Académique Documents
Professionnel Documents
Culture Documents
DE L’ENTREPRISE
Animé par
______________________________________________________________________________________
___
Wafabank le 16 janvier 2002
page1
SOMMAIRE
5.CONCLUSION .............................................................................................................18
___________________________________________________________________________
Wafabank le 16 janvier 2002 2
page2
I .LES RISQUES DE L' ENT REP RISE
Le système économique dans lequel s'inscrit toute entreprise ou toute collectivité est un système instable
qui exige, pour que l'entreprise survive, qu'elle dispose d'outils fiables, efficaces, performants. C'est
grâce aux performances de ces outils que le responsable d'entreprise pourra procéder à des
rectifications, des redressements, rajustements, parfois même des changements importants de stratégie.
Par ailleurs, la concurrence, toujours plus dure, se mondialise et permet ainsi tous les coups. Malgré cela,
il faut subsister et même progresser dans son secteur.
Ces éléments sont les composantes principales de l’analyse de risques d’une organisation.
Il convient cependant de signaler à ce niveau que cette notion de risque est intimement liée à celle du
droit des assurances.
La notion de risque aléatoire, celle qui concerne l'étude de vulnérabilité de l'entreprise, peut être définie
comme un événement aléatoire susceptible de porter atteinte au patrimoine de l'entreprise.
- des hommes,
___________________________________________________________________________
Wafabank le 16 janvier 2002 3
page3
La notion de mesure de la valeur de ce patrimoine est délicate. Malgré une réticence que l'on peut, à
juste titre, éprouver dans cette démarche, nous estimons que la valeur en monnaie est le meilleur (ou le
moins mauvais) paramètre permettant d'effectuer une analyse de vulnérabilité.
Il s'agit des risques que nous éliminerons dans le cadre de l'étude de vulnérabilité de l'entreprise.
Le risque spéculatif est le résultat d'un choix, d'une décision stratégique, il peut être assorti d'un budget
: lancement d'un nouveau produit, d'une campagne de publicité, achat d'une nouvelle machine, création
d'une nouvelle activité, etc. Il est généralement considéré comme celui qui intéresse la direction de
l’entreprise.
Leur caractéristique est d’être associé à une possibilité de gain.
Le risque spéculatif survient rarement brutalement, sans signes précurseurs. Il peut donc, à partir de ces
signes, être contrôlable.
Dans les risques spéculatifs, nous ajouterons les risques liés aux phénomènes suivants :
- évolution des techniques, découverte ou mise au point par un concurrent d'un procédé ou d'un
produit plus performant, etc.
Nous éviterons de trop citer les risques liés au non-respect d'une loi, d'un code ou de toute forme de
réglementation. Mais les conséquences d'une fraude fiscale, d'une infraction à une réglementation ou au
code de la route sont à considérer comme des risques spéculatifs.
Il s'agit d'un risque qui ne fait pas l'objet d'une contrepartie, de possibilité de gain. Sa réalisation ne peut
qu'entraîner des pertes, sa non-réalisation ne peut entraîner aucun profit.
La réalisation d'un risque aléatoire est soudaine : incendie, explosion, vol par effraction.
L'événement, bien qu'aléatoire, est cependant possible dans sa réalisation, en référence à la connaissance
antérieure dans le domaine. Cela implique que l'on raisonne sur des événements possibles :
__________________________________________________________________________
Wafabank le 16 janvier 2002 4
page4
- soit du fait d'une réalisation antérieure,
- soit du fait de la prévision estimée d'un événement possible. C'est l'exemple des événements
redoutés dans les installations mettant en œuvre des technologies nouvelles (nucléaire, espace ...).
- La réalisation d'un risque aléatoire est indépendante de la volonté de l'entreprise : l'incendie
provoqué volontairement par l'exploitant d'une entreprise n'entre pas dans les risques aléatoires.
On constate que dans l'ensemble, les risques aléatoires (ou risques purs) correspondent aux "risques
assurables".
1.5. Les nouveaux risques
Quelques exemples :
• Des stratégies de « flux tendus » : plus de stocks, les produits nécessaires à la production
sont acheminés « juste à temps ». D’où une forte vulnérabilité vis à vis des moyens de
transport.
• De la mutation des métiers et des phénomènes d’externalisation de production du
composant. RENAULT se dit « concepteur d’automobiles » et est très dépendant des
centaines « d’équipementiers » qui produisent les éléments composant les automobiles.
- Atteinte à l’image
- Principe de précaution
- Produits défectueux dont les conséquences peuvent être fortement accentuées par les
consommateurs d’autres pays (Etats-Unis notamment).
