« En montagne, il n’existe pas de crise si on s’est préparé correctement. »
La majorité des randonneurs connaît une trajectoire classique. Elle débute par des sentiers balisés, des circuits maîtrisés, des conditions météo prévisibles. Progressivement, le goût de l’aventure s’aiguise. On quitte les sentiers battus, on s’engage en hors-pistes, on accepte la neige, le brouillard épais, la nuit qui transforme le paysage en mystère. À ce moment du voyage, une certitude devient absolue : la préparation n’est pas un luxe, c’est une question de survie. Or, ce que découvrent les randonneurs qui persistent dans cette discipline, c’est que l’accumulation de petits risques – ceux qu’on peut désamorcer avant qu’ils ne deviennent problématiques – n’est jamais le vrai drame. Le vrai drame, c’est celui qui arrive à quelqu’un qui n’a pas prévu toutes les situations. Et la majorité des organisations d’aujourd’hui randonnent en terrain difficile sans vraiment le savoir. Elles ont oublié ce que la montagne enseigne : on n’improvise pas face à la l’imprévu.
« L’équipement n’est pas un fardeau : c’est le prix de la liberté. »
Un randonneur qui s’engage sur les crêtes en pleine tempête porte sur le dos un sac minutieusement pensé. Chaque objet y a trouvé sa place, réfléchie et justifiée. Corde, couverture de survie, lampe frontale, trousse de premiers secours, veste de pluie: ce poids total, qui fait parfois fléchir les genoux lors des premières montées, n’est jamais vécu comme une punition. Il est ressenti pour ce qu’il est vraiment : la condition de la tranquillité. Avec cet équipement, on peut affronter le mauvais temps, l’égarement temporaire, la cheville tordue. On ne tombe jamais, à proprement parler, en situation de crise, parce qu’on a anticipé les points de rupture.
En entreprise, on tend à réduire la préparation à une forme d’encombrement administratif. La documentation de crise, les procédures de gestion d’incidents, les plans de continuité, les checklists, les annuaires d’escalade : tout cela apparaît comme du poids inutile, une sorte de ballast bureaucratique où se perdrait la fluidité. Les organisations modernes ont massivement investi dans la dématérialisation, la volatilité, l’absence de friction.
Voilà où réside l’incompréhension de bien des DSI et des directions générales face à la nécessité de maintenir, en parallèle de ce monde dématérialisé, une forme de documentation papier, d’annuaires physiques, de procédures inscrites sur des supports stables. « Pourquoi revenir au papier ? » demandent-ils. « N’est-ce pas une régression ? » La réponse réside dans la montagne. Un GPS, même sur smartphone, offre une précision incomparable. Il permet de voir la géographie dans une richesse et un détail dont la carte papier d’antan était incapable. Un GPS vous permet d’aller bien plus loin. Mais un smartphone peut tomber en panne. La batterie se décharge. Le signal peut s’estomper quand sous les arbres ou dans les crevasses. Et si vous n’avez que le GPS, si vous avez oublié la carte et la boussole, c’est le moment où vous n’avancez plus : vous vous perdez.
« En crise, les certitudes dématérialisées deviennent des mirages. »
Cette coexistence d’outils n’est pas une contradiction : c’est une complémentarité. Quand j’active mon GPS de randonnée, j’enclenche la précision maximale. Mais dans mon sac je porte aussi une carte papier de la région, une boussole, une lampe frontale. C’est une redondance assumée. Elle ralentit légèrement la marche au départ, elle pèse quelques grammes supplémentaires, mais elle crée un filet de sécurité absolu. Si la technologie défaille, je ne suis pas bloqué. Je vais plus lentement, certes, mais je continue à avancer, et ce qui compte dans une tempête, c’est justement de continuer.
Pour les organisations, cette logique s’étend à chaque dimension de la préparation à la crise. Le smartphone – la technologie disruptive – offre une information fabuleuse : des systèmes de monitoring en temps réel, des alertes sur les incidents naissants, une connectivité mondiale qui permet de coordonner une réaction globale. C’est extraordinaire, et je ne suggère pas un instant l’abandon de ces capacités. Mais quand la crise cyber touche les systèmes d’information eux-mêmes, voilà que le smartphone ne reçoit plus rien. Le réseau est engorgé, non pas par le hasard, mais parce que la cyberattaque a rendu une partie du SI inopérante. À cet instant, le papier redevient une ressource vitale. L’annuaire physique, imprimé, reposant dans le tiroir du directeur de crise : ce document suranné devient le lien qui réunit les équipes. Ceux qui ont critiqué cette « régression » découvrent, en pleine tension, combien l’approche est profonde : il ne s’agissait jamais d’une régression, mais d’un pragmatisme.
