Tirer des leçons d'un incident, comme tout sujet complexe, va demander un certain effort. Comment peut-on commencer à analyser tout cela de manière efficace et efficiente ?

Autorisation d'itérer

La première chose à savoir est que l'analyse d'un incident est itérative ; nous ne pouvons pas simplement donner un sens à toutes les données en même temps. Nous devons reconnaître que les enquêteurs commencent souvent sans aucune connaissance préalable (ou peut-être avec une connaissance superficielle) de l'événement, qui s'approfondit au fur et à mesure des lectures, des entretiens et des questions. Il est donc important de vous donner (et de donner aux autres !) la permission de vous tromper, de changer d'avis ou d'apprendre des choses entièrement nouvelles. Cela fait partie du processus de reconstitution d'un incident et nous aborderons cette idée à plusieurs reprises au fil des étapes ci-dessous.

Se familiariser

Vous avez collecté les données et vous avez probablement en tête une chronologie très approximative de l'incident. Il est utile de sortir cette chronologie de votre tête, afin de pouvoir la partager avec d'autres personnes pour la clarifier et la développer. Nous vous suggérons de le faire en construisant une chronologie narrative guidée par la compréhension que vous avez acquise jusqu'à présent. Commencez à raconter l'histoire de l'événement en identifiant les points clés de l'intrigue, comme le moment où un problème a été identifié, la manière dont les informations ont été acquises et partagées, les correctifs utilisés et le moment où la résolution a été obtenue.
De nombreux enquêteurs le font en compilant les données d'un document en sélectionnant, en surlignant, en mettant en gras, en coupant/collant des citations ou des éléments d'information clés. Si vous travaillez à partir d'une transcription, vous pouvez ajouter des codes ou des balises pour signaler leur signification. Ce faisant, vous faites plus que collecter des données. Vous construisez une histoire captivante que vous raconterez plus tard à votre organisation !

Développer l'histoire

Les humains aiment les histoires. Non seulement nous les apprécions, mais elles nous permettent d'apprendre plus efficacement ! Notre objectif est de prendre toutes ces informations que nous collectons et de les transformer en un récit. Comme toute bonne histoire, votre incident aura un début, un milieu et une fin. Comment votre incident a-t-il commencé ? Avec une demande d'assistance client, ou peut-être un déploiement effectué avant le début de l'incident ? Le milieu sera rempli de revers, de mystère et de triomphe. Et puis, la fin toujours importante. La fin ? Y a-t-il eu des bavardages après le feu vert pour discuter des retombées et de la réparation ? Peut-être un présage de plus à venir ?
Une fois que vous aurez pris connaissance de l'incident, vous aurez probablement déjà commencé à élaborer une histoire naissante. Au fur et à mesure que vous lirez, apprendrez, écouterez et interviewerez, vous découvrirez de nouveaux rebondissements, des tournants et des digressions convaincantes qui méritent d'être étudiées.
Ces détails se manifesteront souvent sous forme de questions : « Pourquoi cela s'est-il produit ? » ou « Comment ont-ils su qu'il fallait faire ça ? » « Mais qu'est-ce que c'est que ce consul ? » Ce sont toutes d'excellentes notes que vous pourrez prendre et suivre. Au fur et à mesure que vous développerez la chronologie narrative, vous commencerez à séparer les données importantes et pertinentes collectées de toutes les données de base.
Le récit que vous construisez va se développer au fur et à mesure que vous apprendrez. Nos questions et nos notes s'accumuleront et nous commencerons à examiner ces notes et à décider comment obtenir des réponses à ces questions. De nouveaux thèmes émergeront et certaines questions reviendront sans cesse.

Entretiens

Si vous avez choisi de mener des entretiens au cours de cette analyse, vous aurez probablement une liste de candidats maintenant . Il s'agit de personnes pour lesquelles vous avez des questions à poser en raison de votre marquage ou qui ont joué un rôle clé. Utilisez ces conversations comme un moyen de vérifier votre chronologie naissante et d'explorer les questions que vous avez notées lors de votre analyse initiale. Au fur et à mesure que vous prenez des notes supplémentaires, que vous clarifiez ou ajoutez des balises, vous ajouterez également d'autres questions. Votre interlocuteur peut aborder des sujets que vous n'avez pas encore approfondis, ou vous pouvez entendre de nouvelles informations qui nécessitent un peu plus de réflexion.
Cette situation de question fractale peut sembler insoluble à la lecture de ces lignes, mais chaque entretien renforce également l'histoire. Votre jugement vous aidera à déterminer quelles idées méritent d'être approfondies. Encore une fois, c'est l'occasion d'itérer : les informations que vous obtenez de vos entretiens peuvent faire apparaître de nouveaux sujets, rendre d'anciens moins pertinents ou renforcer des thèmes existants. Vous utilisez votre formidable cerveau pour intégrer ces sujets récurrents, nouveaux ou critiques dans une histoire bien plus riche qu'une simple chronologie sèche des événements. Vous peaufinerez le récit à chaque entretien, en entrelaçant les ajouts des personnes interrogées avec les autres découvertes.
Au fil de vos itérations, certaines questions peuvent être laissées de côté. Peut-être qu'elles ne se sont pas avérées aussi importantes que vous le pensiez, ou peut-être que les informations n'étaient pas disponibles. À moins que vous n'ayez eu un temps illimité pour enquêter, l'objectif n'est pas de répondre à toutes les questions. Le seul objectif est d'en savoir plus sur l'incident, afin d'en tirer des leçons. Vous pouvez rencontrer des questions sur vos systèmes auxquelles vous n'avez pas le temps de répondre, soit parce qu'elles sont trop volumineuses, soit parce que vous ne parvenez pas à rassembler les bonnes informations assez rapidement. Et ce n'est pas grave ! Capturer ces nouvelles lignes de questions, même sans réponses, peut éclairer les enquêtes futures. Vous découvrirez peut-être plus tard que la question s'est posée lors de plusieurs incidents et que l'investissement peut en valoir la peine.

