58236943 La Gestion Des Risques

La gestion des risques2e dition

Olivier Hassid

Olivier Hassid

LA GESTION DES RISQUES2e dition

Dunod, Paris, 2008ISBN 978-2-10-053661-0

Sommaire

Avant-propos Introduction

VII 1

Chapitre 1 Une histoire rcente des risques au sein de lentrepriseI. Les risques des annes 1970, 19801. Le risque politique 2. Les risques conomiques 3. Les risques socioculturels 4. Les risques technologiques 6 7 10 11 12 14 14 21 24 27

II. Les risques des annes 1990, 2000 Dunod - La photocopie non autorise est un dlit.

1. Les risques physiques et moraux 2. Le risque informationnel 3. Leffet avalanche

Conclusion

Chapitre 2Les parties prenantes aux risquesI. Les producteurs de risques1. Leur prol 2. Leur provenance 30 30 32

IV

LA GESTION DES RISQUES

II. Les gestionnaires du risque1. Les entreprises 2. Les experts 3. Le secteur de la scurit prive et de lassurance 4. Ltat 5. Les individus et plus par ticulirement les victimes

37 37 39 41 43 46

III. Linterdpendance entre les producteurs du risque et les acteurs de la prvention Conclusion

47 49

Chapitre 3 Lestimation et lanticipation des risquesI. Lvaluation du risque1. La mesure des risques 2. Les instruments de mesure du risque 3. Les limites de la mesure 53 54 56 60 61 62 64

II. Llaboration dune stratgie de gestion des risques1. Optimiser le nombre dactivits 2. Mmoriser le nombre dinformations sufsantes

Chapitre 4 Le traitement des risquesI. Les dispositifs formels et informels69 72 74 77 77 79 80

II. Les dispositifs de planification III. Les dispositifs techniques IV. Les dispositifs stratgiques1. Stratgie 1 : lexternalisation 2. Stratgie 2 : linternalisation 3. Stratgie 3 : concentration des moyens sur les travailleurs risque

SOMMAIRE

V

V.

La couverture des risques

81 82 84

VI. Les dispositifs communicationnels Conclusion

Chapitre 5 Vers une gouvernance des risquesI. De nouveaux espaces envahis par le risque1. Les institutions publiques 2. Les espaces ouver ts au public 88 89 91 93 94 97 100

II. Lre de la gouvernance des risques1. La structure des interactions 2. Vers un nouveau management des risques

Conclusion

Chapitre 6 crise indite, gestion nouvelle ?I. Les dimensions de la crise101 103 107 110 113 119 129 135 145 149

II. Les crises actuelles sont-elles indites ? III. Existe-t-il des recettes pour grer les crises ? Dunod - La photocopie non autorise est un dlit.

ConclusionConclusion Annexe I : Des bonnes pratiques en matire de gestion des risques : une approche internationale Annexe II : Spcicits de la gestion des risques dans le secteur public Lexique Bibliographie Index

Avant-propos

Lentre dans le XXIe sicle a mis en vidence limportance des risques dans les socits modernes et dans les entreprises en particulier. Terrorisme, faillite de la gouvernance dentreprise, dveloppement du risque informationnel avec lessor formidable dInternet, obligent les entreprises investir ou rinvestir de manire forte le champ du management des risques. Cration dune culture du risque, management participatif, systme de catgorisation, mise en place de cellule de veille, les outils de management ne manquent pas pour comprendre et grer les risques. Au-del de cet empilement doutils, il convient avant tout de se demander en quoi le management des risques a t boulevers ces dernires annes et comment, lheure actuelle, il est possible deffectuer un management efcace des risques. Ceci suppose de se poser les bonnes questions : Quelle est la nature des risques auxquels les rmes sont aujourdhui confrontes ? Comment sont-elles en capacit de les analyser et de les mesurer ? Sont-elles susceptibles de les anticiper et de les prvenir ? En quoi lvolution des risques a-t-elle transform le management des entreprises et favorise-t-elle la construction dune gouvernance du risque ? Voici lessentiel des questions poses par cet ouvrage, auxquelles les rponses sont recherches laide dtudes de cas et de rfrences thoriques pluridisciplinaires.

Introduction

Les annes 2000 semblent marquer une nouvelle re. Les attentats du World Trade Center et de Madrid, lexplosion de lusine AZF Toulouse, le Tsunami en Asie du Sud-Est, louragan Katrina, les violences urbaines de novembre 2005 ou encore les scandales nanciers dEnron et de la Socit Gnrale, sont autant dvnements diffrents qui semblent mettre en lumire lurgence et lexigence de matriser les risques. Dans ce contexte, la diversication du danger semble interpeller non seulement les institutions publiques dans leur ensemble (tat, collectivits locales, institutions internationales), mais galement, et fait peut-tre plus surprenant, les entreprises. En effet, pour un il non initi, les entreprises semblent se rveiller dun profond sommeil par rapport la question de la gestion des risques. Dans la presse et les colloques, on dcouvre par exemple quelles engagent leur responsabilit sociale en dveloppant des stratgies visant protger leur environnement et les Droits de lhomme, que les industries semblent plus sensibles la scurit de leurs salaris et quelles commencent recourir des spcialistes de la gestion de risques : les risk managers. Dunod - La photocopie non autorise est un dlit.

Or, si lon y regarde de plus prs, on saperoit quen ralit la gestion des risques au sein des entreprises est loin dtre une proccupation nouvelle. Il faut rappeler, sans revenir des priodes trop lointaines, que ds les annes 1970-80, la gestion des risques tait une question cruciale. ce titre, en 1985, Patrick Joffre et Grard Koenig, deux professeurs de gestion, estimaient que les entreprises taient dj dans lobligation dlaborer une stratgie par rapport leurs risques nanciers et oprationnels. Leur analyse sappuyait alors sur deux phnomnes montants : Dune part, la monte de lassurantialisation ; les entreprises, recourant de plus en plus des contrats dassurance pour protger leurs actifs, se voyaient imposer par leur assureur la mise en uvre de dispositifs de prvention et de scurit.

2


Dautre part, la nanciarisation des conomies capitalistes ; en effet, le passage progressif dune conomie dendettement une conomie de marchs nanciers rendait les modes de nancement complexes et ncessitait par consquent un investissement plus important de la part des entreprises en matire de mesure et dvaluation des risques. En outre, lactualit de lpoque poussait dj les entreprises faire preuve de ractivit vis--vis des menaces qui pouvaient les affecter. Pour mmoire, on peut rappeler que les accidents de Seveso en Italie en 1976 et de Tchernobyl en Ukraine en avril 1986 interpellrent fortement lopinion publique et obligrent nombre de dcideurs concerns par les risques industriels prendre des mesures de scurit draconiennes an dviter la rsurgence de telles catastrophes. Cependant, reconnaissons aussi que si la gestion des risques nest pas une proccupation nouvelle pour les entreprises, ces dernires staient quelque peu dsintresses de cette thmatique au cours de la dcennie 1990. En effet, en interrogeant des experts ou des dirigeants dentreprise, on se rendait vite compte que la gestion des risques ntait pas traite en tant que telle mais dilue entre diffrents services : juridiques, nanciers, achats, ressources humaines, scurit. Au cours de la dcennie 1990, cette thmatique parat donc oublie ou, du moins, na plus une place aussi afrme quau cours des annes 1980. Or, en ce dbut de troisime millnaire, un nouveau renversement de tendance semble se dessiner. La question de la gestion des risques est nouveau accueillie avec un vif intrt par les entreprises et leurs dirigeants. Ainsi, daprs une tude de Marsh, sur un chantillon de 950 dirigeants interrogs dans onze pays dEurope, entre 2001 et 2004, leur degr dimplication et dinvestissement a augment substantiellement puisque 60 % accordent plus dimportance la ncessit dvaluer les risques de leur rme. Comme nous lavons mentionn, cette revitalisation doit, en partie, son explication lapparition de nouvelles catastrophes qui auraient pu tre mieux gres. Le nombre de morts rsultant du 11 septembre 2001, du Tsunami du 26 dcembre 2004 ou de louragan Katrina du 25 aot 2005 aurait certainement pu tre rduit considrablement si des mesures de prcaution satisfaisantes avaient t mises en place. Mais, de manire plus gnrale, on peut afrmer que cest lmergence de nouveaux risques qui attirent lattention des entreprises. Par exemple, la cybercriminalit, fruit de lexplosion de lInternet, ou

INTRODUCTION

3

la violence sont des risques indits pour les entreprises quelles se doivent maintenant de grer, sauf mettre en pril leur activit conomique. Par rapport au risque que reprsente la violence, il suft pour se convaincre de son importance auprs des entreprises de penser aux vnements du 11 septembre 2001. Outre les milliers de morts que ces attentats ont entrans, ils ont eu un impact brutal sur le milieu des affaires et particip leffondrement de lactivit conomique de lensemble des pays occidentaux. Partant de ce constat, comme les risques semblent avoir mut et prolifr pour les entreprises, cela nous amne alors nous demander si la gestion de risques a galement volu au cours de ces trente dernires annes. Par dnition, la gestion des risques est une mthode qui aide lentreprise bien connatre ses risques et mesurer leur importance en vue ensuite de les traiter efcacement. Ce qui signie que si les contours des risques ont chang, les mthodes de mesure et de traitement devraient avoir aussi volu. Est-ce que cela sest ef fectivement produit ? Les entreprises sont-elles entres dans une nouvelle re de la gestion des risques ? Pour tenter de rpondre ces interrogations et avant toute chose, nous essayerons de prsenter de manire diffrencie les risques devenus des risques traditionnels pour lentreprise, des nouveaux risques. Quelle est la nature prcise de ces nouveaux risques et en quoi sontils une nouveaut ? Sont-ils plus imprvisibles que les prcdents ? Reprsentent-ils une plus grande menace pour les socits ? Quel est leur cot ? Dunod - La photocopie non autorise est un dlit.

