Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

12 mai 2014 Module n°4 : la gestion de crise QSE : qualité et gouvernance des s

12 mai 2014 Module n°4 : la gestion de crise QSE : qualité et gouvernance des systèmes d’information 2 Agenda 12 mai 2014 - Propriété de Solucom, reproduction interdite 1. Introduction ► 2. Les dispositifs de gestion de crise 3. S'entraîner avec des exercices de gestion de crise 3 Introduction Qu’est-ce qu’une crise ?  Naturelles inondations, tempêtes, grands froids, légionellose, épidémies…  Environnementales incendies, explosions liées à des infrastructures ou sites à risque...  Humaines défaillance de processus, erreur humaine, malveillance, attentat…  Technologiques panne informatique, défaillance matérielle, virus, cyber-attaque…   périmètre géographique   dimension humaine/organisationnelle   patrimoine informationnel Ses origines sont extrêmement variées Des événements affectant trois dimensions Une crise est …  Une situation soudaine, souvent brutale, inattendue, aux conséquences potentiellement très graves pour l’entreprise et pour laquelle les mécanismes et réactions habituels sont inadaptés 4 Introduction Gérer une crise efficacement se prépare en amont Gérer la crise c’est …  Réunir les acteurs les plus appropriés (mobilisation)  Prendre rapidement les bonnes décisions sur les actions à conduire pour limiter la propagation de la crise et en sortir  Orchestrer la mise en œuvre des actions décidées  Adapter la communication à la situation  Utiliser les documents et démarches éprouvés … malgré des facteurs aggravants  Cascade des événements additionnels (médias, pouvoirs publics, partenaires de l’entreprise…)  Pressions importantes, internes comme externes  Capacités individuelles altérées par le stress pouvant provoquer une montée de la subjectivité Il est essentiel de mettre en place un dispositif de crise préparé, entrainé, et maintenu dans la durée 5 Introduction La gestion de crise est axée sur trois piliers  une organisation et des processus  Un mode de gouvernance spécifique pour prendre toute décision nécessaire à la préservation des intérêts de l’entreprise  Une déclinaison en plusieurs « cellules de crise » répondant à différents enjeux  … dotés de moyens et d’outils  Locaux pour la tenue des réunions des cellule / outils de communication  Documents de crise (checklists, annuaires, main courante, …)  Plan de communication, plan de continuité d’activité (PCA), plan de secours industriel, … Une organisation (cellules de crise décisionnelles, cellules de crise opérationnelles, rôles et responsabilités…) Des processus (processus d’alerte, d’escalade, traitement des actions…) Des moyens (salle de crise, annuaire de crise, tableaux de bord, moyens de communication, …) 6  Au sein d’un groupe bancaire, vous êtes responsable de la sécurité de la banque en ligne  Ces dernières heures, certains de vos clients ont remonté des virements illégitimes en leur nom  Les premières investigations menées par vos équipes montrent la présence de virus sur les ordinateurs de ces clients Introduction Mise en situation Banque en ligne Client 1 Client 2 Client 3 Contexte : A vous de jouer :  Quels sont les impacts potentiels d’un tel événement pour la banque et ses clients ?  Comment vous organisez-vous pour résoudre cette crise ? 7 Agenda 1. Introduction 2. Les dispositifs de gestion de crise ► 2. 1 Une organisation 2. 2 Des processus 2. 3 Des moyens 2. 4 Exemple de gestion de crise : la Crue de Seine 3. S'entraîner avec des exercices de gestion de crise 8 Les dispositifs de gestion de crise : une organisation Modèle d’organisation de crise Décisionnel Opérationnel Membres permanents Membres de la Direction sollicités selon la nature de la crise, et/ou les Métiers sinistrés Membre(s) de coordination des cellules op. Cellule(s) de crise opérationnelle(s) IT Cellule(s) de crise opérationnelle(s) Métier(s) Cellule(s) de crise opérationnelle(s) Moyens Généraux Com- munication IT Moyens Généraux RH et Juridique Experts des Métiers ou Fonctions d’appui pouvant être sollicités par la Cellule de Crise Décisionnelle Cellule de Crise Décisionnelle Cellule de Crise Opérationnelle IT Métiers Moyens Généraux 6 novembre 2013 - Propriété de Solucom, reproduction interdite - Confidentiel 9 Acteurs opérationnels Rôles de la cellule de crise décisionnelle (CD) :  Décisions et contrôles (dont déclenchement et sortie de crise)  Suivi et pilotage de la crise  Interlocuteur de la cellule de crise et autres cellules de crise Métiers Rôles de la cellule de crise opérationnelle (CO) :  Analyse et évaluation de la situation  Appréciation et anticipation des impacts  Proposition de plan d’actions à la CD  Reporting régulier à destination de la CD  Pilotage et coordination des acteurs opérationnels  Sollicitation des experts en fonction de la nature de la crise Les dispositifs de gestion de crise : une organisation Exemple de macro organisation : rôles et responsabilités Pilote; Astreinte