Ø facteur F (fréquence),
Ø facteur G (gravité).
__________________________________________________________________________
Wafabank le 16 janvier 2002 5
page5
La fréquence F se mesure en terme de probabilité d'occurrence ou de réalisation de la menace.
Elle s'exprime en 10-x. Elle est estimée par des spécialistes de la prévention.
L'unité de mesure est généralement la monnaie. Le raisonnement va jusqu'à procéder à l'évaluation d'un
individu dans un contexte donné, ce qui permet de prendre en considération, de manière brutale, le
risque pour l'homme dans une analyse globale des risques.
La valeur d'un risque s'exprime donc par le produit des deux facteurs :
R=FxG
Produit dont l'unité sera simplement une unité monétaire.
L'analyse des risques est une démarche qui consiste, face à toutes les menaces susceptibles d'atteindre
le patrimoine de l'entreprise, à :
- déterminer une gravité ou l'impact de réalisation de la menace sur toutes les composantes de
l'entreprise et en évaluer le coût (évaluation des risques, facteur G),
- hiérarchiser les risques en fonction des résultats des différentes valeurs de "R" obtenues pour
chaque type de risque.
Par "point dangereux", il faut entendre toute activité, tout lieu, tout système, toute disposition pouvant,
avec une probabilité non négligeable, constituer l'origine ou un élément primordial d'un début de sinistre
ou d'accident.
Le point dangereux est donc le point de départ potentiel de la réalisation d'une menace :
__________________________________________________________________________
Wafabank le 16 janvier 2002 6
page6
Par "point névralgique", il faut entendre toute activité, tout système dont l'arrêt, la mise hors service, la
destruction ou la disparition aurait, pour l'entreprise, des conséquences importantes, difficilement ou très
difficilement supportables et pouvant, à l'extrême, entraîner la disparition de l'entreprise.
L'identification des points dangereux nécessite une analyse méticuleuse de toutes les activités de
l'entreprise et surtout de toutes les conditions dans lesquelles s'effectuent ces activités :
Cette analyse nécessite une certaine expérience dans les risques et les dangers liés aux produits, aux
systèmes, aux dispositions des lieux, etc.
L'identification des points névralgiques, par contre, ne peut pas réellement être effective sans la
contribution des compétences internes à l'entreprise. C'est en effet, les responsables de production,
d'informatique, de développement, etc qui peuvent connaître les points réellement névralgiques de leur
entreprise.
Mais cette démarche nécessite aussi une action importante d'arbitrage. En effet, il est normal et humain
que chaque acteur, chaque rouage de l'entreprise considère que son rôle est particulièrement
névralgique...
C'est donc un travail de concertation entre le préventionniste et les différents responsables de l'entreprise
qui permettra de procéder à :
- à la mesure de l'impact ou de la gravité des différents scénarios d'atteinte des points névralgiques.
__________________________________________________________________________
Wafabank le 16 janvier 2002 7
page7
C'est la hiérarchisation la plus objective possible des points névralgiques qui permettra de procéder à
la hiérarchisation des valeurs de "G" (gravité) associée à chaque risque, et donc à la hiérarchisation des
risques.
- conséquences financières du sinistre. Ces deux critères sont évidemment très liés.
Il est donc nécessaire d'examiner, point à point, toutes les conséquences d'un sinistre, et cela de manière
exhaustive : conséquences directes (temps d'arrêt, réparation) et conséquences indirectes (pertes
immatérielles, coûts supplémentaires, perte de clientèle, altération d'image, temps de recherche ou de
reconstitution de données, etc).
Pour cela, nous estimons indispensable que soit constitué, pendant la démarche d'analyse de
vulnérabilité, un "comité de pilotage" ou "comité d'application" chargé d’assister l’auditeur pendant la
démarche d’analyse de vulnérabilité. Cette démarche permet alors de hiérarchiser les risques en les
classant, par exemple, en 5 catégories essentielles :
R1. Risque faible. Les conséquences peuvent être compensées sans effets négatifs sur les objectifs
de l'entreprise.
Ne justifie pas des mesures contraignantes de sécurité supplémentaires.
R2. Risque moyen. Sa réalisation fragilise l'entreprise. Les objectifs peuvent encore être atteints
mais avec des mesures (et donc des coûts) supplémentaires.
Nécessite un traitement.
Cette échelle des risques permet donc de constituer une partie importante de référentiel à prendre en
compte pour l'audit de sécurité.