Dans un deuxime chapitre, nous nous intresserons aux acteurs des risques, pas seulement ceux qui les prviennent mais aussi aux producteurs de risques. Par exemple, qui sont les auteurs du piratage sur Internet ? Paralllement, qui sont ceux qui protgent lentreprise et comment celle-ci est-elle organise pour y faire face ? Nous verrons, chose relativement tonnante, quavec lapparition de ces nouveaux risques , le rseau dacteurs de la prvention des risques sappuie de nos jours sur des ressources peu utilises prcdemment par les entreprises mais qui reprsentent des ressources ancestrales, savoir la police, la justice et les citoyens. Dans un troisime chapitre, nous prsenterons les outils qui permettent didentier et dvaluer ces diffrents risques. Nous verrons comment lapparition dune nouvelle vague de risques met en question

4


lvaluation traditionnelle des risques et oblige adopter une perspective plus dynamique. Plus que la mesure et lvaluation, lanticipation devient le leitmotiv des nouvelles politiques de gestion de risque. Dans un quatrime chapitre, nous tudierons quelles sont les mthodes pour traiter les risques. Le bilan qui sera fait pourra surprendre : si videmment la gestion des risques a gagn en technicit, elle a peu volu en matire de reprsentation. La prolifration des experts na pas permis de renouveler la pense en matire de traitement des risques. Les barrires virtuelles ont remplac les barrires physiques. Les crans de surveillance remplacent peu peu la surveillance humaine. Mais ces dispositifs, aussi sophistiqus soient-ils, nont pas engendr de bouleversements cognitifs par rapport ces champs dinvestigation. Or cela ne va pas sans poser des difcults. Les entreprises en particulier et la socit en gnral se trouvent dmunies par rapport aux transformations socitales et techniques de ces deux dernires dcennies. Que proposer pour sortir du cercle de la violence qui pauprise certains territoires en France et rend improbable linvestissement de la part des entreprises ? Lincapacit des entreprises lutter efcacement contre les risques nouvelles gnrations na-t-elle pas une incidence sur leur image et leur lgitimit ? Dans un cinquime chapitre, et cest peut-tre l la grande nouveaut, nous verrons que les risques ne sont plus seulement le problme des entreprises, mais de bien dautres organisations (les collectivits locales, lducation nationale, les associations). Comme les risques ne sont plus du ressort unique de lentreprise, cette dernire est conduite se coordonner et travailler avec de nouveaux partenaires avec qui elle navait pas ou peu lhabitude de travailler. Nous parlerons alors de gouvernance du risque et nous prsenterons les avantages et les problmes poss par cette nouvelle gestion du risque. Nous verrons notamment que cette nouvelle structure de gouvernance attnue un certain nombre de risques connus et en produit de nouveaux lis la complexit du partenariat. Enn, nous terminerons par le pendant du risque, la crise et sa gestion. Nous verrons qu nouveaux risques, nouvelles crises. Malgr cette observation, nous constaterons quil nexiste pas de nouveau modle de gestion de crise. La consquence, des cots nanciers indits

Chapitre 1Une histoire rcente des risques au sein de lentreprise

Le risque est inhrent lentreprise. Il a toujours exist et constitue, daprs les conomistes, son essence. Crer une entreprise, cest dj prendre un risque. Sa survie nest jamais assure. Mme les entreprises de grande taille nont aucune garantie de prennit. Enron, ArthurAndersen, Alstom et Parmalat sont des exemples de multinationales qui ont disparu ou qui ont d lutter pour leur survie. Si lactivit entrepreneuriale est la base une activit risque, dautres risques sont venus se greffer. Aux tats-Unis, Henri Fayol voyait dj en 1898 dans les oprations de scurit visant la protection des biens et des personnes, lune des six fonctions de lAdministration . En France, la prise en compte de ces problmes au sein de lentreprise apparat plus tardivement. Mme dans les annes 1970, cette fonction est peu dveloppe et peu structure. Cest en fait vraiment la n des annes 1970 et au dbut des annes 1980 que la question de la gestion des risques prend un rel essor dans lensemble des pays occidentaux. La fonction du risk manager est apparue cette priode, en mme temps que le secteur de lassurance se dveloppait. En effet, an de pouvoir sassurer, les entreprises devaient tre aux normes afches par les assureurs, ce qui supposait de nouvelles comptences au sein des entreprises. Entreprises et assureurs ont ainsi collabor pour construire une politique de gestion des risques efcace. La nance a galement eu un impact sur le dveloppement de la gestion des risques au sein de lentreprise. En mme temps que lconomie se nanciarise, des modles nanciers de gestion des risques naissent an dvaluer la qualit des placements et leur risque. Dans cette perspective, des modles comme le Capital asset pricing model (CAPM)

Dunod - La photocopie non autorise est un dlit.

6


dterminent les procdures de choix optimal en matire de rtention des risques, de franchise et de constitution de rser ves. En bref, au cours de cette priode, les entreprises, en collaboration avec les assureurs, et les analystes nanciers, essaient davoir une conception densemble des problmes de scurit. Nous rsumerons cette conception travers un modle de stratgie, dit le modle PEST, que nous prsenterons dans un premier temps. lensemble de ces risques, deux nouveaux types de risques sont venus sajouter : les risques mettant en danger la personne humaine, sa dignit, sa sant et ses droits et les risques informationnels. Nous soulignerons que ces risques sont intimement lis les uns aux autres et entrent en synergie lorsquils se combinent. Il sagit ici de prsenter une nouvelle cartographie des risques, intgrant les risques des annes 1970 et ceux apparus au milieu des annes 1990.

I. LES RISQUES DES ANNES 1970, 1980Au cours des annes 1970, 1980, les innovations technologiques et la globalisation des changes se dveloppent. Certes ces deux phnomnes ne sont pas nouveaux. Certains historiens, tels que Paul Bairoch, soutiennent mme que la part des changes entre les nations dans la richesse conomique mondiale retrouve juste le niveau du dbut du sicle prcdent. Toutefois, ce qui apparat nouveau, cest la nanciarisation des conomies, le dveloppement du transport arien, du fret et mme des transports terrestres (la mise en service de la premire ligne TGV en France date de 1981) et la dmultiplication des innovations technologiques. Ces transformations majeures ont pour consquence le dveloppement de risques collectifs. Par risques collectifs, il faut entendre des menaces datteintes qui affectent des biens collectifs (environnement) ou qui concernent de larges groupes de personnes du fait du comportement dautres agents, ou encore qui rsultent de phnomnes naturels. Lexistence de ces risques collectifs a des implications sur lactivit des entreprises et ces dernires sont donc dans lobligation de les prendre en compte. Ces risques que nous allons analyser et qui sont maintenant bien intgrs au sein des rmes peuvent tre rsums dans le cadre du modle PEST, modle labor par deux enseignants anglais, Gerry

UNE HISTOIRE RCENTE DES RISQUES AU SEIN DE LENTREPRISE

7

Johnson et Hevan Scholes, et qui se dclinent en quatre risques principaux : politiques, conomiques, socioculturels et technologiques.

1. Le risque politiqueLes risques politiques sont connus. La stabilit et la nature du rgime politique peuvent avoir une inuence dterminante sur la viabilit dune entreprise et le tissu conomique. linstar de la prsentation de Gerry Johnson et Hevan Scholes, on peut considrer que les contours des risques politiques englobent quatre composantes : la guerre ou linstabilit gopolitique, la corruption, la spoliation de la part des tats ou de la part du crime organis et enn la faiblesse de ltat Providence. La guerre ou linstabilit gopolitique

Rivalits entre chefs de guerre, entre le gouvernement en place et des mouvements doppositions armes ou encore entre tribus sont autant de situations conictuelles pouvant dboucher sur des actes collectifs de violence. Dans ce contexte, le dveloppement conomique de ces pays est frein puisque le dveloppement conomique dun pays dpend en premier lieu de la stabilit de son environnement institutionnel. La persistance de la crise politique, conomique et sociale conscutive la tentative de coup dtat du 19 septembre 2002 en Cte dIvoire est ce titre un bon exemple. En effet, moins dopportunits nancires exceptionnelles (prsence de gisements de ptrole, comme en Irak), les investisseurs, et notamment les investisseurs trangers, prfrent ne pas prendre le risque de voir leur personnel enlev, violent ou tu et de voir leurs biens endommags ou vols. Cette situation est dautant moins attractive pour les entreprises que la guerre ou linstabilit gopolitique a un impact fort sur la dmoralisation du personnel qui travaille et au bout du compte sur sa productivit. Enn, se pose la question des interlocuteurs : pour faire des affaires, il est prfrable de traiter avec des responsables politiques ables et lgitimes. Les guerres civiles ne donnent pas ce type de garanties. La corruption


La corruption est lemploi de faveurs pour faire agir un homme politique ou un fonctionnaire contre ses devoirs (Padioleau J.-G., Ltat

8


au concret, Paris, PUF, 1982). Les entreprises recourent ainsi lusage de pots de vins pour remporter des contrats importants. Lun des exemples rcents en France est le cas dAlcatel. En 2002, Alcatel a remport un contrat de 400 000 lignes cellulaires au Costa-Rica destines lInstitut costarican dlectricit, monopole dtat pour les tlcoms : contrat denviron 150 millions de dollar. Pour remporter ce contrat, la multinationale aurait vers des pots de vins de 14,7 millions de dollar. ltranger, on peut citer laffaire Mosanto. Mosanto, multinationale de lagrochimie, a t accuse davoir vers, en 2002 un pot-de-vin denviron 61 000 dollars un responsable du ministre indonsien de lEnvironnement, dans le but de faciliter la conclusion dun contrat avec Jakarta. La somme avait t comptabilise comme des honoraires un consultant . Pour mettre n une poursuite aux tatsUnis pour violation de la loi sur la corruption, la multinationale de lagrochimie a dcid daccepter en mars 2005 de payer une amende de 1,84 million de dollars. Ces exemples nous semblent bien dmontrer que la corruption a un cot pour les entreprises, un cot direct (versement du pot-devin) tout dabord, un cot indirect et potentiel ensuite (frais de justice, impact en termes dimage). Ces diffrents cots peuvent nuire alors la prennit de lactivit de lentreprise surtout si aprs coup certains gouvernements ne souhaitent pas lui voir attribuer des marchs. Par consquent, la corruption peut avoir des consquences nfastes pour les entreprises et miner la lgitimit des fonctionnaires dun pays. Cependant, au regard de ces exemples, il ne faut pas croire que la corruption ne touche que les fonctionnaires des pays en voie de dveloppement. Il est important de prciser quelle touche galement les pays les plus riches. LIndice de perception de la corruption (IPC), qui rete le degr de corruption ressenti comme existant dans les services publics et la classe politique, et calcul par lorganisation non gouvernementale Transparency International, montre que les pays riches sont galement affects par ce au.


