Plan de gestion de crise : ce que certaines organisations font mal avant même que la crise commence

En 2024, la France a enregistré 67 830 défaillances d'entreprises — le niveau le plus élevé depuis plus de dix ans, selon Altares. Derrière ces chiffres, une réalité souvent ignorée : une proportion significative de ces organisations disposait d'un plan de gestion de crise. Certaines avaient même investi dans des outils, formé une cellule de crise, désigné un responsable. Elles ont quand même sombré.

Le problème n'était pas l'absence de plan. C'était la qualité de ce que le plan reposait.

Un plan de gestion de crise construit sans diagnostic préalable de vulnérabilités, c'est un édifice sans fondations. Il tient sur le papier, il peut même impressionner lors d'un audit réglementaire. Mais le jour où la crise arrive — incendie, intrusion, incident majeur, crise sociale, atteinte à la réputation — il se révèle inadapté à la réalité de l'organisation qu'il est censé protéger.

Cet article traite de la gestion de crise telle qu'elle se pratique réellement, pas telle qu'elle se décrit dans les PowerPoint. Il aborde les étapes, la structure, les erreurs systémiques et ce que les réglementations en vigueur imposent désormais aux organisations françaises.

Ce qu'on appelle "crise" a profondément changé

Pendant longtemps, la gestion de crise était associée à des événements exceptionnels : catastrophe naturelle, accident industriel grave, attentat. Des scénarios spectaculaires, relativement rares, auxquels on se préparait à la marge.

Ce modèle est obsolète.

En 2025, les crises auxquelles font face les organisations sont structurellement différentes : elles sont plus fréquentes, plus hybrides, et leur déclenchement est souvent difficile à identifier précisément. Une crise sociale liée à un management défaillant. Une agression grave d'un collaborateur qui fait le tour des réseaux sociaux en quelques heures. Un prestataire critique défaillant au pire moment. Un mouvement de panique dans un ERP. Une intrusion physique dans un local technique. Une rumeur infondée qui s'emballe.

Ce que ces situations ont en commun : elles ne s'annoncent pas. Elles s'amplifient vite. Et elles testent en temps réel la capacité d'une organisation à décider, coordonner et communiquer sous pression.

La directive NIS2, dont la transposition française est en cours d'adoption (projet de loi adopté au Sénat en mars 2025), va plus loin encore : elle impose désormais à environ 15 000 entités françaises, réparties en 18 secteurs critiques, de disposer d'un plan de gestion de crise régulièrement testé — et d'en apporter la preuve à l'autorité compétente. La directive REC (résilience des entités critiques), transposée simultanément, étend ces obligations au plan physique et organisationnel, au-delà du seul périmètre cyber.

Pour comprendre les implications de ces textes sur votre organisation, notre article dédié à la directive NIS2 et la convergence physique-cyber et notre analyse de la directive REC vous donnent le cadre réglementaire complet.

Le diagnostic avant le plan : l'ordre que la plupart des organisations inversent

La première erreur en gestion de crise est d'ordre méthodologique : on commence par rédiger le plan, puis on cherche à l'adapter à l'organisation. C'est l'inverse qu'il faut faire.

Un plan de gestion de crise efficace part des vulnérabilités réelles de l'organisation. Ces vulnérabilités sont spécifiques : elles dépendent de la nature des activités, de la configuration des locaux, du profil des publics accueillis, des dépendances aux prestataires, des antécédents d'incidents, des caractéristiques RH. Deux organisations du même secteur, de la même taille, installées dans la même ville peuvent avoir des profils de vulnérabilité radicalement différents.

C'est pourquoi nous commençons systématiquement par un audit de sûreté avant toute élaboration ou révision d'un plan de gestion de crise. L'audit de sûreté n'est pas une formalité administrative : c'est le socle sur lequel repose la pertinence de tous les dispositifs qui suivent.

Ce diagnostic permet d'identifier, pour chaque organisation :

➤ Les scénarios réellement plausibles — pas les plus spectaculaires, mais ceux qui correspondent aux menaces réelles de l'environnement, du secteur, du site. Un établissement de santé en zone urbaine n'a pas le même profil de crise qu'une usine en zone industrielle périphérique ou qu'un vignoble.

➤ Les points de fragilité organisationnelle — les interfaces défaillantes entre services, les silos décisionnels, les zones grises dans les responsabilités, les absences non couvertes.

➤ Les ressources réellement mobilisables — pas celles qui figurent dans l'organigramme, mais celles qui fonctionneraient effectivement à 23h un vendredi soir.

