Tous les articles par carolineaubry

LE RISQUE, VARIABLE STRATEGIQUE DE LA REFLEXION DES ENTREPRISES (2). UN NOUVEAU RISQUE : LA FRAUDE AU PRESIDENT  

Je vous propose un article de fonds paru dans The Conversation, écrit par Eric Vernier, Directeur de la Chaire Commerce, Echanges & Risques internationaux – ISCID-CO, Université du Littoral Côte d’Opale, Chercheur au LEM (UMR CNRS 9221), Université de Lille.

J’ai classé ce risque dans les rubriques du BLOG : éthique/gouvernance et cybersécurité. Si l’on suit la typologie des risques de l’AMRAE, il s’agit d’un risque transverse/catégorie financier et Ethique.

La semaine prochaine : un 2ème article sur le sujet et un exemple de Plan d’Action mis en place par une entreprise.

Fraude au président : comment les entreprises tombent dans le piège linguistique des escrocs

Les escrocs récoltent des données sur l’entreprise, puis l’un d’eux se fait passer pour le patron et contacte directement le comptable en charge des virements. 

Comme nous l’expliquions dans un article précédent, la fraude au président touche de plus en plus d’entreprises. Après une recrudescence liée à la baisse de la vigilance dans les services comptables, à la routine et à l’excès de confiance envers les outils informatiques et les procédures, l’escroquerie a été favorisée par la pandémie de Covid-19, la digitalisation des échanges facilitant ce type de fraude à distance.

On peut donc oser le néologisme « coronafraude » pour évoquer ce phénomène de plus en plus présent. Le Bureau canadien du crédit avait d’ailleurs évoqué en ces termes, dès mars 2020, ce risque de « pandémie de fraude à venir ». Selon le FBI, 26 milliards de dollars ont été extorqués aux entreprises depuis 2013 dans le monde.

La fraude au président représente plus de 200 millions de pertes chaque année en France. Un pic jamais vu a été touché en février 2021. L’un des records a même été atteint avec pour victime une société d’expertise comptable, censée maîtriser toutes les procédures de prévention et de contrôle, présentant une perte de 14,7 millions d’euros !

La procédure déployée est toujours la même : les escrocs récoltent des données sur l’entreprise grâce à Internet, l’un d’eux se fait passer pour le patron et contacte directement le comptable en charge des virements. Les fraudeurs exercent plusieurs relances jusqu’à ce que le transfert d’argent soit effectif.

Dans ce contexte, nous avons mené une analyse sémiologique de corpus audio (enregistrements téléphoniques) et écrits (échanges mails initiés par les fraudeurs), portée successivement sur l’analyse d’éléments linguistiques (par exemple : sémantique, syntaxe, morphostylistique.), conversationnels (positionnements hiérarchiques, dynamiques interactionnelles), émotionnels (tonicité de la voix, rhétorique) et stratégiques (techniques de persuasion et manipulation).

L’objectif d’une telle analyse était de tester l’hypothèse selon laquelle il existerait des similitudes dans les schémas de manipulation, ou encore des structures sous-jacentes communes aux différentes interactions entre les fraudeurs et leurs victimes.

Les fraudeurs sont-ils repérables à travers des marqueurs linguistiques particuliers ? Quelles stratégies sont les plus efficaces ? Comment parviennent-ils à « faire faire » leur programme ? Voici les questions auxquelles nous avons voulu répondre.

Tournures complexes et discours incarné

D’un point de vue linguistique, c’est-à-dire de ce qui est visible à travers des marqueurs spécifiques, on se rend compte que le fraudeur est celui qui utilise davantage de « mots pleins », c’est-à-dire ceux chargés d’une fonction sémantique (mots dont la charge sémantique est forte, soit les noms communs autour desquels s’organise le sens de la phrase).

À l’inverse, les « mots vides » (ou « outils grammaticaux ») sont davantage utilisés par la victime. Il s’agit ici des mots dont la charge sémantique est faible, soit de tous sauf des noms communs, adjectifs et verbes. On retrouve dans cette catégorie : les déterminants, pronoms, adverbes, conjonctions… À noter que la stylométrie s’intéresse particulièrement à l’agencement des mots outils, signature « verbale » inconsciente du discours.

Aussi, le fraudeur est le plus « bavard » (logorrhée) et ses mots sont davantage chargés de signification : une première manière de se positionner hiérarchiquement par rapport à l’autre comme le « guide » de la conversation, voire comme « sachant ».

