Vous êtes sur la page 1sur 11

Autodiagnostic des risques en PME

Introduction

La maîtrise des risques représente un enjeu majeur puisqu’elle permet à l’entreprise d’éviter de subir des pertes face à des risques auxquels l’exposent ses propres vulnérabilités.

La maîtrise des risques consiste non seulement à identifier et anticiper l’ensemble des risques auxquels elle est exposée (notamment à travers un dispositif de veille), mais également à connaître et réduire ses propres vulnérabilités.

Si l’analyse des risques et vulnérabilités est généralement considérée comme une démarche de spécialistes, elle concerne trop l’entreprise pour que ses dirigeants n’en maîtrisent pas la démarche. Ce chapitre présente une méthode et un outil d’autodiagnostic simple et rapide, destiné principalement aux dirigeants de PME.

La première partie présente quelques éléments théoriques indispensables à la bonne compréhension du problème, tandis que la seconde partie présente la méthode et l’outil de diagnostic.

1Eléments théoriques de la maîtrise des risques

Nécessité d’une approche globale

Aujourd’hui il n’est plus question considérer la sécurité de l’entreprise comme une somme de sousensembles plus ou moins indépendants au niveau organisationnel. Selon le concept de sécurité globale, plus adapté à la réalité environnementale complexe de l’entreprise, on parlera plus volontiers de système ou chaîne sécuritaire qui dépend de son maillon le plus faible.

La maîtrise des risques est par conséquent abordée de manière globale ou systémique, en tenant compte des interrelations entre différents éléments constitutifs de l’entreprise (personnel, structures, organisation, environnement).

Quelques exemples :

1) La disparition d’un acteur clé de l’entreprise, détenteur de savoirs (la mémoire de l’entreprise) et de savoir faire clés, peut avoir diverses origines : départ à la retraite, démission, débauchage, suicide, etc. Si le départ à la retraite est prévisible et gérable, il n’en est pas de même pour les autres. Or une disparition soudaine aura pour effet de déstabiliser l’entreprise de manière plus ou moins durable et réversible que ce soit du point de vue de sa compétitivité (perte d’un avantage concurrentiel), ou du point de vue de sa réputation (crise médiatique possible dans le cas d’un suicide). 2) Une rumeur liée à l’activité de l’entreprise, relayée sur Internet, peut entraîner des conséquences multiples : perte de confiance des clients, démoralisation et baisse de productivité des employés, mouvements sociaux, voire démission du dirigeant

3) La sécurité de l’information prend en compte trois objectifs qui sont l’intégrité, la confidentialité et la disponibilité de l’information. Pour atteindre ces objectifs, on considère la sécurité simultanément dans ses dimensions physique, organisationnelle et logique. On pressent ici les liens indissociables entre une sécurité physique d’un bien immatériel et la sécurité du patrimoine matériel ou individuel de l’entreprise. Le lien entre le vol, l’incendie et la perte de données informatiques, c’est à dire des connaissances formalisées et mémorisées de l’entreprise, et leur impact sur l’économie de l’organisation, implique de penser la sécurité dans le cadre d’une analyse systémique.

Ainsi, pour l’entreprise qui veut mettre en place une politique globale de sécurité, l’analyse des risques doit être exhaustive et systémique. Cela implique de bien vouloir prendre en compte la totalité des risques potentiels existants ; cela suppose également une vision d’ensemble des interactions possibles entre les vulnérabilités, les risques et les menaces.

Cas de sinistres stratégiques

1 er exemple : l’entreprise X, PME du BTP, développe un marteau pneumatique innovant à partir d’un logiciel de CAO. Au moment de déposer le brevet de son invention, elle s’aperçoit qu’un brevet identique à été déposé et conclut tardivement que son système informatique a été pénétré, faute d’une protection suffisante.

