Concevoir des systèmes qui nous survivent

Le week-end dernier, mon père est décédé. S'il lisait ceci, il se plaindrait probablement que je rends la situation plus philosophique que nécessaire. Il avait une vision assez pragmatique de la mortalité, et j'ai tendance à être d'accord avec lui. Nous étions tous deux darwinistes. La mortalité n'est pas mystique, pas poétique, et certainement pas un message cosmique. C'est une certitude biologique. Les organismes cessent de fonctionner. Les processus se terminent. La partie difficile de la mort n'est rarement pas la personne qui meurt, mais les personnes et les systèmes qui restent. Au cours de la semaine passée, quelqu'un m'a partagé une phrase de la tradition juive : « Que sa mémoire soit une bénédiction. » J'aime cette phrase car elle est moins sentimentale qu'il n'y paraît. Elle porte une instruction pratique : se souvenir, transmettre et rendre utile ce qui reste. Cette idée a un parallèle surprenant dans la façon dont les organisations pensent la résilience.

Le point unique de défaillance négligé

Les professionnels de la sécurité passent beaucoup de temps à modéliser les adversaires. La planification de la continuité des activités se concentre sur les catastrophes, les pannes et les défaillances d'infrastructure. Des équipes entières existent pour garantir que les systèmes continuent de fonctionner lorsque le matériel tombe en panne ou que les réseaux s'arrêtent. Pourtant, l'un des points uniques de défaillance les plus courants dans les organisations n'est ni technique ni malveillant. C'est l'absence humaine. Un architecte clé devient indisponible. Un administrateur principal quitte son poste de manière inattendue. Un fournisseur disparaît. Quelqu'un cesse simplement de répondre au téléphone. Dans chaque cas, la perturbation vient rarement de l'absence elle-même, mais de la connaissance qui disparaît avec la personne. Lorsque cela se produit, quelque chose de subtil mais d'important est perdu : le raisonnement non documenté, l'intention architecturale, les raccourcis opérationnels qu'une seule personne comprenait, et les décisions qui n'ont jamais été écrites parce que « tout le monde était déjà au courant ». Dans les organisations, la seconde mort se produit souvent lorsque la connaissance meurt avec la personne qui la détenait.

Mémoire fragile au sein des organisations

De nombreux risques opérationnels qui semblent techniques sont en réalité des formes de mémoire fragile. Un processus non documenté est une mémoire fragile. Des identifiants connus d'un seul administrateur sont une mémoire fragile. Un système que seul un ingénieur comprend entièrement est une mémoire fragile. Ce qui ressemble parfois à de l'expertise ou à de l'efficacité peut, en réalité, être une concentration de risque opérationnel. Les organisations ne le découvrent généralement que lorsque la personne détenant cette connaissance devient soudainement indisponible. En théorie, la plupart des équipes comprennent cela. En pratique, la documentation est reportée, les processus restent informels et les connaissances restent concentrées simplement parce que toutes les personnes impliquées sont occupées à maintenir les choses en marche. Jusqu'au jour où quelqu'un n'est plus là.

Ce que signifie réellement la résilience

La résilience est souvent discutée en termes techniques. Les équipes d'infrastructure conçoivent des systèmes distribués de sorte que la défaillance d'un seul serveur n'entraîne pas l'arrêt d'un service entier. Les données sont répliquées entre les sites, et les systèmes critiques sont construits avec redondance afin que les opérations puissent continuer lorsque des composants individuels échouent. Ces principes sont bien compris en ingénierie. Les organisations, cependant, n'appliquent pas toujours la même réflexion à la connaissance. Lorsque la compréhension opérationnelle vit entièrement dans la tête d'une personne, l'organisation hérite de la même fragilité qu'un système construit autour d'un seul serveur sans sauvegarde. La défaillance peut ne pas se produire souvent, mais lorsqu'elle se produit, les conséquences peuvent être disproportionnées. Les systèmes résilients supposent que les composants finiront par cesser de fonctionner. Les organisations devraient probablement faire la même supposition à propos des personnes. Non pas parce que les gens sont peu fiables, mais parce que l'absence est inévitable.

Concevoir pour l'absence

Concevoir des organisations résilientes nécessite donc plus qu'une redondance technique. Cela nécessite de traiter la connaissance comme faisant partie de l'infrastructure opérationnelle. Cela signifie documenter les décisions et les processus même lorsque toutes les personnes actuellement impliquées les comprennent. Cela signifie distribuer la connaissance opérationnelle entre les équipes au lieu de la concentrer sur un seul expert. Cela signifie s'assurer que les identifiants, les systèmes et les procédures restent accessibles même lorsqu'une personne est indisponible. Aucune de ces pratiques n'est particulièrement glamour. La plupart d'entre elles sont administratives plutôt que techniques. Pourtant, elles font souvent la différence entre les systèmes qui continuent de fonctionner et les systèmes qui stagnent lorsque des personnes clés disparaissent. La résilience, en ce sens, ne consiste pas à prévenir la perte. C'est impossible dans la biologie comme dans les organisations. La résilience consiste à s'assurer que le système continue lorsque la perte se produit inévitablement.

La mémoire comme infrastructure

« Que sa mémoire soit une bénédiction » est souvent compris comme une réflexion sur le souvenir. Il peut également être interprété comme un principe pratique. Transmettez ce qui comptait. Rendez la connaissance utilisable. Assurez-vous que ce que quelqu'un a construit ne disparaisse pas simplement parce qu'il n'est plus là pour l'expliquer. Les organisations qui traitent la connaissance institutionnelle comme une infrastructure ont tendance à mieux résister aux perturbations que celles qui s'appuient uniquement sur les individus. Leurs systèmes continuent de fonctionner car la compréhension derrière ces systèmes a été partagée, documentée et distribuée.

Une conclusion pratique

Mon père me dirait probablement d'arrêter de philosopher et de retourner au travail. Il n'aurait pas entièrement tort. Aucun de nous n'est permanent. Mais les systèmes que nous construisons peuvent nous survivre s'ils sont correctement conçus. Passez du temps avec les personnes qui comptent. Et concevez vos systèmes pour l'absence. Ce n'est pas hypothétique.