9

Tableau 1.1. Indice de perception extrieure de corruption dans lUE des 15Finlande 9,7 RU 8,7 France 6,9 Danemark 9,5 Autriche 8,0 Espagne 6,9 Sude 9,3 Allemagne 7,7 Portugal 6,6 Pays-Bas 8,9 Belgique 7,6 Italie 5,3 Luxembourg 8,7 Irlande 7,5 Grce 4,3

Source : Transparency, rapport mondial sur la corruption 2003

travers ce tableau, la France, par exemple, est perue par les pays qui importent ses produits, comme lun des pays les plus corrompus dEurope. En effet, elle reoit une note de seulement 6,9/10 alors que la Finlande et le Danemark ont respectivement les notes de 9,7 et 9,5/10. Des pays en Europe reoivent mme des notes infrieures la moyenne puisque la Grce ne totalise que 4,3/10. La spoliation de la part des tats ou de la part du crime organis

Le risque de spoliation directe de linvestissement ralis dans un pays mergeant peut exister. Dans cette perspective, certains gouvernements nhsitent pas recourir leur arme pour exproprier certaines entreprises multinationales. Il faut bien le reconnatre, ce type de risque est difcile estimer. Daprs certains analystes, ce risque apparat faible. Nanmoins, ce type de spoliation nest pas unique. Dunod - La photocopie non autorise est un dlit.

De multiples formes de spoliation existent. Par exemple, ltat ou la Banque centrale du pays sont en mesure de dcider unilatralement de faire blocage pour que certains dbiteurs naient pas payer une partie de leurs crances aux rmes. De mme, en Russie, cest la peur des maas qui a dcourag pendant longtemps les entreprises trangres de rester sur ce territoire. En effet, ces maas, comme cela a pu se passer en Sicile, prlevaient un impt sur les entreprises leur garantissant leur protection. Cette pratique nest pas isole. Mme en France, et notamment en Corse, ces pratiques seraient utilises. Ainsi la presse quotidienne sest fait cho de rackets lencontre du Club Mditerrane par une socit de gardiennage, scurit.

10


Labsence dtat Providence

Un grand nombre de journalistes, de dirigeants dentreprises et de politiques avancent lhypothse selon laquelle la place de ltat Providence favorise la dlocalisation. En France, dans cette perspective, cer taines multinationales nont pas hsit faire pression sur le gouvernement pour obtenir des abaissements de charges et des modications de la rglementation. Les mouvements de dlocalisation sexpliqueraient-ils par lampleur de ltat Providence dans les socits les plus dveloppes ? Certainement pas ou trs rarement. Il faut bien avoir lesprit que cest le plus souvent la faiblesse de ltat Providence qui peut tre vecteur de risque pour une entreprise. En effet, dans le cas o la population ne bncie pas dune protection sociale, quil ny a pas de lgislation sur le travail, lentreprise court le risque davoir des employs malades, facilement fatigables et par consquent avoir une faible productivit. Cela implique aussi le risque davoir davantage daccidents du travail. En bref, en comparaison, il y a de fortes chances que la productivit horaire par employ soit plus forte dans un pays o ltat Providence est important et par consquent que le cot horaire de la mainduvre soit plus faible que dans les pays avec pas ou peu dtat Providence.

2. Les risques conomiquesLes risques conomiques sont les plus rcurrents au sein des entreprises. Au plan macroconomique, un retournement de cycle conomique, la chute des marchs nanciers ou encore la baisse de la demande des mnages lie une augmentation rapide du taux de chmage, psent sur le futur des entreprises et plus particulirement sur leur capacit dinvestissement. Les variations des taux de change constituent un autre risque pour les entreprises. Un euro fort par rapport au dollar peut affaiblir la comptitivit des entreprises europennes face aux entreprises amricaines. Il peut aussi mettre en danger une entreprise europenne qui a dvelopp sa stratgie dexportation en direction des tats-Unis puisque ses produits sont plus chers et donc moins concurrentiels. Au niveau microconomique, la gouvernance dentreprise pose aussi des difcults. Celle-ci dsigne lensemble des procdures rgissant le fonctionnement de la relation entre les diffrentes parties prenantes


11

dune organisation (actionnaires, dirigeants, salaris). Or les dfaillances de la gouvernance dentreprise sont galement vecteurs de risques majeurs pour lentreprise. Les affaires Vivendi ou Enron sont l pour le dmontrer. On pourrait encore citer bien dautres risques conomiques : lination ou linverse la dation, lvolution du PNB ou encore lendettement des mnages. En rcession par exemple, comme lactivit conomique dans son ensemble est atone, les entreprises vendent moins ; elles cherchent alors attirer de nouveaux consommateurs en baissant leurs prix, ce qui a des consquences sur le rsultat net de leur bilan. Ayant vendu des prix plus faibles que le prix souhait, elles bncient dun rsultat net infrieur aux esprances, ce qui en chane implique laffaiblissement de la capacit dautonancement, la dprciation de leurs cours de bourse, etc. Il est indispensable davoir conscience que les priodes de rcession ne sont pas les seules gnratrices de risques. Mme en priode deuphorie, les risques peuvent savrer aussi importants et donc dangereux car les entreprises se rfrnent moins effectuer des investissements spculatifs. On notera que la plupart des malversations juges aujourdhui ont t commises en pleine euphorie boursire en 1999 et 2000. Les PDG et les directeurs nanciers taient obnubils par lide que le cours de la Bourse ne devait baisser aucun prix rapporte David Brodsky (cit dans le Figaro Entreprise, Les gangsters de Wall Street , lundi 22 mars 2004, p. 11), associ du cabinet Latham & Watkins, ancien procureur fdral et spcialiste des contentieux. En effet, pour soutenir les cours, des socits comme WorldCom ou Enron sont accuses davoir ralis des malversations comptables.


3. Les risques socioculturelsLes risques socioculturels peuvent prendre diffrentes congurations. Ils peuvent tre rattachs aux volutions dmographiques, la distribution des revenus, la mobilit sociale, aux changements de modes de vie, lattitude par rapport aux loisirs et au travail, au consumrisme et au niveau de vie. En fonction de son implantation, une entreprise est confronte ces diffrentes congurations aux allures plus ou moins critiques. Par exemple, la dmographie peut tre un lment fort perturbateur pour

12


lentreprise. Rares sont les tudes qui se sont intresses aux consquences du vieillissement de la population sur le fonctionnement des entreprises et les risques quelles vont devoir af fronter. Or si on suppose que plus les gens vieillissent dans les socits occidentales, plus ils ont tendance rester longtemps au sein de leur entreprise, et que plus ils restent longtemps, plus ils deviennent difciles licencier, le licenciement devenant plus complexe et plus coteux, terme, les entreprises disposent de personnes peu mobiles, aux comptences obsoltes et difciles licencier. Dans ces conditions, une entreprise peut avoir intrt simplanter dans un pays non occidental o la population est relativement jeune. Les changements de modes de vie peuvent avoir aussi un impact important sur le dynamisme des entreprises. cet gard, les transformations des modes de vie des Japonais nont-elles pas t lune des composantes de la crise qui a affect le Japon au cours de la dernire dcennie ? Lconomiste japonais Masahiko Aoki notait que le fonctionnement des organisations japonaises des annes 1980, bas sur la solidarit et lostracisme qui puise ses sources dans la civilisation japonaise, avait eu un impact positif sur les rsultats des rmes japonaises. Or, entre les dcennies 1980 et 1990, beaucoup de choses ont volu au Japon. En mme temps que lindividualisme progressait, lattitude par rapport aux loisirs et au travail voluait et lefcacit des entreprises nippones saltrait. Par exemple, la rme Sony fait aujourdhui bien triste gure par rapport au Sony des annes 1970, 1980. On peut alors se demander sil ny a pas de lien de corrlation entre lvolution de la socit japonaise et les performances de ses entreprises. Il nest pas sr que le Japonais consacre autant de temps et defforts son entreprise. Imitant le mode de vie occidental, celui-ci tend par exemple prendre plus de vacances et par consquent travailler moins.

4. Les risques technologiquesLes risques technologiques correspondent lensemble des risques industriels, nuclaires et biologiques. Ils concernent principalement les entreprises prsentes dans les domaines dactivits suivants : les industries chimiques, les levages intensifs ou les activits de traitement des dchets. Les dfaillances les plus clbres sont celles de lusine de Seveso en 1976, des centrales nuclaires de Tchernobyl, de lusine chimique


13

de Bhopal ou encore de lusine AZF. Elles ont des consquences matrielles et surtout humaines considrables. Tableau 1.2 Les accidents industriels majeurs les plus marquants depuis SevesoLieu Harrisburg (EU) Tchernobyl (Russie) Date Nature de laccident Nombre de morts Inconnu Inconnu 2 500 31 morts (directs), des milliers par contamination 19 31 Seveso (Italie) 1976 Fuite de dioxine 1979 Une partie de la centrale nuclaire a fondu 1986 Explosion du cur dune centrale nuclaire

Bhopal (Inde) 1984 Fuite de gaz toxique

Rio de Janeiro 1998 Explosion dune usine de (Brsil) feux dartice Toulouse (France) 2001 Explosion dun stockage dammonitrates

En raison des drames produits, les sites risques technologiques sont recenss depuis une vingtaine dannes. Les entreprises doivent imprativement obtenir une autorisation pour raliser leur activit. En France, en 2001, 64 600 tablissements bncient ainsi dune autorisation. Parmi ces 64 600, 1 239 sont considrs comme trs dangereux, soit 2 % des tablissements daprs le classement Seveso, classement recensant au niveau europen les tablissements les plus dangereux. Dunod - La photocopie non autorise est un dlit.

Par ailleurs, il faut savoir que depuis le 3 fvrier 1999, ce classement est modernis et remplac par la Directive 96/82/CE du Conseil du 9 dcembre 1996, dite Seveso II. Seveso II concerne principalement les tablissements disposant de substances dangereuses, telles que des produits chimiques, des hydrocarbures, des produits phytosanitaires ou encore des explosifs. Seveso II a un intrt par rapport Seveso puisquelle met laccent sur les dispositions de nature organisationnelle que doivent prendre les exploitants de ces tablissements en matire de prvention des accidents majeurs. En effet, il est apparu quune grande partie des risques tait lie des dfaillances humaines ou des anomalies dorganisation. Selon les donnes du ministre de lcologie et du Dveloppement durable, ces dfaillances humaines et anomalies dorganisation seraient, en France

14


en 2003, lorigine de respectivement 28 % et 42 % des accidents chimiques, 35 % et 24 % de ceux touchant les industries alimentaires. Par consquent, la matrise des risques industriels ncessite le contrle de lorganisation du travail dans les entreprises. Cest en ce sens que la rglementation Seveso II attire lattention sur la ncessit de mettre en place un systme de gestion de la scurit, intgrant la mise en uvre de procdures, la dnition dune organisation et des formations qui permettent de prvenir et de faire face des accidents majeurs.

