L’entreprise en confinement repose sur son Système d’Information

Version mise à jour le mardi 17 mars à 10h23

Comment assurer la continuité de l’activité de l’entreprise ?
Les DSI de transition Infortive vous livrent 10 recommandations opérationnelles.


Sommaire

Introduction

  1. Gardez la DSI alignée sur la Direction Générale
  2. Préparez la DSI aux changements de priorités de l’entreprise
  3. Préservez les ressources de la DSI afin qu’elle puisse assurer ses missions
  4. Organisez la rotation des équipes à la DSI
  5. Dépriorisez tous les projets SI à moyen ou long terme pendant la crise
  6. Mettez à disposition des outils collaboratifs pour travailler sans se voir
  7. Renforcez le support à vos collaborateurs
  8. Soyez agile et restez à l’écoute des changements potentiels de la Direction
  9. Communiquez en interne en coordination avec les Métiers et la Direction
  10. Préparez le retour à la normale

Les auteurs


Introduction

Une épidémie inédite est en cours dans le pays. Le Président de la République dans son intervention du 12 mars et le Premier ministre dans celle du du 14 mars ont insisté sur la mise en place de mesures barrières visant à rendre cette épidémie gérable. Mettre de la distance sociale dans l’entreprise, c’est dépendre du rôle de la DSI à interconnecter les collaborateurs et les équipes de Direction.

Il est impérieux pour l’entreprise de transformer son format et son organisation dans l’objectif de maintenir l’activité. Le rôle de la DSI est de mettre en place les mesures nécessaires, conformément aux nouveaux objectifs définis par la Direction Générale. Cette transformation doit se faire avec succès, dans un délai record.

Il apparaît donc central que les meilleures pratiques, déjà identifiées lors d’autres crises ou dans les pays où la pandémie est plus avancée qu’en France, circulent et soient partagées par le plus grand nombre des DSI de façon à optimiser la performance générale de l’économie tout entière.

Maitrisedescrises.com, service d’analyse et recommandations, intervenant majeur sur l’accompagnement des entreprises en matière de risque systémique, et la Communauté des DSI de transition Infortive (entraînés aux situations d’urgence) vous proposent un livre blanc des bonnes pratiques qui doivent se mettre en œuvre immédiatement.


1) Gardez la DSI alignée sur la Direction Générale

Demander à participer aux Cellules de Crise de la société

Les entreprises ont mis en place, le plus souvent au niveau des Comités de Direction, une cellule de crise visant à adapter le format de l’entreprise aux différentes contraintes liées à l’épidémie de coronavirus. Ces cellules de crise sont composées des différents Directeurs Métier, ressources humaines, Systèmes d’Information, communication, logistique, et bien entendu des responsables plans de continuité d’activité et de gestion de crise. Dans cette crise particulière, l’entreprise change de format (absentéisme, télétravail …). Par conséquent, la Direction des Systèmes d’Information doit modifier l’infrastructure et les différents dispositifs en place pour s’adapter à ce format qui va évoluer avec le temps, pendant un trimestre vraisemblablement. La question n’est pas de mettre en place une stratégie visant à maintenir le niveau de performance du Système d’Information au nominal, mais au contraire de le changer dynamiquement pour coller aux besoins d’une entreprise en crise.

Pour adresser la faisabilité des décisions de priorisation

La Direction Générale risque de prendre chaque jour de nouvelles mesures d’adaptation visant à faire correspondre la production et l’organisation de l’entreprise aux besoins d’un contexte qui évolue. Les priorités sont bousculées, les projets à long terme reportés. Les priorités de l’entreprise d’aujourd’hui, alors que la crise a déjà commencé ne seront pas les priorités de cette dernière dans trois ou quatre semaines à venir car l’évolution de l’épidémie va imposer un rythme d’adaptation dynamique très important. Dans ce contexte, la Direction des Systèmes d’Information devra s’adapter sous contrainte des faisabilités techniques et humaines.

Pour pouvoir anticiper les décisions de chômage technique et identifier les activités prioritaires

Les différents experts et épidémiologistes anticipent une évolution de la crise coronavirus en France pouvant conduire à environ 15 % à 30 % de la population française touchée par le virus. Si une très large majorité de ces personnes en âge de travailler contracteront une forme bénigne de la maladie, il reste qu’un très grand nombre d’entre eux seront absents, quelques semaines. Il convient donc d’anticiper un absentéisme général dans l’entreprise, y compris au niveau de la Direction Générale, de la DSI, des hommes clés de la DSI, et de l’ensemble des collaborateurs qui suivra ce rythme. Il sera donc indispensable d’adapter la stratégie de la Direction des Systèmes d’Information, pour suivre une inévitable baisse de régime de l’ensemble des activités de l’entreprise. Il faudra également tenir compte du besoin de doublonnage des fonctions-clés en anticipant sur un absentéisme très élevé des hommes clés de la DSI (infrastructure, sécurité, expert applicatif, etc).