Plus spécifiquement, le lexique s’organise principalement autour de trois fonctions du langage :

  • la fonction référentielle, qui renvoie aux notions de « paiement », « compte », « comptabilité/document », « dossier », « papier »
  • la fonction phatique, qui renvoie aux notions de « garder le contact », « garder un fil d’échange », avoir les « coordonnées »
  • la fonction métalinguistique structurée, qui recoupe des notions comme la « confidentialité » et « l’importance » (« c’est extrêmement important », « c’est de la plus haute importance », « il en va de la survie de l’entreprise »).

D’un point de vue syntaxique et stylistique, on observe une différence selon le canal de communication utilisé. À l’oral, les fraudeurs enrobent leurs propos : l’espacement entre le sujet et l’objet est important, le conditionnel est préféré à l’usage de l’impératif, les tournures de phrases sont complexes (subordonnées, tournures alambiquées, etc.) et le discours est incarné (beaucoup de pronoms personnels liés à l’échange conversationnels je/vous).

Inversement, à l’écrit, les références extralinguistiques et statutaires sont beaucoup plus nombreuses (appel aux autorités comme l’avocat ou l’Autorité des marchés financiers), le ton y est beaucoup plus directif (les impératifs sont nombreux et les conditionnels peu présents). Le tutoiement peut même devenir l’usage.

Le doublement des canaux de communication permet la mise en place d’une architecture manipulatrice : le bâton et la carotte, cette manière de souffler le chaud et le froid successivement.

Incorporation des codes de l’entreprise

D’un point de vue de la pragmatique et des dynamiques conversationnelles, il est à noter que le pouvoir d’influence et de persuasion des fraudeurs passe davantage par l’implicite et le non-dit. Par exemple, c’est la dimension paraverbale (timbre de la voix, intensité, débit de parole, prosodie et pauses) qui va permettre au fraudeur de déployer son « charisme ».

Comme le rappelle le chercheur Albin Wagener dans sa thèse « Le désaccord conversationnel », les exercices du pouvoir ne sont pas nécessairement perçus par les interactants. Cependant, ils sont « systématiquement présents lorsqu’un système conversationnel présente les caractéristiques d’un désaccord émergeant ». Il rappelle : « Le pouvoir, tout comme les autres éléments d’un système conversationnel, constituerait avant tout un ressenti plus ou moins fluctuant selon le contexte ».

C’est ce qui rend l’exercice d’influence du fraudeur si redoutable : il parvient à se lover dans le « entre les lignes » conversationnel pour exercer son pouvoir.

Ici les notions bourdieusiennes d’hexis et d’habitus sont utiles pour comprendre la mécanique efficiente du fraudeur. Rappelons que, selon le sociologue Pierre Bourdieu, l’habitus est une manière d’être au monde basée sur des rapports de force et d’inégalités. L’hexis est une disposition incorporée, une manière durable de se tenir, parler, marcher et donc de penser.

En définitive, les fraudeurs savent solliciter à leur guise l’imaginaire (prélinguistique) de leurs victimes. Être un employé, c’est : bien faire son travail et écouter les ordres de sa hiérarchie. Les fraudeurs le savent, et jouent sur cette incorporation des codes et normes de l’entreprise pour déployer leur ethos hiérarchique.

Tel un hypnotiseur…

Cette manière de faire est bien connue par exemple des hypnotiseurs qui usent de leur « prestige » en s’appuyant sur la cartographie mentale de leur partenaire (« pré-talk »). Dit autrement, les fraudeurs s’appuient sur des codes et des imaginaires préexistants qui sont ceux de l’entreprise, et qu’ils connaissent bien grâce au travail de recueil de données qu’ils effectuent en amont (ingénierie sociale et récolte de la data via Internet et les réseaux sociaux).

Ils sont d’autant plus efficaces que leur interlocuteur a une représentation forte et incorporée des codes hiérarchiques de l’entreprise (obéissance et volonté de bien faire son travail). Comme l’écrivait en 2016 Maurice Dhooge, senior vice-président Global Security chez Schneider Electric, « toute la vulnérabilité du salarié ciblé est là. S’il n’est pas sur ses gardes face à ce type d’attaque, une partie de lui-même voudra croire à l’histoire qui est racontée… ».

« Fraude ou arnaque au président : une cybercriminalité (FOVI) record depuis février 2021 » (Élodie Mielczareck, 2021).

