Prvention.

Confronts des dangers multiples, les industriels ont tout intrt recenser
l'ensemble des situations qui peuvent mettre en pril leur organisation.
Attentats sanglants contre des intrts occidentaux, intervention brutale des autorits russes
dans le fonctionnement des affaires, envole de l'euro qui pnalise les exportations franaises...
Pour les industriels, l'valuation des risques auxquels ils peuvent tre confronts est devenue un
exercice hautement alatoire et particulirement mouvant. Selon le premier baromtre du riskmanagement, ralis par la socit de conseil Proviti auprs de 100 directeurs financiers (1), le
reporting en la matire demeure encore notoirement insuffisant. 40 % des entreprises franaises
interroges confient n'avoir pas encore mis en place de tableau de bord ddi aux risques, moins
d'une entreprise sur deux ralisant une vritable cartographie.
Ce nouvel outil a fait son apparition dans les sphres hexagonales industrielles, il y a quelques
annes seulement. Son objectif ? Reprsenter et hirarchiser l'ensemble des situations qui
peuvent menacer une organisation, d'un incendie dans un entrept la dfaillance d'un client
important en passant par une flambe du prix des matires premires ou le dpart d'un homme
cl.

Premire phase de la dmarche : l'identification

La cartographie constitue pour le responsable de la gestion des risques aussi bien un outil de
pilotage des risques qu'un moyen de communication sur ceux-ci , dfinit Marc Sabatier, associ
chez Sterwen Consulting, cabinet spcialis dans la matrise des risques. Pour l'entreprise et
les parties prenantes son environnement (actionnaires, autorits rglementaires...), ce support
permet d'apprhender les risques critiques dans un contexte de contraintes de plus en plus fortes
- loi de scurit financire, loi sur les risques industriels, loi NRE - et d'apparition de dangers
inconnus auparavant, confirme Guillaume de Chatellus, responsable de l'activit matrise des
vulnrabilits de l'entreprise chez le courtier Gras Savoye. Et il fournit aussi aux assureurs une
visibilit indispensable pour l'optimisation financire des programmes d'assurance .
Premire phase de la dmarche : l'identification. Celle-ci peut tre obtenue de deux manires
diffrentes. Soit selon la mthode dite bottom-up , qui consiste effectuer une remonte des
risques du terrain vers les personnes en charge de l'laboration de la cartographie. Soit selon la
mthode top-down , o le responsable descend chercher l'information. Dans le premier cas, le
travail est effectu de manire relativement libre et ouverte par les personnes les plus proches
possibles de l'activit, gnralement sous la forme d'interviews. Exemple chez Total, lors de
l'laboration d'une cartographie l'chelle d'une division, d'une branche ou d'une business unit.
Des managers de l'entit sont rassembls dans un laps de temps assez court - une journe en
gnral - pour lister les principaux risques critiques affectant leur activit. Puis, ils sont invits
s'exprimer sur deux dimensions : ce risque est-il majeur ou non ? Est-il bien matris ? Grce
cette auto-valuation, le patron de l'entit qui a dirig la dmarche partage avec son quipe une
vision commune de l'entreprise. C'est une excellente manire de faire du team building ,
affirme Michel Piaton, directeur de l'audit groupe du gant ptrolier. Par souci d'efficacit, les
spcialistes conseillent d'utiliser une grille dtermine l'avance afin de s'assurer que tous les
types de dangers possibles seront bien voqus au cours des interviews.
Chez Areva, qui a entam un processus de cartographie depuis deux ans et qui est en train de
raliser une deuxime dition au niveau des tablissements, des business units et des
principales filiales (Cogema, Framatome-ANP...), la direction des risques et assurances a labor