II. LES RISQUES DES ANNES 1990, 2000 la n des annes 1990, les entreprises amricaines, asiatiques, europennes et mme africaines font face la monte en puissance de risques qui navaient quune place mineure parmi lensemble des risques, une dcennie plus tt. De grands groupes ne sont plus seulement dstabiliss par les risques politiques, conomiques, socioculturels et technologiques que nous avons dcrits prcdemment, mais galement par lmergence de nouveaux risques, tels que le dveloppement de la cybercriminalit, la multiplication de plaintes pour harclement, le terrorisme, linscurit dans les entreprises ou encore la mauvaise sant de leur personnel. Ce qui nous importe ici est de dnir prcisment les contours de ces nouveaux risques et de tenter de comprendre les raisons de leur apparition. En ce sens, daprs nous, les entreprises ont prendre en compte avec plus de srieux deux nouvelles formes de risques : dune part les risques physiques et moraux, et dautre part les risques informationnels, les uns et les autres en venant gnralement interagir.

1. Les risques physiques et morauxTout homme a le droit la scurit, la dignit et la sant. Ces droits qui correspondent aux Droits de lhomme sont fondamentaux toute organisation humaine si celle-ci souhaite survivre. Or, pendant longtemps, les entreprises se sont peu intresses cette question, soit se reposant sur ltat, soit outrepassant dans certains cas les rgles sociales les plus lmentaires. Ce nest qu partir des annes 1990, que cette question leur est apparue problmatique. En effet, partir de ce moment-l, le nombre de plaintes pour harclements physiques ou moraux lencontre des


15

dirigeants dentreprises se multipliait. De mme, des affaires importantes (cf. encadr suivant) surgissaient, laissant apparatre que des entreprises de renom recourraient de la main-duvre infantile. On dcouvrait enn que la scurit ou la sant des employs ntait pas toujours assure. Les affaires lies lamiante sont l pour le prouver. Dans ce contexte, un grand nombre dentreprises ont d ragir. Ainsi, Richard Welford, responsable du programme de gouvernance environnementale des entreprises de luniversit de Hongkong, a pu observer auprs de 15 entreprises dEurope, dAmrique du Nord et dAsie, quelles staient toutes impliques activement dans llaboration et la mise en uvre de politiques RSE (Responsabilit sociale des entreprises). Ce type de politique a pour principal objectif de dmontrer quelles ont cur la dfense des conditions de travail des salaris et de leur dignit. On peut galement signaler que les entreprises utilisent de manire croissante des moyens de scurit privs an dassurer la scurit des biens et des personnes de leur entreprise. Agents de scurit, scurit lectronique, tlsurveillance sont maintenant utiliss de manire quasi systmatique par les entreprises. De mme, de plus en plus dentreprises sont attentives aux risques de harclement et mettent en place avec laide des partenaires sociaux des plans dactions prventives.

Les quipes DRH de Canal+ formes aux aspects juridiques et psychologiques du harclement Dunod - La photocopie non autorise est un dlit.

Suite une plainte pour harclement moral, qui fut nalement rejete par la Justice, Canal+ dcida de former son quipe de DRH. Une fois la formation effectue, celle-ci forma son tour prs de 200 managers. Dune part, des sminaires de sensibilisation furent raliss, an de sassurer que ces managers prennent bien la mesure du problme et notamment les sanctions encourues. Dautre part, des formations spciques furent entreprises an dapprendre grer un conit avec un collaborateur sans que cela prenne un tour personnel ou agressif. Enn, un programme de vigilance fut labor avec un mode demploi sur intranet pour tous les salaris qui sestiment victimes de harclement : chacun peut saisir des interlocuteurs diffrents niveaux de lentreprise, et si cela ne suft pas, sadresser un comit de sages extrieurs.Steinmann L., Apprendre mieux grer son comportement face aux recours en justice , Paris, Enjeux Les chos, p. 60, n 210, fvrier 2005.

16


Il est donc clair travers ce qui vient dtre crit, que les entreprises sont plus sensibles la protection des Droits de lhomme quelles ne ltaient dix ans plus tt. Certes, cette sensibilit nest pas la mme en fonction des entreprises, leur degr dinvestissement non plus. De mme, de nombreux problmes restent en suspens, tel que la question de la discrimination. Nanmoins, des avances notables sont en cours par rapport la gestion des risques physiques et moraux au sein des entreprises. Partant de ce constat, il est lgitime de comprendre pourquoi celles-ci attachent plus dimportance la scurit, la dignit et la sant de leurs employs. Premire explication, les formes de linscurit se durcissent. Les atteintes aux personnes ont augment vritablement par tir des annes 1990. Si ces atteintes augmentent lentement entre 1950 et 1988, elles prennent un essor quantitatif notable partir de la dcennie 1990. Ainsi en France, on dnombre 116 600 atteintes la personne en 1988 et 254 023 en 2000.

50

Taux pour 10 000 habitants

45 40 35 30 25 20 15 10 5 050 54 58 62 66 70 78 82 86 90 94 98 19 19 19 19 19 19 19 19 19 19 19 19 20 01

Source : Robert P., Linscurit en France, Paris, Repres , La Dcouverte, 2003, p. 21.

Schma 1.1 volution du taux datteintes contre les personnes (1950-2001)


17

Le monde de lentreprise, comme la socit en gnral, est expos aux comportements agressifs. Des recherches ont rcemment t effectues dmontrant le nombre grandissant de victimes dans le cadre de leur travail. Daprs certaines statistiques, 40 % des employs rencontreraient de lagressivit et de la violence, et 15 % des intimidations sexuelles. Les coupables de ces dlits sont soit des clients, soit des collgues. Il est galement observ que plus les contacts sont frquents avec le public, plus le risque devient important pour le travailleur de devenir victime. En effet, daprs une enqute amricaine effectue entre 1992 et 1996, plus de la moiti des individus victimes lavaient t dans un espace recevant du public (C. Mayhew, Preventing client-initiated violence : A practical handbook. Canberra : Australian Institute of Criminology, 2000). La consquence de cette observation est vidente. Les entreprises sont aujourdhui obliges de prendre des mesures pour assurer la scurit de leur personnel sur leur lieu de travail. Quand celles-ci ne par viennent pas lutter contre linscurit, elles nont dautres solutions que dinterrompre leur activit. Dans cette perspective, les multinationales de lintrim, telles que Adecco ou Manpower, ont t obliges ces dernires annes de scuriser leurs agences en recrutant du personnel de scurit et en mettant du matriel de sur veillance pour faire face aux violences rptes de personnes la recherche demploi sur le personnel de lentreprise. Certaines agences ont mme d tre fermes, comme cest le cas de plusieurs agences Adecco en rgion parisienne au cours notamment de lanne 2004. Deuxime explication, les formes de linscurit se diversient. ltranger, les entreprises franaises sont cet gard confrontes une recrudescence de crimes quelles ne connaissaient pas ou peu une dcennie auparavant. En Amrique latine, en Afrique ou en Asie, un dveloppement sans prcdent du nombre denlvements, dextorsions et dactes de piraterie est recens. Ainsi, par exemple, les dtournements de navires et la piraterie seraient en augmentation selon le Bureau maritime international (IMB) puisquils auraient tripl (Source IMB, 2003) dans la dernire dcennie et constitueraient un risque lourd, notamment pour les socits de transport exerant en Asie du Sud-Est. De mme, les voyageurs daffaires ou les expatris sont des cibles privilgies car ils ont une valeur marchande. Dans cette perspective, le nombre denlvements a progress de 70 % au cours de la dernire dcennie : en 2000, il a t dnombr 15 000 enlvements impliquant


18


le paiement dune ranon (ric Dnc & Sabine Meyer, Tourisme et terrorisme, Paris, Ellipses, 2006). Pour ce qui est du cas de la France, les formes dinscurit sont tout autres. En effet, en France, les entreprises connaissent aussi des phnomnes dinscurit mme si ces derniers prennent des formes moins excessives. On pense ce que le politologue Sebastian Roch appelle des incivilits qui englobent toutes les petites nuisances, entranant rarement des incriminations pnales et qui sont pourtant insupportables. Il sagit dactes de vandalisme, de dgradations ou du refus des codes de bonnes manires . Ils crent davantage un sentiment dinscurit chez les individus quune augmentation du nombre des dlits. Ces incivilits ne psent lourdement sur les entreprises que depuis quelques annes. Ainsi, on se rend compte que ce sont les secteurs employant de la main-duvre peu ou pas qualie qui rencontrent le plus de problmes : BTP, la grande distribution, le marketing tlphonique, la logistique, la restauration, lhtellerie, et mme lautomobile. En effet, pour faire face aux commandes, les constructeurs ont largement fait appel lintrim, sans se montrer sourcilleux dans la slection. Certains constructeurs se seraient alors plaints dactes dincivilits en tout genre : affrontements entre bandes, altercations dans les ateliers, vols et dgradations. Troisime explication, labsence de prise en compte de la sant, de la dignit et de la scurit des salaris a un cot de plus en plus lev. Dune part, parce que les entreprises constatent depuis ces dernires annes que linscurit au travail, la mauvaise sant ou des mauvais traitements ont un impact ngatif fort sur lactivit conomique de lentreprise. En Afrique, par exemple, les grands groupes se sont rendu compte que la dmultiplication des morts par le virus du sida (Debaswana, la plus grande socit de diamants du Botswana, a vu par exemple le nombre de dcs dus au sida tripler en son sein entre 1996 et 1999) avait pour consquence une perte de savoir-faire, une baisse du moral des salaris et de la productivit. Dans ce contexte, de grandes entreprises, telles que Coca-Cola, DaimlerChr ysler ou de Beers se sont engages, depuis 2003, payer les traitements pour leurs salaris et pour leur famille (Belot L., Le sida, un risque croissant pour les entreprises en Afrique , Le monde, 21.05.2003). Dautre part, parce que les consquences juridiques peuvent tre extrmement onreuses. Une entreprise qui ne respecte pas les droits du travail, qui pratique la discrimination sexuelle ou encore qui ne


19

prte pas assez attention la scurit de ses salaris risque de voir ces derniers lattaquer en justice. ce titre, Wal-Mart, le gant amricain de la distribution, doit actuellement faire face la plus grande plainte collective jamais dpose aux tats-Unis pour discrimination sexuelle. Autre exemple, la Direction des constructions navales (DCN) a appris ses dpens quune entreprise ne doit pas sous-estimer les risques dun attentat lorsquelle envoie du personnel ltranger. En effet, suite lattentat de Karachi (Pakistan), le 8 mai 2002, qui a entran la mort de onze de ses salaris qui taient l-bas en mission, les familles des victimes ont saisi le tribunal des Affaires sociales de la Manche dune action en reconnaissance de faute inexcusable et ont obtenu gain de cause, les juges ayant considr que : compte tenu des informations dont elle disposait lpoque, la DCN aurait d avoir conscience des risques majeurs dun attentat pouvant tre perptr contre ses salaris (F.H., La DCN condamne dans lattentat de Karachi , La Tribune, 06.02.2004). Enn, il peut y avoir un cot en termes dimage. Une entreprise qui nglige les droits fondamentaux, risque de voir sa rputation ternie, et le public se dtourner de ses produits. Cest particulirement notable pour les grandes marques qui doivent en cas de ngligence adopter une stratgie de reconqute dimage particulirement coteuse (cf. encadr suivant).