En conclusion, bien qu’il existe des signatures verbales spécifiques et visibles (liberté d’action « je vous laisse voir avec… », implication personnelle du fraudeur « je compte sur vous… »), l’analyse des corpus montre que les traces de manipulation sont implicites (de l’ordre du paraverbal, du régime d’interaction et liées à des cadres cognitifs préexistants).

Il semble donc difficile, par exemple, de pouvoir développer une intelligence artificielle qui s’appuierait uniquement sur des marqueurs visibles, explicites et verbaux. Tout comme l’hypnotiseur, le fraudeur est davantage un « surfeur » utilisant des codes incorporés, déjà présents chez son interlocuteur, plutôt qu’un « producteur » de contenu inédit.

Eric Vernier. Mars 2021.


LE RISQUE, VARIABLE STRATEGIQUE DE LA REFLEXION DES ENTREPRISES. UN NOUVEAU RISQUE : LE RISQUE ETHIQUE DANS SA DIMENSION GOUVERNANCE – LA MISE EN EXAMEN DU GROUPE LAFARGE pour « mise en danger de la vie d’autrui »

Mercredi 23 novembre, à la Toulouse School of Management, lors d’une table ronde sur le thème « Comptabilité, crise(s) et résilience », j’expliquais en quoi la Fonction Risk Manager (FRM) était un acteur contribuant à augmenter la capacité de résilience de l’organisation. Pour établir ce rôle qu’aujourd’hui personne ne conteste, même si beaucoup reste à faire, je suis revenue sur les étapes de l’ERM et les facteurs qui ont fait que le risque est devenu en trente ans une variable stratégique de la réflexion des entreprises.

Deux de ces facteurs sont l’élargissement du domaine du risque et son amplification depuis 2004 par le régulateur-législateur et les médias. 

COMMENT LE RISQUE EST DEVENU UNE VARIABLE STRATEGIQUE

(1) Aux risques « traditionnels » (incendie, inondation…) se sont ajoutés :

  • De nouveaux risques comme par exemple le risque éthique ou le cyber-risque ou encore les risques psycho-sociaux…
  • Des qualificatifs qui viennent préciser la nature du risque : sanitaire, environnemental…
  • Cet élargissement oblige les entreprises à faire face à des risques potentiels qui sortent du champ de compétences des experts qui n’ont ni la connaissance, ni l’expérience pour répondre à un avenir qu’ils ne connaissent pas.

(2) Le législateur-régulateur et les médias ont contribué à la diffusion de ce que M. Power appelle l’image d’un monde plus risqué et l’ont amplifié. Ils amplifient la notion de responsabilité du dirigeant en cas de négligence.

Ces évolutions ont conduit les organisations à créer depuis 2004 la FRM, fonction corporate dédiée aux risques.

Pour en savoir plus : voir « La Fonction Risk Manager. Organisation, Méthodes et positionnement. » Aubry et Dufour. Chapitre 1 Définition des notions mobilisées et contextualisation de la Fonction Risk Manager. .

Lien. https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html

UN PROGRAMME SUR 6 SEMAINES

Je vous propose un tour du côté de l’actualité pour :

  • (1) (2) illustrer deux nouveaux risques auxquels les organisations doivent faire face – le risque éthique dans sa dimension gouvernance et la fraude au président – ;
  • (3) mieux connaitre un risque souvent passé sous silence – le risque de propriété intellectuelle – ;
  • (4) et (5) faire le point sur le devoir de vigilance des multinationales et découvrir ce que l’on sait de la future loi Sapin 3.
  • (6) Je terminerai cette séquence par un « bouclage » sur le rôle de la FRM dans ce nouveau contexte.
UN NOUVEAU RISQUE : LE RISQUE ETHIQUE DANS SA DIMENSION GOUVERNANCE

Pour commencer : le risque éthique dans sa dimension gouvernance / la gouvernance : respect par l’entreprise des engagements pris, transparence et ouverture aux besoins de l’environnement dans laquelle elle opère, prise en compte des parties prenantes, les actionnaires et tous les groupes ou individus qui peuvent affecter ou être affectés par la réalisation de ses objectifs.

Pour d’autres exemples plus anciens voir : 

« La Fonction Risk Manager. Organisation, Méthodes et positionnement. » Chapitre 1 Définition des notions mobilisées et contextualisation de la Fonction Risk Manager. Chapitre 3 Définition et illustration des différentes classes de risques auxquelles sont confrontés les Risk Managers.

