En période de crise, le pire ennemi n'est pas toujours l'événement lui-même : c'est l'incapacité à décider vite et juste. Vous avez peut-être un plan de gestion de crise (Crisis Management Plan, CMP) très complet, mais si la matrice de décision n'est pas claire au moment T, le plan ne sert à rien. Le framework RAPID (popularisé par Bain & Company) répond à ce problème en attribuant à chaque décision 5 rôles distincts plutôt qu'un vague RACI ambigu. Cet article montre comment l'appliquer dans votre plan de gestion de crise.
Le framework RAPID en 5 lettres
Chaque décision identifie 5 acteurs (qui peuvent être individuels ou collectifs) :
| Lettre | Rôle | Question |
|---|---|---|
| R — Recommend | Recommande | Qui prépare la recommandation ? |
| A — Agree | Approuve | Qui doit donner son accord (veto) ? |
| P — Perform | Exécute | Qui met en œuvre la décision ? |
| I — Input | Informe | Qui apporte des éléments factuels ? |
| D — Decide | Décide | Qui tranche en cas de désaccord ? |
Différence clé avec RACI (Responsible, Accountable, Consulted, Informed) : RAPID sépare la recommandation de la décision, ce qui force la chaîne de décision à expliciter qui prépare et qui tranche. En crise, c'est crucial.
Application dans un plan de gestion de crise
Dans un CMP aligné ISO 22361, on retrouve typiquement 8 décisions structurantes en mode crise. Voici une matrice RAPID type pour une PME industrielle de 200 personnes :
| Décision | R | A | P | I | D |
|---|---|---|---|---|---|
| Activer la cellule de crise | BCM Manager | DG | DSI/DAF/DRH | Sécurité | DG |
| Communiquer en externe | Comm | DG, DJ | Comm + Marketing | Tous | DG |
| Notifier l'ANSSI/CSIRT | DSI/CISO | DJ | CISO | Sécurité, BCM | CISO |
| Stopper une production | Resp. site | Direction Industrielle | Resp. site | Qualité, Sécurité | DG |
| Activer un plan B fournisseur | Achats | DAF, DG | Achats | DSI, Logistique | DAF |
| Recalibrer RTO/RPO | DSI | BCM Manager | DSI, Cloud | BIA owners | CISO |
| Invoquer la force majeure client | Comm | DJ | Comm + Sales | DJ, BCM | DG |
| Clôturer la crise | BCM Manager | DG | BCM | Tous | DG |
Cette matrice doit vivre dans votre plan de gestion de crise, pas dans un document orphelin. Elle est validée à froid (en COMEX) et révisée après chaque exercice tabletop.
Erreurs courantes
Erreur 1 — Confondre A (Agree) et D (Decide)
A = pouvoir de veto. D = pouvoir de trancher en dernier ressort. Si A et D sont la même personne, il n'y a pas de système de double-vue. Si plusieurs personnes ont D, vous bloquerez en désaccord.
Erreur 2 — Trop d'A
Plus vous avez d'A (Agree) sur une décision, plus la décision sera lente. Limitez à 1 ou 2 maximum. En crise, A se réduit souvent à zéro pour les décisions opérationnelles court-terme.
Erreur 3 — Pas de R explicite
Sans R, la décision arrive "nue" devant le D. Le D n'a pas de proposition concrète à valider/refuser. Le débat s'enlise. R = la personne qui pré-mâche le travail.
Erreur 4 — I (Input) flou
I doit lister des personnes ou des systèmes spécifiques, avec un délai de réponse. "Demander à l'équipe IT" n'est pas un I. "L'astreinte IT répond en 15 min sur le statut des sauvegardes" est un I correct.
Intégration dans le BCMS
Un plan de gestion de crise sans matrice RAPID = vœux pieux. Pour l'intégrer dans votre BCMS :
- Cartographier les 8–15 décisions structurantes de votre CMP.
- Documenter une ligne RAPID par décision.
- Tester en exercice tabletop : on chronométre chaque décision et on vérifie qu'elle a été prise par le bon D.
- Réviser après chaque crise réelle dans le REX.
- Stocker la matrice dans un référentiel partagé, accessible 24/7, pas dans un Word sur un partage local.
ResiPlan fournit ce gabarit dans le module Crisis Management Plan (/features/crisis-gaming). La matrice RAPID est versionnée, signée par le DG, et accessible depuis le tableau de bord cellule de crise.
RAPID vs RACI vs DACI : que choisir ?
| Framework | Force | Faiblesse | Quand l'utiliser |
|---|---|---|---|
| RACI | Très répandu | Confond C (Consulted) et A (Accountable) | Projet long, faible enjeu décisionnel |
| DACI | Distingue Driver et Approver | Manque de "perform" explicite | Projet produit |
| RAPID | Sépare R et D, force la mécanique de décision | Plus complexe à internaliser | Crise, gouvernance haute, M&A |
Pour un plan de gestion de crise sous ISO 22361 ou aligné NIS2, RAPID est notre recommandation.
Exemple en exercice tabletop
Scénario : cyberattaque ransomware détectée à 03h22.
- T+0 (équipe d'astreinte) : I = SOC, BCM, DPO. R = CISO. A = ø. P = équipes IT. D = CISO.
- T+15 min (escalade niveau crise) : R = CISO + BCM Manager. A = DG. P = DG (décision activation cellule). I = DSI, DJ. D = DG.
- T+45 min (notification CSIRT) : R = CISO. A = DJ. P = CISO. I = BCM, Comm. D = CISO (avec gardefou DJ).
- T+2 h (communication externe) : R = Comm. A = DG, DJ. P = Comm + Marketing. I = Sales (clients impactés). D = DG.
Cette explicitation réduit le temps moyen de décision de 30–60 % dans les exercices observés. Voir 10 scénarios d'exercice de crise.