Gestion de crise cyber : fourmis versus neurones

Pour les tarifs trumpiens, un détail frappe, même pour qui n’est pas expert en la matière : alors que la quasi-totalité des économistes de tout bord politique affirment, études à l’appui, que les barrières douanières sont une plaie pour l’économie mondiale, nous sommes en présence d’un petit nombre d’individus (Trump et sa garde rapprochée) qui, a priori, ont fait quelques études, et qui partent bille en tête dans la direction exactement opposée. Est arrivé ce qui devait arriver : pschitt badaboum !

C’est l’inconvénient des modèles de prise de décision centralisés et hyperhiérarchisés : quand le Big Boss a raison (genre le visionnaire du siècle), la prise de décision est très rapide. Mais quand il se trompe, le poids hiérarchique est tellement fort que personne n’ose lui tenir tête, et là, en général, c’est la catastrophe. C’est d’ailleurs une des principales différences entre les régimes démocratiques et ceux qui le sont moins (euphémisme) : les premiers avec leur modèle de décision en contre-pouvoir sont plus lents et donc moins efficaces sur le court terme, mais bien plus résilients sur le moyen et le long terme. Il suffit pour s’en convaincre de regarder l’état de la pandémie de Covid en Chine au tout début… puis à la fin.

Le rapport avec la gestion de crise cyber est évident : quelle organisation avez-vous mise en place, à l’aune de cette analyse centralisée/décentralisée ? La théorie donne quatre pistes intéressantes.

Premièrement, en situation de crise, les décideurs laissent la place aux experts, dans le sens où le centre de gravité, qui en temps habituel est collé au processus de décision, bascule vers la technique : ce sont les ingénieurs et techniciens qui savent ce qu’il y a à faire et dans quel ordre. C’est en tout cas la position maintes fois affirmée par Christian Morel dans les trois tomes de son ouvrage Les Décisions absurdes.

Deuzio, la technique n’est pas hors sol. Certes les actions de remédiation face à une attaque malware sont ultratechniques, mais leur ordonnancement doit, à un moment donné, être confronté aux besoins des métiers. Remettre en marche un serveur ou un autre revient au même pour un adminsys, mais pour une MOA, par exemple dans la santé, la priorité entre le serveur de résultats des examens de biologie et la gestion des fournisseurs n’a rien d’équivalent. À ce titre, même si la technique est au centre, elle n’est pas isolée du reste de l’organisation. La décision « de crise » doit donc avoir comme entrant le terrain (et ce n’est pas si simple qu’il y paraît).

Tertio, tout comme les exemples ci-dessus des délires trumpiens ou du Covid en Chine, la centralisation des prises de décision est certes efficace sur le temps court, mais extrêmement piégeuse sur les temps moyen et long. Personne n’est durablement plus intelligent que le groupe : le Big Boss peut avoir raison une fois, deux fois, trois fois contre tout le monde, mais pas éternellement. À un moment, l’absence de décision collégiale va mener à la catastrophe, et dès lors qu’une crise se prolonge, ne pas mettre en place un mode d’organisation de type démocratique à contre-pouvoir est dangereux.

Enfin, et c’est une dimension pas souvent abordée, quand une crise dure des jours ou des semaines, si le mode de gestion est centralisé, même si le Big Boss est un surhomme/une surfemme de la prise de décision optimisée, il/elle n’est pas exempt(e) de fatigue ni de besoin de dormir. Vous ferez quoi quand il/elle piquera un roupillon ? Vous mettrez tout en stand-by et vous contenterez de prendre des notes à lui soumettre à son réveil ? C’est là que le collégial prend tout son sens.

Dans La Stratégie Ender d’Orson Scott Card, un des plus grands romans SF jamais écrits[1], le héros Ender finit par gagner la guerre intergalactique contre une espèce extraterrestre dénommée « les Doryphores » (un genre de civilisation d’insectes hyperévolués organisés comme des fourmis, avec une reine à leur tête), non pas en adoptant un mode de décision encore plus centralisé que le leur, mais au contraire en mettant en place une forme de délégation de très haut niveau avec des « lieutenants ».

En cas de crise, les prises de décision des premières heures doivent être totalement centralisées, mais il est indispensable que celles des jours suivants soient décentralisées ou neuronales.

Et vous, vous avez prévu quoi ?