« L’anticipation des points de rupture est l’art de la préparation effective. »
La conception d’un sac de randonnée en terrain difficile procède de la même logique. On ne s’interroge pas sur la probabilité théorique d’une entorse à la cheville ou d’une chute. On accepte que ces événements puissent survenir. On s’interroge plutôt : « Si cela arrive, ai-je ce qu’il faut pour continuer, voire revenir en arrière ? » Cette question – pragmatique, froide, sans illusion – structure tout l’équipement. La corde n’est pas là parce qu’une chute est certaine : elle est là parce qu’elle est possible, et que si elle advient, la corde fait la différence entre « j’ai un passage difficile » et « je suis bloqué». De même, la trousse de premiers secours, la lampe frontale, les vêtements supplémentaires pour la pluie: tous ces éléments répondent à une question : « Et si ? »
En entreprise, la préparation à la crise cyber procède d’exactement la même démarche. On élabore une stratégie d’exercices pluriannuels en acceptant qu’une cyberattaque peut survenir. On construit des procédures d’escalade, on clarifie les rôles, on documente les processus de décision. Ce n’est pas parce que la crise est inévitable, mais parce qu’elle est possible. Et que, si elle advient, les organisations qui se sont préparées par des exercices réguliers, par une mise à l’épreuve progressive de leurs dispositifs, découvrent qu’elles ne « tombent jamais » dans la crise – elles la traversent. Les équipes ont des réflexes, elles savent qui appeler, elles connaissent le langage commun entre l’expertise technique et la direction générale, elles maîtrisent les escalades de communication, elles ont étudié les scénarios d’atteinte complète à la messagerie ou à l’Active Directory. C’est précisément ce qui distingue une organisation entraînée d’une organisation surprise.
« La documentation n’est pas la mort de la flexibilité : c’est sa fondation. »
En randonnée, le tracé, l’heure cible d’arrivée, les points de repère majeurs – n’est jamais gravé dans le marbre. Il repose sur une documentation solide, certes, mais c’est justement parce qu’on a une fondation claire que la flexibilité existe. Je peux dévier de la route prévue parce que je sais où je suis et où je dois être. Je peux raccourcir ma journée si les conditions se dégradent parce que j’ai des itinéraires de secours. Cette souplesse n’existe que si la préparation est solide. Un randonneur sans référence, sans documentation, est un randonneur immobilisé quand les conditions deviennent complexes.
C’est pareil pour la continuité d’activité en entreprise. Les plans PCA et PRA incarnent précisément le cadre qui permet l’adaptabilité réelle. Quand une organisation connaît ses processus métier critiques, les points de rupture dans sa chaîne de valeur, les dépendances entre ses systèmes et ses prestataires, elle a une cohérence de base. À partir de là, elle peut improviser intelligemment. Elle peut décider de réduire temporairement son service offert, parce qu’elle a identifié les points irréconciliables pour le client. Elle peut basculer sur ses modes dégradés sans créer de chaos organisationnel, parce qu’elle a déjà cartographié ces modes. Elle peut coordonner une réaction parallèle via plusieurs canaux de communication, parce qu’elle a anticipé l’indisponibilité du canal principal.
Cette capacité adaptative naît uniquement de la préparation antérieure, et plus précisément de la mise à l’épreuve régulière de cette préparation. Un exercice de crise bien conçu n’est donc jamais un test sanction : c’est un laboratoire où l’on découvre ce qui fonctionne réellement. On teste l’annuaire de crise et on découvre que deux numéros sont obsolètes. On simule l’indisponibilité du directeur IT et on réalise que personne ne sait qui prend les décisions en son absence. On joue la crise hybride, l’attaque simultanée à l’indisponibilité d’une ressource clé, et on détecte que le délai d’escalade est trop lent. Ces découvertes ne sont jamais confortables. Elles ne sont jamais gratifiantes pour les egos managériaux. Mais elles sont infiniment précieuses.
« La montagne enseigne l’humilité avant que la montagne ne l’impose. »
Voilà ce que les conditions météo difficiles apprennent aux randonneurs : l’humilité. On n’affronte pas une tempête de neige parce qu’on est téméraire. On l’affronte parce qu’on a accepté sa possibilité, on l’a évité jusqu’au bout et qu’on s’y est préparé. Et cette préparation, justement, fait que la neige n’est jamais vécu comme une catastrophe. C’est un événement prévu, pour lequel on possède les outils, où les gestes sont mécanisés parce qu’on les a répétés. Il y a une sérénité dans cette confrontation, une absence de panique, parce que rien n’advient de manière inattendue. Les difficultés sont attendues. La procédure existe.