Lien. https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html

Blog : https://gestiondesrisques.net/category/risques/ethique-gouvernance/

Je vous propose deux articles très intéressants de septembre 2021 qui illustrent le risque éthique dans sa dimension gouvernance à travers la mise en examen du groupe Lafarge pour « mise en danger de la vie d’autrui » dans le cadre de ses activités en Syrie entre 2011 et 2014, et plus particulièrement des accords financiers passés avec des groupes armés.

Vous y retrouverez :

  • la présentation du risque
  • les causes de celui-ci (probabilité)
  • les conséquences de celui-ci (impact).

Le premier est un article rapide du Monde qui rappelle les faitss. Le deuxième écrit par Nathalie Belhoste. Enseignant chercheur, Grenoble École de Management (GEM) propose une analyse approfondie du risque.

Lafarge en Syrie : la Cour de cassation invalide l’annulation des poursuites pour « complicité de crimes contre l’humanité »

La plus haute juridiction de l’ordre judiciaire a également cassé la décision de la cour d’appel de maintenir la mise en examen du groupe pour « mise en danger de la vie d’autrui ».

C’est un nouveau rebondissement spectaculaire dans l’affaire hors norme sur les activités en Syrie du cimentier Lafarge : la Cour de cassation a renvoyé mardi 7 septembre devant la justice le débat sur la mise en examen du cimentier pour « complicité de crimes contre l’humanité » en Syrie, annulée en novembre 2019 par la cour d’appel de Paris.

Dans un arrêt très attendu, la plus haute juridiction de l’ordre judiciaire a invalidé la décision d’annuler ces poursuites, prononcées dans l’enquête relative aux activités du groupe en Syrie jusqu’en 2014.

Elle a aussi cassé la décision de la cour d’appel de maintenir la mise en examen du groupe pour « mise en danger de la vie d’autrui », et renvoyé ces deux questions devant la chambre de l’instruction, dans une composition différente, afin qu’elle se prononce à nouveau.

Les magistrats de cette chambre pourront ainsi décider de maintenir ou d’annuler ces poursuites contre le groupe. La Cour a, en revanche, confirmé la mise en examen du cimentier pour « financement du terrorisme ».

« La décision prise aujourd’hui par la Cour de cassation ne présume en aucun cas d’une éventuelle culpabilité de Lafarge SA », a réagi le groupe, dans une déclaration adressée à l’Agence France-Presse (AFP), assurant qu’il continuait « de coopérer pleinement avec la justice ».

 « Nous avons pris des mesures immédiates et fermes pour nous assurer que des événements similaires ne puissent plus se reproduire », a-t-il assuré, précisant que Lafarge n’exerçait « plus aucune activité en Syrie depuis plus de six ans ».

Dans cette information judiciaire, ouverte en juin 2017, Lafarge SA est soupçonné d’avoir versé en 2013 et 2014, par le truchement de sa filiale Lafarge Cement Syria (LCS), près de 13 millions d’euros à des groupes terroristes, dont l’organisation Etat islamique (EI), et à des intermédiaires, afin de maintenir l’activité d’une cimenterie en Syrie alors que le pays s’enfonçait dans la guerre.

Le groupe avait investi 680 millions d’euros dans la construction de ce site, achevé en 2010.

« En connaissance de cause »

Lafarge est également suspecté d’avoir vendu du ciment de l’usine à l’EI et d’avoir payé des intermédiaires pour s’approvisionner en matières premières auprès de factions djihadistes.

Un rapport interne commandé par LafargeHolcim, né de la fusion en 2015 du français Lafarge et du suisse Holcim, avait mis en lumière des remises de fonds de LCS à des intermédiaires pour négocier avec des « groupes armés ». Mais Lafarge SA a toujours contesté toute responsabilité dans la destination de ces versements à des organisations terroristes.

 « L’on peut être complice de crimes contre l’humanité même si l’on n’a pas l’intention de s’associer à la commission de ces crimes », a expliqué la Cour de cassation dans un communiqué. « Dans cette affaire, le versement en connaissance de cause de plusieurs millions de dollars à une organisation dont l’objet est exclusivement criminel suffit à caractériser la complicité, peu importe que l’intéressé agisse en vue de la poursuite d’une activité commerciale », a-t-elle détaillé.

« La Cour de cassation donne raison au magistrat instructeur sur deux points essentiels : en confirmant les poursuites pour financement du terrorisme et en rouvrant le débat sur la complicité de crimes contre l’humanité, qui sera maintenue compte tenu des éléments accablants du dossier », a réagi Me William Bourdon, fondateur de l’ONG Sherpa.

