LA VULNERABILITE

DE L’ENTREPRISE

Séminaire du 16 Janvier 2002

Animé par

Aziz DINAR, expert en vulnérabilité de l’entreprise et agréé du Centre National de Prévention et de

Protection
Jean-Michel d’HOOP , Consultant Senior
Directeur du Développement de MARSH CONSEIL
Expert près la Cour d’Appel de Paris

______________________________________________________________________________________
___
Wafabank le 16 janvier 2002
page1
 SOMMAIRE

I .LES RISQUES DE L'ENTREPRISE....................................................................................3

1.1. Notion de vulnérabilité d'entreprise......................................................................3

1.2. Patrimoine de l'entreprise......................................................................................3
1.3. Les risques spéculatifs...........................................................................................4
1.4. Les risques aléatoires............................................................................................4
1.5. Les nouveaux risques ............................................................................................5

2.HIERARCHISATION DES RISQUES.............................................................................5

2.1. Les composantes du risque ....................................................................................5

2.2. L'analyse des risques.............................................................................................6

3.LA MAITRISE DES RISQUES ........................................................................................9

3.1. Prévention, protection, précaution ........................................................................9

3.2.1. Le référentiel....................................................................................................10
3.2.2. La conduite de l'audit.......................................................................................11
3.3. Le programme de sécurité ...................................................................................11
3.4. Les moyens techniques, les moyens humains .....................................................12
3.5. L’organisation autour de la sécurité ...................................................................13

4. LA GESTION DES RISQUES........................................................................................13

4.1.Le point de vue de l’Assurance .............................................................................13

4.2.Le point de vue de l’assuré ....................................................................................14
La préparation à une situation de crise.......................................................................15
Une bonne analyse .......................................................................................................16
Sélection des scénarios ................................................................................................16
Le plan de crise ............................................................................................................16
Organisation matérielle de la poursuite des activités ................................................16
Maîtrise de la communication de crise .......................................................................17
La cellule de crise ........................................................................................................17
La formation.................................................................................................................17
Les tests .......................................................................................................................17

5.CONCLUSION .............................................................................................................18

___________________________________________________________________________
Wafabank le 16 janvier 2002 2
page2
I .LES RISQUES DE L' ENT REP RISE

1.1. Notion de vulnérabilité d'entreprise

Le système économique dans lequel s'inscrit toute entreprise ou toute collectivité est un système instable
qui exige, pour que l'entreprise survive, qu'elle dispose d'outils fiables, efficaces, performants. C'est
grâce aux performances de ces outils que le responsable d'entreprise pourra procéder à des
rectifications, des redressements, rajustements, parfois même des changements importants de stratégie.
Par ailleurs, la concurrence, toujours plus dure, se mondialise et permet ainsi tous les coups. Malgré cela,
il faut subsister et même progresser dans son secteur.

Le responsable d'entreprise doit donc disposer :

- d'une bonne connaissance des limites de son outil (forces, faiblesses),

- d'une bonne connaissance des risques, qu'il peut accepter, de ceux qu'il doit maîtriser, de ceux qu'il
doit gérer.

Ces éléments sont les composantes principales de l’analyse de risques d’une organisation.
Il convient cependant de signaler à ce niveau que cette notion de risque est intimement liée à celle du
droit des assurances.

1.2. Patrimoine de l'entreprise

La notion de risque aléatoire, celle qui concerne l'étude de vulnérabilité de l'entreprise, peut être définie
comme un événement aléatoire susceptible de porter atteinte au patrimoine de l'entreprise.

Par patrimoine de l'entreprise, il faut entendre un ensemble composé :

- des hommes,

- des biens matériels : bâtiments, machines, stocks, etc.

- du savoir, des connaissances technologiques,

- de la clientèle, du "fond de commerce",

- de capital d'image, de notoriété, de réputation de l'entreprise.

___________________________________________________________________________
Wafabank le 16 janvier 2002 3
page3
La notion de mesure de la valeur de ce patrimoine est délicate. Malgré une réticence que l'on peut, à
juste titre, éprouver dans cette démarche, nous estimons que la valeur en monnaie est le meilleur (ou le
moins mauvais) paramètre permettant d'effectuer une analyse de vulnérabilité.

