“Les crises, même pas peur !” Retour d’expérience de Corinne Lossy, experte du Management de Transition IT

Corinne Lossy Dajon, Manager de Transition IT et ancienne DSI, a plusieurs années d'expérience dans la direction et la transformation des systèmes d’information au sein de grandes entreprises. En tant que dirigeante, elle est intervenue sur des crises majeures, notamment en cybersécurité, en gestion de projet et dans le cadre d’opérations de rapprochement.
Lors de cet entretien, elle partage son expérience du pilotage des crises, illustrée notamment par la gestion de la vulnérabilité Log4j, qui a marqué l’ensemble du secteur IT en 2021. Elle revient également sur les facteurs déclencheurs des crises, l’importance des KPIs pour détecter les signaux faibles, ainsi que sur les bonnes pratiques pour organiser une réponse efficace.
Son témoignage apporte un éclairage précieux sur la manière dont un DSI ou un Manager de Transition peut structurer sa gestion de crise, en alliant méthode, réactivité et leadership.
L’ampleur des crises IT : au-delà des incidents cyber
La gestion de crise IT ne se limite pas aux seules attaques cyber. De nombreuses situations peuvent se transformer en véritables crises si elles ne sont pas détectées et gérées à temps, qu’il s’agisse d’obsolescence de systèmes, de projets en échec, ou encore de problèmes de gouvernance.
Bien entendu, il faut analyser chaque situation afin d’identifier le bon moment pour activer le dispositif de crise. Dans toutes les crises il existe un dénominateur commun : c’est la nécessité d’une action rapide. La priorité, c’est la protection des systèmes (techniques ou applicatifs), des données et des personnes (collaborateurs internes ou partenaires, clients finaux).
En tant que DSI, j’ai été confrontée à divers types de crises, chacune nécessitant une approche structurée et adaptée. L’un des enseignements majeurs que j’en tire est que La préparation et l’anticipation sont les clés d’une gestion de crise efficace. Lorsqu’un problème éclate, ce ne sont pas les solutions improvisées qui permettent de rétablir la situation, mais bien la capacité à activer immédiatement des dispositifs de gestion préalablement définis et testés. Les rôles et responsabilités sont essentiels, chacun doit être à son poste !
Le cas de la crise Log4j : une réponse organisée face à une menace mondiale
L’une des crises les plus marquantes que j’ai eue à gérer est celle de Log4j, une vulnérabilité majeure découverte fin 2021. Cette faille critique a rapidement été exploitée par des attaquants du monde entier, mettant en péril de nombreux systèmes d’information.
À cette époque, j’étais DSI d’un grand groupe, avec un patrimoine informatique très conséquent composé de systèmes historiques hétérogènes. Dès l’annonce de cette faille, nous avons constaté une intensification des tentatives d’attaques sur nos infrastructures. En regard de l’ampleur et de l’impact potentiel de cette faille mondiale j’ai décidé d’activer la cellule de crise opérationnelle avec un objectif prioritaire : protéger les systèmes et les données, même si nous disposions de systèmes de protection évolués.
Cette décision s’appuyait sur les signaux d’alerte que nous avions détectés et les recommandations de l’ANSSI.
L’une des 1ères mesures majeures prises dans ce contexte a été la fermeture immédiate des accès aux sites internet du groupe, une mesure préventive visant à protéger nos systèmes d’éventuelles intrusions et avant tout nos clients. Cette décision, prise un week-end, a nécessité une communication rapide et efficace auprès des directions Métiers, notamment le Directeur Général Adjoint, la Directrice de la Communication et la Directrice de la Relation Client.
Pour obtenir leur adhésion et limiter l’impact de cette fermeture, il a été essentiel de leur fournir une analyse concise et factuelle :
- Les risques immédiats encourus et la probabilité d’une exploitation de la faille sur notre infrastructure.
- Les mesures de protection mises en place justifiant la nécessité d’une coupure temporaire.
- Le plan d’action pour assurer une remise en service en toute sécurité.
Grâce à une coordination efficace entre les équipes IT et les autres directions, nous avons pu gérer cette crise sans incident majeur et rétablir progressivement nos services dans un environnement sécurisé.
L’objectif pendant une crise de cette nature est de se protéger avant tout. L’action rapide est donc primordiale idéalement associée à une communication synthétique afin de ne pas alerter inutilement. Mais il vaut mieux agir vite et expliquer ensuite, que l’inverse.
