Édition Imprimée
      mai 2008
Email    Print    Feedback

Gérer les lendemains d’une crise

Par Michael Mazengia
Illustration : Baiba Black

Un cabinet disposant d’un plan de relève sera plus à même de surmonter un épisode de bouleversement de ses activités 

Votre organisation a-t-elle un plan d’action en cas de pandémie de grippe aviaire? Ou d’incendie au siège social? Avez-vous pris des mesures pour assurer la sécurité de vos effectifs et de vos données en cas d’ouragan, d’inondation ou d’attaque terroriste?

La planification de la poursuite des activités est une priorité pour de nombreuses entreprises, mais il y a lieu de se demander si elle tient compte d’une menace plus susceptible de se réaliser, soit la perte soudaine d’une personne importante de l'organisation.

La taille de la plupart des cabinets de CA est trop petite pour justifier l’embauche de plus de deux ou trois professionnels des TI. Dans les faits, de nombreux cabinets de CA ne comptent qu’une seule personne chargée de la maintenance des systèmes de courriel, du matériel informatique, de l’entreposage et de la sauvegarde des données, des relations avec les fournisseurs et des mots de passe d’administrateur. Même lorsqu’on dispose de toute une équipe de TI, il arrive souvent que les tâches soient cloisonnées.

Les comités de direction et les responsables des TI doivent se poser la question suivante : s’il arrivait quelque chose à l’un des piliers du service des TI, est-ce que le cabinet pourrait continuer à fonctionner? Le chef de l’équipe de TI chez Mintz & Partners a été confronté à cette dure réalité après le décès subit d’un membre très estimé et très important de l’équipe. Le disparu était un informaticien très compétent, à qui on avait confié de nombreuses tâches dont il s’acquittait de façon autonome.

Dans les semaines qui ont suivi la tragédie, la plus grande difficulté du chef d’équipe n’a pas été de redistribuer les tâches exécutées par son ami, mais plutôt de déterminer tout ce qu’il faisait. Ajoutons à cela le défi de gérer une équipe en pleine crise émotionnelle et de surmonter son propre sentiment de perte. Les leçons tirées de cette expérience peuvent être appliquées dans toute situation où un membre clé de l’équipe des TI disparaît brusquement.

Communications

Combien d’appels et de courriels de l’extérieur recevez-vous chaque jour? Si un membre de votre équipe meurt, il se peut que des fournisseurs, des clients, voire des amis continuent de l’appeler ou de lui envoyer des courriels. Le message vocal de son répondeur devrait rediriger les appelants vers une personne désignée, idéalement le responsable des TI.

Le ou la réceptionniste du cabinet est aussi susceptible de recevoir des appels destinés à l’employé décédé. Ces deux personnes devraient être conseillées quant à la façon d’annoncer la nouvelle du décès aux appelants. De plus, le numéro de téléphone ou de poste de l’employé disparu ne devrait pas être attribué à une autre personne du cabinet. Le compte de courriel du membre de l’équipe décédé devrait être réglé de manière à transmettre les courriels au responsable des TI ou à une autre personne désignée. Il est recommandé d'avoir une adresse courriel unique pour l’enregistrement des logiciels, de sorte que si une personne quitte le cabinet, quelle qu’en soit la raison, le lien avec les fournisseurs ne sera pas rompu. Il en va de même pour la possibilité d’ouvrir un bon de travail auprès d’un fournisseur afin d’obtenir du soutien technique.

En général, les fournisseurs limitent à une ou deux personnes au sein d’un cabinet la possibilité de placer une demande de soutien technique, et il sera peut-être nécessaire que le responsable des TI ou un autre représentant du cabinet envoie une lettre officielle pour faire modifier cette liste. Par ailleurs, on doit consulter l’agenda du membre décédé et déterminer si certains de ses rendez-vous doivent être maintenus.

Il est utile de faire appel à des conseillers professionnels qui pourront intervenir auprès de tous les membres de l’équipe. Plus particulièrement, on devrait leur demander d’aider ceux qui vivent vraisemblablement eux-mêmes un deuil, et qui ont la tâche d’annoncer le décès de la personne aux fournisseurs ainsi qu’aux autres personnes-ressources.

Connaissances

Avec le temps, les gens accumulent des connaissances qu’il est difficile de transférer, comme la connaissance de différents logiciels ou les liens d’affaires qu’ils établissent à l’interne et à l’externe. Pour réduire la perte de connaissances qu’entraîne un départ, il est utile d'avoir une base de données où l’on inscrit les domaines d’expertise de chaque membre de l’équipe.