 « A l’échelon mondial, ces poursuites, qui déboucheront sur un procès de Lafarge et de ses dirigeants pour les crimes les plus graves, sont une première et nous rappellent l’impératif absolu que constitue le devoir du législateur de responsabiliser de gré ou de force les plus grandes entreprises de la planète », a-t-il poursuivi.

Dans son arrêt, la Cour de cassation a, par ailleurs, estimé que seule l’ONG European Center for Constitutional and Human Rights (ECCHR) pouvait se constituer partie civile, et uniquement à l’égard de l’infraction de « complicité de crimes contre l’humanité » reprochée à la société.

Sherpa et l’association Life for Paris se sont vues, pour leur part, déboutées de leur demande de se constituer partie civile.

« Sherpa reste fière d’avoir initié cette procédure. Si le rejet de notre pourvoi est singulier, il ne l’est que pour des raisons techniques, qui pourront être corrigées rapidement », a estimé l’avocat.

Le Monde avec AFP

Publié le 07 septembre 2021


Syrie : pourquoi le groupe Lafarge est-il resté si longtemps malgré la guerre ?

 

Le 7 septembre, la Cour de cassation a invalidé les annulations des poursuites pour « complicité de crimes contre l’humanité » concernant les activités du groupe Lafarge en Syrie entre 2011 et 2014, et plus particulièrement les accords financiers passés avec des groupes armés, dont Daech.

Différentes parties civiles et des ONG de lutte contre les crimes économiques étaient à l’origine de ces pourvois. Elles contestaient l’annulation par la chambre de l’instruction, en novembre 2019, de la mise en examen du groupe en tant que personne morale pour « complicité de crime contre l’humanité », prononcée l’année précédente par les juges d’instruction. Avec cette décision, la Cour de cassation renvoie à présent le dossier vers une autre chambre de l’instruction afin qu’elle se prononce à nouveau.

Cette décision était attendue au-delà de l’affaire Lafarge. En effet, elle pourrait influencer de prochaines instructions menées contre des multinationales, comme dans le cas de la récente affaire du groupe viticole Castel, dont une filiale est soupçonnée d’avoir financé des groupes armés en Centrafrique. Dans ces cas, les processus de mise en accusation restent néanmoins toujours délicats car la responsabilité de l’entreprise en tant que telle reste difficile à prouver par rapport aux responsabilités individuelles à cause, notamment, de la complexité organisationnelle.

Ainsi, notre recherche sur le cas Lafarge montre que semble s’être développé ce que nous appelons une « myopie organisationnelle ». Celle-ci aurait conduit le cimentier à poursuivre ses activités en Syrie jusqu’en 2014, alors que des entreprises comme Total ou Air Liquide quittaient le pays dès le début de la guerre civile en 2011.

Cette « myopie organisationnelle » repose sur plusieurs éléments centraux, dont une volonté sans faille de protéger les investissements sur place. Toutefois, les logiques économiques restent insuffisantes pour expliquer que la production n’ait pas été arrêtée. Une interprétation défaillante du danger entre le siège et la filiale ainsi que des décisions entraînant une dépendance forte à un nombre restreint d’acteurs locaux apparaissent aussi comme des facteurs de cette « myopie organisationnelle ».

Une lente montée en pression

La chronologie du cas est à ce sujet éclairante. Dans une première phase, entre mi-2011 et juillet 2012, l’entreprise ne va pas réellement voir l’intérêt de partir, malgré les tensions. Quelques mois plus tôt, en octobre 2010, Lafarge inaugurait la plus grande cimenterie de la région moyenne orientale dans le nord de la Syrie, à environ 60 kilomètres de la frontière turque. Le coût du projet est de 680 millions d’euros, ce qui représente pour l’époque un très gros investissement pour l’entreprise.

Localisation de la cimenterie de Lafarge en Syrie.

 Au départ, les salariés sont très satisfaits de cette implantation, notamment dans une région où les opportunités d’emploi sont très rares. Les premières contestations de début 2011 ne sont localisées que dans l’est de la Syrie, assez loin de l’usine et ce n’est que le 1er décembre 2011, le Haut-Commissariat des Nations unies aux droits de l’homme déclare la Syrie en état de guerre civile.