2 ème exemple : l’entreprise Y, PME de 250 personnes, mène une stratégie basée sur l’innovation et dispose d’un bureau R&D qui développe sans cesse des produits nouveaux. Malheureusement elle ne parvient pas à maintenir un avantage concurrentiel et pour cause, faute de protéger ses inventions, ses produits sont systématiquement copiés par la concurrence qui les vend moins chers, économie faite de la R&D.

Ces deux exemples tirés de faits réels montrent que pour maintes raisons, et notamment l’absence de prise de conscience, de démarche concrète, mais surtout le manque de temps, la sécurité ne coule pas de source, ce qui entraîne des dommages mesurables.

L’entreprise et l’intelligence du risque

Le schéma suivant illustre l’interaction de l’entreprise avec son environnement global, chaque facteur économique, géopolitique, technologique, etc., constitue un facteur de risque exogène en rapport direct avec ses propres vulnérabilités.

Géopolitique Economique Lobbies Politique Etats Fournisseurs Régulateurs Consommateurs Entreprise Social
Géopolitique
Economique
Lobbies
Politique
Etats
Fournisseurs
Régulateurs
Consommateurs
Entreprise
Social
Business Units
Investisseurs
Actionnaires
ONG
Medias
Financier
Opinion
Influenceurs
publique
Ecologique
Financier Opinion Influenceurs publique Ecologique Technologique Concurrentiel . Remarque : l’analyse des

Technologique

Concurrentiel
Concurrentiel

.

Remarque : l’analyse des risques existants dans l’environnement de l’entreprise relève de l’analyse stratégique et repose sur une surveillance attentive de cet environnement. En ce sens, la maîtrise des risques est fortement liée à la démarche d’intelligence économique. C’est entre autres la raison pour laquelle les fonctions de responsable de sécurité et d’IE sont le fait d’une seule personne.

Déficit cindynogène et culture d’entreprise

Toutefois, l’expérience montre que les entreprises qui n’ont pas de démarche de maîtrise des risques, perçoivent mal leurs vulnérabilités et les risques auxquelles elles sont ou peuvent être confrontées.

Notions de cindyniques

Les cindyniques se définissent comme la science du danger et reposent notamment sur l’étude systémique des accidents et catastrophes, avec pour postulat qu’un événement de ce type n’a jamais une origine unique, mais est le résultat d’un certain nombre de facteurs conjugués.

Les chercheurs en cindyniques définissent entre autres la notion de déficits systémiques cindynogènes, dont l’un des plus exemplaires est le culte de l’infaillibilité ou syndrome du Titanic. Il représente une barrière immédiate à toute tentative de réflexion en matière de sécurité.

On touche ici à la question de la culture sécuritaire de l’entreprise interfèrent des systèmes de valeurs plus ou moins partagés par les acteurs de l’organisation (entreprise ou collectivité). Cette culture sécuritaire est une donnée variable qui s’appuie à la fois sur des niveaux de conscience, de sensibilisation, de formation voire d’entraînement à la maîtrise des risques. Elle est plus ou moins forte en fonction de l’activité et de l’environnement de l’entreprise. Ainsi, les employés d’une entreprise classée Seveso n’auront pas la même perception du risque que ceux d’une PME de services. De même, pour la plupart des employés d’une entreprise, il est plus facile d’appréhender un risque d’incendie qu’un risque concurrentiel, et il est encore moins évident de faire le lien entre les deux.

De fait, l’analyse du risque, dans une perspective de renforcement de la culture sécuritaire de l’entreprise, doit être effectuée en concertation avec les acteurs mêmes de l’entreprise, préalablement sensibilisés, formés et soutenus dans leur démarche par un ensemble simple d’outils et de supports pédagogiques. Cela suppose de disposer d’une méthode et d’outils à la fois simples, concrets et rapides.

Quelques définitions indispensables

La maîtrise des risques repose sur un ensemble de facteurs et de comportements qu’il est nécessaire de connaître.

a) Les facteurs endogènes et exogènes

Ce sont les facteurs internes et externes dont la conjugaison entraîne un déséquilibre préjudiciable à l’entreprise.