Certains cabinets préfèrent utiliser à cette fin un outil wiki. Il permet aux utilisateurs de créer et de modifier des pages Web et d’y insérer des liens. Chaque membre de l’équipe peut ainsi tenir à jour facilement la section du wiki qui le concerne.

Les technologues, plus particulièrement, ont des domaines de spécialisation. Bien entendu, cela peut favoriser le développement des compétences et la satisfaction au travail, mais il est important de bien identifier ces domaines et de veiller à ce que la spécialisation d'une personne ne soit pas poussée, au point d’empêcher les autres de développer leur connaissance d’un domaine en particulier.

Qu’en est-il des petites équipes de TI, où la charge de travail d’une personne ne peut être absorbée temporairement par les autres? On doit envisager d’identifier des «technologues» parmi les autres membres du personnel, par exemple, au moins un comptable ayant une connaissance très solide des systèmes de TI en général. En attribuant un rôle à cette personne dans le cadre du plan de poursuite des activités, on pourrait éliminer nombre des difficultés associées à l’embauche de personnel temporaire.

Les cabinets devraient également documenter toutes les demandes de dépannage TI et les solutions retenues. Cela permettra de créer en peu de temps un entrepôt de connaissances auquel auront accès ceux qui se joindront à l’équipe de TI. Toutefois, il est important que cela ne devienne pas une corvée, et que les membres de l’équipe inscrivent les éléments pertinents de chaque demande, en réduisant au minimum le jargon.

Assurer un suivi

Les données constituent un des actifs les plus précieux d’un bon nombre d’entreprises. De nombreuses organisations entreposent leurs données hors site, et si la personne qui en a la responsabilité meurt, la poursuite des activités pourrait s’en trouver menacée. L'emplacement et la teneur de toutes les données se trouvant sur le site et hors site devraient être notés. De plus, tout changement dans la composition de l’équipe des TI devrait être communiqué immédiatement aux fournisseurs responsables de l’entreposage des données hors site.

Les données sont si vitales pour les organisations qu’il pourrait être prudent d’inclure le chef de l’exploitation, l’associé directeur ou un autre dirigeant dans les relations avec le fournisseur chargé de l’entreposage de ces données. De cette manière, s’il survient une tragédie, les principaux dirigeants auront directement accès à l’un des actifs clés du cabinet.

Il importe également de vérifier quelles sont les données entreposées de manière sécuritaire. Par exemple, que sait-on des informations stockées localement dans chaque ordinateur?

Malgré l’existence d’applications complexes qui centralisent les données à entreposer, certains peuvent conserver des données critiques dans le lecteur local de leur ordinateur, ou pire, dans leur boîte de courriel personnelle. Bon nombre d’entre nous ont en mémoire trois, quatre mots de passe ou plus. Si un mot de passe de haut niveau est perdu, l’accès à des systèmes essentiels aux missions pourrait être bloqué.

Les cabinets devraient constituer une base de données sécurisée contenant tous les mots de passe de système et d’administrateur, la date de la plus récente modification de chaque mot de passe, et le nom de la personne qui a créé le mot de passe. La base de données doit être revue et testée régulièrement, soit chaque mois ou chaque trimestre, afin de demeurer à jour.

Les cabinets devraient aussi créer une base de données répertoriant tout matériel informatique dont la sortie a été autorisée et précisant la date de retour prévue.

Cette base servirait également à faire le suivi du matériel en réparation à l’extérieur du bureau. Un bon programme de gestion des actifs peut permettre l’identification et le redéploiement rapides des ressources. Advenant le décès d’un membre de l’équipe des TI, on devra parcourir les documents que celui-ci conservait dans son bureau. Par exemple, s’il recevait régulièrement des factures, le cabinet pourrait se trouver dans une situation embêtante si une facture a été ouverte, mais qu’elle n’a pas encore été transmise au service de la comptabilité.

Congédiement et hostilité

Les informations qui précèdent ont véritablement trait à un cas où un membre de l’équipe des TI est décédé. Les problèmes qui se posent sont à peu près les mêmes lorsqu’un cabinet doit congédier un membre de l’équipe des TI qui est hostile ou susceptible de le devenir. Si un tel congédiement devient nécessaire, il est essentiel de bien s’y préparer.