➤ Les signaux faibles déjà présents — incidents non documentés, tensions récurrentes, anomalies non traitées. Savoir lire les signaux faibles est une compétence qui s'apprend et qui change radicalement la capacité de détection précoce.

Sans ce travail préalable, le plan de gestion de crise est un document générique. Il décrit ce qu'une organisation idéale devrait faire face à des crises idéales. Il n'est pas conçu pour l'organisation réelle, confrontée à ses propres contraintes, dans son propre contexte.

Les quatre temps d'un dispositif de gestion de crise

La gestion de crise ne se réduit pas à la phase d'urgence. Un dispositif solide s'articule en quatre temps distincts, chacun avec ses exigences propres.

1. Avant la crise : la préparation

C'est la phase la plus longue et la plus déterminante. Elle comprend :

L'élaboration du plan lui-même. Un plan de gestion de crise est un ensemble documentaire, pas un document unique. Il comporte un document stratégique (principes directeurs, niveaux d'activation, gouvernance de crise), des fiches réflexes par type de scénario, des protocoles de communication interne et externe, un registre des contacts d'urgence actualisé, des procédures logistiques (locaux de repli, équipements de secours, accès aux ressources critiques) et les liens avec le Plan de Continuité d'Activité (PCA) et le Plan de Reprise d'Activité (PRA).

Il est important de distinguer le plan de gestion de crise du plan de mise en sûreté : les deux documents répondent à des logiques complémentaires mais distinctes, et les confondre génère des angles morts dans le dispositif.

La constitution et la formation de la cellule de crise. Une cellule de crise ne s'improvise pas. Sa composition, ses rôles, ses modes de fonctionnement doivent être définis, documentés et connus de tous les membres avant que la crise n'arrive. Nous revenons sur la cellule de crise en détail dans la section suivante.

Les exercices de simulation. Un plan qui n'a jamais été testé est un plan qui ne fonctionnera pas. Les simulations permettent de détecter les incohérences, de tester les chaînes décisionnelles, d'évaluer les réactions humaines sous pression. Le facteur humain en gestion de crise est systématiquement sous-estimé dans les dispositifs conçus uniquement sur le papier.

La formation opérationnelle des équipes. Former à la gestion de crise ne signifie pas dispenser une conférence annuelle sur "les bons réflexes en cas d'urgence". Il s'agit de construire des automatismes, des réflexes d'action, une capacité à agir de façon cohérente même sous stress intense. Ce que la neurologie du stress nous apprend sur la gestion de crise est fondamental pour comprendre pourquoi la formation classique échoue face à une vraie crise.

2. Pendant la crise : la réponse

C'est la phase la plus visible, mais pas nécessairement la plus complexe si la préparation a été sérieuse. Elle comprend trois registres simultanés :

La détection et l'activation. Identifier les signaux qui déclenchent l'activation du plan, graduer la réponse en fonction de la gravité évaluée, mobiliser les bons interlocuteurs dans les bons délais. C'est ici que la confusion entre gestion de crise et gestion d'urgence est la plus fréquente — les deux notions recouvrent des réalités très différentes et les confondre génère des dysfonctionnements opérationnels majeurs.

La gestion opérationnelle. La cellule de crise prend le relais. Elle analyse, décide, coordonne, documente. Chaque décision prise doit être tracée : non par obsession administrative, mais parce que la documentation en temps réel est la matière première du RETEX et, le cas échéant, d'une éventuelle justification juridique ou réglementaire.

La communication de crise. Elle doit être pilotée de façon centralisée, factuelle et cohérente dans le temps. La multiplication des prises de parole non coordonnées est l'une des causes les plus fréquentes d'aggravation des crises. Les réseaux sociaux constituent aujourd'hui un amplificateur considérable — leur gestion pendant une crise obéit à des règles spécifiques que l'organisation doit avoir anticipées.

3. La sortie de crise

Une crise ne se termine pas quand les opérations urgentes cessent. La sortie de crise est une phase à part entière, avec ses propres risques. Le relâchement prématuré, la fatigue des équipes, la reprise d'activité avant que la situation soit réellement stabilisée : ces erreurs sont fréquentes et prolongent inutilement les impacts.

La sortie de crise comprend le bilan des impacts (humains, opérationnels, réputationnels, financiers), la gestion de la communication post-crise, l'accompagnement des équipes et, le cas échéant, le déclenchement des dispositifs de continuité et de reprise d'activité.

4. Le RETEX : la phase qui fait la différence entre les organisations qui apprennent et celles qui répètent

Le retour d'expérience (RETEX) est la phase la plus négligée dans la pratique — et pourtant la plus formatrice. Une organisation qui ne capitalise pas sur ses crises, mêmes mineures, est condamnée à reproduire les mêmes erreurs.