Menace : situation, phénomène ou événement potentiellement hostile ou nuisible à

l’activité ou aux objectifs de l’entreprise. Les menaces, qu’elles soient ou non d’origine

naturelle, revêtent une dimension ontologique, autrement dit, elles existent en tant que tel et font parti de l’environnement normal de l’entreprise, que cette dernière le veuille ou non.

Vulnérabilité : faille, déficit ou faiblesse de l’entreprise visà vis de certaines menaces. Les vulnérabilités sont intrinsèques, autrement dit, elles sont propres à chaque entreprise. Bien qu’essentiellement endogènes (origines liées aux personnes, structures, organisation, management, stratégie, patrimoine de l’entreprise), elles sont également liées aux attaques que subit l’entreprise. Ainsi on peut dire que l’ entreprise est vulnérable aux attaques qui la rendent vulnérable.

Risque : conjonction/exposition d’une vulnérabilité à une menace. Il se mesure en

termes de probabilité d’occurrence et de gravité d’impact. Le risque comporte une dimension téléologique puisqu’il est lié aux objectifs de l’entreprise (on prend le

risque, on s’expose à un risque…)

Danger : perception subjective, représentation émotionnelle d’une menace. La notion de danger comporte une dimension axiologique puisqu’elle dépend de facteurs culturels propres à une population donnée d’une part, et d’autre part à la culture de l’entreprise.

Attaque : événement dangereux résultant d’un risque réalisé (erreur ou faute grave, accident, acte malveillant, etc.)

Sinistre : c’est le résultat d’une attaque ayant entraîné un dommage ou un préjudice à l’entreprise

b) Les comportements, mesures ou modes opératoires :

L’analyse : actuelle, prévisionnelle ou prospective, elle marque la prise de conscience et la volonté de mettre en œuvre une démarche de maîtrise des risques

La prévention : elle découle de l’analyse des vulnérabilités et des risques et relève d’une stratégie d’évitement (sensibilisation, mesures préventives)

La protection : elle tient compte de la réalisation possible du danger et tend à

circonscrire ou à limiter le sinistre. Elle relève par conséquent d’une stratégie d’affrontement

La réaction : elle repose sur la capacité des acteurs à réagir en situation dite

« dégradée », c'està dire qui ne correspond plus à la situation nominale à laquelle on

sait normalement répondre, que ce soit face à des circonstances prévisibles ou face à des aléas. La réaction se caractérise par le temps de réponse des acteurs et par l’adaptation de la réponse au problème. Il est évident que l’analyse prospective permet de préparer les acteurs à réagir grâce à un entraînement adapté.

Typologie des vulnérabilités

Vulnérable : qui peut être atteint, blessé, qui offre peu de résistance. Perméabilité aux menaces et aux dangers. Défaut dans la cuirasse ». ( Petit Robert)

Les vulnérabilités peuvent être regroupées en fonction de leur origine. On distingue ainsi les vulnérabilités:

des personnes, notamment à travers la notion de facteur humain

des organisations, au niveau de la hiérarchie, des relations internes/externes, de la culture

des structures, dans la conception des locaux, des matériels, des installations

stratégiques ou opérationnelles, à travers les facteurs environnementaux caractérisés par leur complexité et leur niveau de turbulence

Patrimoniales, autrement ses actifs matériels et immatériels

Cette typologie peut être synthétisée dans le tableau suivant :

Origine

Niveau

 

Psychotechnique (motivation, compétence, intégrité morale, esprit d’équipe)

Personnes

Physique (état de santé, intégrité physique)

Social (situation familiale, contexte)

 

Equipe (cohésion, discipline, dynamisme)

Organisation

Management

 

Choix et options décisionnels

Stratégie

Environnement concurrentiel (clients, fournisseurs, concurrents)

Structure

Installations (immeubles, locaux)

