Conflits armés, changement climatique, crises multiples et diverses : l’instabilité s’invite dans les entreprises et leurs départements IT. Pour y faire face, le modèle VUCA cède peu à peu la place à la stratégie BANI. Explications.
VUCA décrit un environnement caractérisé par la Volatility (des changements rapides et imprévisibles), l’Uncertainty (la difficulté, voire l’impossibilité à prédire les événements futurs), la Complexity (l’interdépendance entre les événements et l’explosion des informations à gérer) et l’Ambiguity (l’impossibilité d’interpréter la masse d’informations et de réglementations disponibles).’ Qui aurait pu imaginer l’impact de la guerre en Ukraine sur la chaîne d’approvisionnement ou l’explosion des tarifs douaniers imposés par Trump, sans parler du déploiement de l’intelligence artificielle pour gérer la masse d’informations dont nous disposons sans en comprendre le fonctionnent’, cite à titre d’exemple Christian De Boeck, gérant chez SYNERGIT et BCI Chapter Leader for Belgium (le Business Continuity Institute réunit les professionnels de la continuité et de la résilience).
BANI comme réponse
Face à la succession de crises aux dimensions multiples (logistique, sociale, énergétique, environnementale ou encore géopolitique notamment), le modèle VUCA ne paraît plus suffisant. En cause, l’émergence de situations qui ne sont plus seulement instables, mais chaotiques. D’où l’émergence du concept BANI : B pour’brittle’ (fragile), sachant que les systèmes et structures sont de plus en plus instables et précaires ; A pour’anxious’ dans la mesure où les incertitudes engendrent de l’anxiété et de l’insécurité ; N pour’non linear’ puisque rien n’est désormais certain et évaluable à l’avance, les liens de cause à effet étant confus ; et I pour’incomprehensible’ avec des événements sans logique ou difficilement explicables.
‘ L’utilisation du terme VUCA pour décrire la réalité est de moins en moins pertinente, conclut Jamais Cascio, membre de l’Institut du Futur. Déclarer qu’un système est volatile ou ambigu ne nous apprend rien de nouveau. Désormais, les situations ne sont plus seulement instables, mais chaotiques.’
De la BC à la résilience opérationnelle
Pour le département informatique, la gestion de ces situations chaotiques implique de passer d’une stratégie de continuité d’activité (BC) à une approche de résilience opérationnelle.’ Il faut abandonner la notion de reprise après sinistre pour se préparer à faire face à n’importe quel type de situation, et notamment d’attaque’, poursuit Christian De Boeck. D’où une stratégie basée sur le travail d’équipe et la transversalité, avec une triple dimension : rétrospective, perspective et prospective.
Pour aider le département IT et la direction à faire ses choix, différentes législations et réglementations ont vu le jour, notamment au niveau européen. Et notamment DORA (Digital Operational Resilience Act), CRA (CyberResilience Act), NIS-2 (Network and Information Systems), CER (Critical Enterprise Resilience (CER), de même que l’IA Act, le Cloud Act ainsi que les normes ISO ou CSRD et les Objectifs de Développement Durable de l’ONU (sur la durabilité).
Réalité inquiétante
Dans son rapport 2024 sur la cyberrésilience, le BCI constate que les entreprises restent largement soumises aux risques cyber. Ainsi, si à peine 21,8% d’entre elles reconnaissent n’avoir détecté’ que’ de 1 à 5 incidents de cybersécurité au cours des 12 derniers mois, 13.9% ont détecté plus de 1.000 incidents annuels ! Et plus inquiétant encore, 25,7% déclarent ne pas être en mesure de quantifier le nombre d’attaques subies. Pourtant, 36,7% confirment avoir enregistré une hausse significative du nombre de cyberattaques, et 37,8% une’ certaine augmentation’.
Par ailleurs, le BCI Crisis Management Report 2024 indique que pour 38,5% des entreprises, les événements climatiques extrêmes représentent un risque majeur, tandis que 27 ,6% évoquent une panne d’un tiers (sur la chaîne d’approvisionnement notamment), 27,6% une cyberattaque et 19% un conflit armé, du vandalisme ou de l’activisme, 14,4% une catastrophe naturelle et 14,4% également une fuite de données.
Bref, anticiper devient le mot d’ordre…