabilités et composants impactés.

Analyse et options de reprise

- Analyse d'impact, analyse des risques, stratégie de continuité.

- Méthodes d'analyse : Marion, Melissa, Mehari, Cramm, Amdec.

- Options de reprise : reprise progressive, intermédiaire, immédiate.

- Informations en entrée. Connaissance des processus vitaux et des SLR, connaissances du SI (CMDB).

- Objectifs de temps de reprise et de points de reprise.

- Informations en sortie. Politique de secours. Plans de secours et Plan de réduction des risques.

- Procédures opérationnelles et tests.

Activités

- Initialisation, exigences et stratégie: analyse d'impacts et des risques, stratégie de reprise.

- Implémentation et gestion opérationnelle : éducation et sensibilisation, contrôles et audits, plan de tests, formation, assurance et réassurance.