 

Matériels (machine, informatique)

Patrimoine

Patrimoine (savoirs faire, projet, innovation, brevets)

2 Méthodologie et dispositif de prévention/protection des risques

La mise en œuvre d’une démarche de maîtrise des risques passe par :

a) une analyse de situation risques/vulnérabilités de l’entreprise

b) le choix des risques critiques ou pouvant affecter sensiblement l’entreprise

c) la définition de mesures préventives et correctives pour réduire les vulnérabilités

d) la surveillance/anticipation des risques/vulnérabilités

Le schéma ci dessous illustre le processus ainsi que le dispositif qu’il convient de mettre en œuvre dans le cadre d’une démarche simple de maîtrise des risques.

Analyse des

risques

Diagnostic des

vulnérabilités

Menaces

des risques Diagnostic des vulnérabilités Menaces Protection alerte Surveillance et F a i l l e
des risques Diagnostic des vulnérabilités Menaces Protection alerte Surveillance et F a i l l e

Protection

alerte

Surveillance et Diagnostic des vulnérabilités Menaces Protection alerte F a i l l e s Prévention / Anticipation

vulnérabilités Menaces Protection alerte Surveillance et F a i l l e s Prévention / Anticipation

Failles

Prévention /Protection alerte Surveillance et F a i l l e s Anticipation Correction Sensibilisation Formation

Anticipation

Correction

Sensibilisation

Formation

Simulation

Entraînement

Comment définir et mesurer le niveau de sécurité d’une entreprise ?

Il peut être intéressant de définir un niveau (ou objectif) de sécurité que pourra atteindre l’entreprise sans que cela pèse exagérément sur ses ressources. La situation idéale n’existant pas, et parce qu’on ne peut traiter tous les risques, il s’agit d’une démarche par défaut fondée sur un choix pour lequel le dirigeant doit bien mesurer les conséquences. La maîtrise des risques peut ainsi paraître paradoxale puisqu’elle consiste dans ce cas à prendre des risques en connaissance de cause.

Au regard du schéma précédent, le niveau de sécurité de l’entreprise est le niveau d’équilibre accepté par le dirigeant entre d’une part, les menaces identifiées, et d’autre part,

des vulnérabilités assumées. Par vulnérabilités assumées, on entend celles dont il estime qu’elles mettent l’entreprise en danger, et pour lesquelles il a choisi de prendre des mesures adaptées. Pour des raisons économiques, ces mesures sont généralement « optimales », ce qui signifie qu’elles relèvent d’un compromis coût/efficacité.

Selon cette logique économique, il convient donc d’identifier prioritairement les risques majeurs ou critiques pour l’entreprise, c'està dire ceux sur lesquels on ne saurait faire l’impasse parce qu’ils menacent son intégrité physique, économique et stratégique.

Il est important d’insister sur le fait que la sécurité est un choix assumé du dirigeant et qu’elle relève de sa seule décision.

Principe de la démarche

Le niveau de risque peut être défini à partir de l’analyse des menaces évaluées en termes de probabilité et d’impact estimés sur les objectifs de l’entreprise.

La probabilité estimée d’un risque découle d’une analyse des données disponibles (statistiques, empiriques, etc.). Elle peut se résumer par les questions suivantes : la menace s’estelle réalisée dans notre entreprise ou dans une entreprise similaire ? Est il possible qu’elle se réalise ? Peut on penser qu’elle se réalisera ?

L’impact est quant à lui estimé à partir d’une analyse des causes et des effets possibles par l’équipe dirigeante et les experts associés à la démarche. Cela suppose une démarche prospective de type brainstorming.

3Construire et utiliser un outil simple d’autodiagnostic pour l’entreprise

Méthode : pour chaque menace identifiée, il s’agit de définir l’impact qu’elle pourrait avoir sur les éléments constitutifs de l’entreprise (personnels, structure, organisation, stratégie, patrimoine, etc.). On en déduit un niveau de risque pour lequel le dirigeant fixe un seuil au delà duquel il considère le risque comme majeur ou critique.