1.3. Les risques spéculatifs

Il s'agit des risques que nous éliminerons dans le cadre de l'étude de vulnérabilité de l'entreprise.

Le risque spéculatif est le résultat d'un choix, d'une décision stratégique, il peut être assorti d'un budget
: lancement d'un nouveau produit, d'une campagne de publicité, achat d'une nouvelle machine, création
d'une nouvelle activité, etc. Il est généralement considéré comme celui qui intéresse la direction de
l’entreprise.
Leur caractéristique est d’être associé à une possibilité de gain.

Le risque spéculatif survient rarement brutalement, sans signes précurseurs. Il peut donc, à partir de ces
signes, être contrôlable.

Dans les risques spéculatifs, nous ajouterons les risques liés aux phénomènes suivants :

- fluctuation des monnaies,

- achats, fusions d'entreprises,

- modification des marchés,

- évolution des techniques, découverte ou mise au point par un concurrent d'un procédé ou d'un
produit plus performant, etc.

Nous éviterons de trop citer les risques liés au non-respect d'une loi, d'un code ou de toute forme de
réglementation. Mais les conséquences d'une fraude fiscale, d'une infraction à une réglementation ou au
code de la route sont à considérer comme des risques spéculatifs.

1.4. Les risques aléatoires

Les risques "aléatoires" sont aussi appelés "risques purs".

Il s'agit d'un risque qui ne fait pas l'objet d'une contrepartie, de possibilité de gain. Sa réalisation ne peut
qu'entraîner des pertes, sa non-réalisation ne peut entraîner aucun profit.

La réalisation d'un risque aléatoire est soudaine : incendie, explosion, vol par effraction.
L'événement, bien qu'aléatoire, est cependant possible dans sa réalisation, en référence à la connaissance
antérieure dans le domaine. Cela implique que l'on raisonne sur des événements possibles :
__________________________________________________________________________
Wafabank le 16 janvier 2002 4
page4
- soit du fait d'une réalisation antérieure,
- soit du fait de la prévision estimée d'un événement possible. C'est l'exemple des événements
redoutés dans les installations mettant en œuvre des technologies nouvelles (nucléaire, espace ...).
- La réalisation d'un risque aléatoire est indépendante de la volonté de l'entreprise : l'incendie
provoqué volontairement par l'exploitant d'une entreprise n'entre pas dans les risques aléatoires.

On constate que dans l'ensemble, les risques aléatoires (ou risques purs) correspondent aux "risques
assurables".
1.5. Les nouveaux risques

Il s’agit essentiellement de risques liés à l’internationalisation des échanges, à la mondialisation des

marchés.

Quelques exemples :

- Risque de carence du fournisseur : ce risque apparaît plus nettement du fait :

• Des stratégies de « flux tendus » : plus de stocks, les produits nécessaires à la production
sont acheminés « juste à temps ». D’où une forte vulnérabilité vis à vis des moyens de
transport.
• De la mutation des métiers et des phénomènes d’externalisation de production du
composant. RENAULT se dit « concepteur d’automobiles » et est très dépendant des
centaines « d’équipementiers » qui produisent les éléments composant les automobiles.

- Atteinte à l’image

L’affaire PERRIER, l’affaire COCA-COLA sont des exemples de vulnérabilité accrue

du fait de la notoriété mondiale de la marque.

- Principe de précaution

- Produits défectueux dont les conséquences peuvent être fortement accentuées par les
consommateurs d’autres pays (Etats-Unis notamment).

2.HIERARCHISATION DES RISQUES

2.1. Les composantes du risque

On a l'habitude de caractériser un risque par la combinaison de deux facteurs :

Ø facteur F (fréquence),
Ø facteur G (gravité).

__________________________________________________________________________
Wafabank le 16 janvier 2002 5
page5
La fréquence F se mesure en terme de probabilité d'occurrence ou de réalisation de la menace.
Elle s'exprime en 10-x. Elle est estimée par des spécialistes de la prévention.

La gravité G se mesure en terme d'impact ou de conséquence des effets de la réalisation de la menace.

L'unité de mesure est généralement la monnaie. Le raisonnement va jusqu'à procéder à l'évaluation d'un
individu dans un contexte donné, ce qui permet de prendre en considération, de manière brutale, le
risque pour l'homme dans une analyse globale des risques.

