D’un côté, les opérations d’exploitation récurrentes, qui occupent l’essentiel du temps des équipes. De l’autre, l’exceptionnel : la crise, l’attaque… Qui s’en charge ? Doit-on alléger les équipes de production pour y répondre ? Ou bien maintenir des équipes de spécialistes dédiés à la crise ? Une sorte d’équipe SWAT de luxe, coûteuse et relativement peu sollicitée ?

Il y a probablement en la matière autant de modèles d’organisation qu’il y a d’entreprises. Le CERT-IST a en réuni quelques unes lors de son Forum 2013, afin qu’elles partagent leur modèle d’organisation.

Première approche, chez GDF Suez : « Le récurrent est de plus en plus industrialisé, automatisé ou externalisé. L’exceptionnel, en revanche, est évidemment plus difficile à standardiser ou à externaliser, et il est donc géré par les équipes internes« . Dans ce modèle, donc, les économies réalisées par l’industrialisation des processus ou par l’externalisation, permettent de confier à une équipe interne les tâches plus intéressantes de réponse aux incidents. Mais attention : il doit exister malgré tout des passerelles entre les deux univers. « On reboucle sur le récurrent après l’incident afin d’améliorer les pratiques et les processus. Si on ne le fait pas on accroit progressivement la charge de travail des équipes chargées de gérer l’exceptionnel« .

Changement de méthode à la Française des Jeux : « Nous nous appuyons sur un plan de mobilisation. Les éléments les plus experts font aussi du récurrent, mais nous savons les mobiliser rapidement pour traiter l’exceptionnel quand nécessaire« . Une telle organisation exige de tenir à jour une « cartographie » précise des domaines d’expertise de chacun et une liste des éléments rapidement mobilisables, qui ne doivent donc pas être affectés à des fonctions de production critiques. L’intérêt d’une telle méthode réside dans la grande proximité entre les équipes. « Les experts mobilisables peuvent ainsi être rapidement mis à profit pour relever le niveau de vigilance en période de risque accru (par exemple un exploit majeur fait le tour). On reste ainsi dans l’opérationnel mais l’on peut mettre ponctuellement à contribution les ressources de l’exceptionnel« .

Chez Sanofi, le découpage se fait plutôt entre des équipes locales en charge à la fois du récurrent et du préventif, et la sécurité Groupe. L’exceptionnel est pris en charge par cette dernière, qui en dehors des crises a également comme mission d’assister et de conseiller.

Enfin, chez BNP Paribas la situation est quelque peu différente grâce à la présence d’un CSIRT interne (le voilà donc notre SWAT !). « Notre CSIRT est uniquement destiné à la lutte contre la malveillance, et c’est déjà assez pour occuper l’équipe au quotidien ! Le reste, quand ça touche la production, est géré par les équipes de production et de sécurité« . Mais là aussi, comme chez GDF Suez, l’on prend bien garde à marquer la distinction entre récurrent et exceptionnel en sortie de crise. « Le risque, sinon, c’est de demander aux équipes qui gèrent l’exceptionnel de trouver des méthodes de contournement et de les maintenir ensuite. Et donc progressivement de ne plus traiter la malveillance« .

Et vous, comment vous organisez-vous ?