Transformer le contexte difficile du COVID-19 en opportunité organisationnelle!

Par Bertrand Milot

Mars 2020, nous revivons en pire les différentes montées en gravité des évènements du H1N1 et du SRAS. Le COVID-19 génère des scènes de panique sociale dans les magasins et les centres commerciaux. Les mesures de précaution et d’isolement mises en place par les différents gouvernements de par le monde se répercutent au fur et à mesure au travers des industries. Les marchés financiers s’emballent aux annonces de fermeture des frontières, de restrictions suite à de nouveaux cas et de nouveaux décès. Le mot pandémie est maintenant devenu une réalité planétaire. Nos entreprises redoutent la récession à venir et s’organisent : comités de crise, annonces publiques, annulation de rencontres d’affaires, télétravail généralisé, service minimum, coupe des bonus et des augmentations annuelles.


Quand certains succombent à une psychose exacerbée, d’autres nourrissent des théories du complot, mais il est une chose certaine : tout ne peut pas être si catastrophique et désastreux! En effet, au-delà des difficultés rencontrées et des problématiques de santé, il y a de nombreux apprentissages qu’une organisation « lambda » peut capitaliser. Je vous propose quelques activités sécuritaires à entreprendre pendant cette période complexe pour tirer au moins quelques avantages de cette situation peu banale. 


Au fil de ma carrière, en tant que CISO ou en tant que consultant, j’ai eu la « chance » de gérer plusieurs crises : « Occupy Montreal » et le blocage de la tour de la Bourse par les manifestants, la menace d’Anonymous contre le marché boursier canadien, les évènements du G20, des évènements tragiques en milieu professionnel, des alertes à la bombe et plusieurs autres cybercrises d’envergure. Chaque évènement m’a appris que l’exceptionnel est formateur et qu’il profite grandement à celui qui est prêt à apprendre. Il est important de se mobiliser dès maintenant, pendant que la crise bat son plein, pour pouvoir en tirer le meilleur parti. 

Transformons la crise en opportunité de bien faire. 😉

1-LA PRISE DE NOTES EST UNE TÂCHE CRITIQUE

Heureusement, une pandémie n’arrive pas chaque année (même si l’on constate une tendance à la multiplication depuis les deux dernières décennies). Ce qui se passe en ce moment est donc exceptionnel et requiert des mesures exceptionnelles. Il est absolument nécessaire de maximiser l’enregistrement et la transcription de chaque « bon coup » et de chaque « voie sans issue » que l’entreprise rencontre dans le cas où l’économie et les institutions fonctionnent au ralenti.


Je recommande que le département d’audit soit le « scrutateur » et le « scribe » de la crise. Le plan anti-sinistre, le plan d’urgence, le plan de continuité et/ou le plan de relève sont sensés aider pleinement. S’ils ne fonctionnent pas à leur plein potentiel d’efficacité, il est nécessaire de l’analyser en ce moment même. 


Pourquoi maintenant et pas après l’incident? Tout simplement parce que cette analyse sera dysfonctionnelle et incomplète si elle est réalisée a posteriori. Les opportunités manquées seront fondées sur des souvenirs, certes factuels de la situation, mais ne prendront peu ou pas en compte le contexte psychosocial interne et externe. Voilà pourquoi il est nécessaire de dédier une équipe à l’inspection de la crise en temps réel. Cette équipe doit être autonome. Elle constate, prend des notes et analyse en temps réel la cellule de crise, les décisions prises, les faits et les impacts sur l’organisation et son écosystème d’affaires. Elle enregistre chaque étape et ce qui génère le passage d’une phase à une autre. Cette équipe ne doit pas interférer sur le reste de l’organisation.


2-LE « BREACH COACH » EST NÉCESSAIRE

À proprement parler, une pandémie n’est pas une brèche de données ou d’une cybercrise…, mais… elle requiert des éléments et des tâches très similaires : mise en place de la cellule de crise, communications avec les autorités, communications avec les employés, les partenaires et les clients… Elle engendre également des problématiques similaires : impacts règlementaires et contractuels, fragilisation des processus internes, incertitudes et insécurités multiples de l’écosystème d’affaires. 


Le CEO n’est pas le meilleur leader de la cellule de crise. Il est client de la cellule de crise. Le rôle de « Breach Coach » est apparu avec l’augmentation croissante des incidents de cybersécurité et la prise de conscience de la vélocité si imprévisible de ceux-ci. À la différence du rôle de scribe (exposé au paragraphe précédent) qui enregistre les nœuds systémiques de l’incident (donc assez passif, axé sur l’observation), le « Breach Coach » joue un rôle plus actif et en interaction directe avec la cellule de crise. Ce rôle est nécessaire, il doit être indépendant et extérieur à l’entreprise. Il apporte un « sang-froid » et du recul dans ces périodes de prise de décisions anxiogènes. Le « Breach Coach » passe au crible et inspecte les contrats d’assurance, les obligations contractuelles partenaires et clientes, les obligations règlementaires et les aides opérationnelles et financières extérieures qui pourraient être octroyées.


Une pandémie, tout comme une cybercrise, nécessite de surveiller « de façon indépendante et froide » sa vélocité au fil du temps et l’évolution/opportunités juridiques en découlant. 

crédits: depositphotos.com

3-LA CYBERSÉCURITÉ DOIT AGIR ET VITE

La cybersécurité!? Mais quel rapport? 