Les organisations qui ont mené des exercices de crise réguliers, sur plusieurs années, accèdent à cette sérénité. Quand une attaque arrive vraiment, les équipes ne sont pas paralysées par le doute existentiel. Elles ne se posent pas des questions fondamentales : « Qui décide ? Comment escalade-t-on ? Qui appelle qui ? » Elles exécutent des procédures qu’elles ont vécues, testées, améliorées au fil des exercices. L’incertitude demeure, bien sûr – on ne saura jamais d’avance l’étendue exacte de l’attaque ou le temps qu’il faudra pour restaurer les systèmes – mais l’incertitude organisationnelle s’efface. On sait comment réagir. On sait où se placer. On sait qui appeler.
« Les vraies zones d’amélioration ne se révèlent que dans l’épreuve. »
Un exercice de crise bien conçu fonctionne exactement comme une sortie en terrain difficile. Elle révèle les faiblesses de l’équipe et de l’équipement. Un groupe de randonneurs inexpérimenté s’engage sur un col enneigé sans équipement, sans certitude sur leur équilibre, sans réflexe coordonné. Le groupe en difficulté, le doute s’installe, l’accident devient probable. Un groupe entraîné, équipé, ayant répété les gestes cent fois, emprunte le même passage avec une quasi-sérénité. La différence réside intégralement dans la préparation antérieure.
En entreprise, la phase de retour d’expérience – le RetEx – qui suit un exercice de crise incarne exactement ce moment de diagnostic. On revisualise ce qui s’est bien passé, ce qui s’est moins bien passé. On identifie où les procédures ont pêché, où la communication a souffert, où les décideurs n’avaient pas l’information, où les équipes terrain n’avaient pas reçu les consignes. On détecte que le plan PCA ne couvre qu’à 70% la réalité opérationnelle. On découvre que la continuité d’activité repose sur une dépendance à un prestataire jamais contractualisée formellement. On réalise que l’escalade vers l’ANSSI ou l’assurance n’a pas de procédure claire.
Ces découvertes, douloureuses en apparence, constituent précisément l’apport fondamental de l’exercice. Elles ne se manifesteraient jamais dans la documentation théorique. Elles émergent uniquement quand on soumet l’organisation à une situation contrôlée mais réaliste. C’est le laboratoire qui révèle la chimie réelle. Et c’est sur la base de ce diagnostic objectif que le plan d’action se construit : corriger la documentation, clarifier les responsabilités, améliorer l’outillage, renforcer la formation des équipes impliquées.
« Le sac préparé aujourd’hui détermine la sérénité de demain. »
Quand je prépare mon sac pour une randonnée en conditions difficiles, je prends soin de chaque détail. Je ne stocke rien qui soit inutile – la redondance existe pour une raison, pas pour du confort. Mais j’en emporte assez pour ne jamais être surpris par un changement brutal du contexte. Quand la tempête arrive, je sais que j’ai ce qu’il faut. Je peux donc me concentrer sur la progression, sur la navigation, sur la coordination du groupe. Je ne suis pas distrait par la peur ou la sensation d’improvisation.
C’est exactement la promesse d’une préparation structurée à la gestion de crise en entreprise. On ne peut pas éradiquer le risque cyber. Les attaques continueront à survenir, les vulnérabilités demeurent, la persévérance des attaquants rendront obsolètes les défenses d’aujourd’hui. Mais on peut transformer la réaction de l’organisation. Au lieu d’une réaction chaotique, improvisée, on crée une réaction calibrée, coordonnée, professionnalisée. La documentation en place, les procédures testées, les équipes entraînées, les points d’escalade clairement formalisés : ce « sac bien préparé » n’élimine jamais la crise, mais il la transforme d’une catastrophe panique en une situation maîtrisée, traversable.
En fin de compte, il n’existe qu’une seule grande différence entre le randonneur qui se perd à chaque sortie, revient trempé, de nuit et celui qui va toujours plus loin, plus haut: ce n’est ni la chance ni le talent. C’est qu’un jour, il a décidé d’apprendre, de tester, d’améliorer. Il a rempli son sac intentionnellement. Il a pratiqué les gestes jusqu’à ce qu’ils deviennent des réflexes. Et quand les conditions changent, il ne s’écroule pas. Il adapte. C’est ce qu’une véritable préparation à la gestion de crise promet : transformer l’organisation en expert, capable d’avancer quel que soit le temps tout en gardant le moral.
