Les utilisateurs, «communauté résiliente»

Les applications IT sont en place, fonctionnent et sont conformes vis-à-vis du BIA (Business Impact Analysis). Bref, tout va bien! A une nuance près: les équipes. Aujourd’hui, dans la plupart des tests de Business Continuity, le facteur humain est négligé. Pour ebrc, spécialiste de la résilience des activités, très peu d’organisations ont une stratégie claire sur la façon d’assurer la continuité et le bien-être des équipes qui ont été affectées par un incident.

A ses prospects et clients, Bérengère Broutin, Senior Business Continuity and Security Consultant, ebrc, conseille de tester les équipes qui vont assurer la continuité des activités comme ils testent déjà les équipements informatiques, rappelant que les équipes sont le noyau central des activités business d’une organisation en termes d’expertise, de connaissances, de savoir-faire et de flexibilité.

«On investit beaucoup dans les infrastructures, mais on néglige la stratégie de continuité des équipes. Tout se passe comme si les incidents étaient seulement d’ordre technique. C’est faire fi de l’aspect émotionnel. Vous pouvez être le plus grand spécialiste dans votre domaine d’activité, mieux vaut prévoir comment vous réagirez dans l’adversité. En somme, serez-vous encore apte à prendre les bonnes décisions alors que vous venez de subir un traumatisme? Aujourd’hui, dans la plupart des plans de continuité, cette question n’est tout simplement pas prise en compte!»

Nous avons beau rappeler que le chaînon humain est le plus sensible, rien n’y fait. Or, ce sont bien des hommes et des femmes qui devront gérer le «redémarrage» des activités...

L’incident peut être bénin. Comme, par exemple, les intempéries hivernales de la fin 2010. Rien de bien grave. Mais si l’entreprise n’a rien prévu, la colère peut surgir, ce qui se traduira par une baisse de la motivation, voire des actions inappropriées. En revanche, si l’entreprise a été proactive en proposant, dans ce type de situation, du covoiturage, des solutions d’hébergement, voire d’autres façons de travailler, notamment via le teleworking, les réactions seront tout autres. «Notre capacité de résilience peut être très grande, à condition d’être entendus et soutenus. Nous avons donc autant besoin des collègues et des supérieurs hiérarchiques que de la famille et des amis. Et ce qui se vérifie pour un incident mineur, comme les intempéries hivernales, se vérifiera, a fortiori, en cas de situation réellement critique...»

Pour ebrc, mettre en place une politique traitant ces points à travers des formations ciblées et une préparation adaptée peut générer un réel atout. Bérengère Broutin parle de «communauté résiliente».

Pour ce faire, la connaissance des effets traumatique est vitale. Quand les mécanismes psychologiques et les réactions sont comprises, nous pouvons plus facilement adapter plans et procédures. «On voit des gens très compétents partir en vrille, des leaders perdre leur charisme; il faut savoir les écarter. Mais comment faire si rien n’a été prévu?», questionne encore Bérengère Broutin.

De même, il faut tenir compte de la fatigue, conséquente du stress. «Au bout de deux de heures, vos capacités s’émoussent. Il faut pouvoir s’arrêter, reprendre contact avec la famille, les proches. Pas question de laisser en place les ‘jusquouboutistes’ qui prétendent pouvoir travailler jour et nuit. C’est impossible. Et, surtout, c’est extrêmement dangereux!»

De même, normaliser des symptômes et des réactions suite à un événement traumatique peut rassurer et calmer les personnes. Dans cet ordre d’idée, il faut accepter la colère, partie intégrante d’un événement traumatique. Par nature, on cherche toujours quelqu’un à blâmer. Aussi sera-il important de pouvoir canaliser cette colère, d’être en mesure de la juguler

«Un des risques est la perte de contrôle. Aussi faut-il prévoir des procédures, sous forme de checklist par exemple, afin de revenir au plus vite dans la réalité. En somme, éviter la confusion et la dispersion... Il faut donc inclure dans les tests les aspects humains, les réactions.»

Inclure, aussi, la communication de crise. A l’heure des réseaux sociaux, elle n’a jamais été aussi importante. Première étape, avoir un compte Facebook pour réagir, recadrer si besoin est. Mais aussi rassurer, encourager. Et, surtout, informer. «Le silence est votre pire ennemi dans le sens où il laisse libre cours à la rumeur!»

Bref, il est temps de s’intéresser réellement aux comportements humains... et non plus seulement aux systèmes et aux applications. «Il s’agit d’analyser et de tenir compte de nos émotions. Pour commencer, les accepter; autrement dit reconnaître nos faiblesses. C’est pourquoi les tests sont déterminants: a priori, on ne se connaît pas!»

Pas facile. Les risques de débordement ne sont jamais loin. Aussi, faut-il procéder graduellement, établir la confiance, ne jamais juger ou condamner, estime-t-on chez ebrc, qui a déjà conseillé plusieurs entreprises. Une équipe soudée fera plus facilement face à une situation critique, voire un incident: les personnes affectées seront prises en charge et ne se sentiront pas exclues. «Ne jamais mettre les gens en difficulté, mais les aider. Le pire serait qu’ils perdent la face!»

Beaucoup de psychologie, en somme. Voire exclusivement. C’est pourquoi, malheureusement, le facteur humain est si peu pris en compte. «Trop souvent encore, je vois des gens de l’IT assurer que chez eux de tels risques sont hors scope, que seules les procédures comptent. Derrière cet hymne à la rigueur technologique se cache un vrai risque de bug, un bug insaisissable ou imprévisible à l’image de l’être humain!»