Il y a quelques années, j’ai donné une conférence sur la sécurité de l’information pendant la mise en place des processus de continuité des affaires. La continuité et la relève impliquent des processus exceptionnels, dégradés ou de reconstruction. Tout cela rime avec la nécessité de praticité, d’efficacité et d’urgence d’agir. Or, pour beaucoup, la sécurité de l’information apparaît comme un obstacle aux besoins corporatifs essentiels, alors que c’est tout à fait le contraire. Malheureusement pour nos organisations, nos comités exécutifs, nos employés, nos partenaires ou nos clients, les cybercriminels ne font pas une trêve diligente et sympathique pendant une pandémie. Bien au contraire, l’anxiété est un accélérateur et favorise grandement l’efficacité de leurs scénarios d’ingénierie sociale. Pour le COVID-19, cela a déjà commencé : des cybercriminels ont créé de fausses applications mobiles Android et iPhone pour désinformer et maximiser le déploiement de maliciels. En effet, nos esprits sont tellement obnubilés par la pandémie et ses impacts multiples sur nous, nos entreprises et nos institutions à l’échelle planétaire que notre vigilance se réduit naturellement. Ils le savent bien et ils en profitent. Nos organisations maximisent la création d’accès utilisateurs distants et anormalement privilégiés pour permettre aux employés de faire leur travail de la maison et de répondre aux conditions exceptionnelles que requiert la pandémie. C’est pourquoi, aujourd’hui plus que jamais, l’équipe de cybersécurité doit aider, surveiller et conseiller les écosystèmes corporatifs. 

Beaucoup d’entreprises prévoient de faire des gels financiers en prévision des difficultés économiques à venir, la sécurité fait partie des lignes budgétaires souvent réduites, mais un incident de cybersécurité qui surviendrait en même temps ou juste après serait terrible et extrêmement difficile à gérer (bien plus qu’en temps normal). Les cybercriminels sont bien informés et ne doutez pas qu’ils se chargeront d’en profiter doublement. 


L’anxiété et le bruit générés par la COVID-19 sont une opportunité pour eux qu’ils ne manqueront pas. Ne relâchons surtout pas notre vigilance, même si c’est très dur. Les experts en cyberintelligence peuvent vous aider à prévenir des cyberattaques imminentes. L’urgence d’agir pour les cybercriminels les oblige à être moins prudents dans leurs communications et leurs coopérations. Profitons-en, nous aussi!

4-LA FORMATION EN-LIGNE EST UNE ACTIVITÉ SAINE

On n’y pense pas assez, mais le confinement pandémique est un moment parfait pour maximiser la formation continue en ligne de nos employés. Cette activité est intéressante budgétairement, nécessaire pour une organisation et toujours mise de côté par manque de temps. C’est le moment idéal! La formation et l’apprentissage de nouvelles connaissances liés à notre métier sont des activateurs importants jouant un rôle inverse au stress et à l’incertitude générés par la pandémie. Cette activité fait contrepoids par rapport au phénomène de désinformation et de psychose que subit notre cerveau. « Sortir de la pandémie plus grands et plus forts » peut ne pas être qu’un concept, mais bien une réalité d’affaires. Il peut être aussi très intéressant de se servir des moyens de visioconférence pour faire de la formation interne croisée et mettre par écrit du savoir non formalisé. L’organisation continue des tâches de fond qu’elle avait laissées de côté par la pression du marché. Le marché est moins pressant, pandémie et ralentissement économique global obligent, rattrapons un peu le temps perdu. C’est sain et motivant.

5-LA COMMUNICATION INTERNE PEUT DEVENIR RÉFÉRENTE

Beaucoup d’entre nous sont tellement à la recherche d’informations et deviennent tellement « boulimiques » de nouvelles en temps réel que certaines sources de désinformation s’insèrent insidieusement dans le processus de renseignement. L’organisation, pour bien gérer la crise, doit glaner la bonne information et la vérifier. Elle doit être capable de prévenir les impacts globaux, économiques et sociétaux afin de prendre des décisions d’affaires éclairées.

 

L’entreprise peut devenir une source d’information fiable et suffisamment globale pour que la désinformation ne pollue pas la psyché des employés. C’est sûrement un vœu pieux, mais il est important d’essayer. Cet exercice joue un rôle important dans l’instauration de la transparence corporative. Il est aussi un exercice sain de communication à travers la chaîne de commandement et une rationalisation réconfortante pour les actionnaires, les partenaires et les clients. 


Pour aider à mettre ce genre de communication véloce, des solutions créatives existent comme l’application montréalaise e-cobalt. Il est fondamental, lors de ce type d’évènements, que la communication respecte un modèle hiérarchique en étoile et non point à point comme c’est encore trop souvent le cas.


EN RÉSUMÉ

 Sortir de la crise plus forts se traduit par une gestion :

  • en contrôle;
  • en sang-froid;
  • en apprentissage;
  • en transparence.


Cette conclusion peut sembler triviale, pourtant notre niveau de maturité organisationnelle a naturellement baissé revenant proche du « Ad-Hoc » et du « Good-Enough ». Il est possible de faire différemment avec du recul, du sang-froid et de la créativité, quelles que soient notre industrie et l’ampleur des impacts subis. Ne pas rester seul face à la crise et maximiser les investissements pour réellement en sortir plus grands au lieu de tenter de limiter ou prévenir des impacts malheureusement imparables.


Pour finir, j’aimerais vous assurer que nous sommes chanceux qu’une pandémie ne dispose pas d’intelligence criminelle comme l’ont les cyberattaques. La pandémie ne cible pas l’arrêt, la monétisation ou le rançonnage des activités de l’organisation. Nous sommes donc face à nos propres décisions et le virus COVID-19 évolue seulement en fonction de ces décisions. L’intelligence criminelle, elle, s’adapte à nos réactions et tente sans cesse de faire pire et de limiter/annihiler l’impact positif de chaque action de notre plan de relève.

À proposMentions Légales