La responsabilit morale des multinationales 1991 : laffaire Levis la suite des plaintes dassociations humanitaires, le gouvernement amricain ouvre une enqute sur les conditions de travail abusives dans des usines textiles de lle de Saipan, dans locan Pacique, o sont fabriqus des jeans Levis. Le groupe amricain se dote, en 1992, dun code de bonne conduite sociale stipulant que ses partenaires doivent avoir des standards thiques compatibles avec ceux de Levis . Pour la premire fois, une multinationale reconnat une part de responsabilit dans lattitude de fournisseurs trangers. Aprs cette affaire, des Organisations non gouvernementales (ONG) amricaines mobilisent lopinion, notamment contre Nike et Reebook, qui adoptent des codes thiques. La mort de 87 salaris dans une usine chinoise de jouets en 1993 dclenche une campagne syndicale en Italie. En novembre 1997, la socit italienne Artsana qui commercialise les jouets de la marque Chicco se dote dun code de conduite. Globalement, au cours de la dcennie, plus de 700 entreprises vont adopter de tels codes.


20


1996 : lapparition des codes de bonne conduite type Le premier est publi, Bruxelles, par lInternational confederation of free trade union (ICFTU). Il sinspire des cinq droits fondamentaux de lhomme au travail dicts par lOrganisation internationale du travail (OIT) : interdiction du travail des enfants, interdiction du travail forc, non-discrimination des salaris, liberts syndicales et libert de ngociation de conventions collectives. Aux tats-Unis, le Worldwide responsible apparel production (WRAP), qui runit les grands acteurs de lindustrie textile, fait de mme. Par ailleurs, trois initiatives, qui runissent ONG, employeurs et salaris, se distinguent : SA 8 000, une norme qui se veut lquivalent social de la norme qualit ISO 9 000, est cre en 1997 par le Social accountability international ; The Fair labour association, initie par le prsident Clinton en 1996, aboutit, en 1997, un code de conduite type, tout comme lEthical trading initiative (ETI) au Royaume-Uni. 1999 : le Global compact des Nations unies Cette initiative nonce une liste de neuf principes sociaux et environnementaux que les socits sengagent suivre (respect des Droits de lhomme, interdiction du travail forc et du travail des enfants, dveloppement dune politique environnementale, recherche de technologies moins polluantes). Actuellement, prs dun millier dentreprises y ont adhr. Mais cet engagement volontaire nimplique aucun contrle. Pour la premire fois, en janvier 1999, une plainte en nom collectif est dpose devant les tribunaux amricains au nom de 50 000 salaris, majoritairement chinois, dusines textiles de Saipan, qui exigent rparation pour mauvais traitements et le versement de salaires impays. Un procs rendu possible par le statut particulier de lle, sous tutelle amricaine. Quatorze groupes textiles (dont Calvin Klein, Ralph Lauren, Tommy Hilger, Donna Karan, Liz Claiborne) acceptent un rglement de plusieurs millions de dollars pour mettre n cette action judiciaire. Cette mme anne, Nike initie, en partenariat avec la Banque mondiale, la premire alliance dentreprises, dnomme Global Alliance, qui a associ, depuis, Gap et Inditex (Zara). Son objectif est damliorer les conditions de vie des salaris ainsi que des communauts environnantes. En deux ans, plus de 10 000 salaris de sous-traitants ont t interrogs anonymement en Indonsie, au Vietnam, en Thalande, en Inde et en Chine. Ces enqutes, rendues publiques, ont conrm lexistence de violences physiques et sexuelles. 2001 : lessor des audits sociaux Initis par les grands groupes amricains, premiers viss par les campagnes mdiatiques (Walt Disney, Mc Donalds), ils sont dsormais utiliss par les industriels et les distributeurs europens. En 2001, le gouvernement franais innove en obligeant, dans le cadre de la loi sur les Nouvelles rgulations conomiques (NRE), les entreprises publier des indicateurs socitaux concernant notamment les conditions de travail chez leurs sous-traitants.


21

2003 : le texte de la sous-commission des Droits de lhomme des Nations unies Vot lunanimit mais sans aucune valeur juridique, ce texte propose que les entreprises soient dsormais sujettes des contrles rguliers et des vrications par les Nations unies ou dautres mcanismes nationaux.Source : Laure Belot, Les multinationales reconnaissent une responsabilit morale , Le Monde, 25 septembre 2003.

En rsum, les entreprises prennent en compte de manire grandissante les risques concernant la personne humaine, sa dignit, sa sant et ses droits. La cause majeure provient du fait que ces risques safrment de plus en plus avec acuit. Linscurit au travail, le recours plus systmatique de la part des employs aux structures syndicales ou judiciaires quand ils rencontrent des problmes avec leur employeur obligent les entreprises tre trs attentives ces nouveaux risques. En effet, toute faute dattention sur ces sujets peut leur coter cher. Toutefois, ces risques ne sont pas les seuls tre des risques mergents pour les entreprises. Tous les risques lis la gestion de linformation mritent galement que les dcideurs sy intressent plus srieusement, comme nous allons pouvoir le constater.

2. Le risque informationnelLinformation est centrale au sein des entreprises. Les informations technologiques, stratgiques ou accumules par lexprience (construction dun rseau de partenaires, expertises) construisent lavantage spcique dune rme. Nanmoins, la valorisation de linformation est complexe. Faut-il la protger ou la partager ? Au sein de lentreprise, la transmission de linformation permet dlaborer des projets. Si les quipes hsitent changer des informations sur un projet donn, il y a peu de chances que la ralisation du projet se fasse dans les meilleures conditions possibles. Mais inversement, plus la connaissance de linformation est partage, plus il y a de risques que cette information soit transmise des personnes mal intentionnes. Autrement dit, linformation est valorise si elle est change, mais plus elle est change, plus elle risque de proter des parties extrieures concurrentes de lentreprise.


22


Bien videmment, le caractre central de linformation nest pas indit. Linformation et le traitement apport linformation ont toujours t primordiaux. Par consquent, on peut se demander en quoi le risque informationnel constitue une nouveaut pour lentreprise. Pour rpondre cette question, il faut avoir lesprit quavec larrive des nouvelles technologies, les chances de partage et donc de risque de premption de linformation par un acteur malveillant ont augment. Rappelons pour mmoire que les nouvelles technologies se sont dveloppes dans les pays de lOCDE partir des annes 1990. Mme aux tats-Unis, le volume des quipements et des logiciels informatiques tait faible dans les annes 1980. Daprs les sources du BEA, le volume des quipements et logiciels informatiques en base 100 en 1996 tait de 32 en 1985, 48 en 1990, 85 en 1995 et 203 en 2000. Or, lessor des nouvelles technologies partir du milieu des annes 1990 et surtout partir du dbut du vingt-et-unime sicle a gnr un certain nombre de nouveaux risques informationnels. Un rapport du Clusif (Club de la scurit des systmes dinformation franais) constate une monte en puissance de la cybercriminalit touchant les entreprises sous diffrentes formes. De lemploy qui fait du tlchargement illicite au sein de son entreprise au dveloppement de virus (Sobig, Bugbear, Slammer, etc.) ou lappropriation de donnes condentielles, obtenues en soudoyant du personnel dentreprise ou en piratant des bases de donnes, les problmes apparaissent nombreux, coteux et complexes rsoudre ( La cybercriminalit a augment de faon inquitante en 2003 , Le Monde, 14.01.04). Daprs lAssociation des utilisateurs professionnels des nouvelles technologies de linformation (AFUU), dbut 2000, 86 % des grandes entreprises communiquant par des moyens lectroniques auraient subi des dommages. Autrement dit, loutil informatique se rvle pour lentreprise un outil trs puissant de recherche dinformations sensibles et bien faible pour garantir le secret des informations stratgiques.


23

La scurit informatique ou lexplosion du piratage La dlinquance sur Internet augmente rapidement, et pourtant toutes les dimensions de cette menace ne sont pas encore prises en compte. Le fabricant amricain de logiciels antivirus Symantec indique ainsi avoir rpertori 2 249 dciences dans le systme logiciel. Les fabricants ont en rgle gnrale besoin denviron trente jours pour pallier une dfaillance du dispositif de scurit. Trois jours sont en moyenne ncessaires pour mettre au point un programme capable de rsoudre ce genre de problme. Cela signie que les pirates disposent en moyenne de 28 jours pour exploiter les donnes sur les logiciels dfaillants. Le Centre for Security Studies (CSS) de lEPF de Zurich a constat que les cots par attaque informatique se sont envols entre 2004 et 2005, passant de 51 000 dollars 300 000 dollars. Daprs les estimations dexperts, les pertes occasionnes pour lconomie internationale du fait des virus, spams et autres actes de piratage se chiffrent chaque anne 200 milliards de dollars. ce rythme, celles-ci seront bientt suprieures aux dpenses mondiales de matriel informatique. Ces attaques sont donc particulirement proccupantes et il ne parat pas alors surprenant que les responsables informatiques fassent de la scurit des informations leur priorit numro un.Source : Crdit Suisse, Lettre trimestrielle, juillet 2007, p. 3.

