Vous êtes sur la page 1sur 17

LIVRE BLANC Rsilience des organisations : pourquoi certains survivent et dautres pas LIVRE BLANC SUR LA RSILIENCE DES

ORGANISATIONS / PAR MATTHIEU BENNASAR ET RGIS VUI TTON Rsilience des organisations : pourquoi certains survivent et dautres pas par Matthieu Bennasar et Rgis Vuitton 2 LIVRE BLANC SUR LA RSILIENCE DES ORGANISATIONS La terre a trembl. La ville est dvaste. La capitale du Portugal a t frappe par un sisme dune magnitude sans prcdent. Des incendies se sont dclars un peu partout. Des milliers de personnes sont mortes. Voltaire crit un pome exprimant sa compassion, dans lequel il sattaque la fatalit et la cruaut du sort . Jean-Jacques Rousseau rpond avec vigueur1 que la nature navait point rassembl l vingt mille maisons de six sept tages, et que si les habitants de cette grande ville eussent t disperss plus galement [] le dgt eut t moindre et peuttre nul . En dautres termes, ce nest pas la faute pas dchance : dans son dveloppement, la ville a accumul les risques et facteurs aggravants ; elle tait mal prpare et elle en paie le prix fort. Un banal incendie Lors dun banal orage, la foudre frappe lusine de semi-conducteurs de Philips NV au NouveauMexique et le four dune ligne de production prend feu. Rien de grave, le dispositif dextinction incendie se met en marche. leur arrive, tout ce que les pompiers ont faire, cest constater que tout est en ordre et sous contrle. Aucun bless, aucun dgt substantiel. Mais le mal est fait. Le compte rebours est lanc. Au coeur du four, une production reprsentant des milliers de tlphones portables est gche. Mais cest lextrieur du four qui inquite : les conditions de fabrication en salles blanches, qui ne tolrent pas la moindre poussire, sont dtriores pour plusieurs jours. Le sige hollandais sinquite et rentre en contact avec une trentaine de clients. Deux dentre eux, les tnors scandinaves de la tlphonie mobiles Nokia et Ericsson, totalisent 40% des commandes de cette usine. Nous sommes en mars 2000, en plein coeur de la bagarre pour les parts de ce juteux march des tlphones portables. lautre bout du monde, Nokia et Ericsson apprennent la nouvelle quelques minutes dintervalle. Un retard dune semaine dans les productions est annonc. Nokia bouscule Philips

La nouvelle se rpand comme une trane de poudre dans toutes les directions et toutes les couches hirarchiques de Nokia. Pris en charge rapidement par la direction des risques de Nokia, le problme est envisag sous toutes les coutures. Un reporting constant et dtaill est demand Philips qui est impressionn par la pression subie. Deux ingnieurs de Nokia sont proposs pour aider la rsolution de lincident. Quand la dure de la rupture de livraison est rvalue la hausse, Nokia runit une taskforce pour dfinir des solutions alternatives la production de pices, avec des fournisseurs tiers. Mais deux goulots dtranglement subsistent, que seule lusine sinistre de Philips est en mesure de faire sauter. Nokia convoque une runion de crise avec Philips, runion laquelle le PDG de Nokia tient participer, changeant ses plans de vol pour y assister en personne. Limplication personnelle du PDG de Philips est demande et obtenue. Malgr des sueurs froides, aucune rupture de la chane de production et dapprovisionnement de Nokia nest dplorer. Les clients sont servis. Ericsson attend aprs Philips Du ct sudois, Ericsson prend la nouvelle avec nettement plus de dtachement. Lvaluation des problmes se fait sur la base des indications fournies par Philips. La nouvelle peine sortir du cercle de techniciens et remonter la ligne hirarchique. Il faut plusieurs semaines pour quelle arrive la direction des services clients. Au moment o Ericsson prend conscience de ltendue du problme, il est dj trs tard. Nokia a dj obtenu lutilisation de toutes les rserves de capacits de production de Philips. Et, contrairement celle de Nokia, la stratgie dEricsson ninclut pas de partenariats avec des fournisseurs alternatifs pour les pices critiques. Ericsson est condamn lattente. 1. Et sans doute un peu de froideur 2. Daprs Y. Sheffi in The resilient entreprise (MIT Press, 2007) PARTIE 1 : VOUS AVEZ DIT RSILIENCE ? ALBUQUERQUE, MARS 20002 LISBONNE, NOVEMBRE 1755 Things turn out best for those who make the best of the way things turn out. John Wooden LIVRE BLANC SUR LA RSILIENCE DES ORGANISATIONS 3 Consquences La perte annuelle pour Philips est estime 30M (mais couverte 90% par des assurances de perte dexploitation). Celle de Nokia est quasi nulle et sa part de march crot dans les mois qui suivent. Celle dEricsson slve environ 350M (soit plus de dix fois celle de Philips) dans le trimestre qui suit lincendie, en raison de limpossibilit servir la clientle en tlphones haut de gamme. Dans les deux trimestres