Si l’on reprend les exemples de sinistres décrits précédemment, on s’aperçoit qu’une simple démarche un tant soit peu formalisée, basée sur une sensibilisation minimale à l’intelligence économique, aurait sans doute permis d’éviter des pertes inutiles :

1Piratage informatique : l’entreprise estelle équipée d’ordinateurs ? Sont ils en réseau Sontils connectés à internet ? Sont ils équipés d’un firewall ? D’antivirus ? Quelles sont les procédures d’accès, de sauvegarde ? Le personnel estil sensibilisé à l’utilisation d’internet ? Existe t il une charte informatique ? Y a til un responsable informatique ? Dans cet exemple, on sait que le risque zéro n’existe pas dès lors qu’un ordinateur est connecté à Internet. Si tel est le cas une menace existe et il faut prendre et/ou renforcer les mesures existantes en fonction de l’impact que pourrait avoir une attaque. 2Protection de la propriété intellectuelle : L’entreprise estelle innovante ? A t elle une politique de protection du patrimoine ? Existe t il un risque de concurrence déloyale ? Quel serait l’impact d’un pillage intellectuel ?

Outil de diagnostic : on construit une grille d’analyse à partir d’une liste exhaustive des menaces pour lesquelles on estime une potentialité d’occurrence (autrement dit cette menace peut elle nous concerner ?). Cette probabilité estimée peut être évaluée selon une trois indices :

0 : la menace ne nous concerne pas

1 : la menace est possible

2 : la menace est probable

3 : la menace est réelle

Pour chaque menace, on évalue ensuite l’impact qu’elle peut avoir sur les personnes, la structure, l’organisation, le patrimoine et pour finir, sur le positionnement stratégique de l’entreprise. On définit un coefficient d’impact de 0 à 5 pour chaque élément.

Ainsi, on peut faire la somme des coefficients d’impact qui, multipliés par la probabilité d’occurrence, donnent un niveau de risque potentiel.

Exemple :

Dans cet exemple, la menace de type concurrentiel est analysée. Le dirigeant évalue, éventuellement à l’aide d’un questionnaire ou d’un guide, la potentialité et l’impact des différentes menaces relatives à la concurrence qui pèsent sur son entreprise. La grille remplie donne par exemple, les résultats suivants :

     

Impact

   

Menaces

Potentialité

   

Patrimoine

Patrimoine

   

Niveau de risque

Personnes

Organisation

immatériel

matériel

Compétitivité

Stratégie

Concurrence

3

3

3

3

3

5

4

6,3

Lobbying

3

2

2

4

1

5

5

5,7

Dénigrement

1

4

0

2

0

3

3

1,2

Rumeurs

1

4

4

1

1

3

4

1,7

E-réputation

3

4

3

1

1

5

4

5,4

Contrefaçon

3

2

1

5

1

3

5

5,1

Parasitisme

3

4

1

4

3

5

4

6,3

Virus

3

1

3

5

3

3

1

4,8

Piratage

3

3

3

5

2

4

4

6,3

On peut alors éditer différents graphiques qui permettent une meilleure lisibilité :

Niveau de risque Piratage Virus Parasitisme Contrefaçon E ‐ réputation Niveau de risque Rumeurs Dénigrement
Niveau de risque
Piratage
Virus
Parasitisme
Contrefaçon
E ‐ réputation
Niveau de risque
Rumeurs
Dénigrement
Lobbying
Concurrence
01234567
Piratage Virus Parasitisme Contrefaçon E‐ réputation Rumeurs Dénigrement Lobbying Personnes Organisation
Piratage
Virus
Parasitisme
Contrefaçon
E‐ réputation
Rumeurs
Dénigrement
Lobbying
Personnes
Organisation
Patrimoine immatériel
Patrimoine matériel
Compétitivité
Stratégie
Niveau de risque
Concurrence
0
10
20
30

Le dirigeant fixe ensuite un seuil au delà duquel il définit les risques majeurs (seuil=5 :

lobbying, eréputation, contrefaçon) ou critiques (seuil=6 : concurrence, parasitisme, piratage) au regard de sa connaissance des vulnérabilités de l’entreprise.