__________________________________________________________________________
Wafabank le 16 janvier 2002 8
page8
3.LA MAITRISE DES RISQUES
La prévention, c’est, vis à vis de risques connus et identifiés, l’ensemble des mesures, techniques ou non,
susceptibles de diminuer la probabilité de survenance d’un sinistre ou d’un accident.
La protection, c’est, toujours vis à vis de risques connus et identifiés, l’ensemble des mesures, techniques
ou non, susceptibles de diminuer les conséquences de l’accident ou du sinistre.
La précaution, c’est, vis à vis des risques mal connus, mal identifiés, mais supposés comme possibles,
l’ensemble des mesures destinées à diminuer la probabilité d’occurrence et/ou les conséquences
prévisibles ou imaginables.
Prévention Protection
Diminue La fréquence La gravité
Par action sur Les points dangereux Les points névralgiques
Concerne La direction d’exploitation de Les spécialistes de la sécurité
l’établissement
La Chambre de Commerce Internationale, à la suite des travaux d'une douzaine d'experts de haut niveau
de l'industrie, a adopté une définition de l'Audit Environnement que l'on peut parfaitement étendre à la
notion d'audit de sécurité en général. Cette adaptation donne alors la définition suivante :
- l'audit de sécurité est un outil de gestion qui comprend une évaluation systématique, documentée,
périodique et objective de la manière dont fonctionnent l'organisation, la gestion et le matériel en
matière de sécurité, dans le but de contribuer à la sauvegarde des personnes, des biens et, d'une
manière générale, du patrimoine de l'entreprise en :
- facilitant le contrôle par la direction de la façon dont les questions de sécurité sont traitées,
- évaluant la conformité avec les politiques de la société, y compris celle qui consiste à satisfaire
aux exigences réglementaires.
__________________________________________________________________________
Wafabank le 16 janvier 2002 9
page9
de conseil et d'ingénierie.
La démarche d'audit de sécurité consiste donc :
- à traduire les observations, les constatations et les conclusions sous forme d'un rapport écrit et sous
forme d'une présentation plus active auprès de l'équipe dirigeante de la société.
3.2.1. LE REFERENTIEL
Réglementation
Le référentiel réglementaire n'a pas à être défini : il est déjà défini par le législateur. Rappelons cependant
quelques faits :
Cela signifie, a contrario, que la réglementation ne peut pas constituer un référentiel acceptable :
- le volume de textes législatifs publiés par an augmente actuellement dans des proportions très
importantes.
Il en est de même en matière de réglementation concernant la sécurité. Chaque événement, surtout
s'il est fortement médiatisé, entraîne un renforcement de la réglementation et la parution de
nouveaux textes complémentaires ou modificatifs.
La référence à la réglementation peut paraître simple du fait, précisément, que cette réglementation
existe. En réalité, cela suppose un suivi de l'évolution des textes, ce qui exige beaucoup de temps et de
plus en plus de compétences.
Rappelons les principales réglementations de référence en matière de sécurité :
Les règles techniques des Assureurs (français ou étrangers) n'ont pas de caractère réglementaire. Ces
règles sont cependant souvent assimilées aux "règles de l'art" en l'absence d'autres textes réglementaires
et peuvent donc être considérées comme un référentiel.
Le respect des règles des Assureurs peut, et c’est souvent le cas, devenir une obligation contractuelle :
ces règles deviennent alors un référentiel pour les opérations d’audit.
Exigences spécifiques
Le besoin d'assurance est exprimé à partir de l'analyse des risques et de l'analyse des moyens financiers
de l'entreprise. C'est ainsi que l'on peut définir le contour du référentiel de l'audit d'assurance.
Cette démarche est souvent exclue de celle de l'audit de sécurité. Elle nous semble cependant
indispensable dans une politique cohérente de gestion des risques.
Le besoin d'assurance sera donc essentiellement défini en fonction de la capacité financière de
l'entreprise à conserver certains risques, autrement dit de faire face financièrement aux pertes générées
par les risques concernés et par l'arbitrage économique entre le coût de rétentions du risque et le coût
de son transfert à l'assureur. Cette base référentielle ne peut naturellement être définie qu'avec la
Direction de l'Entreprise.
Une démarche d'audit nécessite une parfaite transparence dans les relations entre l'audité et l'auditeur,
qu'il soit interne ou externe à l'entreprise.
Les informations recueillies, les situations observées, les résultats de la démarche n'auront eu de réelle
valeur et de bonne crédibilité que dans le respect de ce principe fondamental.
Le programme de sécurité définit l’ensemble des moyens techniques et humains à mettre en œuvre.