une procdure de rfrence : le BRM (Business Risk Model), o chaque risque est dfini et des
exemples prcis dtaills. Dans bien des cas, nous utilisons les dfinitions fournies par les
normes ISO afin de disposer d'un vocabulaire connu des oprationnels et international. Pour les
risques n'ayant pas de dfinition norme ( risque client, risque fournisseur, risque politique, risque
partenaire...), nous avons repris des dfinitions courantes ou celles des assureurs. Les exemples
sont toujours pris dans le contexte de nos activits. Derrire chaque risque, tout manager doit
rflchir son valuation et la faon de le traiter , prcise Guy Lamand, directeur des risques
et assurances du groupe.
L'identification bottom-up est souvent utilise pour une cartographie globale, alors que la
mthode top-down est gnralement plbiscite pour des cartographies thmatiques
(environnement, informatique, dommage, responsabilit civile...). Dans ce cas, l'identification
s'effectue de manire plus ferme, le sujet cibl pouvant permettre l'laboration de
questionnaires relativement exhaustifs par les personnes en charge de la dmarche. Selon
l'ampleur du projet, les pilotes de la cartographie se trouvent soit en interne (audit interne,
direction des risques), soit en externe (consultants, courtiers, experts thmatiques). Bien
entendu l'ensemble des acteurs oprationnels, responsables de la gestion effective des risques,
constitue la principale source d'informations , souligne Alphonse Kugeler, senior vice-president
business risk control chez Arcelor, une structure runissant la fois l'audit et la gestion du risque
et qui pilote les cartographies du groupe tous les chelons.
Si l'intrt d'une cartographie rside en ce qu'elle peut aider dterminer de manire optimale
les actions correctives mettre en place pour amliorer le profil des points sensibles, il est
important de dterminer les zones inacceptables , acceptables et pleinement
satisfaisantes . Pour un mme type de cartographie, la dtermination de ces seuils dpendra de
l'activit de l'entreprise concerne et de son apptit pour le risque.

Deux composantes : la probabilit et la gravit

Ainsi, un groupe ptrolier, prsent dans le Moyen-Orient agit d'aujourd'hui, peut considrer le
risque gopolitique comme acceptable dans la mesure o il n'a gure le choix de dlaisser
une rgion concentrant une part substantielle des rserves d'hydrocarbures, alors qu'une
multinationale vendant des biens de consommation dans le monde entier pourra surseoir
d'ventuels projets dans la rgion. En fonction de ce postulat, un certain nombre de plans
d'actions seront labors. Pour diminuer le risque, il est possible d'agir sur ses deux
composantes, la probabilit et la gravit, en allouant certaines ressources pour amliorer le profil
des risques , crit le chercheur Gilbert de Mareschal (2), qui utilise l'exemple d'une intrusion
informatique. Si la mise en place d'un firewall permet assurment de diminuer la probabilit
d'intrusion, en revanche, si cette dernire russit, le firewall ne permettra en rien de rduire
les dgts possibles.

Le processus ne constitue pas une fin en soi

Si l'on dcide d'agir sur la gravit, dans ce cas, la dconnexion d'un certain nombre d'ordinateurs
du rseau permettra de rduire la gravit du risque. Ce seront certes autant d'ordinateurs qui ne
pourront tre touchs par une intrusion mais cela ne diminuera en rien la probabilit d'intrusion
sur le rseau. Il est possible d'agir sur les deux , poursuit Gilbert de Mareschal.
Autre cas : le risque incendie d'un hangar de stockage de produits inflammables qui ne possde
pas d'amnagement intrieur. La mise en place de cloisonnements intrieurs ignifuges permettra

de rduire la probabilit, en diminuant le risque de dpart de feu, puisque le cloisonnement isole

les produits stocks de tout chauffement extrieur. Il rduira aussi la gravit en diminuant le
volume de produits dtruits en cas de feu, car si celui-ci dmarre en un point du stockage, il sera
contenu par le cloisonnement.
La cartographie des risques n'a d'intrt que si elle constitue le point de dpart d'un processus
de traitement des risques, prvient Guillaume de Chatelus. Cela peut se dcomposer en la mise
en place d'une procdure de contrle rcurrente, d'indicateurs et d'outils informatiques pour le
suivi des risques spcifiques, de plans de rduction et de financement . L'la- boration de la
cartographie, qui fait figure de photographie un instant donn du profil des risques, peut tre
bnfique en elle-mme par la diffusion d'une culture et d'un langage commun sur les risques,
mais son aspect statique constitue incontestablement son point faible. Ce n'est pas une fin en
soi, il s'agit d'un processus itratif qu'il convient de faire vivre, insiste Jean-Pierre Girault, la
direction des risques et assurances chezSchneider Electric. Etant donne la dure de mise en
oeuvre d'un tel projet, lorsque la cartographie est prte, elle est souvent dj fausse car, entretemps, la situation a volu .
Modifie en permanence, la cartographie aura pour mrite d'observer l'impact des plans
d'actions, de les rajuster ventuellement et d'en dfinir de nouveaux. Cependant, comme le
rappelle Chris Lajtha, directeur de la gestion des risques chez Schlumberger, auto-diagnostic
sur les faiblesses internes de l'organisation et ce titre outil fort utile pour le management, la
cartographie des risques ne doit rester qu'un des lments de la palette de vigilance face aux
incertitudes du monde conomique.