qui suivent, les effets saggravent. Des erreurs en marketing sajoutent et conduisent la perte abyssale de 1,700M . Ericsson annonce son retrait du march des tlphones mobiles. En avril 2001, un accord est sign avec Sony pour donner naissance Sony-Ericsson. Les sinistres faible probabilit et fort impact deviennent une proccupation majeure des organisations parce que la susceptibilit actuelle de lconomie a entran rcemment de colossales pertes financires et des sorties de piste dfinitives non anticipes. Dans une conomie ultra comptitive et mondialise, les priodes de grce que les marchs sont aujourdhui disposs accorder aux entreprises qui ont un genou terre se rduisent peau de chagrin. Des bataillons de challengers sont toujours prts prendre la place de lentreprise qui seffondre. Le sort des entreprises emportes par un ouragan, un attentat ou la dfaillance dun fournisseur cl est scell bien longtemps avant que survienne le sinistre. Certaines portent dans leurs gnes une capacit de raction suprieure ; dautres ont acquis ces comptences en raison de leur histoire, la faveur dun changement de gouvernance ou en frlant labme de prs ; dautres enfin nont pas t construites pour cela ou nen ont pas eu le temps Mais au-del : pourquoi certaines organisations surviventelles et dautres pas ? Pourquoi certaines semblentelles prosprer dans des conditions difficiles tandis que la plupart peinent se remettre de la prcdente crise quand la suivante arrive ? Quest-ce qui rend une organisation capable de faire face ladversit ? Est-ce une histoire dacquis ou dinn ? Si certaines qualits personnelles, caractristiques organisationnelles et capacits techniques favorisent la survie, la propension encaisser des chocs et rebondir ensuite peut-elle sacqurir ? Il y a longtemps, sur les bancs de lcole, votre professeur de science des matriaux vous dmontrait que lacier est plus rsilient que le verre. Suite votre dernire dpression, votre psychologue vous annonait que vous aviez le profil de quelquun de rsilient parce que vous vous en tes bien remis. Le mois dernier, dans la prsentation de sa socit, un consultant vous promettait de vous accompagner vers une organisation rsiliente et vous avez compris invincible . Dans lmission de samedi dernier, un biologiste dclarait les crocodiles archtype des tres vivants rsilients ayant travers les ges sans broncher, prsents au temps des dinosaures, des ges glaciaires et lre du rchauffement climatique. En vous prsentant les sols de votre future maison hier soir, le vendeur de moquettes vous a propos un modle

rsilient dont les poils se redressent aprs votre passage. Et vous nen pouvez plus de ce contrat dassurance que vous mourez denvie de rsilier. Alors, la rsilience, cest quoi ? Origine Ltymologie du mot rsilience est latine3 : de resilire, sauter en arrire, se retirer : cest le sens premier de la rsiliation dun contrat dassurance. Historiquement, ce sont les sciences des matriaux qui utilisent la notion de rsilience en premier, la dfinissant comme le rapport de l nergie cintique 3. Dictionnaire tymologique - Bloch et Wartug (PUF) MAIS AU FAIT, UNE PROCCUPATION TRS LA RSILIENCE, CEST QUOI ? MODERNE La rsilience est la capacit rsister aux chocs, continuer son activit et sadapter en permanence aux risques auxquels lorganisation est expose Ce livre blanc tire partie de lexprience des auteurs pour exposer certains traits communs aux organisations rsilientes, proposer les principales stratgies que ces dernires ont adoptes et modliser ces concepts. 4 LIVRE BLANC SUR LA RSILIENCE DES ORGANISATIONS absorbe pour provoquer la rupture d un matriau, la surface de la section brise : en dautres termes, la rsilience dun matriau reprsente sa capacit rsister aux chocs. Par extension de cette notion, la rsilience caractrise la capacit retrouver son tat normal aprs une pression prolonge pour certains matriaux4. En sciences de la vie, la rsilience caractrise laptitude se maintenir dans un cosystme en dpit des modifications de ses caractristiques. Mais cest surtout la psychologie5 qui va dmocratiser la notion, en tant que capacit bien vivre et se reconstruire aprs un traumatisme. Deux notions coexistent donc : celle de rsistance (savoir encaisser un choc) et celle de persistance (continuer sur un mode peu perturb). Ces deux notions vont entrer dans le concept appliqu au domaine de la gestion dentreprise. Application au domaine de lentreprise et des organisations Au sens des organisations, la rsilience est la capacit rsister aux chocs, continuer son activit et sadapter en permanence aux risques auxquels elle est expose. Le nombre de perturbations auxquelles fait face une entreprise est aujourdhui tel que sa rsilience est plus lie un tat de prparation permanent qu un dispositif ultime pour faire face lextrme. Une entreprise rsiliente sest ainsi organise pour faire