La valeur d'un risque s'exprime donc par le produit des deux facteurs :

R=FxG
Produit dont l'unité sera simplement une unité monétaire.

2.2. L'analyse des risques

L'analyse des risques est une démarche qui consiste, face à toutes les menaces susceptibles d'atteindre
le patrimoine de l'entreprise, à :

- déterminer une probabilité d'occurrence (identification des risques, facteur F),

- déterminer une gravité ou l'impact de réalisation de la menace sur toutes les composantes de
l'entreprise et en évaluer le coût (évaluation des risques, facteur G),

- hiérarchiser les risques en fonction des résultats des différentes valeurs de "R" obtenues pour
chaque type de risque.

A la notion de probabilité d'occurrence, ou de fréquence, il faut associer la notion de "point dangereux".

A la notion de gravité ou d'impact, il faut associer la notion de "point névralgique".

Notions de "point dangereux" et de "point névralgique"

Il faut rappeler les définitions de ces deux notions :

Par "point dangereux", il faut entendre toute activité, tout lieu, tout système, toute disposition pouvant,
avec une probabilité non négligeable, constituer l'origine ou un élément primordial d'un début de sinistre
ou d'accident.

Le point dangereux est donc le point de départ potentiel de la réalisation d'une menace :

__________________________________________________________________________
Wafabank le 16 janvier 2002 6
page6
Par "point névralgique", il faut entendre toute activité, tout système dont l'arrêt, la mise hors service, la
destruction ou la disparition aurait, pour l'entreprise, des conséquences importantes, difficilement ou très
difficilement supportables et pouvant, à l'extrême, entraîner la disparition de l'entreprise.

L'identification des points névralgiques et des points dangereux

L'identification des points dangereux nécessite une analyse méticuleuse de toutes les activités de
l'entreprise et surtout de toutes les conditions dans lesquelles s'effectuent ces activités :

Cette analyse nécessite une certaine expérience dans les risques et les dangers liés aux produits, aux
systèmes, aux dispositions des lieux, etc.

Identifier un point dangereux nécessite en effet d'associer à la démarche la notion de probabilité ou de

fréquence possible de réalisation du danger. Dans cette démarche, la connaissance statistique de
l'assurance est précieuse, on retrouve en effet tous les points dangereux classiques signalés et pris en
considération dans le traité de tarification des risques d'entreprise.
L'identification et l'analyse des points dangereux sont donc essentiellement du ressort des spécialistes
de la prévention, qu'ils soient internes ou externes à l'entreprise, qui pourront très utilement être aidés
dans leur démarche par un représentant de la profession de l’assurance.

L'identification des points névralgiques, par contre, ne peut pas réellement être effective sans la
contribution des compétences internes à l'entreprise. C'est en effet, les responsables de production,
d'informatique, de développement, etc qui peuvent connaître les points réellement névralgiques de leur
entreprise.

Mais cette démarche nécessite aussi une action importante d'arbitrage. En effet, il est normal et humain
que chaque acteur, chaque rouage de l'entreprise considère que son rôle est particulièrement
névralgique...

C'est donc un travail de concertation entre le préventionniste et les différents responsables de l'entreprise
qui permettra de procéder à :

- l'identification des points névralgiques,

- à la mesure de l'impact ou de la gravité des différents scénarios d'atteinte des points névralgiques.

2.3. La hiérarchisation des risques

__________________________________________________________________________
Wafabank le 16 janvier 2002 7
page7
C'est la hiérarchisation la plus objective possible des points névralgiques qui permettra de procéder à
la hiérarchisation des valeurs de "G" (gravité) associée à chaque risque, et donc à la hiérarchisation des
risques.

Cette hiérarchisation s'effectue en fonction de deux critères :

- délais de remise en service ou de restauration du point sinistré,

- conséquences financières du sinistre. Ces deux critères sont évidemment très liés.

Il est donc nécessaire d'examiner, point à point, toutes les conséquences d'un sinistre, et cela de manière
exhaustive : conséquences directes (temps d'arrêt, réparation) et conséquences indirectes (pertes
immatérielles, coûts supplémentaires, perte de clientèle, altération d'image, temps de recherche ou de
reconstitution de données, etc).