Le RETEX ne doit pas être un exercice de recherche des responsabilités. C'est une analyse factuelle de ce qui a fonctionné, de ce qui a failli, et des ajustements à apporter au dispositif. Pourquoi la plupart des organisations passent à côté du RETEX et comment le conduire efficacement : nous l'avons traité en détail dans un article dédié.

La cellule de crise : composition et fonctionnement réels

La cellule de crise est souvent présentée comme une simple liste de noms. En pratique, son efficacité dépend de trois facteurs rarement abordés.

La composition doit être fonctionnelle, pas statutaire. L'erreur classique consiste à composer la cellule de crise en fonction de l'organigramme hiérarchique — ce qui conduit à y placer des décideurs dont le rôle en crise est stratégique mais pas opérationnel, et à oublier des acteurs dont la présence est indispensable (responsable de site, responsable RH, référent communication, prestataire de sécurité). La composition doit être dictée par les compétences nécessaires face aux scénarios identifiés lors du diagnostic, pas par les titres.

Les rôles doivent être précisément définis et connus. Un directeur de crise (qui décide et arbitre), un secrétaire de crise (qui documente en temps réel), un responsable de la communication (qui filtre et coordonne les échanges avec l'extérieur), des experts thématiques (technique, RH, juridique, sécurité) selon les scénarios. Chacun doit connaître son rôle avant que la crise n'arrive. La cellule de crise en situation d'urgence : sa mise en place et ses modes de fonctionnement sont détaillés dans notre article spécifique.

Les outils doivent avoir été testés. Une cellule de crise qui découvre que son application de communication interne ne fonctionne pas quand le réseau est saturé, que ses fichiers de contacts contiennent des numéros obsolètes, ou que son local de repli est inaccessible le week-end — c'est une cellule de crise qui va improviser au pire moment. Les outils doivent être testés, pas seulement listés.

Les erreurs les plus fréquentes que nous observons en diagnostic

En conduisant nos audits de préparation à la crise, nous retrouvons systématiquement les mêmes insuffisances, quelle que soit la taille ou le secteur de l'organisation.

Le plan n'a jamais été testé. Il a été rédigé, validé en réunion de direction, classé. Il n'a jamais été soumis à une simulation, même partielle. Les membres de la cellule de crise ne l'ont pas lu depuis la réunion de validation.

Les scénarios couverts sont génériques. Le plan prévoit des procédures pour "incendie", "intrusion", "accident grave". Il ne prévoit pas ce que fait l'organisation face à une agression d'un soignant filmée et diffusée en direct, à une coupure d'électricité pendant une réunion de direction, ou à l'absence simultanée de trois responsables-clés pendant une période critique.

Le plan ne distingue pas gestion de crise et gestion d'urgence. Les deux appellent des réponses différentes, des interlocuteurs différents, des temporalités différentes. Les confondre dans un même document produit un plan qui ne répond efficacement à aucune des deux situations.

La communication de crise n'est pas préparée. Aucun modèle de message, aucune chaîne de validation, aucun porte-parole désigné, aucune stratégie définie pour les réseaux sociaux. Le jour de la crise, la direction improvise sous pression — ce qui génère des messages contradictoires, des silences mal interprétés, des déclarations maladroites.

Le RETEX n'existe pas. Les crises passées n'ont pas été analysées. Les incidents mineurs n'ont pas été documentés. L'organisation n'apprend pas de ses expériences. Elle reste en permanence en mode réactif.

Les prestataires critiques ne sont pas intégrés au dispositif. Un prestataire de gardiennage, un mainteneur d'équipements de sécurité, un opérateur télécom critique : s'ils ne connaissent pas le plan, s'ils n'ont pas de procédures d'urgence définies avec l'organisation, leur défaillance ou leur lenteur de réaction peut déclencher ou aggraver une crise.

Ce que les réglementations imposent désormais

La gestion de crise n'est plus seulement une bonne pratique managériale. Elle est devenue une obligation réglementaire pour un nombre croissant d'organisations françaises.

NIS2 (directive européenne de décembre 2022, transposée en France via le projet de loi adopté au Sénat en mars 2025) impose à environ 15 000 entités françaises dans 18 secteurs de disposer d'un plan de gestion de crise testé régulièrement. Elle oblige à des procédures de notification d'incidents en moins de 24 heures pour l'alerte initiale, avec un rapport complet sous 72 heures. Les sanctions en cas de manquement peuvent atteindre 10 millions d'euros ou 2 % du chiffre d'affaires mondial pour les entités essentielles.