2) Préparez la DSI aux changements de priorités de l’entreprise

Pour supporter les nouvelles méthodes de travail

La cellule de crise de l’entreprise va être amenée à prendre des décisions pour exécution immédiate plusieurs fois pendant la période de crise qui s’ouvre, et peut-être même de manière contradictoire. La DSI devra s’adapter, arrêter certaines activités, en renforcer d’autres, tout en assurant la cybersécurité, beaucoup plus rapidement qu’en temps normal. Les méthodes de travail de la DSI doivent donc s’adapter à ce nouveau contexte, l’informatique ne doit pas suivre avec retard les décisions de la Direction Générale mais les accompagner en temps réel.

Pour superviser les infrastructures (cyberattaques, surcharges réseau, besoins VPN) en alignement avec les activités prioritaires

L’infrastructure physique, logique et applicative doit fonctionner pendant cette période de manière irréprochable. En aucun cas, l’informatique ne peut être la cause d’une contre-performance de l’entreprise en situation de pandémie, fût-elle exceptionnelle et difficile. Le maintien en condition opérationnelle des infrastructures est nécessaire et supposera parfois : un report du trafic Lan vers Wan et un alignement sur les priorités de l’entreprise qui seront amenées à être revues.


3) Préservez les ressources de la DSI afin qu’elle puisse assurer ses missions

Faire un recensement des contraintes personnelles des ressources de la DSI (enfants, santé, mobilité…)

Mécaniquement, l’épidémie de coronavirus va toucher les effectifs de la Direction des Systèmes d’Information comme le reste de la population. Il faut donc anticiper un absentéisme, sans doute temporaire mais élevé des effectifs DSI, à hauteur d’un quart à la moitié des effectifs, pour une période de plusieurs semaines, d’ici l’été. Il n’est pas envisageable dans ce contexte, de laisser toutes les compétences dans une seule tête, tous les privilèges dans une seule compétence. Les fonctions-clés doivent donc être convenablement doublées en fonction de ces éléments, des contraintes liées aux obligations familiales, de mobilité, etc.

Affecter les nouvelles missions en fonction des contraintes personnelles

L’absentéisme des effectifs de la DSI peut donc être en partie anticipé, en fonction des contraintes personnelles, éloignements, difficultés de transport. Il sera souvent possible de télétravailler en fonction des différentes contraintes personnelles mais nécessaire de maintenir un niveau de sécurité des Systèmes d’Information élevée pour les personnels à fort privilège.


4) Organisez la rotation des équipes à la DSI

Se préparer à voir 50% de ses équipes indisponibles pendant 2 semaines d’ici à mi-mai

Les scientifiques sont formels, l’épidémie va toucher une très large part de la population, le plus souvent (et en l’état des connaissances médicales) de manière bénigne pour les personnes en bonne santé et jeunes, mais risque de provoquer un absentéisme non souhaité très élevé de quelques semaines sur la moitié des effectifs de l’entreprise, donc de la DSI. Cet enjeu doit amener les entreprises à réfléchir à une rotation des personnels, de sorte qu’aucune contamination d’une fonction critique ne puisse survenir au même moment. En d’autres termes, il convient donc de séparer les équipes critiques disposant des mêmes comptes compétences, pour prévenir tous risques de blocage. La période la plus critique s’ouvre de mi-mars à mai/juin environ.

S’assurer que les informations clés (documentation, mots de passe admin, gestions des droits d’accès…) soient accessibles et partagées

Au sein de la DSI, la documentation, certains mots de passe administrateur, les systèmes de gestion des droits d’accès devront donc être accessibles par des personnels en rotation, partagée de façon sécurisée et accessibles à distance. Ces dispositifs, reposent sur des technologies existantes et éprouvées, doivent donc être implémentés très rapidement afin de limiter le risque.