Pour cela, nous estimons indispensable que soit constitué, pendant la démarche d'analyse de
vulnérabilité, un "comité de pilotage" ou "comité d'application" chargé d’assister l’auditeur pendant la
démarche d’analyse de vulnérabilité. Cette démarche permet alors de hiérarchiser les risques en les
classant, par exemple, en 5 catégories essentielles :

R0. Risque nul ou négligeable.

Sa réalisation est très improbable et n'aurait aucune incidence sur les objectifs de l'entreprise.

R1. Risque faible. Les conséquences peuvent être compensées sans effets négatifs sur les objectifs
de l'entreprise.
Ne justifie pas des mesures contraignantes de sécurité supplémentaires.

R2. Risque moyen. Sa réalisation fragilise l'entreprise. Les objectifs peuvent encore être atteints
mais avec des mesures (et donc des coûts) supplémentaires.
Nécessite un traitement.

R3. Risque fort ou majeur. Sa réalisation compromet les objectifs de l'entreprise.

Nécessite un plan de traitement avec plan de redémarrage ou plan de survie avec recours à
l'assurance.

R4. Risque catastrophique . Sa réalisation entraîne la disparition de l'entreprise.

Traitement indispensable, généralement avec transfert à l'assurance.

Cette échelle des risques permet donc de constituer une partie importante de référentiel à prendre en
compte pour l'audit de sécurité.

__________________________________________________________________________
Wafabank le 16 janvier 2002 8
page8
3.LA MAITRISE DES RISQUES

3.1. Prévention, protection, précaution

La prévention, c’est, vis à vis de risques connus et identifiés, l’ensemble des mesures, techniques ou non,
susceptibles de diminuer la probabilité de survenance d’un sinistre ou d’un accident.

La protection, c’est, toujours vis à vis de risques connus et identifiés, l’ensemble des mesures, techniques
ou non, susceptibles de diminuer les conséquences de l’accident ou du sinistre.

La précaution, c’est, vis à vis des risques mal connus, mal identifiés, mais supposés comme possibles,
l’ensemble des mesures destinées à diminuer la probabilité d’occurrence et/ou les conséquences
prévisibles ou imaginables.

Prévention Protection
Diminue La fréquence La gravité
Par action sur Les points dangereux Les points névralgiques
Concerne La direction d’exploitation de Les spécialistes de la sécurité
l’établissement

3.2. Audit de sécurité

La Chambre de Commerce Internationale, à la suite des travaux d'une douzaine d'experts de haut niveau
de l'industrie, a adopté une définition de l'Audit Environnement que l'on peut parfaitement étendre à la
notion d'audit de sécurité en général. Cette adaptation donne alors la définition suivante :

- l'audit de sécurité est un outil de gestion qui comprend une évaluation systématique, documentée,
périodique et objective de la manière dont fonctionnent l'organisation, la gestion et le matériel en
matière de sécurité, dans le but de contribuer à la sauvegarde des personnes, des biens et, d'une
manière générale, du patrimoine de l'entreprise en :

- facilitant le contrôle par la direction de la façon dont les questions de sécurité sont traitées,

- évaluant la conformité avec les politiques de la société, y compris celle qui consiste à satisfaire
aux exigences réglementaires.

Nous y ajouterons un troisième aspect : les exigences d'assurabilité des risques.

Il faut rappeler que l'audit, en tant que tel, ne comporte pas la notion de recommandation, encore moins
la notion d'étude ou de conception de solutions. Ces démarches sont en effet du ressort des missions

__________________________________________________________________________
Wafabank le 16 janvier 2002 9
page9
de conseil et d'ingénierie.
La démarche d'audit de sécurité consiste donc :

- à déterminer le référentiel, c'est-à-dire la situation optimale vis-à-vis des risques,

- à conduire la démarche d'audit, c'est-à-dire l'examen de la situation réelle par rapport à ce

référentiel,

- à traduire les observations, les constatations et les conclusions sous forme d'un rapport écrit et sous
forme d'une présentation plus active auprès de l'équipe dirigeante de la société.
3.2.1. LE REFERENTIEL

Réglementation

Le référentiel réglementaire n'a pas à être défini : il est déjà défini par le législateur. Rappelons cependant
quelques faits :

- En matière de sécurité, la réglementation concerne exclusivement :

- la sécurité des personnes aux heures d'occupation des locaux,
- la protection de l'environnement.