La directive REC (résilience des entités critiques), transposée simultanément, étend ces obligations à la dimension physique : sécurité des accès, continuité des activités essentielles, protection contre les menaces d'origine malveillante ou naturelle. Elle concerne notamment les opérateurs d'infrastructures critiques dans les secteurs de l'énergie, du transport, de la santé, des eaux et des services numériques.

DORA (Digital Operational Resilience Act), applicable depuis janvier 2025 pour les entités financières, impose des exigences similaires en matière de gestion des incidents opérationnels et de tests de résilience.

Ce que ces textes ont en commun : ils exigent non seulement l'existence d'un plan, mais la preuve qu'il est opérationnel — c'est-à-dire testé, actualisé et connu des équipes. Un document rangé dans un dossier partagé ne satisfait pas ces exigences.

Comment CARINEL aborde la gestion de crise

Notre approche repose sur un principe qui nous différencie de la plupart des acteurs du marché : le diagnostic précède toujours le plan.

Nous commençons par un audit de sûreté qui identifie les vulnérabilités réelles de votre organisation — pas les vulnérabilités théoriques d'une organisation de votre secteur. Cet audit s'appuie sur notre méthodologie RTA (Red Traffic Analyses) et sur le Security Circle Model (SCM), qui permettent d'évaluer votre dispositif de façon systémique, en intégrant les dimensions physiques, organisationnelles et humaines.

Sur la base de ce diagnostic, nous construisons ou révisons le plan de gestion de crise en l'ancrant dans les réalités concrètes de votre organisation : vos scénarios plausibles, vos ressources effectivement mobilisables, vos contraintes opérationnelles réelles. Nous organisons ensuite les exercices de simulation et formons vos équipes avec la méthodologie TASK, qui vise à construire des réflexes opérationnels, pas seulement des connaissances théoriques.

Notre page dédiée à la gestion de crise détaille notre offre d'accompagnement.

Pour évaluer votre niveau de préparation actuel, nous proposons un outil d'évaluation de la préparation de votre organisation face aux crises.

Synthèse : ce qu'un plan de gestion de crise doit contenir

Pour mémoire, voici les éléments indispensables à un plan de gestion de crise opérationnel :

🔵 Document stratégique : principes directeurs, niveaux d'activation, gouvernance et chaîne de décision

🔵 Fiches réflexes : une fiche par scénario identifié dans le diagnostic, avec les premières actions à conduire dans les 30 premières minutes

🔵 Organisation de la cellule de crise : composition, rôles, suppléants désignés, moyens de convocation

🔵 Protocoles de communication : interne (collaborateurs, encadrement, direction), externe (presse, réseaux sociaux, autorités, partenaires, familles)

🔵 Registre des contacts d'urgence : actualisé au minimum tous les six mois, accessible sans connexion internet

🔵 Ressources logistiques : local de repli, équipements de secours, systèmes de communication alternatifs

🔵 Liens avec le PCA/PRA : procédures de basculement en mode dégradé, critères de déclenchement

🔵 Procédures de RETEX : modalités de documentation en temps réel, calendrier d'analyse post-crise, circuit de mise à jour du plan

🔵 Calendrier d'exercices : au minimum un exercice complet par an, des exercices partiels (communication, cellule de crise) chaque semestre

Pour aller plus loin

Ce plan de gestion de crise s'inscrit dans un dispositif plus large de sûreté organisationnelle. D'autres dimensions méritent d'être approfondies selon votre contexte :

➤ La phase post-crise et le RETEX : renforcer l'organisation après l'épreuve

➤ Gestion de crise et réseaux sociaux : protéger sa réputation en ligne

➤ Le facteur humain en gestion de crise : l'art de la résilience organisationnelle

➤ Cerveau, stress et crise : pourquoi les réflexes ne s'improvisent pas

➤ Sécurité et sûreté : comprendre la différence pour mieux organiser votre protection

Votre organisation est-elle vraiment prête ?

Beaucoup d'organisations pensent l'être parce qu'elles ont un plan. La question n'est pas d'avoir un plan — c'est d'avoir le bon plan, fondé sur une connaissance réelle de vos vulnérabilités, testé par des exercices réguliers, connu de vos équipes.

Nos experts CARINEL accompagnent les organisations privées et publiques dans l'élaboration, la révision et le test de leurs dispositifs de gestion de crise — avec systématiquement un diagnostic préalable qui ancre le plan dans votre réalité.

📞 01 89 71 59 06

✉️ info@carinel.com

🌐 www.carinel.com

📅 Réserver une consultation gratuiteion