En mars 2012, la France décide de rappeler son ambassadeur en Syrie. L’entreprise décide alors de rapatrier ses expatriés, mais aucune décision n’est prise quant à un arrêt des activités sur place. L’entreprise mise alors sur un dialogue et des négociations avec les parties prenantes, notamment différents groupes armés présents dans la région.

Un premier intermédiaire, un Syrien possédant une participation dans l’usine, est choisi pour assurer les discussions et les transactions. L’entreprise décide, par ces mesures, d’assurer la continuité de ses activités et la sécurité de ses salariés, mais dans une zone qui commence à se tourner vers une économie de guerre basée sur le racket.

Certes, dans cette zone de gouvernance limitée (c’est-à-dire où l’autorité étatique n’était que partiellement reconnue), il était très difficile, à l’époque, de distinguer la création de groupes armés issus de la lutte anti-Damas (kurdes ou de l’Armée syrienne libre) d’autres groupes aux obédiences diverses et volatiles, attirés uniquement par l’appât du gain que représente la seule multinationale présente localement. Néanmoins, la décision de Lafarge n’était déjà pas en accord avec leur code de conduite de l’époque.

Une autre décision organisationnelle peut permettre de mieux comprendre le contexte de la prise de décision. À cette même période de l’été 2012, le directeur de la filiale est envoyé de Damas au Caire d’où il gérera les activités. Si cette mesure s’explique aisément pour sa sécurité personnelle dont doit légalement répondre l’entreprise, cette décision va entraîner une gestion à distance dont les travaux académiques en sciences de gestion ont déjà montré les grandes limites en temps de paix, à savoir la compréhension des problèmes locaux et la transmission de l’information qui se révèlent souvent partielles.

Un excellent réseau d’informateurs

L’entreprise, et notamment son comité de sûreté composé de cadres dirigeants et du directeur général adjoint, entérine ainsi sa décision de rester sur place malgré les premières alertes et le conflit civil.

Mais à partir de l’été 2012, une nouvelle période plus tendue se profile. Plusieurs salariés sont kidnappés. Lafarge paye une rançon mais pas à chaque fois. À partir de ce moment, le comité de sûreté analyse, en novembre 2012, la situation de la façon suivante : « Nous ne pouvons en aucun cas garantir que nous soyons capables de nous opposer avec succès à une action d’enlèvement ». Il existe une « menace directe et nominative contre Lafarge » et « la présence des extrémistes du Front al-Nosra constitue une menace supplémentaire ».

Cette dernière référence montre que les dirigeants du siège semblent informés de la dangerosité de certains groupes par rapport à d’autres, mais aussi avoir conscience des dangers encourus par leurs salariés sur place.

Une grande partie de la compréhension de ce cas (avec les données actuelles) porte alors sur cette décision de rester dans un pays en guerre, avec des groupes armés qui ne répondent plus forcément qu’à une logique économique et de racket mais à des logiques politiques et idéologiques fortes. La présence dans la zone du Front al-Nosra constituait une première alerte par sa proximité notoirement connue avec Al-Qaida.

En outre, plusieurs e-mails montrent que Lafarge avait mis en place depuis le début des événements un excellent réseau d’informateurs. À tel point que des rencontres entre le directeur de la sécurité du groupe et la direction générale de la Sécurité extérieure (DGSE) auraient amené à des échanges d’informations, Lafarge restant un point d’observation absolument stratégique (par la localisation de l’usine dans une zone frontalière et étant une des très rares grandes multinationales restant dans le pays).

Pour légitimer le fait de rester sur place, certains responsables de Lafarge mettent en avant le fait que le Quai d’Orsay aurait demandé à l’entreprise de rester, étant donné les informations qui pouvaient être prodiguées par l’entreprise. Une version contestée par le ministère des Affaires étrangères. L’enquête est toujours en cours.

Daech entre en jeu

Entre fin 2012, début 2013, un nouveau groupe apparaît dans la région en provenance d’Irak. Il s’agit de Daech. En mars 2013, Raqqa (à 87 kilomètres au sud de la cimenterie) est prise par différents groupes islamistes, dont le Front Al-Nosra, qui prête allégeance à Al-Qaida et tombe donc sous le coup des sanctions du Conseil de Sécurité́ de l’ONU.

En octobre 2013, le Conseil européen confirme les sanctions à l’encontre de certaines entités terroristes, dont le Front Al-Nosra, Al-Qaida et Daech. À ce moment-là, Lafarge sait donc que tout contact avec ces groupes les expose à des sanctions internationales (et plus à un simple délit de corruption).