Cela signifie, a contrario, que la réglementation ne peut pas constituer un référentiel acceptable :

- aux périodes d'inoccupation des locaux,

- vis-à-vis de la protection des biens matériels et immatériels de l'entreprise (patrimoine).

- le volume de textes législatifs publiés par an augmente actuellement dans des proportions très
importantes.
Il en est de même en matière de réglementation concernant la sécurité. Chaque événement, surtout
s'il est fortement médiatisé, entraîne un renforcement de la réglementation et la parution de
nouveaux textes complémentaires ou modificatifs.

La référence à la réglementation peut paraître simple du fait, précisément, que cette réglementation
existe. En réalité, cela suppose un suivi de l'évolution des textes, ce qui exige beaucoup de temps et de
plus en plus de compétences.
Rappelons les principales réglementations de référence en matière de sécurité :

- CODE DE LA CONSTRUCTION ET DE L'HABITATION qui comporte tout le règlement

concernant :
- les ERP (Etablissements Recevant du Public),
- les IGH (Immeubles de Grande Hauteur),
- les bâtiments d'habitation,
- les parcs de stationnement,
- les tunnels.
__________________________________________________________________________
Wafabank le 16 janvier 2002 10
page10
- CODE DU TRAVAIL

- Loi du 19 juillet 1976 sur la Protection de l'Environnement.

- Les DTU (maintenant les normes) servent de références aux prescriptions d'installation et
d'équipement.

Les règles techniques des Assureurs (français ou étrangers) n'ont pas de caractère réglementaire. Ces
règles sont cependant souvent assimilées aux "règles de l'art" en l'absence d'autres textes réglementaires
et peuvent donc être considérées comme un référentiel.

Le respect des règles des Assureurs peut, et c’est souvent le cas, devenir une obligation contractuelle :
ces règles deviennent alors un référentiel pour les opérations d’audit.

Exigences spécifiques

Les exigences particulières de l'entreprise constituent la partie spécifique du référentiel à prendre en

compte dans l'audit de sécurité.

Ces exigences découlent directement de l'analyse et de la hiérarchisation des risques définies

précédemment.

Les besoins d'assurance

Le besoin d'assurance est exprimé à partir de l'analyse des risques et de l'analyse des moyens financiers
de l'entreprise. C'est ainsi que l'on peut définir le contour du référentiel de l'audit d'assurance.
Cette démarche est souvent exclue de celle de l'audit de sécurité. Elle nous semble cependant
indispensable dans une politique cohérente de gestion des risques.
Le besoin d'assurance sera donc essentiellement défini en fonction de la capacité financière de
l'entreprise à conserver certains risques, autrement dit de faire face financièrement aux pertes générées
par les risques concernés et par l'arbitrage économique entre le coût de rétentions du risque et le coût
de son transfert à l'assureur. Cette base référentielle ne peut naturellement être définie qu'avec la
Direction de l'Entreprise.

3.2.2. LA CONDUITE DE L'AUDIT

Une démarche d'audit nécessite une parfaite transparence dans les relations entre l'audité et l'auditeur,
qu'il soit interne ou externe à l'entreprise.
Les informations recueillies, les situations observées, les résultats de la démarche n'auront eu de réelle
valeur et de bonne crédibilité que dans le respect de ce principe fondamental.

3.3. Le programme de sécurité

Appelé aussi « schéma directeur » ou « programme de mise en sécurité ».

__________________________________________________________________________
Wafabank le 16 janvier 2002 11
page11
C’est le résultat d’une étude complète de tous les moyens à mettre en œuvre pour diminuer la
vulnérabilité de l’entreprise vis à vis de ses risques, assurables ou non assurables.

Le programme de sécurité définit l’ensemble des moyens techniques et humains à mettre en œuvre.
La mise en œuvre de ces moyens devra ensuite être conduite par différents intervenants externes ou
internes, compétents et spécialisés dans leurs domaines.