Avant de procéder, on doit effectuer une vérification de tous les nœuds de son réseau, c’est-à-dire les objets comme les utilisateurs, imprimantes, etc., pour lesquels il existe des droits d’administrateur. Une personne malveillante pourrait attribuer des droits d'administrateur à un périphérique inoffensif, comme une imprimante, et l’utiliser plus tard pour attaquer le réseau. On doit aussi modifier, tant les mots de passe d’administrateur que les codes d’ouverture des portes, et annuler les cartes de crédit et les cartes d'appel de l’employé congédié. Comme il est possible d’accéder aux réseaux sans fil d’un bureau lorsqu’on se trouve simplement à proximité, il ne faut pas oublier de modifier le mot de passe de ces réseaux, le cas échéant.

Il est souhaitable d’engager un conseiller indépendant quelques jours ou quelques semaines avant le congédiement de l’employé afin d'identifier tous les points d’accès à distance de l’infrastructure de TI du cabinet, et de prendre les mesures appropriées.

Il faut penser notamment aux serveurs de courriel, aux serveurs d’application, aux serveurs de données et aux serveurs Web, y compris l'accès à des sites Web hébergés à l’extérieur. Le mot de passe de ces systèmes doit être modifié dès que l’employé est informé de son congédiement. Il faut aussi prévenir les autres employés qu’ils ne doivent communiquer aucun mot de passe à l’employé congédié. Il est recommandé également de lancer la modification obligatoire des mots de passe pour tous les systèmes, car l’employé congédié pourrait connaître le mot de passe d’un autre membre de l’équipe.

Plan de poursuite des activités

Il y a plus d’un an maintenant que les membres du cabinet ont perdu leur ami. Ce fut une période difficile sur le plan émotif, et le poids du deuil est venu alourdir les difficultés auxquelles chacun était confronté au travail.

Les questions techniques ont beaucoup retenu l’attention, mais il ne faut pas négliger les aspects humains. Dans ce cas précis, les personnes qui ont dû travailler plus fort pour aider le cabinet à demeurer fonctionnel après la tragédie étaient celles-là même qui vivaient le plus grand deuil. Les gens stressés sont susceptibles de faire des erreurs. Quand on y pense, la plupart des pannes informatiques surviennent à la suite d’une erreur humaine, et non d’un ouragan ou d’une tornade. Une période de deuil vient répondre à un besoin humain, mais cela s’avère aussi important pour éviter des erreurs coûteuses. Il est vital d’avoir un plan de poursuite des activités afin de pouvoir faire face à la perte d’un membre clé de l’équipe de TI, ou à tout autre sinistre ou tragédie qui peut survenir.

Préparation en cas de tragédie (Liste de contrôle)

1. Communications

  • Conseils aux employés pour les aider à affronter la situation
  • Gestion des appels destinés au disparu
  • Message vocal indiquant avec qui il faut communiquer
  • Conseils sur la façon d’annoncer le décès aux appelants
  • Ne pas attribuer le numéro de téléphone à un autre employé
  • Transmission des courriels à une personne désignée
  • Revue de l’agenda du disparu pour prendre connaissance des rendez-vous importants

2. Connaissances – possibilités d’utiliser un wiki

  • • Répertorier les logiciels utilisés
    • Répertorier les relations d’affaires (internes et externes)
    • Être à l’affût des applications «spécialisées»
    • Gérer la charge de travail
    • Garder la trace de toutes les demandes de soutien et des solutions retenues

3. Suivi

  • Où se trouvent les données entreposées hors site?
  • Vérifier l’exhaustivité des données hors site
  • S’assurer que toutes les données d’entreprise sont prises en compte (attention aux fichiers personnels)
  • Élaborer un mécanisme pour enregistrer/protéger les mots de passe importants du cabinet
  • Établir une liste du matériel prêté ou dont la sortie a été autorisée
  • Vérifier si des factures / documents financiers doivent être traités

Conseils pratiques

  • Utiliser une adresse courriel générique pour les contacts de TI du cabinet
  • S’assurer que tous les contacts, applications et licences de TI sont enregistrés et conservés au même endroit
  • Utiliser un outil wiki ou autre pour documenter les processus quotidiens et la résolution des problèmes

 

Michael Mazengia est directeur principal, technologies chez Deloitte / Mintz & Partners. On peut le joindre au 416-644-4420 ou à michael_mazengia@mintzca.com.

Yves Godbout, CA•TI, CA•CISA, est directeur des services de la TI au Bureau du vérificateur général du Canada. Il préside l’Alliance pour l'excellence en technologies de l’information de l’ICCA et dirige également cette rubrique. On peut le joindre à goudbouy@computrad.com

100 ans - 1911-2011 - CAmagazine

Annonces classées

Calendrier des activités