Ne pas être bloqué par des carences de compétences sur les activités prioritaires

Durant la période de la crise, la Direction des Systèmes d’Information pourrait être amenée à subir une carence grave de compétences en particulier si des incidents surviennent en parallèle, en particulier une cyber-attaque. Une marge de sécurité significative sur ses questions clés doit donc être conservée en particulier sur l’excellence opérationnelle, la cybersécurité, la réponse à incident majeur, d’une cyber-attaque, et d’une indisponibilité de compétences.

Organiser des astreintes pour supporter les fonctions vitales en mixant les présences physiques et le télétravail

Le modèle sans doute le plus efficace repose sur un mix équilibré pour les personnels non soumis à des contraintes de transport et le travail à distance, sur des critères de contraintes familiales, d’exposition aux risques, d’âge, et de doublement des compétences.


5) Dépriorisez tous les projets SI à moyen ou long terme pendant la crise

Réaffecter temporairement les ressources des projets non prioritaires aux actions urgentes (support…)

Dans un contexte de ré-arbitrage général des priorités effectué en Direction Générale et couvrant l’ensemble des domaines de l’entreprise, les services devront réaffecter les ressources, et notamment suspendre les projets non prioritaires concernant le développement et la vision stratégique à moyen et long terme, en redéployant les ressources aux actions urgentes : la résolution d’incident et la maintenance critique, la cybersécurité, le support aux utilisateurs de premier et deuxième niveau.

Ne faire que les maintenances urgentes, les dépannages et la sécurité

Ces priorités peuvent être arbitrées en début de crise, c’est-à-dire immédiatement, et pourvues de compétences suffisantes, en anticipant un absentéisme lié à la propagation de la maladie dans les trois mois prochains. Dans ce contexte, seules les maintenances urgentes, les interventions de sécurité, les mises à niveau, et les opérations de supervision critiques ne devront pas être interrompues.

Geler toutes les évolutions applicatives et techniques : se concentrer sur le support et les correctifs urgents à court terme

Dans ce contexte, les évolutions applicatives et techniques non prioritaires peuvent donc être suspendues, tous les éléments de confort attendus en temps normal par les utilisateurs seront reportés. D’une manière générale, dans ce type de contexte, une certaine proportion d’inconfort est acceptée voir attendue par les utilisateurs. En revanche, bien entendu, les correctifs urgents doivent être appliqués, et faire l’objet d’une mise en œuvre sécurisée à court terme.


6) Mettez à disposition des outils collaboratifs pour travailler sans se voir

Les outils collaboratifs et la visioconférence vont remplacer la machine à café pour régler les problèmes

Le numérique permet de concevoir, développer, déployer et maintenir très rapidement de nouvelles fonctions. Les outils collaboratifs et la visioconférence doivent donc être déployés sans délai visant afin de se substituer aux lieux où les problèmes se règlent parfois de façon informelle. La DSI doit proposer des outils simples, acceptés par tous, ergonomiques, fonctionnels, visant à remplacer « la machine à café ».

La DSI doit rapidement proposer des solutions et éviter que tout le monde choisisse la sienne

L’ensemble des collaborateurs de l’entreprise, dont la culture numérique est variable et parfois élevée, n’attendront pas que la DSI prenne son temps pour déployer des outils collaboratifs. Il existe un risque de généralisation d’outils individuels externes, non sécurisés, qui ne manqueront pas d’apparaître dès les premiers jours. La DSI doit fermement, concevoir et déployer des solutions homogènes et sécurisées visant à apporter les fonctionnalités et la souplesse attendue. Ceci doit s’opérer sans compromettre la sécurité des Systèmes d’Information, en termes de confidentialité et de conformité. On rappellera ici que, même en temps de pandémie, le règlement général sur la protection des données -RGPD- s’applique, même à « la maison ».

Les solutions doivent être proches des habitudes pour faciliter leur adoption

Dans l’urgence, on privilégiera des outils simples dont les utilisateurs ont l’habitude, en évitant l’introduction révolutionnaire d’une application inconnue de tous. En gestion de crise la simplicité garantit le succès.

Adapter, en collaboration avec les métiers, les niveaux de sécurité requis

Dans la grande majorité des cas, l’entreprise dispose d’une politique de sécurité des Systèmes d’Information -PSSI- qui définit les standards de sécurité applicables partout. En situation de crise, il n’est pas rare de déroger à certaines dispositions de la PSSI (maintien de la documentation, duplication des connaissances, séparation des pouvoirs, etc.). Il conviendra de discriminer dans la PSSI ce qui est négociable et qui peut faire l’objet de dérogations temporaires. Ces dérogations doivent permettre d’agir au moment où les situations les plus tendues se présenteront et inversement, de maintenir les mesures et dispositions obligatoires en toutes circonstances. La vigilance concernant la sécurité doit rester entière car les collaborateurs sont plus vulnérables en période troublée. Cet arbitrage gagnera à être réalisé en amont, donc dès maintenant.