La mise en œuvre de ces moyens devra ensuite être conduite par différents intervenants externes ou
internes, compétents et spécialisés dans leurs domaines.
Ce programme doit être élaboré en tenant compte des interactions entre tous les risques et tous les
moyens à mettre en œuvre : il faut par exemple respecter une cohérence entre les exigences de
sécurité contre l’incendie et de sécurité contre l’intrusion.
Il faut aussi savoir apprécier les coûts, à l’investissement et à l’exploitation, des moyens définis.
Il faudra tenir compte des avantages financiers du fait de la prise en considération par l’Assurance
des solutions envisagées.
Il faudra également que les solutions retenues soient compatibles avec la logique économique de
l’entreprise, faute de quoi elles risquent d’être rejetées au cours du temps.
Le schéma directeur se présente donc sous forme d’un document précisant les mesures à mettre en
œuvre sous une forme générique, par exemple : une détection incendie adressable généralisée à tous
les locaux, renvoyée à un P.C. de surveillance de jour, à une station de télésurveillance de nuit.
Les mesures de sécurité retenues peuvent sortir du cadre habituel des équipements spécialisés. Par
exemple :
- Aménager une zone de parking extérieure au site proprement dit pour un meilleur contrôle des
entrées et sorties sur le site proprement dit.
- Améliorer l’éclairage extérieur, etc.
Les moyens retenus doivent être cohérents entre eux, et adaptés aux risques analysés, tout en
s’inscrivant dans la marche normale de l’entreprise.
Un critère important à respecter est celui de la relation à établir entre les équipements techniques et
la compétence du personnel pour leur utilisation. On assiste parfois à des phénomènes de « rejet »…
__________________________________________________________________________
Wafabank le 16 janvier 2002 12
page12
Les moyens retenus devront aussi être acceptés par le personnel, y compris l’encadrement au plus
haut niveau. L’exemple du contrôle d’accès par badges ou de la surveillance vidéo est très
significatif : Il est nécessaire que le système soit réellement accepté par tous. Dans le cas contraire, il
représenterait un investissement inutile.
La sécurité dans une entreprise est une fonction transversale, c’est à dire concernant tout le monde et
chacun dans son domaine.
L’organisation de l’entreprise doit donc être telle que, par exemple, un rapport de vérification d’une
installation électrique comportant des remarques importantes soit effectivement analysé au bon
niveau et fasse l’objet rapidement du traitement nécessaire.
On retrouvera cette organisation nécessaire dans les procédures d’accès des visiteurs, des
fournisseurs, des entreprises extérieures, de l’entretien des locaux, des circuits de décisions…
Le rôle de l’Assurance est de garantir de fournir les moyens financiers de réparer un dommage et/ou
un préjudice entrant dans le cadre du contrat.
Le montant de la prime est calculé suivant la « valeur du risque », à laquelle s’ajouteront un certain
nombre de frais.
Pour l’assureur, la valeur du risque est basée sur le produit fréquence x gravité, c’est à dire en
référence :
- à la fréquence statistique de l’activité exercée et des conditions dans lesquelles cette activité est
exercée (prévention),
- à la valeur des capitaux garantis.
La vision « mutualiste » de l’assureur n’est pas toujours celle qui convient réellement à l’assuré.
__________________________________________________________________________
Wafabank le 16 janvier 2002 13
page13
A la suite d’une analyse de risques et de la vulnérabilité, on peut s’apercevoir que d’un risque majeur
pour l’entreprise et un risque mineur pour l’assureur, par exemple du fait de capitaux peu importants.
L’assuré est exposé à des risques non assurables : perte de clientèle, dégradation d’image, perte
d’informations sensibles, etc… vis à vis de ces risques, l’assuré doit se bâtir son système de
prévention approprié.
L’assuré peut avoir intérêt à s’auto-assurer vis à vis de certains risques ou jusqu’à un certain montant
de garantie : il pratique alors une politique de rétention et supporte une franchise à définir selon sa
capacité financière.
Si tout se passe bien, en cas de sinistre, l’assurance ne donne que ce qu’elle a : une somme d’argent
permettant de réparer, de reconstruire ou d’indemniser.
Mais l’argent n’est qu’un outil (nécessaire), mais ne remplace pas à lui seul ce que le sinistre a pu
détruire ou détériorer.
Même correctement assurées, on estime que sur 5 entreprises victimes de sinistres, 4 disparaissent
dans les 5 ans.
