Gestion de crise

Gestion de crise. Au mois d'octobre dernier, alors que les émeutes faisaient rage à Hong Kong, une cinquantaine de banques de cette cité gérant un volume d'actifs de $ 6.000 Mds, ont été confrontées à un stress test sur la base d'un scénario de crise cauchemardesque : une pandémie balayant la ville suivie d'une cyberattaque puis d'une panne d'infrastructure Télécoms.

Un exercice de crise fondé sur un scénario complexe

Le scénario consistait dans une pandémie de grippe porcine trouvant son origine en Indonésie, avec un virus passant la barrière des espèces pour s'attaquer à l'homme puis s'étendre à Hong-Kong, suivie de problèmes de connectivité à Internet ainsi que d'une cyberattaque conduite par un salarié mécontent de devoir travailler pendant la pandémie.

La simulation de crise prévoyait une contagion rapide des habitants conduisant à l'absentéisme du tiers du personnel et une disruption des systèmes d'information provoquant un arrêt des opérations. Avec l'arrivée du coronavirus quelques mois plus tard, le scénario apparaît aujourd'hui comme prémonitoire.

Un exercice de crise sur table reproduisant des stress tests conduits aux USA et en Grande-Bretagne

Ce table-top exercice d'une durée de quatre heures impliquait les cellules de crise de 42 banques y compris Morgan Stanley, HSBC, JP Morgan et Goldman Sachs. A l'image des stress test menés par les USA ("Quantum dawn") et la Grande-Bretagne ("Waking Shark"'), toutes les 10 minutes, les équipes de crise recevaient des informations sous forme de vidéos montrant les évolutions du marché et de messages postés sur les réseaux sociaux, fake news comprises 

Les équipes de crise mobilisaient autour des dirigeants, les responsables communication, juridique, IT ainsi que les directeurs des opérations et devaient gérer les aspects opérationnels de la gestion de crise tout autant que la communication de crise pour défendre la réputation de leur établissement et mettre en oeuvre les process de continuité d'activité.

 Un enseignement retiré de cet exercice de crise : des plans de continuité d'activité pas adaptés à un schéma de crise complexe

Pour parer aux risques infectieux, les banques ont autorisé une partie de leur personnel à faire du télétravail, dispatchant l'autre partie des salariés dans d'autres bureaux.

La cyberattaque conjuguée à la crise pandémique a clairement posé la question de la sécurisation du traitement en télétravail de données sensibles . Les banques ont conclu à la nécessité de solliciter auprès des autorités bancaires la permission de recourir à la signature numérique pour un nombre accru de documents;

La moitié des participants ont indiqué après-coup que la pandémie et l'absentéisme ne constituaient pas le problème le plus aigu à gérer. La panne d'infrastructure et la cyberattaque ont en effet  substantiellement complexifié la gestion de crise.