Ce programme doit être élaboré en tenant compte des interactions entre tous les risques et tous les
moyens à mettre en œuvre : il faut par exemple respecter une cohérence entre les exigences de
sécurité contre l’incendie et de sécurité contre l’intrusion.

Il faut aussi savoir apprécier les coûts, à l’investissement et à l’exploitation, des moyens définis.

Il faudra tenir compte des avantages financiers du fait de la prise en considération par l’Assurance
des solutions envisagées.

Il faudra également que les solutions retenues soient compatibles avec la logique économique de
l’entreprise, faute de quoi elles risquent d’être rejetées au cours du temps.

Le schéma directeur se présente donc sous forme d’un document précisant les mesures à mettre en
œuvre sous une forme générique, par exemple : une détection incendie adressable généralisée à tous
les locaux, renvoyée à un P.C. de surveillance de jour, à une station de télésurveillance de nuit.

Une telle solution sera décrite avec :

- un montant estimatif d’investissement,

- un coût estimatif de maintenance et d’exploitation,
- un planning de mise en œuvre,
- Un programme de formation des agents de sécurité concernés.

Les mesures de sécurité retenues peuvent sortir du cadre habituel des équipements spécialisés. Par
exemple :
- Aménager une zone de parking extérieure au site proprement dit pour un meilleur contrôle des
entrées et sorties sur le site proprement dit.
- Améliorer l’éclairage extérieur, etc.

3.4. Les moyens techniques, les moyens humains

Les moyens retenus doivent être cohérents entre eux, et adaptés aux risques analysés, tout en
s’inscrivant dans la marche normale de l’entreprise.

Un critère important à respecter est celui de la relation à établir entre les équipements techniques et
la compétence du personnel pour leur utilisation. On assiste parfois à des phénomènes de « rejet »…
__________________________________________________________________________
Wafabank le 16 janvier 2002 12
page12
Les moyens retenus devront aussi être acceptés par le personnel, y compris l’encadrement au plus
haut niveau. L’exemple du contrôle d’accès par badges ou de la surveillance vidéo est très
significatif : Il est nécessaire que le système soit réellement accepté par tous. Dans le cas contraire, il
représenterait un investissement inutile.

3.5. L’organisation autour de la sécurité

La sécurité dans une entreprise est une fonction transversale, c’est à dire concernant tout le monde et
chacun dans son domaine.

L’organisation de l’entreprise doit donc être telle que, par exemple, un rapport de vérification d’une
installation électrique comportant des remarques importantes soit effectivement analysé au bon
niveau et fasse l’objet rapidement du traitement nécessaire.

On retrouvera cette organisation nécessaire dans les procédures d’accès des visiteurs, des
fournisseurs, des entreprises extérieures, de l’entretien des locaux, des circuits de décisions…

4. LA GEST ION DES RISQUES

4.1.LE POINT DE VUE DE L’ASSURANCE

Le rôle de l’Assurance est de garantir de fournir les moyens financiers de réparer un dommage et/ou
un préjudice entrant dans le cadre du contrat.

L’assureur est un partenaire de l’entreprise.

Le montant de la prime est calculé suivant la « valeur du risque », à laquelle s’ajouteront un certain
nombre de frais.

Pour l’assureur, la valeur du risque est basée sur le produit fréquence x gravité, c’est à dire en
référence :

- à la fréquence statistique de l’activité exercée et des conditions dans lesquelles cette activité est
exercée (prévention),
- à la valeur des capitaux garantis.

La vision « mutualiste » de l’assureur n’est pas toujours celle qui convient réellement à l’assuré.

__________________________________________________________________________
Wafabank le 16 janvier 2002 13
page13
A la suite d’une analyse de risques et de la vulnérabilité, on peut s’apercevoir que d’un risque majeur
pour l’entreprise et un risque mineur pour l’assureur, par exemple du fait de capitaux peu importants.

L’entreprise doit donc aller au-delà de l’analyse des risques de l’Assureur.

4.2.LE POINT DE VUE DE L’ASSURE

L’assuré est exposé à des risques non assurables : perte de clientèle, dégradation d’image, perte
d’informations sensibles, etc… vis à vis de ces risques, l’assuré doit se bâtir son système de
prévention approprié.

