La cellule de crise aka Les pompiers du Web en pleine action

Votre société a-t-elle une cellule de crise informatique ?

Si vous travaillez dans une entreprise de moins d’une centaine de personnes, il y a de grandes chances que la réponse soit non. Pourtant, la cellule de crise informatique est comme la garantie bris et vol de votre téléphone portable : elle ne sert à rien jusqu’au jour où le mec qui vient de vous arracher votre téléphone portable l’envoie s’exploser 3 mètres plus bas sur les rails du RER.

Une cellule de crise informatique, c’est quoi ?

C’est une liste de personnes à contacter en cas de crise majeure liée aux systèmes d’information. Citons de manière non exhaustive la perte des données de vos clients parce que les backups étaient corrompus, une intrusion sur votre plate-forme, une plate-forme clients dans les choux parce que la femme de ménage a débranché le routeur de votre coeur de réseau pour y mettre son aspirateur…

Le contenu de la cellule de crise doit être publique, facilement trouvable, et connue de tous ceux qui en font partie ou qui sont susceptibles de l’activer : opérations, support…

Nos cousins anglo-saxons ont une dénomination beaucoup plus parlante : Computer Emergency Response Team. Le but d’une cellule de crise informatique est résoudre une situation de cris. Elle est là pour agir, communiquer et coordonner :

  • Agir pour résoudre la crise.
  • Communiquer l’état de la crise aux personnes et aux organismes concernés (les clients qui hurlent parce que leur site e-commerce est en rade le premier matin des soldes à 7h).
  • Coordonner l’action des différentes parties en présence.

La cellule de crise s’active dès la première alerte, et disparait une fois la crise résolue, jusqu’à la fois suivante.

Qui doit en faire partie ?

Le moins de gens possibles !

Pour un fonctionnement optimal, la cellule de crise ne doit contenir que les éléments indispensables. Ce n’est pas une armée mexicaine, il est donc inutile d’y ajouter tout le top management de la société pour ne pas froisser les egos. Elle doit contenir les personnes susceptibles d’agir en cas de crise majeure liée aux systèmes d’informations, et uniquement eux.

De manière non exhaustive, il faut à minima les rôles suivants.

Le gestionnaire de crise. C’est le rôle le plus important. Il est chargé de coordonner les différents intervenants, de suivre l’évolution des événements, et de les communiquer aux personnes concernées. Il est en première ligne avec les clients et les prestataires, il faut donc quelqu’un avec les épaules solides et une certaine expérience. Dans une entreprise de taille réduite, cela peut être le directeur technique ou même le directeur général de la société.

Le responsable de la sécurité des systèmes d’informations (RSSI), pour toutes les crises liées à la sécurité. À défaut ce sera, l’administrateur systèmes, un ingénieur câblé en sécurité, ou, une fois encore, le directeur technique.

Le responsable de l’ingénierie, pour tout ce qui concerne les modifications à apporter d’urgence à un site ou une application. Il coordonnera la bonne livraison des correctifs (et pourra éventuellement les faire lui-même).

Le responsable de l’infrastructure, ou l’administrateur systèmes. Si votre plate-forme est dans les choux, il y a des chances pour qu’il en soit le premier averti, et le dernier à pouvoir agir.

Quelqu’un du département juridique, ou à défaut le big boss. Si les données de vos clients commencent à se balader sur Internet, il sera particulièrement sollicité. De toutes manières, dans une PME ou PMI, il est vaut mieux tenir le directeur général au courant de l’évolution des événements, c’est bien souvent lui qui devra gérer les gros clients.

Mais c’est pas un peu overkill pour ma startup ?

Non.

L’important c’est que cette cellule existe et soit définie, même dans une société de 10 personnes :

  • Les personnes susceptibles de l’activer savent à quel saint se vouer en cas de crise.
  • Dans le B2B ou en cas d’audit, son existence va rassurer auditeurs et clients, simplement parce que la gestion de crise a été pensée.

Le cumul des mandats est par ailleurs tout à fait autorisé. Il y a des chances pour que le CEO soit également chargé de la coordination de la crise, ou que le CTO soit également chargé de la sécurité, des serveurs, et de patcher l’application. Ce n’est pas bien grave : le principal, c’est que cette cellule existe et que ceux qui sont appelés à l’activer soient au courant.

Perry the Platypus wants you to subscribe now! Even if you don't visit my site on a regular basis, you can get the latest posts delivered to you for free via Email: