top of page
Photo du rédacteurVéronique Cyr
17 avr.

La gestion de la continuité vue par le corps policier

Au cours de la session où j’ai enseigné la continuité d’activité à l’École de criminologie de l’Université de Montréal, j’ai eu l’occasion d’échanger avec des étudiants au baccalauréat, futurs cadres des corps de police et de renseignement.


Cet article présente une synthèse de nos visions croisées, à travers cinq prismes. L’objectif est de mettre en perspective les convergences entre les parties prenantes à différentes strates de l’activité économique et sociale pour identifier les points communs, mais aussi les différences entre nos enjeux respectifs.


Un policier regarde un écran d'ordinateur
La gestion de la conitnuité vue par le corps policier

En guise d’introduction, il est important de comprendre la corrélation qui existe entre différents champs de la gestion de risque, à savoir la gestion de la continuité, l’audit, la gestion de crise, les leviers psychologiques utilisés dans le renseignement (Ex. : approche MICE) et le triangle de la fraude. Le cas Desjardins, en 2019, a démontré qu’une fraude déclenchée par la dimension M d’un individu pouvait provoquer une crise suivie d’un travail judiciaire impliquant différents corps d’enquête.


Gestion de crise versus prévention

Une confusion commune consiste à confondre la continuité d’activité avec la gestion de crise. Or, il s’agit de deux disciplines distinctes, l’une étant une composante de l’autre. La continuité d’activité englobe l’ensemble des actions à exécuter avant, pendant et après un événement qui perturberait ou interromprait l’activité de l’entreprise. La prévention occupe donc une place prépondérante dans le domaine de la continuité. Sur ce plan, le travail policier est comparable.


Nous voyons agir les policiers, la plupart du temps, dans le cadre d’interventions, mais il faut rappeler que 90 % de leur travail consiste à analyser et à anticiper les crises, dans cette logique de prévention. Ce travail de fond peut prendre plusieurs formes et appellations (conduite du changement, immersion, renseignement…), mais son essence consiste à être au plus près du terrain pendant une longue période, pour détecter les signaux faibles et désamorcer une potentielle perturbation le plus en amont possible.


Pour ce faire, les professionnels s’appuient sur le socle commun de nos disciplines respectives : la gestion des risques. Cette dernière repose sur trois étapes que l’on retrouve dans plusieurs référentiels méthodologiques comme l’ISO 31000, l’ISO 22301, NIST800-53 et la certification CRISC de l’ISACA :


  • Identification des risques : sur la base de critères tels que la probabilité, l’impact (conséquence), l’intensité, la récurrence, les effets collatéraux, les interdépendances et les mesures de mitigation existantes; cette étape a pour prérequis l’identification des menaces et des vulnérabilités. Quel que soit le cas – une foule pendant un concert, une entreprise située en zone forestière, un réseau informatique – cette phase essentielle nécessite une analyse précise et introspective. Elle produit des scénarios de risques.

  • Analyse des scénarios : il s’agit ici de déterminer le niveau du risque sur la « cible » que l’on veut protéger en raisonnant spécifiquement sur l’impact. Un même scénario n’aura pas les mêmes conséquences selon l’heure de survenance. Par exemple, une attaque cyber avant le lancement du traitement d’un calcul – octroi de crédit, dispatch d’un staff (affectation d’un personnel) – n’aura pas le même impact qu’après. Il est donc primordial de raisonner sur le cycle entier et non seulement sur un moment précis, soit un instant T.

  • Évaluation des risques : cette évaluation consiste à décider de la stratégie, représentée par le niveau de risque accepté et la limite que l’entreprise ne peut dépasser (capacité).


L’arrivée de personnes chargées d’enquêter

est par nature anxiogène,

car elle est vécue comme une démarche intrusive.


Audit, analyse, enquête


Le mot « audit » doit être démythifié. Qu’il s’agisse des professionnels du renseignement ou des praticiens de la continuité ou de la vérification, ce mot chapeau recouvre des techniques de collecte d’informations, et son cœur réside dans la vérification basée sur des faits et justifier par des tests. Les policiers sont des professionnels de l’enquête et de l’analyse, ce qui les rend proches des métiers de l’audit et de la gestion de risque. Leurs objectifs sont différents, mais la logique de comprendre l’enchaînement des actions (processus) et de raisonner sur des faits en cherchant à les justifier par des preuves, en prenant en compte le contexte et différentes perspectives, est comparable.


L’arrivée de personnes chargées d’enquêter est par nature anxiogène, car vécue comme une démarche intrusive. Qu’il s’agisse de policiers ou d’auditeurs, les personnes interrogées ressentent la plupart du temps une appréhension et il est primordial de les rassurer en leur rappelant l’objectif du mandat. Ce dernier est de vérifier si un processus donné atteint bien son objectif. Il s’agit de comprendre la situation et non de trouver un coupable.


Dimension procédurale


Les enquêteurs de police interviennent dans la société civile, mais plus rarement en entreprise.

Les processus constituent la colonne vertébrale de l’entreprise. Le travail de continuité et de résilience consiste à inventorier ces processus, à les modéliser et à les trier lors du BIA (Bilan d’Impact sur les Activités). Une méthode pratique et concrète pour réaliser ce travail est d’utiliser des logigrammes qui permettent de représenter les intrants, les extrants, les étapes, les parties prenantes, les risques et les contrôles.


Beaucoup (trop) d’entreprises sous-estiment l’importance de ces documents, par faute de temps ou de moyens. Pourtant, ils sont le point de départ de tout travail de compréhension pour l’analyste en gestion des perturbations et, plus largement, pour toute démarche de transformation.


Entraînement, entraînement, entraînement

La résilience n’est pas un concept qui n'existe que sur papier. La continuité ne peut être efficace que par une pratique fréquente. Ainsi, la conception et la réalisation d’exercices constituent LE nerf de la guerre dans nos disciplines. Trois facteurs clés de succès peuvent être mis de l’avant :


  • Les exercices doivent être réalistes et adaptés au contexte –> Est-ce la première fois qu’une simulation est réalisée? Que veut-on tester? Pourquoi? Avec qui? Quel résultat attend-on? Quel est le niveau de maturité des parties impliquées?

  • Il est normal de faire des erreurs pendant ces exercices. C’est même leur raison d’être. En entreprise, les personnes engagées doivent comprendre que l’exercice de simulation ne sert pas à les juger ou à les noter sur leur performance. De ce point de vue, les corps policiers et militaires sont beaucoup plus matures et ont pleinement intégré ces exercices dans leur quotidien. Le point ici est de faire deux retours d’expérience, l’un à chaud, l’autre à froid (p. ex : méthode GRALE(1)).

  • Les exercices doivent être pris au sérieux. Les parties prenantes impliquées doivent surtout apprendre et/ou pratiquer la gestion du stress. Qu’il s’agisse d’une prise d’otage ou d’une attaque par rançongiciel, de nombreuses situations ont abouti à un échec parce que les décideurs, même s’ils connaissaient bien l’organisation et les procédures, n’ont pas su faire face au stress lors de situations réelles.


Veille


Qu’il soit question de travail policier ou de continuité d’activité, nous pratiquons des métiers nécessitant une mise à niveau régulière des connaissances et des documents. Dans un environnement en perpétuelle évolution, les solutions et les risques pertinents à l’instant T ne le sont plus quelques mois plus tard a fortiori dans un monde à haute vélocité (Internet, changements climatiques, mondialisation). Pour se tenir informé, l’utilisation de sources fiables demeure indispensable. Par exemple, le classement annuel des risques établi par le World Economic Forum (Forum économique mondial) sera utile autant aux policiers qu’aux professionnels du risque et de la continuité.


Conclusion

La continuité d’activité et le travail policier sont a priori des disciplines connexes, mais elles convergent pour au moins deux raisons :

  • Le travail policier ne se limite pas à la criminalité sociale. La criminalité financière fait pleinement partie de son environnement, de même que la lutte contre la cybercriminalité. Une attaque cyber touchant un réseau de distribution d’eau potable ou de pétrole – comme l’attaque de la compagnie Colonial Pipeline de mai 2021 – peut avoir des conséquences dramatiques. La compréhension des processus et des mécanismes de continuité de l’entreprise est donc une valeur ajoutée pour les équipes qui travaillent sur ces sujets.

  • Comme indiqué en introduction, il existe un lien entre la méthodologie de renseignement (p. ex. : MICE), la gestion de crise et la fraude. La compréhension de ces corrélations est différenciante pour aborder, comprendre et anticiper des crises ou des perturbations.


Le monde de l’entreprise est de plus en plus confronté à un environnement d’incertitudes. Disposer d’outils d’analyse de signaux faibles est un levier, et même un avantage compétitif pour naviguer avec résilience sur un océan d’influences, voire d’ingérences.


Article rédigé par Alexandre Bercovy

Alexandre Bercovy CISA, CRISC, CGEIT, CDPSE est directeur gestion intégrée des risques chez Investissement Québec . Professionnel chevronné des risques liés aux technologies de l'information, cet expert en continuité d’activité et cyber-résilience et Galement chargé de cours à HEC Montréal et à l'École de criminologie de l'Université de Montréal. En savoir plus : https://www.linkedin.com/in/alexandrebercovy/


 

COMPLÉMENTS


L’APPROCHE MICE EN RENSEIGNEMENT


L'approche MICE décrit les quatre leviers psychologiques majeurs utilisés en renseignement pour motiver des informateurs :

Money (Argent) : Recrutement via des incitations financières.

Ideology (Idéologie) : Motivation basée sur des convictions personnelles ou politiques.

Coercion (Contrainte) : Utilisation de menaces ou de pressions pour obtenir des informations.

Ego (Égo) : Exploitation du désir de reconnaissance ou de vengeance.

Chaque levier a ses avantages et ses risques, et la clé du succès réside souvent dans la combinaison adaptée à chaque individu



(1) LA MÉTHODE GRALE

La méthode GRALE guide les retours d'expérience à travers l'analyse factuelle, l'identification de leçons, et leur partage sans jugement préliminaire.

Gradeless (sans grade)

Results (Résultat)

Analyse (Analyse)

Lessons learned (Leçons apprises)

Exchange (Echange)


Source : CHUET, Pierre-Henri « Até », Au-delà du cockpit, ISBN 979-8410764278


5 CLÉS POUR APPORTER PLUS DE VALEUR AU MANDAT

  1. Accompagner le changement et expliquer la démarche en tout temps. On n’explique jamais assez!

  2. Formaliser les processus de manière graphique. Excel n’est pas un outil de cartographie!

  3. S’entraîner : sans exercices de simulation et de debriefing (débreffage), la gestion de la continuité n’a pas de valeur.

  4. Effectuer une veille régulière et la mise à jour des documents de soutien.

  5. Impliquer dès le départ les parties prenantes de l’écosystème interne et externe.



Comments

À la une

bottom of page