Le cabinet de conseil Ernst & Young a ainsi retenu 8 catgories de risques informationnels : Lutilisation de nouveaux outils ou techniques insuf samment matriss (ERP, e-commerce, internet). Dunod - La photocopie non autorise est un dlit.

La dpendance croissante de lentreprise vis--vis de son systme dinformation ou du systme dinformation de ses partenaires. De nouvelles problmatiques de scurit informatique suite linterconnexion des rseaux et lapparition dinternet. La recrudescence de cas de malveillances et de fraudes informatiques. Une matrise et une maintenance des systmes rendues difciles par lhtrognit et la complexit des technologies utilises. Des difcults apprhender lautomatisation des processus oprationnels et la dmatrialisation des changes entre partenaires commerciaux.

24


La mise en uvre dun Entreprise resource planning (ERP) sans vritable rorganisation des processus oprationnels. Le recours la sous-traitance et lexternalisation de certaines parties des fonctions informatiques. Il convient dajouter lensemble de ces risques informationnels gnrs par lessor des nouvelles technologies, le risque li la place prise par les mdias dans lactivit conomique des entreprises. En effet, limpact des mass mdia sur lactivit des entreprises sest renforc avec le dveloppement et la sophistication des supports dinformation. On peut citer pour bien comprendre notre propos lexemple des rvlations du journal LExpress, le 16 mars 2000, concernant la multinationale Yahoo. Yahoo, lun des acteurs les plus clbres du rseau internet, a vu son image se dgrader en France pour avoir propos sur son site denchres, la vente de reliques nazies et hberg des sites faisant lapologie de lantismitisme. Cette information avait t relaye sur diffrents sites concurrents, entranant pendant un temps, une dsaffection de ce serveur. Dans ce contexte technologique en pleine mutation, lentreprise est donc confronte des risques indits. Si elle pouvait estimer les consquences dun risque politique ou dun risque industriel majeur, en revanche, il est difcile dapprhender et dvaluer les consquences dun risque informationnel. Comment quantier les pertes nancires lies une dfaillance du systme dinformation alors que le management est peu sensibilis aux risques oprationnels induits par le systme dinformation ? De quelle manire lentreprise va-t-elle communiquer vis--vis dinformations diffuses par les mass mdias et quel va tre limpact en termes dimage pour lentreprise ? Parmi la palette des risques identis, le risque informationnel prend donc une place accrue pour les dirigeants dentreprise. Il sagit maintenant dajouter que ce nest pas un risque neutre. Il a tendance se combiner avec les autres risques prsents prcdemment.

3. Leffet avalanche Brian Arthur, conomiste amricain, a dvelopp une notion intressante pour apprhender le point que lon souhaite aborder, savoir la notion de self reinforcing mechanisms , que lon pourrait traduire par


25

processus dautorenforcement ou effet avalanche. Selon lui, certaines causes viennent se combiner et se cumuler, pour aboutir des effets difciles estimer et qui, une fois engags, sont difciles arrter. Daprs cette perspective, les deux formes de risques prsentes ci-dessus (risque li la scurit et risque informationnel) sont dangereuses pour lentreprise, et de manire gnrale pour la socit, car leur rencontre peut tre brutale. Ainsi, par exemple, les nouvelles technologies favorisent le regroupement de rseaux malveillants et notamment le crime organis. Le rseau Al Quada naurait pas pu atteindre son objectif de dtruire les tours du World Trade Center sans que les diffrentes ramications de ce rseau ne soient relies informatiquement les unes aux autres travers le monde. Le dveloppement du web permet aussi bien aux particuliers qu la criminalit organise de communiquer au-del des frontires. Les attentats du 11 septembre 2001 ont t rendus possibles par la mise en rseau de terroristes se trouvant au Canada, en Angleterre, en Arabie Saoudite ou en France. De mme, la dlinquance nancire, la dlinquance en col blanc , sest appuye sur la dmatrialisation des transactions nancires, dmatrialisation qui sexplique par trois phnomnes coupls : la libralisation-drglementation, la mondialisation-intgration des marchs et linformatique nouvelle technologie. Par ailleurs, la combinaison de ces deux types de risques peut produire dautres sortes de difcults. Pensons limpact que peuvent avoir les mdias lorsquils prennent connaissance dagissements douteux, tels que des actes de racisme, de harclement ou le recours des enfants comme main-duvre par de grandes entreprises. Des entreprises telles que Nike et Reebook ont t dans lobligation dinvestir des millions de dollars pour restaurer leur image cot de campagnes publicitaires, daudits sociaux et de mise en uvre de chartes thiques parce quils taient accuss dexploiter des enfants dans la confection de leurs chaussures de sport. L nouveau, sous une forme quelque peu diffrente, les risques informationnels et les risques lis une mauvaise prise en compte des droits de la personne sont susceptibles davoir des consquences que les entreprises navaient pas imagines.


26


Leffet avalancheR2

0

R1

Soit R1 et R2 deux types de risques. Supposons que R2 apparaisse au temps 0 et que ce phnomne prenne de lampleur puis peu peu spuise. Le relais est pris par R1 qui vient revaloriser R2 puis spuise mais redonne de la force R1 et ainsi de suite. Par exemple, Buffalo Grill sinquite de la qualit de sa viande dans un restaurant, puis commence peu peu sinterroger sur la qualit de celle-ci dans les autres restaurants, mettant en alerte la direction (exemple de R2). Celle-ci fait le ncessaire pour rgler le problme. ce moment prcis, les mdias sont mis au courant et en font grand cas (exemple de R1). Au bout dun certain temps, les mdias ont sufsamment mis linformation et passent dautres informations. Le battage mdiatique transforme peu peu la nature de R2. Les consommateurs ont un doute sur la qualit de la viande alors que le ncessaire a t fait a priori par la direction pour assurer que la qualit de la viande soit irrprochable. Peu peu, les consommateurs font dfection et lenseigne voit son activit fortement rduite, obligeant la direction communiquer pour apaiser les craintes.

Au total, ces risques nouvelle gnration posent deux problmes rencontrs une moindre chelle par les risques tirs par le modle PEST. Premirement, ils sont difciles prvoir. linverse des risques politiques que rencontre un pays, il est plus difcile destimer la probabilit quun acte terroriste soit commis. Deuximement, ils prennent vite de lampleur et dstabilisent trs rapidement les entreprises. Pour une remise en cause de ses normes sanitaires, Buffalo Grill a rapidement t mis en danger nancier. Bref, la difcult


27

estimer et rpondre de manire adapte ces risques laisse envisager la ncessit de proposer des dispositifs destimation et de traitements des risques plus pousss que dans les annes 1980. Or, comme nous le verrons dans les prochains chapitres, lexistence de ce type de dispositifs met du temps voir le jour.

CONCLUSIONDe cette exploration des risques en entreprise la n du XXe sicle et au dbut du XXIe sicle, plusieurs traits ressortent. Si lexistence du risque est loin dtre indite ; en revanche, le nombre de risques, leur caractre polymorphe et leur capacit se renforcer les uns par rapport aux autres sont une nouvelle donne. Cest peut-tre la dlinquance, voire la violence, qui pntre les entreprises, et, de manire plus large les organisations, et dont la nature est amplie et valorise par les nouvelles technologies, qui dstabilisent le plus le monde de lconomie. En effet, ce monde que certains prsentent comme aseptis savre, au mme titre que le reste de la socit, confront une rupture de civilit. Du harclement en entreprise lattaque par des avions de son lieu de travail, la diversit du champ de malveillance en entreprise entrane des angoisses plurielles de la part de ceux qui y travaillent. Le fait le plus inquitant est limpossibilit de prvoir certains vnements graves. Un conomiste du dbut du XXe sicle, Frank Knight distinguait le risque de lincertitude, le premier tant probabilisable linverse du second. En effet, on peut estimer les chances dun tremblement de terre sur la cte californienne, on ne pouvait pas estimer les chances quune organisation terroriste planie un attentat du type du 11 septembre 2001. Or ce type dvnements imprvisibles a de fortes chances de se raliser sans que lon puisse les prvoir. Dune socit du risque, on passerait une socit dincertitude qui vhicule un sentiment renforc de peur. Face cette transformation socitale, les entreprises nont dautre choix que de sorganiser et de sadapter ces nouvelles difcults. Le chapitre suivant va tre loccasion de prsenter le rseau dacteurs qui vhiculent ces risques ou au contraire qui tentent de les prvenir et de les combattre.


28


Risques politiques Risques conomiques

(P) (E)

Risques socio-culturels (S) Risques technologiques (T) Risques physiques et moraux Risques immatriels (I) Risques informationnels

Schma rcapitulatif 1 Identication des risques : Modle PESTI

Chapitre 2Les par ties prenantes aux risques

Les risques sont souvent le contrecoup de lactivit humaine. Mme les risques dits naturels peuvent avoir pour germe laction de lhomme sur son cosystme. Dans cette perspective, les spcialistes recourent la notion dincertain endogne pour exprimer lide que lactivit humaine inuence les cosystmes plantaires, mme si lampleur des effets sur le climat est encore mal connue. Par consquent, ltre humain est certainement le premier danger pour lui-mme et en mme temps celui qui peut le mieux se prmunir contre ses propres actions. Remarquons que mme dans laction de protection, lhomme peut abuser de son statut de protecteur pour nuire, ce qui conduisit le philosophe latin Juvenal se poser la question suivante : quis custodiet ipsos custodes, cest--dire qui garde les gardiens ? Dunod - La photocopie non autorise est un dlit.

En dautres termes, que ce soit dans notre socit en gnral, ou dans les entreprises en particulier, lindividu peut tre producteur de risque ou protecteur ou les deux la fois. Or pour combattre le risque, il sagit non seulement de dnir les risques, ce que nous avons fait en premire partie, mais aussi dvaluer quels en sont les producteurs et les gestionnaires. Avec le dveloppement de nouveaux risques, les missions des par ties prenantes ont chang. Ils ne ralisent plus les mmes fonctions et ils nont plus ncessairement les mmes comptences. De surcrot, en vingt ans, la production et la gestion du risque se sont la fois institutionnalises, complexies et dmocratises.