Au même moment, le directeur de la sécurité de l’usine demande son retour au siège se disant recherché par le régime, les groupes rebelles et Daech. Devant cette situation, Lafarge recrute un autre directeur de la sécurité, un Syrien non qualifié dans ce domaine, qui va interagir avec ces nouveaux acteurs locaux.

Les premiers paiements à Daech semblent intervenir à partir de novembre 2013, toujours par le même intermédiaire et avec l’intervention d’un second. Au-delà des paiements, c’est également des achats de pétrole et la vente de ciment au groupe terroriste qui seraient en cause.

La dernière période qui s’ouvre en 2014 va marquer un point de non-retour. En mars 2014, Daech envahit la ville de Manbji où résident la plupart des salariés de Lafarge et leurs familles (sur demande de Lafarge depuis 2012). Ces derniers poussent leurs familles à partir, sans l’aide réelle de l’entreprise.

En parallèle, d’un point de vue organisationnel, en mai 2014, le directeur de la filiale syrienne en poste en Égypte, est remplacé par un nouveau directeur. Ces changements nécessitent un temps d’ajustement, comme le montrent des travaux académiques, et sont souvent source de déperdition d’informations lors du transfert de connaissances entre les deux expatriés.

Dans une période normale, ces problèmes ne sont pas insurmontables, mais dans un contexte aussi conflictuel, la compréhension des enjeux géopolitiques locaux et internationaux était cruciale. Or, il semble à la lecture des témoignages du second dirigeant de la filiale et des comptes rendus d’une rencontre de celui-ci avec l’ambassade de France en Jordanie que cette compréhension ait été limitée.

Pendant l’été 2014, plusieurs attaques de Daech sont perpétrées contre des camions de l’usine. Le 15 août 2014, une résolution des Nations unies interdit toute relation financière avec les groupes terroristes présents en Syrie. Au même moment, de nouvelles sommes auraient été versées à Daech. Sur le site, la production est suspendue quelques jours puis reprend jusqu’à mi-septembre 2014. À cette date, Daech envahit l’usine sans que Lafarge ait mis en place un plan d’évacuation d’après les ex-salariés. Les locaux resteront occupés jusqu’à fin 2015, puis repris par la coalition.

Transfert de connaissance altéré

Il ressort de cette brève chronologie séquentielle qu’il serait beaucoup trop simpliste de réduire cette succession de décisions à une logique strictement économique (même si elle est bien entendu présente). Des logiques organisationnelles semblent avoir également joué. Tout d’abord, le groupe a pu tirer de la confiance d’une certaine « culture du risque » puisqu’il a déjà été présent dans d’autres zones sensibles, notamment en Afrique. Certaines pratiques, comme recours rapide à des intermédiaires pour réaliser les transactions financières, semblent en témoigner.

Par ailleurs, le choix des expatriés aux postes clés (direction de la filiale et de la sécurité notamment) et leur capacité à comprendre le contexte, surtout à distance, ainsi que leur sensibilité à l’éthique, ont pu aussi peser sur la décision de rester. En outre, le transfert de connaissance a pu être altéré dans la relation siège/filiale par les changements de personnel à ces mêmes postes clés, dans un lieu de conflit et où la situation politique, les groupes armés et les allégeances pouvaient changer de mois en mois.

Enfin, le respect de ses propres règles de responsabilité sociétale des entreprises (RSE) et de ses engagements internationaux (l’entreprise avait signé les principes du Global Compact des Nations unies) apparaît comme un dernier élément important : est-ce que des garde-fous internes avaient été mis en place à différents niveaux pour évaluer la dangerosité ou la légalité des actions, comme annoncé ? Si oui, alors ceux-ci ne semblent pas avoir correctement fonctionné.

Il faut donc retenir que, dans cette affaire, les logiques internes de l’entreprise doivent être aussi observées à la lumière de la culture organisationnelle et pas uniquement au travers de la rationalité économique. Elles doivent surtout être repensées quand l’entreprise se retrouve en zone de conflit.

2 septembre 2021,

Nathalie Belhoste. Enseignant chercheur, Grenoble École de Management (GEM)

Gestion de Crises (4) Des solutions. 3ème opus : présentation d’un outil, le RETEX.