Raffinement

Au fur et à mesure que vous continuez à répéter l'expérience, vous remarquerez que votre récit et votre compréhension de l'incident commencent à se solidifier. Vous commencerez à entendre des refrains similaires de la part de vos interlocuteurs ou à voir des tendances dans les données que vous examinez. Peut-être que plusieurs des interlocuteurs mentionnent qu'un système n'a pas vraiment de propriétaire, que les créateurs originaux sont passés à autre chose et que personne ne le comprend bien. Vous pouvez noter cela et le poser sous forme de question aux autres interlocuteurs et chercher à obtenir une confirmation ou un rejet. Les données et les interlocuteurs, ainsi que votre connaissance de l'organisation et de ses systèmes, vous guideront dans la manière de choisir et d'affiner ces thèmes en développement.
De nombreux moments clés peuvent ne pas relever de l’idée traditionnelle « détecter, diagnostiquer, préparer ». Les rebondissements, les tournants, les impasses, les triomphes, les échecs, les coïncidences et les heureux hasards qui composent la complexité des systèmes modernes viendront agrémenter vos notes. Ces joyaux sont des occasions d’apprendre. Ces moments mettent en évidence les points où l’idée de la façon dont les choses fonctionnent diffère de la façon dont elles fonctionnent réellement. Faites preuve de jugement en tant qu’enquêteur pour décider quels éléments sont les plus pertinents pour comprendre le contexte de l’incident et lesquels peuvent être les plus utiles à discuter avec votre public. Si les questions de vos notes n’ont pas de réponses claires, restez à l’écoute pendant que vous répétez. Certaines questions deviendront plus claires. Certaines choses que vous avez notées ne trouveront peut-être jamais de réponses claires, et c’est normal. Elles peuvent indiquer une lacune dans l’organisation ou quelque chose qui peut nécessiter un investissement supplémentaire. Vous pouvez décider de poser ces questions lors de l’examen ultérieur de l’incident pour créer une discussion ou proposer de futures pistes d’investigation. J’ai vu de nouvelles équipes se former spécifiquement pour répondre à des questions particulièrement épineuses !
Entre les entretiens, revenez sur vos données de marquage et vos notes. Réfléchissez à votre récit en examinant les données avec de nouvelles idées et considérations. De nouvelles questions surgissent-elles ? Certains comportements ont-ils désormais plus (ou moins !) de sens ? Cette réflexion affine le récit et définit les prochaines étapes (le cas échéant) que vous suivrez.
À ce stade, vous avez probablement élaboré une histoire intéressante à partir de vos notes, de vos entretiens et de vos découvertes. Vous avez passé du temps sur des choses qui n'ont pas fonctionné, mais vous avez également découvert quelques pépites intéressantes que vous ne connaissiez pas avant de commencer. Vous pourriez même être un peu enthousiasmé par le récit que vous avez élaboré, car vous avez entrevu certaines idées ou découvert une situation dans laquelle la façon dont vous pensiez que quelque chose fonctionnait ne correspondait pas. Peut-être même vous êtes-vous fait de nouveaux amis !

Mettre tous ensemble

Raconter de bonnes histoires à travers votre analyse peut transformer un événement malheureux en une excellente et passionnante opportunité d’apprentissage. Votre modèle initial de la façon dont l’incident a commencé et s’est terminé peut être factuellement correct, mais le récit que vous façonnez en tant qu’analyste est enrichi et approfondi par votre collection d’histoires d’autres humains. En tant que créateur du récit – auteur de l’histoire – votre investissement est largement rentabilisé lorsque d’autres entendent l’histoire et en tirent des enseignements. Les chronologies et les numéros de ticket ont leur place, mais les histoires restent gravées dans notre cerveau et nous permettent de tirer des leçons précieuses d’une manière qu’aucune chronologie d’incident ne peut le faire.

Pour des informations plus détaillées sur ces sujets et d'autres, vous pouvez toujours consulter le Howie : Le guide post-incident .