L’assuré peut avoir intérêt à s’auto-assurer vis à vis de certains risques ou jusqu’à un certain montant
de garantie : il pratique alors une politique de rétention et supporte une franchise à définir selon sa
capacité financière.

4.3. L’importance de la prévention

- L’assurance fournit des capitaux.

Si tout se passe bien, en cas de sinistre, l’assurance ne donne que ce qu’elle a : une somme d’argent
permettant de réparer, de reconstruire ou d’indemniser.
Mais l’argent n’est qu’un outil (nécessaire), mais ne remplace pas à lui seul ce que le sinistre a pu
détruire ou détériorer.

Même correctement assurées, on estime que sur 5 entreprises victimes de sinistres, 4 disparaissent
dans les 5 ans.

- La prévention permet de diminuer le montant de la prime.

Du point de vue de l’assureur, si la probabilité de sinistre baisse et si l’importance présumée du

sinistre est diminuée, la prime sera revue à la baisse.

Le coût global du risque est composé du :

- coût de prévention,
- coût de l’assurance.

La bonne gestion du risque nécessite de trouver le meilleur équilibre.

__________________________________________________________________________
Wafabank le 16 janvier 2002 14
page14
- La prévention permet la réassurance

L’assurance a besoin à son tour d’être assurée. C’est la réassurance, vis à vis de laquelle la
compagnie d’assurance devient un assuré.

- La prévention permet une valorisation de l’image de l’entreprise

L’entreprise ne peut pas prétendre pouvoir offrir des services ou des produits de qualité sans un
souci permanent de prévention : qualité et sécurité sont indissociables.

- La prévention est un élément de valorisation auprès des actionnaires

L’exemple de la prévention vit à vis du risque d’atteinte à l’environnement en est la démonstration la

plus pertinente.

4.4. Le plan de continuité d’activité (BCA) et gestion de crise

Lorsqu’une entreprise est victime d’un sinistre, d’une agression, d’un événement interne ou externe
pouvant lui être préjudiciable, cette entreprise se trouve face à une situation de crise.

Rester à la hauteur des exigences du marché, continuer à satisfaire ses clients, maintenir (ou même
améliorer) son image de marque, tels sont alors des objectifs des dirigeants.

Pour atteindre ses objectifs essentiels, les différents responsables ont à faire face à des obstacles
inhabituels, avec des moyens qui ne sont pas nécessairement adaptés à ce contexte particulier.

Il faut pouvoir agir très vite, ne pas se laisser déborder, anticiper pour pouvoir maîtriser les
événements et continuer à piloter l’entreprise ou l’établissement.

L’anticipation et la préparation à une situation de crise peuvent permettre de franchir l’obstacle

sans risque de compromettre la réalisation des objectifs, de ralentir le développement ou la
réalisation des projets stratégiques.

LA PREPARATION A UNE SITUATION DE CRISE

Une préparation est concrétisée par un document qui doit être simple, pratique et vivant,
régulièrement actualisé.

On peut ne pas être contraint totalement à l’improvisation.

Un plan de crise est le résultat d’une démarche comportant différentes étapes :

__________________________________________________________________________
Wafabank le 16 janvier 2002 15
page15
UNE BONNE ANALYSE

Une analyse préalable, objective, exhaustive des différents événements susceptibles de

compromettre l’activité est indispensable.

Incendie, attentat ?
Produits défectueux ?
Fournisseur défaillant ?

Mouvement social ?
Dysfonctionnement du système d’information ?
Pollution ? etc.…

Chaque type de risque doit être analysé selon ses probabilités et ses conséquences.

SELECTION DES SCENARIOS

A partir de l’analyse précédente, on retiendra les scénarios qui nécessitent et justifient une
préparation.

Ces scénarios sont souvent regroupés et se retrouvent dans deux types essentiels de situation :

- L’entreprise est victime.

- L’entreprise est présumée responsable, parfois même coupable.

Les contextes sont différents et nécessitent des réactions adaptées.

Dans chaque cas, la réaction doit être rapide, donc préparée.

LE PLAN DE CRISE

C’est la concrétisation de la préparation, sous une forme pratique, utilisable rapidement par les
personnes concernées.