L’importance de l’anticipation et du pilotage par les indicateurs (KPIs)
Cet épisode a mis en évidence un principe fondamental de la gestion de crise : une crise bien gérée est avant tout une crise bien anticipée.
Dans mon expérience, un suivi rigoureux des indicateurs (KPIs) est l’un des moyens les plus efficaces pour détecter les signaux faibles et intervenir avant que la situation ne devienne critique.
Lors de mes missions de Management de Transition, je m’attache particulièrement à examiner ces indicateurs de performance, afin de comprendre :
- Quels sont les dysfonctionnements structurels qui empêchent le bon déroulement d’un projet ou d’une activité IT ?
- Quels leviers d’action peuvent être activés rapidement pour redresser la situation ?
- Comment structurer la communication interne afin que les décisions prises soient comprises et appliquées efficacement ?
Anticiper la crise : information et formation
Une gestion de crise efficace repose sur deux piliers essentiels :
- L’information : dès l’apparition des premiers signaux faibles, il est crucial d’organiser une cellule de crise, de structurer l’écoute, de synthétiser les faits, de prendre rapidement des décisions et de communiquer vers tous les acteurs impliqués dans la crise et potentiellement impactés par la crise,
- La formation : un bon entraînement à la gestion de crise permet de se préparer à réagir efficacement. Il ne s’agit pas seulement de connaître les procédures, mais aussi d’entraîner ses réflexes, de se confronter à des situations inattendues et de s’exercer à gérer des crises hors de son domaine de compétence.
Pourquoi je n’ai pas peur des crises ?
La gestion de crise ne m’effraie pas, car elle repose sur un processus défini et sur des compétences qui s’acquièrent et se renforcent avec l’entraînement.
- D’une part, je m’y suis préparée : tout au long de ma carrière, j’ai participé régulièrement à des exercices de gestion de crise, dans lesquels j’ai appris à structurer ma réflexion, à prendre des décisions sous pression et à mobiliser les bonnes équipes.
- D’autre part, une crise ne se subit pas : on choisit de déclencher une cellule de crise pour pouvoir gérer une situation critique avant qu’elle ne devienne hors de contrôle. L’activation d’une cellule de crise est donc un acte de maîtrise, et non une réaction de panique.
Ma recommandation principale est de s’entraîner régulièrement à la gestion de crise, y compris sur des sujets en dehors de son domaine de compétence. Élargir sa zone de confort est le meilleur moyen d’apprendre et de développer des réflexes en situation d’urgence.
Dans ces entraînements, il est essentiel de changer de rôle : un DSI doit pouvoir expérimenter la gestion d’une crise RH, financière ou logistique, ... Le débriefing post-exercice est tout aussi crucial : il permet d’identifier ce qui a bien fonctionné, ce qui doit être amélioré, et comment optimiser la prise de décision et la communication.
Enfin, bien connaître individuellement les personnes sur le terrain est un atout majeur. Une crise bien gérée repose sur la bonne répartition des rôles. Il est donc essentiel d’identifier en amont les forces de chaque collaborateur pour constituer l’équipe d’experts la plus efficace possible en période de crise.
Le rôle du leadership en période de crise
La gestion de crise ne repose pas uniquement sur des procédures techniques. La gestion des ressources humaines est fondamentale.
Dans une situation de crise, les équipes sont souvent placées sous une pression intense, travaillant parfois 24h/24 et 7j/7. Il est alors essentiel de veiller à :
- Maintenir une communication transparente et rassurante, afin d’éviter une montée d’angoisse contre-productive.
- Identifier les collaborateurs en difficulté et ajuster leur charge de travail pour prévenir l’épuisement.
- Encourager l’implication des équipes en valorisant les efforts fournis et en donnant du sens aux actions menées.
Une gestion de crise efficace repose ainsi sur une capacité à mobiliser les équipes, à leur donner une vision claire des enjeux et à assurer une prise de décision rapide et cohérente.
Conclusion
La gestion des crises IT repose sur une préparation rigoureuse, un pilotage précis des signaux faibles, et une réactivité structurée. La clé réside dans la capacité à détecter les alertes à temps, à mettre en place des dispositifs adaptés, et à mobiliser les équipes autour d’une réponse efficace et concertée.
Une crise ne doit jamais être subie : elle doit être maîtrisée. L’anticipation, la méthode et le leadership sont les piliers d’une gestion de crise réussie.