30


I. LES PRODUCTEURS DE RISQUESDe linformaticien qui pirate le progiciel dune entreprise au dirigeant qui harcle ses employs en passant par une personne qui pratique la corruption pour le compte de son entreprise, il existe a priori peu de points communs lensemble de ces producteurs de risque. Les infractions ne sont pas les mmes. Les causes de ces infractions sont de nature diffrente. Si la nature de ces infractions et leur origine peuvent tre trs diverses, il est, nanmoins, possible dtablir diffrentes catgories de producteurs de risques. Pour ce faire, nous dnirons tout dabord les diffrents prols de producteurs de risques. Nous tudierons ensuite la provenance de ces producteurs de risque. Sont-ils forcment salaris de lentreprise ? Existe-t-il des personnes ou entits extrieures qui reprsentent un risque pour lentreprise ?

1. Leur prolLes producteurs de risques peuvent avoir trois types de prols diffrents. Ils peuvent tre dlinquants avrs, spculateurs ou encore tre ngligents. En fonction de leur nature, le passage lacte nest pas conditionn par les mmes causes et par consquent nentrane pas ncessairement les mmes dispositifs pour les empcher dagir. Le dlinquant

Le dlinquant est celui qui agit contre lentreprise de manire illgale. Par exemple, avec le dveloppement informatique, trois prols de dlinquance sont identis. Dun ct, on retrouve le hacker , spcialiste informatique qui se sert de ses connaissances pour sintroduire illgalement dans des sites et des systmes informatiques. Dun autre ct, il existe le corsaire qui pratique le piratage pour le compte dun tat. Enn, il y a les phreakers , spcialiss dans le piratage des lignes tlphoniques et les dtournements dabonnement dans le but de tlphoner gratuitement. Parmi les actes malveillants des pirates , citons le dtournement de sites, le vol des moyens de paiement et lespionnage industriel et militaire. Par rapport ce dernier cas, Microsoft, qui devrait tre la rme la mieux protge informatiquement, a t pirate pendant plus dun mois. Les pirates avaient accs des lignes de programmes permettant de crer volont des produits informatiques concurrents.

LES PARTIES PRENANTES AUX RISQUES

31

Le spculateur

Le spculateur est un amoureux du risque. Son comportement est loppos de celui du gestionnaire du risque. Il nagit pas forcment de manire illgale mais il peut agir au dtriment de lentreprise. Ainsi les dcideurs dune entreprise peuvent tre tents dinvestir de manire massive dans des domaines dactivit alors que le potentiel de ces activits est mal connu et mal estim, en esprant que leur stratgie soit payante long terme. Or lappt du gain ici incertain peut entraner la perte de lentreprise. cet gard, lorsque Jean-Marie Messier procda pour le compte de Vivendi Universal des rachats dactivits importants dans les mdias (Canal+, LExpansion) en vue de faire converger au sein dun mme groupe les activits de contenus et les activits daccs, il prit un risque dmesur sans que personne ne ft en mesure de larrter. Le ngligent


Le ngligent est celui qui met en danger dautres personnes sans en avoir eu lintention. En droit, la ngligence est le domaine du droit de la responsabilit dlictuelle qui a trait une conduite ne rpondant pas la norme juge acceptable par une personne raisonnable. Un fumeur laisse tomber son mgot en fort et provoque un incendie ou encore le directeur nest pas assez attentif certaines informations relevant de la scurit des personnes manant de son personnel de proximit, etc. titre dexemple, lincendie qui sest produit dans le tunnel du Mont Blanc suite lexplosion dun camion en 1999 faisant 39 victimes, est certainement d une suite de ngligences. Notamment, il semblerait que les diffrents dirigeants de lATMB, socit dexploitation du tunnel, nont accord que peu dimportance aux rapports de scurit raliss. Or ces rapports insistaient bien sur la vtust du tunnel et les problmes de scurit qui se posaient. chaque prol, la prvention qui y est associe est diffrente. Pour dmotiver le passage lacte du dlinquant, le lgislateur va mettre en place des sanctions plus lourdes. Par exemple, au lieu de mettre uniquement une amende au corrupteur, le lgislateur introduit des peines de prison, qui sont plus dissuasives. Pour calmer les vellits du spculateur, il sagit de limiter ses occasions de prendre des risques. Pour viter que des dirigeants fassent des Offres publiques dachat hasardeuses, les banques prteuses vont limiter les possibilits de

32


nancement. An de parer toute ngligence, il sagit de mettre en place des signaux pour rappeler la personne dtre prudente, comme mettre des panneaux rappelant linterdiction de fumer dans certains espaces.

2. Leur provenanceConnatre la provenance du risque permet de dnir le management des risques quil faut entreprendre. Or la provenance du risque est double. Ce risque peut venir des membres de lorganisation. Dans ce cadre, tout salari dune entreprise est potentiellement un risque pour celle-ci. Le risque peut galement rsulter dagissements extrieurs lentreprise et dans ce cas il peut tre le produit dun individu isol ou dorganisations concurrentes. Les producteurs internes lorganisation

Lentreprise est constitue de trois partenaires : les dirigeants, les salaris et les actionnaires. Il est important de distinguer ces trois catgories puisquelles peuvent avoir des objectifs diffrents. En 1932, deux gestionnaires, Berle et Means (Berle A.A., Means G.C., The modern corporation and private property, New York, Mac Millan, 1932) ont constat que les objectifs des actionnaires et des dirigeants salaris sont diffrents parce que les premiers privilgient la maximisation des prots tandis que les seconds cherchent maximiser les ventes globales de lentreprise an daugmenter leur propre revenu et leur prestige. De mme, il existe une diffrence dobjectifs entre les dirigeants et les autres salaris. Les uns essaient dobtenir le meilleur rendement de leurs salaris partir dun systme dincitations et de contrles, les autres essaient doptimiser leur effort en fonction de leur espoir davancement. Par consquent, en raison de leurs objectifs propres, dirigeants, employs et actionnaires, sont susceptibles de produire des risques diffrents volontairement ou involontairement. Dans cette perspective, les cadres dirigeants ne gnrent pas forcment les mmes risques que les employs de la base. En effet, les dirigeants ayant en charge la stratgie de lentreprise et sa survie, sont sollicits pour prendre des risques de nature parfois illgale. Par exemple, et


33

paradoxalement, dun ct les managers de grandes rmes internationales tablissent des codes de conduite internes pour faire face la corruption, et de lautre, an de se dvelopper, ils sont eux-mmes tents de corrompre les reprsentants dautorits trangres pour remporter des parts de march. Il faut savoir que les poursuites pnales pour corruption ltranger constituent un risque srieux. Comme le rapporte Philip Nichols, professeur de droit la Wharton School, les peines encourues pour infraction la loi sont svres. Aux tats-Unis, elles vont de lamende lincarcration en passant par linterdiction dentrer en affaires avec ladministration amricaine. En France, la lgislation prvoit 15 ans de prison pour certains actes de corruption transnationale. Par ailleurs, le versement de pots-de vin peut aboutir nuire limage de lentreprise. Endosser ltiquette de corrupteur pour une entreprise peut avoir par la suite des incidences sur ses ngociations. Si les cadres dirigeants sont susceptibles de mettre en pril lquilibre de lentreprise, il peut en aller de mme pour lensemble des salaris qui peuvent chercher tirer un prot personnel de lentreprise. De lemploy qui travaille dans une grande surface au cadre suprieur qui travaille pour le compte dune socit informatique, lun et lautre sont en capacit de commettre des larcins pour leur compte. Entre 60 et 80 % des actes malveillants proviendraient dactes commis en interne. Or ces larcins, additionns les uns aux autres, peuvent tre fort coteux pour lentreprise. Ceci est particulirement vrai aujourdhui dans un contexte o le dveloppement des systmes dinformation et lchange de donnes lectroniques facilitent les actes de piratage informatique au sein de lentreprise. ce titre, dans un rapport datant de 1996, Daniel Padoin, responsable du service denqutes sur les fraudes aux technologies de linformation (Sefri) afrmait que la malveillance informatique tait en passe de devenir le risque industriel et conomique numro un. En effet, lpoque, le cot de la malveillance informatique en France tait dj estim 2 milliards deuros (Clusif, 1996) !


34


IBM et le vol de secret industriel Au dbut des annes 1980, la multinationale amricaine IBM a t confronte un cas despionnage industriel majeur. Laffaire se droule dans la Silicon Valley. Le cas apparat grce lintervention dun employ de la rme. Celui-ci informe la direction quil vient dtre contact par Hitachi, qui est prte lui acheter cher des secrets appartenant IBM. Une investigation est alors diligente. Pour raliser celle-ci, le FBI et IBM vont associer leur force au sein dun cabinet de conseil nomm Glenmar Associates . Un agent secret dIBM sest fait passer pour lavocat de la rme qui a offert de vendre des supposs secrets vols dIBM Hitachi et Mitsubishi. Lemploy approch va permettre daider les services constitus pntrer chez Hitachi. Le travail denqute conduira larrestation de 21 personnes. IBM mit en place des poursuites judiciaires contre Hitachi et diffrentes compagnies aflies la rme japonaise.Source : Marx G., Interweaving of public and private police, in C. Shearing et P. Stenning, Private Policing, 1987.

Lactionnaire est galement source de risques mais pour dautres raisons. tant sur une recherche de bnces court terme, ses dcisions sont en mesure de dstabiliser lentreprise. Ceci est particulirement vrai depuis les annes 1990 et le dveloppement du capitalisme actionnarial . Comme le remarque D. Plihon, le capitalisme actionnarial correspond au modle dun capitalisme qui sappuie sur les marchs nanciers et les investisseurs institutionnels. Les entreprises se nancent de plus en plus par appel fonds propres, cest-dire par une pargne dgage la suite de la hausse des prots et, par missions dactions en hausse rapide : leur volume a t multipli par 14 de 1980 2000. Cette volution a t rendue possible par les nouvelles technologies de linformation et le dveloppement des investisseurs institutionnels, appels aussi des fonds de gestion collective de lpargne ou plus prosaquement des Zinzins. Ce sont les Zinzins (fonds de pension, socits dinvestissement et compagnies dassurance) qui dtiennent une grande partie du capital des entreprises. Plihon rappelle que la part des actions dtenues par les investisseurs institutionnels aux tats-Unis est passe de 5 % en 1946 plus de 50 % en 1996.