face au mieux des conditions conomiques hostiles sur ses marchs, la dfaillance de partenaires critiques, au risque de fraude interne, la dernire pandmie annonce, la crise financire mondiale, leffondrement de ses systmes dinformation et la multitude dvnements adverses qui constituent le champ de contraintes dans lequel elle baigne aujourdhui. La chronologie classique stablit autour dun point de perturbation qui va introduire potentiellement une instabilit du systme ou de lorganisation en question. Cest lincident ( petite perturbation) ou la crise (perturbation qui met le systme en pril). Bien que la notion de rsilience dune organisation soit souvent voque postrieurement ce point de perturbation, les notions quelle recouvre et les mcanismes quelle met en oeuvre prennent racine bien avant ce pivot. La rsilience pourrait ainsi tre considre comme la capacit dune organisation (dun systme) minimiser les impacts sur son fonctionnement des perturbations quelle subit ou quelle va subir6. Rsilience amont : rsistance En amont de la perturbation, la notion de rsilience comprendra lensemble des mesures qui vise : augmenter la capacit danticipation ; perfectionner et fiabiliser les dispositifs de surveillance ; rduire la surface dexposition ; durcir la surface expose au choc ; concevoir les moyens de protection et de prservation ; amliorer la capacit inflchir la trajectoire de la perturbation pour quelle ninteragisse pas avec le systme, etc. En un mot, tout ce qui contribue accrotre la rsistance. Nous appellerons cette composante de la rsilience, la rsilience amont. Par exemple, une forte culture de partenariats avec ses fournisseurs, des rserves financires ou laugmentation de la scurit physique7 dune entreprise contribuent cette rsilience amont. Rsilience aval : persistance En aval de la perturbation, la rsilience inclura : la capacit dtecter la perturbation et sy adapter, y ragir promptement et avec efficacit ; la capacit organiser et optimiser la rponse et reprendre pied rapidement. Il y a la fois les notions de soins durgence, de cicatrisation, de convalescence active et de gurison complte, en un mot, tout ce qui permet dassurer la persistance. Nous appellerons cette composante, la rsilience aval. La mise en oeuvre dun Plan de Continuit dActivit en est un exemple typique et incontournable. Le paradoxe La recherche de lquilibre constant entre rsilience amont et aval est une proccupation de tous les instants, mais constitue un paradoxe que toutes les entreprises ne parviennent pas apprhender : La premire (amont) se nourrit de formalisation, de sensibilisation, de prparation, danticipation, de rigueur, de contrle : elle prospre dans un cadre tabli ; Lautre (aval) a besoin dagilit, de flexibilit, de souplesse, de crativit : on doit la trouver quand le

cadre menace de disparatre ou quand il a tout bonnement disparu. Pour les organisations que ce paradoxe ne rebute pas, il reste construire ou consolider la rsilience. 4. Comme la mousse de polymres et, vous laurez devin, la moquette ! 5. Concept introduit par Werner et Smith aux tats-Unis dans les annes 50 et repris en France par Boris Cyrulnik 6. Pour utiliser une analogie avec la chimie, la rsilience dune organisation quivau t au pouvoir tampon dune solution chimique, cest--dire sa capacit maintenir son pH malgr lajout dacides ou de bases : plus le pH est stable malgr lajou t de quantits importantes dacides ou de bases, plus le pouvoir tampon est fort. 7. Contrle daccs et dtection dintrusion, dispositif anti-incendie, climatisation des locaux informatiques, etc. LE CONTINUUM DE LA RSILIENCE LIVRE BLANC SUR LA RSILIENCE DES ORGANISATIONS 5 Une fois le travail de terminologie et de dfinition ralis, nous allons maintenant essayer de : Comprendre comment le concept de rsilience traverse les couches de lentreprise, depuis les fonctions de dcision jusquaux tches dexcution et sintgre dans son environnement8 ; Prsenter quelques stratgies de rsilience classiques voquer les traits communs aux entreprises rsilientes Exposer une dmarche pour construire la rsilience dans son organisation Un modle six degrs pour durer La Figure 1 symbolise une pyramide six degrs, qui reprsente un dcoupage de lentreprise en strates de dcision, de ressources et doprations. Chacun de ces degrs doit tre rendu rsilient pour assurer la rsilience densemble. 1. La vision : une vision rsiliente se nourrit dune culture et de valeurs, senrichit du capital confiance des partenaires et parties prenantes, a besoin de crativit et doit tre centre sur ses clients. 2. La stratgie : la rsilience stratgique suppose lanticipation de lvolution des environnements, des attentes des marchs et des clients, la veille sur la stratgie des concurrents, le dveloppement de capacits dinnovation, la recherche de partenariats forts, etc. 3. Lorganisation : sur le plan organisationnel, la rsilience regroupe lensemble des capacits et comptences collectives et individuelles qui favorisent la rsistance et la persistance. Elle comprend le sens de limprovisation, la polyvalence des comptences et des savoirs-tre, une juste rpartition des pouvoirs et autorits, une forte identit, un entranement des quipes aux situations perturbes, etc. 4. Les processus : au niveau des processus, la rsilience rside souvent dans la flexibilit9, dans le pilotage de partenariats, dans le recours des modes alternatifs dopration et dans la mise en oeuvre de plans de continuit mtier10. 5. Linformation : pour tre rsilient, le systme nerveux de lentreprise ncessite, entre autres,