L’assurance a besoin à son tour d’être assurée. C’est la réassurance, vis à vis de laquelle la
compagnie d’assurance devient un assuré.
L’entreprise ne peut pas prétendre pouvoir offrir des services ou des produits de qualité sans un
souci permanent de prévention : qualité et sécurité sont indissociables.
Lorsqu’une entreprise est victime d’un sinistre, d’une agression, d’un événement interne ou externe
pouvant lui être préjudiciable, cette entreprise se trouve face à une situation de crise.
Rester à la hauteur des exigences du marché, continuer à satisfaire ses clients, maintenir (ou même
améliorer) son image de marque, tels sont alors des objectifs des dirigeants.
Pour atteindre ses objectifs essentiels, les différents responsables ont à faire face à des obstacles
inhabituels, avec des moyens qui ne sont pas nécessairement adaptés à ce contexte particulier.
Il faut pouvoir agir très vite, ne pas se laisser déborder, anticiper pour pouvoir maîtriser les
événements et continuer à piloter l’entreprise ou l’établissement.
Une préparation est concrétisée par un document qui doit être simple, pratique et vivant,
régulièrement actualisé.
__________________________________________________________________________
Wafabank le 16 janvier 2002 15
page15
UNE BONNE ANALYSE
Incendie, attentat ?
Produits défectueux ?
Fournisseur défaillant ?
Mouvement social ?
Dysfonctionnement du système d’information ?
Pollution ? etc.…
Chaque type de risque doit être analysé selon ses probabilités et ses conséquences.
A partir de l’analyse précédente, on retiendra les scénarios qui nécessitent et justifient une
préparation.
Ces scénarios sont souvent regroupés et se retrouvent dans deux types essentiels de situation :
LE PLAN DE CRISE
C’est la concrétisation de la préparation, sous une forme pratique, utilisable rapidement par les
personnes concernées.
Dès le début de crise, la Direction (cellule de crise) doit pouvoir disposer des outils nécessaires pour
L’étude de cette organisation permet de préciser les moyens sur lesquels on peut compter pour
__________________________________________________________________________
Wafabank le 16 janvier 2002 16
page16
rétablir très rapidement des conditions acceptables de fonctionnement :
- back up informatique,
- personnel supplémentaire,
- matériel ou équipement de substitution,
- sous-traitance, recours à d’autres entreprises comparables,
- communications, etc.
Les références, les fournisseurs, les caractéristiques des produits peuvent changer, les outils
évoluent : un suivi et une actualisation permanente sont nécessaires.
Toute crise peut être amplifiée, ou au contraire atténuée, selon la qualité et la maîtrise de la
communication, en interne comme en externe.
Un plan de communication, au même titre que le plan de continuité d’activité, permet de préciser qui
peut communiquer auprès de qui, avec quels moyens.
LA CELLULE DE CRISE
L’organigramme de l’entreprise n’est pas le mieux adapté pour faire face aux urgences et aux
priorités qui s’imposent.
La cellule de crise peut répondre immédiatement aux besoins matériels, comme aux inquiétudes.
La cellule de crise est donc constituée de personnes compétentes et formées à faire face à cette
situation.
LA FORMATION
Les principaux acteurs doivent connaître les grands principes de la gestion de crise.
Une formation est nécessaire. Cette formation peut être complétée par des exercices avec des
professionnels (journalistes) ou même des tests de simulation en vraie grandeur.
LES TESTS
Véritable mise en scène, suivant un scénario étudié avec précision, plaqué à la réalité possible, un tel
__________________________________________________________________________
Wafabank le 16 janvier 2002 17
page17
exercice permet de tester le fonctionnement et l’efficacité de l’ensemble du dispositif.
5.CONCLUSION
C’est généralement la fonction du « risk manager », concept américain qui se traduit parfois par
« gestionnaire des risques » ou « Directeur des risques… ».
__________________________________________________________________________
Wafabank le 16 janvier 2002 18
page18
Le poste nécessite des compétences difficiles à rassembler sur une seule personne, surtout si l’on
ajoute que le risk-manager doit aussi et surtout être un communiquant particulièrement talentueux.
Les grands groupes industriels ou financiers pouvant disposer d’une telle fonction, comme les grands
de ce monde disposent d’un médecin privé.
Pour reprendre l’image de médecine, on peut dire que l’on peut, jusqu’à un certain point se soigner
soi-même, mais qu’à partir d’un certain niveau de risque, nous faisions appel à un médecin extérieur
dont nous partageons les compétences avec d’autres.
__________________________________________________________________________
Wafabank le 16 janvier 2002 19
page19