35

Forts de ce constat, les options prises par les Zinzins peuvent ainsi avoir des consquences considrables. Mcontents de la gestion dune entreprise, ils ont la possibilit de sen dsinvestir et provoquer sa fragilisation et terme sa perte. Ceci est vrai au niveau de lentreprise, il est important de souligner que ceci est galement vrai au niveau dun pays. Les crises rcentes de certains pays dAmrique latine ont t renforces par la fuite des capitaux dinvestisseurs trangers. Ainsi, en dcembre 2001, lArgentine a connu une grave crise conomique et sociale. Faute davoir respect le programme de rformes conomiques dit plan dcit zro , le FMI lui a refus une aide de 1,3 milliard de dollars, aprs avoir dj dbloqu 20 milliards de dollars durant lanne. La Banque mondiale et la Banque interamricaine de dveloppement (BID) ont, leur tour, suspendu le versement de 1,1 milliard de dollars. La consquence fut la suivante. Pour honorer sa dette extrieure, lArgentine a d puiser dans les rserves des fonds de pension. LArgentine, frappe par quarante-deux mois de rcession, se trouva alors en faillite. Dans ce contexte conomique et social tendu, les investisseurs trangers se dtournrent du march argentin (daprs la Banque mondiale, entre 2002 et 2003, les investissements trangers en Argentine auraient diminu de plus dun tiers), entranant une baisse sensible des ux de capitaux vers lArgentine et laggravation de la crise. Les producteurs de risques externes lentreprise


Les oprations de malveillance ne sont videmment pas le seul fait des membres de lentreprise. Du consommateur qui vole ltalage lagent de renseignement qui vole un secret au prot dune autre entreprise, les producteurs de risques externes sont multiples et varis. Signalons neuf catgories dacteurs nappartenant pas lentreprise et pouvant lui causer du tort : les consommateurs ; les mdias ; les administrations ; les citoyens ; les agences de notation ; la concurrence ;

36


les fournisseurs ; les sous-traitants ; les clients distributeurs. Toutes ces entits sont devenues, au cours de la dernire dcennie, des sources de risques extraordinaires. Par exemple, le consommateur, qui dans lacte dachat paraissait inoffensif, semble devenu totalement incivil, prt en venir aux mains, ds quil nest pas satisfait de la prestation qui lui est offerte. En outre, le pouvoir de chacune de ces entits sest renforc avec limportance prise par linformation dans nos socits. ce titre, ds que les mdias ou les agences de notation divulguent une information ngative sur une entreprise, cette information se rpand comme une trane de poudre. Les consquences sont souvent nfastes alors mme que la vracit de linformation na pas t tablie. Laffaire Rodriguez reprsente un cas symptomatique de ce type de danger. Rappelons brivement laffaire. Fin 2002, le journal Le Point fait rfrence un ventuel lien entre le groupe, fabricant de yachts de luxe, et Peter Morrish, dans des mcanismes complexes qui favorisent le blanchiment dargent . Suite cet article, laction chute de 55 euros 15 euros en trs peu de temps, alors que le chiffre daffaires de la multinationale progressait de 50 % entre 2002 et 2003. Il a fallu attendre le 25 juin 2003 pour que le Tribunal de grande instance de Paris donne raison lentreprise lse par cette annonce. cela sajoute que, depuis la chute du mur et la n de la Guerre froide, le nombre de producteurs externes du risque sest accru. Dun ct, un certain nombre dagents de renseignement qui travaillaient pour des pays se sont reconvertis dans le renseignement conomique ; dun autre ct, louverture des pays de lEst au capitalisme a permis au crime organis de prosprer. Ces deux phnomnes viennent renforcer lide que le risque ne cesse de se mondialiser et de se complexier. Bref, les risques se sont dmultiplis avec le dveloppement de la socit capitaliste dans le monde. Il est alors loin dtre sr que les individus soient devenus, comme le soutient Robert Castel (Linscurit sociale, quest-ce qutre protg ?, Paris, ditions du Seuil, 2003),


37

plus sensibles aux risques. Daprs nous, les socits dveloppes sont entres dans une nouvelle re o il importe davoir une culture du risque pour faire face des risques polymorphes.

II. LES GESTIONNAIRES DU RISQUEFace cette diversit de producteurs de risques, se constitue depuis une trentaine dannes un systme de rseau dacteurs de la prvention du risque. Pour que le risque ne se ralise ni se traduise en crise, il est ncessaire que ce rseau dacteurs sorganise. Mais avant mme que la question de lefcacit de lorganisation de ce rseau ne se pose, il est ncessaire de connatre les diffrentes catgories dacteurs en mesure de participer la lutte contre le risque. Cest partir dune bonne connaissance de ceux-ci que le rseau dacteurs peut fonctionner dans les meilleures conditions. Autrement dit, cette cartographie des parties prenantes , comme la nomment G. Johnson, H. Scholes et F. Frery (Stratgique, Pearson ducation, 2e dition, p. 483) sert envisager les possibilits de grer les ractions de chacun et didentier le potentiel de ractivit par rapport aux risques qui peuvent surgir. Cest dans cette perspective que nous allons prsenter cinq formes de protagonistes en mesure de participer la prvention des risques : les entreprises elles-mmes, les experts du risque, le secteur de la scurit prive et de lassurance, les institutions de contrle et les citoyens. Dunod - La photocopie non autorise est un dlit.

1. Les entreprisesDans le cadre dune enqute europenne ralise par la socit Marsh & McLennan Companies auprs de 600 chefs dentreprise, limportance du risque est unanimement reconnue par les sonds et un nombre croissant dentre eux le considre comme un sujet de proccupation prioritaire. Pourtant, derrire le discours des dirigeants dentreprise, se cachent des ralits trs disparates au sein des entreprises en matire de prvention des risques. Certaines entreprises considrent la notion de risque comme sufsamment importante pour crer un poste de risk manager plein temps, avec des responsabilits tendues et une quipe de quelques agents. Ce sont surtout des entreprises de grande taille et avec une dimension

38


internationale. Elles ont grer des risques massifs, frquents et graves. Elles peuvent bncier dune culture du risque en raison des produits quelles vendent : des socits comme EDF, avec en charge le nuclaire civil, Saint-Gobain, vendeur de matriels de renforcement et disolationLa notion de risk manager La notion de risk manager est oue. Peut tre considre comme relevant du risk manager toute action qui sappuie sur une mthodologie intgrant lanalyse, la rduction et/ou le transfert de risque (Catherine Vret & Richard Mekouar, Fonction : risk manager, Paris, Dunod, 2005). Or dans lentreprise, le directeur juridique, le directeur de la scurit ou encore le secrtaire gnral sont des personnes qui peuvent avoir pour partie ce type dactions. De mme, les tches et les missions du risk manager voluent dune entreprise lautre. Dans certains cas, le risk manager a surtout pour objectif de grer les contrats dassurance, dans dautres organisations il na pas ce type de proccupation. Nanmoins, ce qui apparat gnralement, cest que le risk manager a une fonction transverse dans lentreprise ayant intervenir sur des enjeux extrmement varis (juridiques, nanciers, techniques, humains, sanitaires, scuritaires). Dans cette perspective, il dnit et conduit la politique de gestion des risques avec les autres entits de lorganisation. Autrement dit, il a une fonction de leader et danimateur dans llaboration de la cartographie des risques de lentreprise, la dnition de ses principaux risques et la mise en uvre des moyens et mthodes ncessaires pour les matriser. Derrire cette dnition, il apparat en ligrane que la fonction de risk manager est une fonction difcile imposer aux organisations. Non seulement parce que ses missions sont oues, mais aussi parce quil est peru comme tant un frein aux affaires (Rmy Pautrat et ric Delbecque, La scurit conomique : comment convaincre les dirigeants dentreprise ? Dfense nationale et scurit collective, oct. 2007, pp. 53-60). Le risk manager doit donc faire la preuve de lintrt du risk management auprs des membres de son organisation. Une des manires dy parvenir est la ralisation danalyses de risques prsentant la fois les cots mais galement les opportunits.

Dautres entreprises disposent dune division gestion de risques susceptible dtre rattache la division charge des problmes dassurance sans quelle soit mise particulirement en avant. Dans dautres cas encore, le risque peut tre gr par la division qui au quotidien a le plus grer le risque. ce titre, certains tablissements de sant laissent leur service biomdical cette gestion, ce service


39

ayant pour fonction principale la gestion du parc mdical de lhpital et la veille technique. Enn, certaines entreprises se sentent peu concernes par rapport cette question. Celles-ci nont gnralement pas la taille suf sante pour employer un gestionnaire de risques temps complet. Cest notamment le cas pour de nombreuses PME-PMI. Dans ce cadre, elles privilgient la sous-traitance. Par exemple, pour identier ses risques et mettre en place un plan de continuit, une PMI recourt aux services dune entreprise de conseil capable de raliser cet audit. Dans ce cadre, cest le directeur administratif et nancier qui reste le principal interlocuteur avec lequel la gestion des risques est aborde. Nanmoins, cette relative htrognit suggre entre entreprises tend sestomper au l du temps. Dune part, parce que lapparition de nouveaux risques (risques informationnels, phnomnes dinscurit envers les biens et les personnes) affecte lensemble des organisations sans distinction les virus informatiques, les agressions lencontre des personnels ou encore la sant du personnel concernent toutes les entreprises , dautre part, parce que les entreprises sont de plus en plus contraintes de se plier une relle politique de gestion de risque en raison dexigences plus fortes en la matire de la part de certains clients. ce titre, lenqute effectue par Marsh & McLennan Companies conclut en soulignant que beaucoup dentreprises de taille moyenne sont aujourdhui les fournisseurs et les sous-traitants de grands groupes ou de grands distributeurs, qui leur imposent des char tes de qualit exigeantes, et entendent contrler toujours plus en amont (ux tendus obligent) la abilit de leurs prestataires. Certaines des contraintes imposes ce sujet notamment en matire de scurit alimentaire vont parfois au-del de la lgislation elle-mme. La mise en uvre de ces chartes exigera une vraie gestion des risques.


2. Les expertsDerrire les experts de la scurit se cachent diffrents prols et diffrents univers. On trouve le commissaire de police, dtach auprs du ministre de lIntrieur, pour faire de lingnierie publique, le chercheur en biologie qui fait de laudit interne pour un grand groupe, et enn le consultant en gestion des risques. Derrire cette diffrence de prols et dunivers, retenons nanmoins quatre manires de raliser de lexpertise en scurit : la premire

40


manire de raliser une expertise est bien videmment de la raliser en interne. On parle alors daudit interne. Ce type daudit est notamment ralis dans les grands groupes. Mais il peut tre galement ralis dans dautres organisations. Par exemple, certaines mairies disposent en interne de services dvaluation qui vrient lapplication des normes dhygine et de scurit. Ensuite, il existe les laboratoires de recherche qui s

Documents

58236943 La Gestion Des Risques