Intermédiaire avec la DG Anime et coordonne la cellule de crise; Arbitre et décide Experts ou Directeurs mobilisables DRH, DFI, DSI, Juridique et principaux métiers Communication Décide des communications interne et externe Risques Secrétaire(s) de crise Facilitateur, Responsable du livre de bord, et interlocuteur des Directions Direction Générale Cellule de crise décisionnelle Pilote; Directeur ou Responsable Points de situation vers la cellule de crise décisionnelle Proposition de plans d’action Anime et coordonne la cellule de crise opérationnelle Cellules de crise opérationnelles par Direction Responsables de département Selon gravité de la crise et implication de la Direction dans la gestion de crise 10 Conserver la capacité à bien communiquer…  Être maître de sa stratégie de communication  Reconnaissance : accepter la crise le plus rapidement possible. Communiquer clairement et fermement.  Refus : Minimiser les effets de la crise à condition d’être le seul interlocuteur à disposer des données.  Report de la responsabilité : reporter la responsabilité. Orienter les faits vers d’autres acteurs.  Etc. … au travers d’interfaces de communication identifiées et exercées Les dispositifs de gestion de crise : une organisation La communication : une difficulté majeure en matière de gestion de crise  S’assurer de la cohérence et pertinence des messages  Maintenir le lien entre toutes les parties prenantes de la crise  Adaptation des messages aux différentes populations cible Organisations professionnelles Investisseurs Marchés Autorités / Régulateurs Médias / Élus Concurrents Fournisseurs Clients Partenaires Groupe Direction Générale Fonctions support DSI Métiers  Maitriser les interfaces de communication internes (Communication faite par le directeur général, par le management de proximité, etc.)  Maitriser les interfaces de communication externes (Communication presse, site web, etc.) 11 Agenda 1. Introduction 2. Les dispositifs de gestion de crise ► 2. 1 Une organisation 2. 2 Des processus 2. 3 Des moyens 2. 4 Exemple de gestion de crise : la Crue de Seine 3. S'entraîner avec des exercices de gestion de crise 12 Les dispositifs de gestion de crise : des processus Le processus de gestion de crise se décline en quatre phases Détecter l’événement générateur de la crise et alerter les acteurs Tirer les enseignements Analyser les points d’amélioration Améliorer la réaction des équipes Qualifier la gravité de l’événement déclencheur de la crise Développer et mettre en œuvre les solutions et plans d’actions Déclenchement de la crise Fin de la crise Déclenchement et traitement Sortie de crise Détection et Alerte Qualification Organisation Processus Moyens 13 Détection Acteurs Actions Documentation Acteurs opérationnels Détection de l’incident par un utilisateur externe Appel au Helpdesk et pré-diagnostic Remontée au responsable de domaine Responsable de domaine Fiche pré-diagnostic 1 Les dispositifs de gestion de crise : des processus Processus – exemple de la détection d’un incident SI : détection et alerte 3 2 Détection de l’incident par un prestataire Détection de l’incident par un acteur interne Pré-diagnostic du prestataire en interne Pré-diagnostic par l’acteur interne 14 Qualification Qualification de l’incident Alerte du responsable* de coordination Cellule de crise Décisionnelle de son périmètre Oui Non Fiche Diagnostic 4 Les dispositifs de gestion de crise : des processus Processus – exemple de la détection d’un incident SI : qualification Traitement de l’incident hors gestion de crise et suivi de l’évolution 5 Annuaire de crise Incident grave ? * Ou de son suppléant Acteurs Actions Documentation Accusé de réception et analyse de la situation 6 Responsable joignable ? Oui Non Responsable de coordination Cellule de crise Décisionnelle alerté Aggravation de la situation ? Oui Non Responsable de domaine Responsable de domaine Responsable de domaine 15 Les dispositifs de gestion de crise : des processus Processus – exemple de la détection d’un incident SI : diagnostic de la crise Utilisateurs impactés Périmètre applicatif impacté Durée estimée du sinistre Quelques sites utilisateurs non critiques Aucune application critique ou très critique < 2 heures Un site utilisateur critique impacté 1 à 2 applications critiques 2 heures ≤ T ≤ 4 heures Plusieurs sites utilisateurs critiques Plus de deux applications critiques ou une application très critique > 4 heures ou inconnue Alerte systématique du responsable de coordination de la cellule de crise décisionnelle SI de son périmètre dans les cas suivants :  3 critères sont au niveau rouge  2 critères sont au niveau rouge et 1 critère au niveau orange Afin de diagnostiquer la gravité de l’incident, les acteurs disposent d’une grille d’aide à la décision adaptée au contexte 16 Déclenchement Analyse de la situation Oui Non 6 PV de déclenchement de crise Fiche Diagnostic Risque de uploads/Management/ qse-2014-solucom-4-la-gestion-de-crise-1-0.pdf