Dès lors que les risques majeurs ou critiques sont identifiés par le dirigeant lui même, il devient possible de mettre en place des mesures de sécurité adaptées (correction, prévention et protection), soit par l’entreprise elle même, soit en faisant appel à un prestataire de service.

Critique de la démarche

Il est évident que la méthode d’autodiagnostic suppose que le dirigeant reste objectif dans son évaluation des menaces. Le principal défaut serait de passer à côté d’un risque majeur ou critique faute d’une appréciation correcte de la menace. Pour contrer ce risque, le

dirigeant peut travailler en équipe et éventuellement faire appel à un consultant indépendant.

Par ailleurs, d’un point de vue méthodologique, il s’agit d’une démarche qualitative permettant de quantifier des données empiriques et à contenu subjectif, et de fait, elle n’est pas un instrument infaillible de pilotage. Cependant, la direction d’une entreprise n’a rien d’une science exacte et dépend autant de l’expérience et du ressenti des dirigeants que d’une analyse fine d’informations bien souvent incomplètes, le tout dans un environnement complexe et incertain. On note en outre qu’il est très difficile pour un dirigeant de s’approprier des outils trop rationnels et impersonnels dont il ne maîtriserait pas les paramètres. C’est pourquoi il est important, surtout en matière de sécurité, que les dirigeants puissent s’investir dans un instrument de navigation dont ils assument pleinement les possibilités d’erreurs.

ANNEXE : Exemple de grille de diagnostic

Impact Menaces Potentialité Patrimoine Patrimoine Niveau de risque Personnes Organisation Compétitivité
Impact
Menaces
Potentialité
Patrimoine
Patrimoine
Niveau de risque
Personnes
Organisation
Compétitivité
Stratégie
immatériel
matériel
1- Naturelles
Exceptionnelles
Tempête
Séisme
Inondation
Incendie
Explosion
Dégât des eaux
Quotidiennes
Humidité
Poussière
2- Conjoncturelles
Politiques
Réformes, taxes
Elections
Sociétales
Grèves (postes, transports)
Manifestations
Economiques
Financiers
Commerciaux
Fusions, alliances, OPA
Géopolitiques
Tensions diplomatiques
Conflits
Guerres civiles
Coups d’Etat
Embargo
Blocus

‐‐‐

3- Internes 3.1- Individuelles Erreurs Perte de documents Usage non conforme Compromission Malveillances Vol
3- Internes
3.1- Individuelles
Erreurs
Perte de documents
Usage non conforme
Compromission
Malveillances
Vol
Fraude
Sabotage
Dissimulation
Divulgation
3.2- Sociales
RSE
Grèves
Manifestations
Emeutes
Saccage
3.3- Organisationnelles
Tensions internes
Désorganisation
Corruption
Surinformation
Surprotection
Désinformation
Déficit managérial
Structurels
Installations
Conception/ Sécurité
Accès, circulation
Matériels
Qualité
Conception/ Sécurité
Performances
Fiabilité

‐‐‐

4- Concurretielles Concurrence Lobbying Dénigrement Rumeurs E-réputation Concurrence déloyale Désorganisation
4- Concurretielles
Concurrence
Lobbying
Dénigrement
Rumeurs
E-réputation
Concurrence déloyale
Désorganisation
Contrefaçon
Parasitisme
Virus
Piratage
Corruption
Chantage
Agression physique
Désinformation
Espionnage
Intrusion, effraction
Interceptions
Infiltration agents et taupes
5- Atypiques
Mafieux
Terroristes
Sectaires