une culture forte de la communication efficace11, un urbanisme cohrent du systme dinformation12 et la mise en place de dispositifs de secours des systmes informatiques. 6. Les infrastructures : la rsilience des infrastructures se traduit souvent par leur flexibilit (possibilit de redploiement rapide dactifs existants), leur redondance (linvestissement dans des actifs dupliqus ) et leur protection physique et logique. 8. Le sursystme ou cosystme 9. Conception modulaire du processus ou clatement gographique par exemple 10. Voir ce sujet le livre blanc LEXSI : Plan de Continuit dActivit : le chemin de la maturit, Matthieu Bennasar et Lonard Keat (2010) 11. Comme dans le cas dj voqu de Nokia, o la remonte et le partage dinformation ont iats. 12. Qui va bien au-del des systmes informatiques et comprend tout systme qui cre, st ocke, traite, transfre, archive ou supprime de linformation. Vision Stratgie Organisation Processus Information Infrastructure 1 2 3 4 5 6 LA PYRAMIDE DE RSILIENCE A SIX DEGRS FIGURE 1 : LES SIX DEGRS PARTIE 2 : CONSTRUIRE LA RSILIENCE 6 LIVRE BLANC SUR LA RSILIENCE DES ORGANISATIONS Il faut lgypte pour faire une pyramide Limbrication des conomies, lenchevtrement des changes commerciaux, la dpendance de fournisseurscls, la mise en rseau de linformation, le partage des infrastructures : tout cela doit nous rappeler chaque jour que la rsilience ne peut plus tre uniquement une question dorganisation et de management internes pour lentreprise. Cest une affaire dcosystme. Il faut accepter que certains des risques les plus critiques sortent largement du domaine de contrle direct de lentreprise et de son management (Cf. Figure 2). Et pourtant combien dentreprises conoivent aujourdhui encore leur Plan de Continuit dActivit sans sassurer de sa coordination avec ceux de leurs partenaires cls ? Combien conoivent leurs processus sans analyser finement la situation des fournisseurs cls dont ces processus vont dpendre ? Combien implantent encore des sites sans raliser daudit pouss de la robustesse des infrastructures tlcoms disponibles ? La rsilience de chacun des degrs de la pyramide doit tre recherche en tenant compte du contexte gnral de l gypte . En raison de linterdpendance des conomies, une stratgie visant renforcer la rsilience de la pyramide, seule dans son dsert, est voue

au recouvrement par le sable au jour de la tempte Vision Stratgie Organisation Processus Information Infrastructure 1 2 3 4 5 6 Marchs Contextes gopolitiques Partenaires-cls Concurrents SI intgrs (EDI, etc.) Infrastructures partages (finances, tlcoms, oprations, etc.) FIGURE 2 : L GYPTE FIGURE 3 : PANORAMA DE STRATGIES ET CARACTRISTIQUES DE RSILIENCE La Figure 3 expose les principales stratgies et caractristiques de rsilience pour chaque degr de la pyramide, classes selon la chronologie classique autour du point de perturbation (crise). LIVRE BLANC SUR LA RSILIENCE DES ORGANISATIONS 7 Vision claire pour lentreprise Dispositifs de surveillance efficaces Diversification de la clientle et des activits Rserves financires Culture de partenariats forts Bonne couverture assurantielle Veille concurrentielle Stratgie centr client Stratgie dachat multisourcing Centralisation des dcisions Dcentralisation des dcisions Accords de rciprocit avec partenaires cls Capacit de