Dès le début de crise, la Direction (cellule de crise) doit pouvoir disposer des outils nécessaires pour

- mettre en œuvre immédiatement les solutions matérielles de dépannage ou de redémarrage,

- communiquer à l’intérieur (personnel, siège, partenaires sociaux…) à l’extérieur (clients, média,
administration, etc.…)

ORGANISATION MATERIELLE DE LA POURSUITE DES ACTIVITES

L’étude de cette organisation permet de préciser les moyens sur lesquels on peut compter pour
__________________________________________________________________________
Wafabank le 16 janvier 2002 16
page16
rétablir très rapidement des conditions acceptables de fonctionnement :

- back up informatique,
- personnel supplémentaire,
- matériel ou équipement de substitution,
- sous-traitance, recours à d’autres entreprises comparables,
- communications, etc.

Les références, les fournisseurs, les caractéristiques des produits peuvent changer, les outils
évoluent : un suivi et une actualisation permanente sont nécessaires.

MAITRISE DE LA COMMUNICATION DE CRISE

Toute crise peut être amplifiée, ou au contraire atténuée, selon la qualité et la maîtrise de la
communication, en interne comme en externe.

Un plan de communication, au même titre que le plan de continuité d’activité, permet de préciser qui
peut communiquer auprès de qui, avec quels moyens.

LA CELLULE DE CRISE

L’organigramme de l’entreprise n’est pas le mieux adapté pour faire face aux urgences et aux
priorités qui s’imposent.
La cellule de crise peut répondre immédiatement aux besoins matériels, comme aux inquiétudes.

La cellule de crise est donc constituée de personnes compétentes et formées à faire face à cette
situation.

LA FORMATION

Les principaux acteurs doivent connaître les grands principes de la gestion de crise.

- les différents types de crise.

- Le déroulement d’une crise.
- Les principes de la communication de crise. Etc…

Une formation est nécessaire. Cette formation peut être complétée par des exercices avec des
professionnels (journalistes) ou même des tests de simulation en vraie grandeur.

LES TESTS

Véritable mise en scène, suivant un scénario étudié avec précision, plaqué à la réalité possible, un tel
__________________________________________________________________________
Wafabank le 16 janvier 2002 17
page17
exercice permet de tester le fonctionnement et l’efficacité de l’ensemble du dispositif.

Une telle démarche de bonne gestion permet :

- De mieux connaître ses risques et les moyens d’y faire face,

- De réduire le temps d’arrêt possible d’activité,
- De maîtriser au mieux les conditions d’assurance « perte d’exploitation »,

5.CONCLUSION

Qui gère les risques ?

C’est généralement la fonction du « risk manager », concept américain qui se traduit parfois par
« gestionnaire des risques » ou « Directeur des risques… ».

La véritable fonction doit couvrir à la fois :

- La maîtrise des risques,

- La gestion des risques.

La maîtrise des risques nécessite les compétences pour :

- analyser les risques,

- hiérarchiser les risques de l’entreprise,
- réduire la probabilité d’occurrence (prévention),
- réduire l’impact ou la conséquence des sinistres possibles (protection),
- organiser et appliquer les plans de secours, plans de continuité d’activité et de gestion de crise…

La gestion des risques nécessite les compétences pour :

- gérer au mieux le coût du risque dans son ensemble,

- s’appuyer sur l’assurance, en tant que partenaires, pour optimiser les garanties, les primes, les
franchises, les clauses des contrats, etc.

__________________________________________________________________________
Wafabank le 16 janvier 2002 18
page18
Le poste nécessite des compétences difficiles à rassembler sur une seule personne, surtout si l’on
ajoute que le risk-manager doit aussi et surtout être un communiquant particulièrement talentueux.

Les grands groupes industriels ou financiers pouvant disposer d’une telle fonction, comme les grands
de ce monde disposent d’un médecin privé.

Mais les autres, plus modestes ?

Pour reprendre l’image de médecine, on peut dire que l’on peut, jusqu’à un certain point se soigner
soi-même, mais qu’à partir d’un certain niveau de risque, nous faisions appel à un médecin extérieur
dont nous partageons les compétences avec d’autres.

Ce fonctionnement peut s’envisager par la maîtrise et la gestion des risques de l’entreprise.

__________________________________________________________________________
Wafabank le 16 janvier 2002 19
page19