- Maersk (2017) : lors de la reconstruction post-NotPetya, Maersk a priorisé la reprise des systèmes de gestion des conteneurs dans les ports les plus critiques — une décision de triage qui a permis de reprendre l\'essentiel des opérations commerciales en dix jours malgré la destruction totale de l\'infrastructure.
- La Business Impact Analysis (BIA) est l\'outil de référence pour identifier les activités critiques et définir leur ordre de priorisation — sans BIA à jour, la priorisation en crise est une improvisation.
- Les critères de priorisation doivent être définis avant la crise : chiffre d\'affaires généré, obligations réglementaires à respecter, impacts sur les clients, risques juridiques en cas de non-respect.
- Les activités de support peuvent être temporairement suspendues lors d\'une crise — mais leur suspension crée des arriérés qui doivent être anticipés et gérés dans le plan de reprise complète.
- La priorisation des ressources humaines est souvent aussi critique que la priorisation des systèmes — les compétences nécessaires pour gérer la crise peuvent être rares et leur réallocation doit être planifiée.
- Les obligations réglementaires et contractuelles créent des planchers de priorisation non négociables — certaines activités doivent être maintenues quelles que soient les contraintes, sous peine de sanctions automatiques.
La gestion d\'une crise de continuité d\'activité implique invariablement une situation de ressources insuffisantes pour maintenir toutes les activités normales. Les équipes de reprise sont en nombre limité, les systèmes de secours ont des capacités réduites, et le temps disponible pour restaurer l\'ensemble des opérations est contraint. Dans ce contexte, la priorisation des activités critiques est une décision stratégique qui détermine le profil de la reprise et ses conséquences commerciales et réglementaires.
Cette priorisation doit être préparée avant la crise — pas improvisée pendant. L\'improvisation en situation de pression conduit à des décisions biaisées par les urgences visibles plutôt que par une évaluation objective des impacts. Les organisations qui ont réalisé cet exercice de priorisation en dehors de la pression de la crise disposent d\'un avantage considérable dans la gestion de la reprise.
La Business Impact Analysis comme outil de priorisation
La Business Impact Analysis (BIA) est l\'outil structuré qui permet d\'identifier et de hiérarchiser les activités critiques. Elle analyse, pour chaque processus métier, les conséquences de son interruption sur un horizon de temps défini : perte de revenus par heure ou par jour d\'indisponibilité, obligations réglementaires affectées, conséquences contractuelles et impacts sur les clients. Le résultat de la BIA est une hiérarchie des processus selon leur criticité et les délais maximaux d\'interruption acceptables (MTPD — Maximum Tolerable Period of Disruption).
La BIA est un document vivant qui doit être révisé lors de chaque changement significatif dans les activités de l\'organisation. Une BIA réalisée il y a trois ans peut ne plus refléter la criticité réelle des activités dans le contexte actuel — de nouvelles obligations réglementaires, de nouveaux partenariats commerciaux ou de nouvelles dépendances technologiques peuvent avoir modifié la hiérarchie des priorités.
Lors de la violation Medibank de 2022, la décision de ne pas payer la rançon a créé une situation de crise prolongée — la publication progressive des données par les attaquants sur plusieurs semaines. Cette situation a nécessité une priorisation des activités de crise qui n\'était pas dans les plans initiaux : gestion quotidienne de la communication vers 9,7 millions de clients, mise en place de lignes d\'assistance spécialisées pour les personnes les plus vulnérables (patients atteints de maladies sensibles dont les données avaient été exposées), coordination avec les autorités de réglementation. Medibank a dû simultanément maintenir ses opérations normales d\'assureur santé tout en gérant une crise de communication sans précédent — une situation qui nécessitait une priorisation des ressources humaines aussi rigoureuse que celle des ressources techniques.
Les critères de priorisation des activités
Les critères de priorisation des activités en situation de crise se regroupent en trois catégories. Les obligations non négociables incluent les activités dont l\'interruption entraînerait des sanctions réglementaires automatiques, des violations contractuelles avec pénalités, ou des risques physiques pour des personnes — ces activités ont la priorité absolue indépendamment des contraintes de ressources. Les activités à fort impact commercial incluent celles qui génèrent le chiffre d\'affaires le plus immédiat et celles dont l\'interruption entraîne les pertes de clients les plus importantes. Les activités de support et d\'administration, enfin, peuvent généralement être temporairement réduites ou suspendues avec un impact manageable.
La priorisation des ressources humaines est souvent aussi critique que la priorisation des systèmes. Lors d\'une crise, les équipes sont mobilisées sur les activités de reprise, laissant les activités opérationnelles normales moins staffées. La priorisation de l\'affectation des ressources humaines doit être aussi rigoureuse que celle des ressources techniques — et doit tenir compte des compétences spécifiques requises pour chaque type d\'activité, pas seulement du volume de ressources disponibles.
La communication de la priorisation
La décision de prioriser certaines activités au détriment d\'autres doit être communiquée clairement, rapidement et par les bons canaux lors d\'une crise. Les clients dont les services sont temporairement réduits doivent en être informés — le silence sur les délais de reprise crée plus de dommages réputationnels que la communication transparente d\'un problème et d\'un délai réaliste de résolution.
La gestion de la crise Colonial Pipeline a illustré les conséquences d\'une priorisation insuffisamment préparée. La décision d\'arrêter préventivement l\'ensemble du pipeline — plutôt que d\'isoler les systèmes IT affectés et de maintenir les opérations OT — a été prise dans l\'urgence sans que ses implications complètes soient évaluées. Cette décision de priorisation (sécurité IT sur continuité des opérations) était défendable mais ses conséquences — pénuries dans plusieurs États — n\'avaient pas été anticipées dans les plans. Une BIA incluant le scénario d\'un arrêt préventif complet aurait conduit à préparer des plans de communication et de gestion des stocks permettant de limiter l\'impact sur les clients finaux.
La SNCF gère régulièrement des situations de crise qui nécessitent une priorisation rapide des services — pannes d\'infrastructure, mouvements sociaux, incidents techniques. Sa capacité à maintenir les trains de banlieue prioritairement par rapport aux TGV lors de certaines crises résulte d\'une BIA qui a identifié l\'impact relatif de chaque catégorie de service sur les usagers. Ce type de priorisation préparée — applicable par les équipes opérationnelles sans décision hiérarchique en temps réel — est un exemple de résilience organisationnelle mature. L\'exposition de données de 10 millions de clients en 2022 a nécessité une priorisation différente : communication client avant restauration complète des systèmes affectés, pour limiter l\'impact réputationnel.
La violation Cathay Pacific de 2018 a mis à l\'épreuve la capacité de la compagnie à prioriser ses activités de réponse. Cathay Pacific a dû simultanément gérer la notification aux 9,4 millions de passagers affectés, répondre aux enquêtes réglementaires dans plusieurs juridictions et maintenir ses opérations normales. La priorisation de ces activités n\'était pas formalisée dans les plans existants, conduisant à des difficultés de coordination entre les équipes de crise et les équipes opérationnelles. L\'enquête post-incident a révélé que le délai de notification aux clients résultait en partie de l\'absence de procédure préétablie de priorisation entre la notification réglementaire et la notification client directe.