projection dans lavenir Culture centre client Organigramme centr client Distribution du pouvoir au plus proche du client Forte identit Sang froid Capacit de mobilisation Capacit dadaptation Esprit de collaboration Fortes capacits de travail Sens du devoir Optimisme et pugnacit des quipes Sens de limprovisation Polyvalence des comptences Ressources gnralistes Conception modulaire des services et produits Politique de scurit de linformation Infrastructures prvues pour redploiement rapide Fort niveau de scurit physique QG de crise Redondance dinfrastructures Redondance de sites SI dcentralis Culture de la

communication PSCI oprationnel Conception rsiliente des processus Propension intgrer les leons du pass Culture de la formalisation Existence dun PCA Processus de gestion de crise Flexibilit PCA oprationnel Stocks tampon sur produits critiques Activits multi-sites Culture de lgypte Capacit reconnatre les signaux faibles Culture de gestion des risques Crativit Confiance des clients et des marchs Anticipation Fortes capacits dinnovation Degrs Vision Stratgie Organisation Processus Information Infrastructure Rsilience amont Crise Rsilience aval PANORAMA DE STRATGIES ET CARACTRISTIQUES DE RSILIENCE Il nexiste pas plus dentreprises parfaitement rsilientes que dentreprise rsilience nulle. Il nexiste pas non plus de systme de rsilience applicable tous les contextes. Mais si laffaire reste minemment individuelle, nous avons dgag quelques traits de caractre communs celles qui

illustrent le mieux la notion de rsilience. Voil ce que ces entreprises cherchent faire. Crer une culture : donner une me son entreprise Si lon pense aux entreprises, organisations et institutions les plus anciennes et les plus prennes13, elles ont souvent en commun une identit trs forte, des valeurs partages et un sens commun aux efforts collectifs. Il y a de la passion chez leurs membres ou collaborateurs. Lidentit cre le sentiment dappartenance. Les valeurs engendrent la fiert et la prennit de limplication individuelle. Le sens qua su donner le dirigeant aux efforts collectifs suscite ladhsion et lengagement, y compris et surtout dans les moments de tempte. Cest dailleurs souvent dans le creuset de ladversit que ces organisations trouvent leur trempe . Comme le rsumait Nietzsche : Qui possde son pourquoi de la vie peut saccommoder de presque tous les comment .14 Dcloisonner sa gestion des risques Le fondement dune rsilience efficace est un processus et une culture de gestion des risques tisss serrs dans la tapisserie dentreprise. On nvoque pas ici la pratique superficielle et dcorative que lon voit encore trop souvent, mais bien un outil de pilotage de lactivit. En particulier, lapproche de management des risques dont on parle : Place rsolument la responsabilit de la gestion des risques sur ceux qui pourraient en subir les consquences (en particulier, les directions mtier au service des clients) ; Ncessite une coordination centralise et au plus haut niveau pour assurer un arbitrage dans lintrt de tous et non dans celui du plus bruyant ; vite le pige dune approche dogmatique qui nen finit pas de produire des risques et plans, mais gre finalement mal les proccupations des clients ; Brise les baronnies de gestion des risques : si lon ne confie la responsabilit de la gestion des risques SI quau DSI, il aura tt fait de paralyser lactivit en visant la scurisation maximale de son primtre. Dpasser les stratgies de partenariats papier La logique de partenariats est avance par la plupart des entreprises comme une pierre angulaire de leur activit. Dans les faits cependant, rares sont celles qui dpassent le stade des formalits administratives. Dans une conomie en rseau, la vraie rsilience ncessite ltablissement de liens forts entre les partenaires, comme entre Nokia et Philips dans notre exemple initial. Ces liens de confiance vont comprendre : le partage dinformations sensibles ; la formation dquipes mixtes pour le dveloppement de processus ou la rsolution de problmes ; la mise en oeuvre commune de tests de rsilience ; le contrle fin des engagements rciproques ; le pilotage rgulier du partenariat au plus haut