7) Renforcez le support à vos collaborateurs

Permettre la modification rapide mais contrôlée des droits d’accès

Dans un contexte où l’absentéisme des informaticiens et des utilisateurs deviendra élevé, les profils de droits et les privilèges particuliers devront être modifiés très fréquemment (autorisation en lecture, contrôle d’accès, remplacement de personnel, délégation de droit). Cette modification de droits doit, dans tous les cas, s’opérer de manière sécurisée mais très rapidement de façon à permettre l’exécution des tâches dans un contexte où plus personne ne supporte d’attendre. La sensibilisation et la formation à la sécurité doivent être renforcées en parallèle.

Mettre en place des circuits de contrôle et de validation des demandes, ne chercher à satisfaire que les changements prioritaires

Chaque demande de modification d’autorisation importante doit faire l’objet d’un circuit de validation, en arbitrant en priorité les changements concernant les fonctions-clés de l’entreprise déterminés par la Direction Générale.

Renforcer le support bureautique et s’assurer que tous les services prioritaires disposent des moyens minimaux pour travailler même de façon dégradée

Certaines entreprises n’ont pas encore déployé le télétravail de manière massive. Une grande majorité de personnes vont donc inaugurer ces nouvelles pratiques générant parfois un besoin de redimensionnement des réseaux. L’ensemble de ces demandes vont se reporter sur le service Support qui devra être renforcé au début de la période de crise. Cette situation devrait se stabiliser assez rapidement, dès les premières connexions. En revanche les modifications d’autorisations précédemment évoquées devraient logiquement s’étaler sur l’ensemble de la période de crise.

Prélever des compétences informatiques long terme (développeurs…) pour faire face aux activités urgentes

En cas de carence de ressources liées notamment à un absentéisme important si de nombreux informaticiens de la DSI sont malades, de nombreuses activités de développement peuvent être interrompues et dégager ainsi des ressources nécessitant peu de formation, afin d’assurer le support aux utilisateurs.


8) Soyez agile et restez à l’écoute des changements potentiels de la Direction

Définir avec votre Direction Générale le rythme de réajustement des priorités

Compte tenu du caractère inédit de la crise en nature et en niveau, les cellules de crise et la Direction Générale vont être amenées à réajuster plusieurs fois, la stratégie générale de l’entreprise. Ce qui était obligatoire la semaine précédente sera interdit la semaine suivante, et réciproquement. La participation de la DSI à la cellule de crise est donc essentielle. Il convient de recommander à chacun d’aller au-devant des besoins en anticipant l’évolution de la situation générale, des changements éventuels de priorités de la Direction, des Métiers, afin de réagir très rapidement.

Ne pas prendre dans l’urgence d’engagements à long terme

Dans ce contexte, le long terme n’existe plus. La période de trois mois qui s’ouvre ne sera constitué que d’urgence à très court terme, le plus souvent avec un horizon de quelques jours. Compte tenu de la forte évolutivité de la situation et son impact sur les ressources humaines, aucun engagement de long terme ne peut être pris.


9) Communiquez en interne en coordination avec les Métiers et la Direction

Dans votre DSI

Mettre en place un circuit de remontées d’informations pour améliorer immédiatement le fonctionnement interne en période de crise

Dans la période qui s’ouvre, on peut recommander de mettre en place un point de situation tri-quotidien visant à faire remonter l’ensemble des informations vers la Direction des Systèmes d’Information en matière d’absentéisme, de maintien des compétences clés, de blocage des infrastructures, d’incidents de sécurité, du niveau des demandes support, des évolutions applicatives urgentes, etc.

Mettre en place une communication quotidienne : vue court terme, vue sortie de crise, mise en œuvre des suggestions remontées

Sur une base très régulière, à la Direction des Systèmes d’Information opérationnelle, concernant les activités urgentes, la mise en œuvre, l’écoute des suggestions, et dans une seconde partie de crise les différents scénarios de sortie de crise

Vers l’entreprise

Informer des réaffectations de tâches entre services

Les différentes Directions de l’entreprise doivent donc être informées très régulièrement des reformatages réguliers de la DSI, dans un langage le plus compact et le moins technique possible, permettant une lecture rapide, intelligible et non ambiguë par l’ensemble des managers de l’entreprise, dans un contexte où le temps va très rapidement devenir une denrée rare…

Mettre en avant des nouveaux services de la DSI (nouvel outil collaboratif, améliorations…)

La DSI peut mettre en avant la mise à disposition des outils collaboratifs, éventuellement avec un vidéo tutoriel réalisé rapidement, les améliorations apportées à ce dispositif, visant à répondre aux demandes exprimées par les différents services. En matière de documentation de ces dispositifs, la vidéo est souvent la bonne solution à coût réduit et mise en en œuvre rapide.