niveau. lheure o la logique de rationalisation de ces relations partenariales, en particulier avec les fournisseurs, a rduit considrablement leur nombre, il est essentiel que ces liens soient volontairement forts et fonds sur des intrts communs. Fonder une organisation apprenante Une organisation apprenante a intgr dans ses pratiques la rsolution de problmes en groupe, la capitalisation du savoir et le transfert des connaissances. Elle est convaincue que lamlioration est possible tout le long de laxe chronologique de la rsilience : de la dtection et lanticipation en amont, jusqu la capacit de mobilisation et lesprit de collaboration en aval, elle sait quelle peut mieux faire et cherche faire mieux. La sagesse lui a montr que la capacit tirer les leons, tant des sinistres vcus que des situations o la catastrophe a t vite de peu15, tait un atout dont elle ne voulait pas se passer, pour alimenter la base des connaissances collective. Cette librairie de scnarios et de ractions (bonnes ou mauvaises) devient une mine dor le jour de la crise. Pour reprendre une ide chre T. S. Eliot, une entreprise apprenante , cest finalement celle qui russit passer de linformation la connaissance, et de la connaissance la sagesse16. Elle valorise lexprience. 8 LIVRE BLANC SUR LA RSILIENCE DES ORGANISATIONS 13. Religions, nations, entreprises pluricentenaires, etc. 14. F. Nietzsche in Le crpuscule des idoles Maximes et traits #12, traduction lib re 15. Les near miss chers aux Anglo-saxons 16. Where is the wisdom we have lost in knowledge? Where is the knowledge we hav e lost in information? (T. S. Eliot, The Rock) DVELOPPER SA RSILIENCE Viser lagilit et la ractivit Bien que visant renforcer la robustesse densemble, laccroissement de la rsilience ne peut plus se concevoir comme une bunkrisation de lentreprise : ctait une bonne stratgie pour lentreprise verticale, monolithique, centralise et relativement isole du vingtime sicle. Chercher faire de chaque noeud de cette entreprise en rseau un bastion fort ne suffit pas non plus, la menace se dplaant immanquablement vers le noeud le plus faible. Cest aujourdhui dans la recherche de lagilit, de la flexibilit, de la scurisation rpartie que se trouvent les cls de la rsilience de lentreprise en rseau, en intgrant lcosystme de cette entreprise ouverte tout vent dans la rflexion. Ce faisant, lentreprise rduit le risque dinterdpendance qui menace tous les acteurs dune conomie mondialise, en rseau, dpendant dinfrastructures largement mutualises. une seule couche de protection la priphrie de lentreprise, ft-elle trs paisse , les entreprises rsilientes prfrent une dfense plusieurs couches, mme plus minces, sur toute la profondeur de lentreprise17. Ce type de dfense permet de gagner du temps en cas dattaque.

Penser rsilience La logique actuelle invite chacun se prparer au pire. Les statistiques disponibles sur la sinistralit des entreprises nous montrent malheureusement que le pire sinscrit de plus en plus dans le quotidien. Sans entretenir un climat de catastrophisme, les organisations rsilientes maintiennent leurs membres dans un tat de prparation permanent et intgrent constamment la proccupation de rsilience dans leurs activits de planification. moindre cot, cela comprend la prise en compte du pire dans toutes les phases de planification stratgique et oprationnelle : les nouveaux processus sont conus pour tre rsilients, les nouvelles stratgies partenariales, commerciales ou de dveloppement intgrent cette proccupation. Cela passe galement, par exemple, par la tenue rgulire dexercices et de simulations, par la formation dquipes rompues grer problmes et incidents et par ltablissement de procdures durgence simples. Investir dans la redondance quand cest ncessaire Une bonne partie des gains de productivit de la fin du vingtime sicle parmi les entreprises industrielles a t obtenue la faveur de la mise en place de dmarche de lean management18. On a taill dans les stocks pour limiter les immobilisations de trsorerie, on a vis le juste temps pour minimiser les temps morts de loutil de production, on a connect les chanes logistiques en un assemblage trs serr : tout a t fait pour viter les redondances, avec parfois lexcs inverse davoir une mcanique tellement optimise quelle peut tousser au moindre coup de vent Utiliser la redondance, avec mesure, comme stratgie de rsilience reste nanmoins une faon simple et sre de faire face aux risques fort impact et faible probabilit. Cest particulirement vrai dans les situations o le cot li la redondance sefface devant les impacts redouts, comme dans le domaine du secours des systmes dinformation ou dans le cas dun stock tampon minime donnant de loxygne pour organiser une rponse un sinistre. tablir un systme de veille et avoir une bonne lecture des signaux faibles Quelques minutes davance sur une catastrophe peuvent faire la diffrence. La veille long terme qui permet de scruter lhorizon pour y dceler les signaux faibles permet les corrections de trajectoire pour viter les icebergs. Les systmes de surveillance permettent de remonter les alertes en temps rel. Deux pratiques intressantes en matire de surveillance et veille sont souligner ici : Le scnario planning , orient long-terme et popularis par Pierre Wack lorsquil tait la tte du groupe Shell la fin des annes 70 : il sagit dorganiser un groupe de rflexions sur les scnarios possibles pouvant affecter lorganisation en question et de prparer les stratgies de rponse idoines. Les stratges de Shell avaient ainsi envisag prcisment la crise ptrolire de 1973 ou la chute du communisme des annes avant leur survenue ;

Le war gaming , orient court-terme et raction de crise : consiste simuler la raction des situations durgence comme dans un cabinet de guerre. Trs utile pour former la gestion de crise et affiner les rponses durgence, ce sont des exercices rguliers. LIVRE BLANC SUR LA RSILIENCE DES ORGANISATIONS 9 17. Rfrence la stratgie militaire de dfense en profondeur 18. Technique de gestion oriente vers la rduction de toute forme de gaspillage (mo uvements et flux inutiles, stocks superflus, non-qualits, dlais dattente, etc.) 10 LIVRE BLANC SUR LA RSILIENCE DES ORGANISATIONS 19. L gypte Maintenant convaincus quaugmenter sa rsilience nest pas juste le dernier concept la mode, on peut se demander par o et comment attaquer la pyramide . Nous proposons de le faire en 4 phases comme dcrit ci-dessous et dans la Figure 4. Phase 1 : Dfinir les leviers et actifs de cration de valeur Il faut tout dabord dfinir les leviers et actifs de cration de valeur et comprendre lenvironnement tendu de lorganisation. Par exemple, une entreprise de certification se proccupera sans doute modrment dun retard dune journe dans la livraison dun rapport de certification alors quun scandale portant sur son image entacherait durablement sa position de tiers de confiance et la mettrait aux abois. Ailleurs, la disponibilit de loutil de production dun fournisseur automobile lui importera plus que son image vis-vis du grand public. Phase 2 : tablir le profil cible de rsilience de la pyramide Forts dune bonne comprhension des leviers de lentreprise pour la cration de valeur, on peut maintenant dfinir les profils cibles de rsilience pour chacun des six degrs de notre pyramide. Pour reprendre notre illustration, le niveau de rsilience recherch pour limage du tiers de confiance sera ainsi trs lev. Phase 3 : Analyser lcart entre le profil cible et le niveau rel de rsilience Sur la base des profils de rsilience tablis la phase prcdente, on examine la situation relle de chacun des six degrs de la pyramide de lorganisation et de son environnement19, les stratgies et caractristiques de rsilience (Cf. Figure 3) en place. On value lcart qui spare le profil cible de la ralit et les atouts de lorganisation. Par exemple, les questions suivantes peuvent tre poses : les infrastructures cls supportant la cration de valeur ontelles le niveau de rsilience dfini en phase 2 ? Lorganigramme reflte-til la distribution de pouvoir ncessaire pour assurer un fonctionnement

fluide dans les cas de perturbation envisags ? Les processus sur le chemin critique de la cration de valeur sont-ils mis en oeuvre pour faire face linterruption brutale dun prestataire essentiel ? Phase 4 : Dfinir la stratgie de rsilience La stratgie de rsilience est alors dfinie, pour combler les carts (issus de la phase 3) entre pratique et profil cible (dfini la phase 2). Dans cette phase, on recherchera en permanence lquilibre entre rsilience amont et aval. On veillera galement tenir soigneusement compte des problmatiques externes lorganisation, aux interfaces . 1 4 2 3 Diagnostic de rsilience Leviers de cration de valeur Profil de rsilience Stratgie de rsilience Analyse d carts FIGURE 4 : DIAGNOSTIC DE RSILIENCE La rsilience dhier ne fait pas celle daujourdhui Chaque organisation doit dfinir prcisment les lments essentiels de sa cration de valeur et les contraintes de lcosystme qui est le sien. PAR O COMMENCER ? La force insouponne qui rside collectivement dans les entreprises qui ont une me a pu surprendre plus dun observateur. Elle est la rsurgence collective de linstinct de survie individuel dans le contexte de lentreprise. Comme elle fait autant appel des qualits humaines de pugnacit et de dbrouillardise qu des capacits organisationnelles minutieuses, il faut du temps pour lacqurir. Il faut galement de l entranement pour la dvelopper et la maintenir dans lentreprise. Mais comment justifier les investissements supports par lentreprise pour accrotre sa rsilience ? Peu dentreprises simaginent prosprer pour avoir dpens de largent viter des pertes potentielles causes par des sinistres jamais survenus Dans la bataille que se livrent les organisations pour le contrle des marchs, et dans notre environnement conomique incertain, la capacit de survie, et plus encore, la confiance dans lassurance de la survie