Mettre en avant un circuit de remontée d’informations pour améliorer immédiatement les services de la DSI à l’entreprise en période de crise

Il est souhaitable de mettre en place un circuit de remontée d’informations visant à alerter immédiatement la Direction des Systèmes d’Information de tout incident, demande urgente concernant la gestion de crise en cours. Ces circuits doivent s’affranchir de toute contrainte strictement hiérarchique et s’appuyer sur les expertises et les compétences.


10) Préparez le retour à la normale

Communiquer avec ses partenaires afin qu’ils soient prêts à repartir

Dès la stabilisation de la crise, sans doute à partir de début mai, il conviendra d’anticiper le retour à la normale, le retour des personnels, et la reprise générale de l’activité. Tout en en considérant que l’épidémie peut survenir à nouveau, un débriefing à l’intérieur de la DSI sera rapidement organisé afin de mesurer les performances et d’identifier les pistes de progrès.

Prendre le temps de mesurer les éléments permettant d’apprendre de la crise (points de blocage, défaillances du Plan de Continuité d’Activité (PCA)…)

En particulier, la logique d’arbitrage des priorités, l’activité du support, le maintien en condition opérationnelle de l’infrastructure et les actions en matière de cybersécurité devront être formellement étudiées. Une articulation avec les responsables du plan de continuité d’activité devra également être réalisée afin de faire face plus efficacement à la prochaine crise, voire à un éventuel retour d’une épidémie.

Fermer les solutions provisoires qui ont été mises en place en tirant partie de l’expérience acquise

En fin de période il conviendra de bien vérifier que l’ensemble des dispositions dérogatoires mis en place en termes de gestion des droits ou de sécurité des Systèmes d’Information ont bien été retirées afin de ne pas laisser de nouvelles vulnérabilités en place.


Les auteurs

Vincent BALOUET, ancien consultant puis chargé de mission du Cigref, de la fédération des assurances, du MEDEF, fut appelé successivement par ces derniers de 1992 à 1999 puis missionné à Bercy afin d’assurer le succès de la mobilisation nationale du secteur lors du passage informatique à l’an 2000. Il intervient sur de nombreux grands risques systémiques pour l’économie en France et à l’étranger et a créé Maitrisedescrises.com, service d’analyses et recommandations, disponible sur abonnement illimité.

Plus d’informations sur www.maitrisedescrises.com


La Communauté des DSI de Transition Infortive

Première communauté de DSI de transition en Europe, Infortive réunit des professionnels de la Direction des Systèmes d’Information entraînés par leurs missions de transformation aux situations d’urgence.

Les recommandations publiées dans ce Livre Blanc (et produites en 48h) sont une illustration de leur capacité à intervenir dans l’urgence et en mode collaboratif distant.

Ils mettent leurs compétences aux services des entreprises qui doivent gérer des transformations : fusion d’entreprises, carve-out, externalisation des infrastructures, déploiement d’un projet international, rationalisation des coûts, transformation digitale.


Pour nous contacter

Infortive : Pierre Fauquenot, pfauquenot@infortive.com, +33 (0)6 07 41 49 99

Maîtriser des Crises : Vincent Balouet, vincent.balouet@maitrisedescrises.com, +33 (0)6 81 85 99 87


Télécharger au format PDF

Autre publication

Livre Blanc – Gagner la course de la transformation digitale

L’accélération de la DSI, clé du succès
La DSI est souvent un frein à la transformation de l’entreprise. Elle est perçue comme lente, peu disponible, incompréhensible par les Métiers. Elle est prisonnière de son passé et doit se réinventer pour se recentrer sur la création de valeur, la prise en compte de la réactivité, une relation centrée sur les utilisateurs et leurs besoins. Sa priorité doit donc être de modifier son comportement avant les architectures techniques. Le recours à des managers de transition ayant mené des transformations similaires permet d’y parvenir rapidement.

Accéder au Livre Blanc