devient nanmoins une arme redoutable. Quand cette assurance se double dune faible sensibilit aux perturbations et dune grande prvisibilit des rsultats financiers, la faveur des marchs financiers est acquise. Les marchs rcompensent la confiance quils peuvent placer dans les entreprises qui leur donnent de la prvisibilit sur leurs rsultats, en leur accordant des conditions favorables daccs aux capitaux. Ceux dont les rsultats entrent dans un schma prvisible ont ainsi une longueur davance sur leurs concurrents. La rsilience est, ds lors, un levier conomique efficace et un avantage concurrentiel important ; accrotre sa rsilience, cest accrotre la valeur de lentreprise. La rapidit de reprise de lactivit est fonction de la rsilience de lentreprise, tandis que le dlai de grce dont elle dispose est fonction de sa position sur le march20 et de la voracit des suivants dans la ligne de succession. Les dcideurs tentent de trouver le point de jonction de ces deux courbes en cherchant limpossible quilibre entre moyens dassurer la prennit et risque de disparatre. Les rgles dengagement de la guerre conomique changent, les rponses doivent en tenir compte. Pour avoir ignor ce fait, notre hros du dbut, Nokia, a perdu son hgmonie sur le march des tlphones portables21 lors dune bataille ultrieure et pourrait tre le malheureux de la fin en raison de ses choix stratgiques rcents. La rsilience dhier ne fait pas celle daujourdhui 1. Ma comprhension des activits sur le chemin critique de la cration de valeur de mon entreprise est-elle fonde sur une analyse pousse, rationnelle et valide ? 2. Ai-je identifi les points de fragilit de la stratgie de mon entreprise ? 3. Mes activits de planification (oprations, volutions, excution) incluent-elles une proccupation constante pour la rsilience densemble ? 4. Mes relations partenariales (fournisseurs en particulier) peuvent-elles rsister de svres secousses ? Le feraient-elles au dtriment de mon activit ? 5. Ma gestion des risques mapporte-t-elle lassurance de la prservation de lintrt de lentreprise ? 6. Ai-je intgr le management des risques comme un de mes principaux outils de manager ? 7. Ma recherche de rsilience privilgie-t-elle lamont plutt que laval ? Le contraire ? 8. Puis-je mappuyer sur une culture et une identit forte au sein de mon entreprise ? Sinon que dois-je faire pour y remdier ? 9. Mes systmes de veille et surveillance me permettent-ils de distinguer la fois les signaux forts et les signaux faibles ? 10. Comment est-ce que je massure de lalignement permanent entre stratgies, allocation

de ressources et excution, du point de vue de la rsilience ? LIVRE BLANC SUR LA RSILIENCE DES ORGANISATIONS 11 20. Daprs Y. Sheffi in The resilient entreprise (MIT Press, 2007) 21. En particulier face lirrsistible monte dApple et des alliances qui nont pas enco e fait leurs preuves (avec Microsoft en particulier) CONCLUSION QUESTIONS POUR UN PATRON Matthieu BENNASAR dirige le Ple Conseil de LEXSI Rgions et le Ple de Comptences Rsili ence & Continuit dActivit de LEXSI. Consultant expert depuis 13 ans, il est lauteur de deux ouvrages de rfrence : Plan de Continuit dActivit et Systme dInformation , et Manager la Scurit du SI tous deu hez Dunod. Il est membre du Business Continuity Institute (MBCI) et certifi CISM. Rgis VUITTON est consultant en scurit de linformation et en continuit dactivits chez xsi aprs plusieurs annes en tant que RSSI adjoint au sein dune grande entreprise du secteur de lnergie. Il est membre du Ple de Comptences Rsilience & Continuit dActivit de LEXSI et a men des missions en continuit ctivit, secours informatique et analyse de dfaillances dans tous les secteurs dactivit. Matthieu BENNASAR +33 (0)6 13 33 19 01 Mbennasar@lexsi.com LES AUTEURS Axant sa stratgie sur linnovation depuis 1999, le groupe LEXSI est aujourdhui le pr emier cabinet indpendant en scurit de linformation et en gestion des risques. Sa singularit rside dans une allian ce unique de technologies, de mthodes et de talents, pour protger les intrts de ses clients. Le groupe LEXSI es t actif linternational travers ses filiales de Montral et Singapour. Il a pour mission daider les entrepr ises renforcer leur scurit et grer leurs risques, travers 4 grands mtiers : Cybercrime : Veille technologique & lutte contre la fraude Conseil : Conseil en scurit de linformation et gestion des risques Audit : Audit des systmes dinformation Universit LEXSI : Formation LEXSI dispose dun ple de comptence Rsilience & Continuit dActivit de 20 consultants tifis (MBCI, CBCP, E=MCA) prsents Paris et Lyon. Il compte plus dune centaine de missions et de projets dans tous les secteurs dactivit, du diagnostic de rsilience au test de bout en bout du PCA. QUELQUES MOTS SUR LE GROUPE LEXSI www.lexsi.com www.lexsi.com SIEGE SOCIAL : Tours Mercuriales Ponant 40 rue Jean Jaurs 93170 Bagnolet TL. (+33) 01 55 86 88 88 FAX. (+33) 01 55 86 88 89 LIVRE BLANC SUR LA RSILIENCE DES ORGANISATIONS / PAR MATTHIEU BENNASAR ET RGIS VUI TTON