En guise d’article de conclusion au thème « gestion de crises » que j’aborde depuis trois semaines, un article sur le retour d’expérience également appelé RETEX. Emmanuelle Hervé nous y explique que si la plupart des entreprises sont frileuses à mettre en pratique le retour d’expérience, il s’agit pourtant d’une méthode précieuse, qui, empruntée à l’armée, permet d’apprendre de ses erreurs

Pour aller plus loin, vous pouvez :

  • lire p.94-99, Chapitre 2, « La Fonction Risk Manager. Organisation, Méthodes et Positionnement. »

Nous y présentons le RETEX comme est un outil de gestion des risques « hors contrôle ».

Comme d’autres outils de gestion des connaissances tels que l’apprentissage, l’analyse rétrospective d’accidents et d’erreurs, il permettra la mise en place d’une démarche de gestion des risques globale, à la fois technique et socio-cognitive. Il permettra aux Risk Managers d’avoir l’appui des opérationnels et d’acquérir une légitimité cognitive.

https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html

  • écouter le webinaire « Destination RETEX » lors duquel Emmanuelle Hervé et ses invités Loïc Finaz et Sébastien Duflot, amiral et pilote, reviennent sur cet outil.  
    https://www.youtube.com/watch?v=MQzvHxaL3Rc

Le RETEX

De la crise sanitaire aux cyberattaques, les entreprises ont été sujettes ces derniers mois à une résurgence de crises en leur sein. Dans ce contexte, il est primordial pour l’organisation d’effectuer une mise au point sur la réponse apportée à une crise, avant d’entamer une nouvelle page. Organiser un « retour d’expérience », aussi appelé RETEX avec ses équipes, est une étape importante afin d’effectuer un travail d’introspection, observer ce qui a été fait et faire preuve de résilience.

RETEX, de quoi s’agit-il ?

Le RETEX est une démarche visant à mesurer l’efficacité de la mise en œuvre du processus de gestion de crise et des messages délivrés. Elle permet de : repérer les points positifs et de capitaliser sur ceux-ci ; et d’identifier des axes d’améliorations et les actions à mettre en place pour les corriger. Cette démarche est difficile à conduire et demande courage et honnêteté. Son objectif est d’aligner la vision de la crise entre tous les membres de l’équipe, de reconnaitre le travail de chacun, les compétences des collaborateurs pendant la crise et de garder une trace écrite de tous ces enseignements pour qu’elle puisse être utilisée lors de la prochaine crise et surtout par une autre équipe.

Des professionnelles du RETEX doivent vous accompagner lors de votre processus de reconstruction après une crise :  le RETEX étant l’une des étapes pour y parvenir, il est une procédure recommandée et même indispensable, à effectuer après une crise. Il permet de renforcer les liens entre les partenaires, de libérer la parole des employés, de mesurer l’efficacité des actions qui ont été entreprises et d’identifier les points négatifs afin de proposer les axes d’amélioration et d’en déduire un plan d’action. Il s’agit d’une étape clef dans la constitution d’une culture de la gestion de crise au sein de son organisation, à effectuer après toute crise, réussie ou non.

On va en fait capturer l’expérience acquise par les personnes pendant la crise et la transférer dans l’organisation afin d’en augmenter sa résilience. L’idée est de rendre l’organisation indépendante du savoir-faire intuitae personae.

Le RETEX ne s’improvise pas !

C’est un travail structuré, mais qui n’est pas exempt de difficultés. Une gestion de crise peut être influencée par certains biais cognitifs tels que :

  • Le modèle mental (avoir la même réaction face à toutes ses crises)
  • Le biais de croissance exponentielle (s’éloigner de la prise de conscience de la crise en minimisant une situation)
  • L’endo-groupe, apprendre de l’expérience des autres (penser que la crise qui arrive aux autres ne peut pas nous atteindre et la sous-estimer)
  • Le biais d’excès de confiance (faire confiance à nos estimations et s’y tenir malgré qu’on puisse les surestimer ou les sous-estimer..
  • Le biais social ou le biais d’imitation (être influencé par le comportement des uns et des autres)

Les personnes au sein d’une entreprise ayant eu à gérer une crise, ont donc pu être influencées par l’un ou plusieurs de ces biais et ne peuvent pas objectivement effectuer un retour d’expérience. La richesse d’un RETEX viendra de la confrontation des perceptions de la crise et de la réponse apportée, la nuance se situera dans les contradictions, il faut pour cela multiplier les points de vue : interroger les gestionnaires de crise mais également les « utilisateurs finaux », les salariés, comparer avec les productions écrites, etc.

Pour ce faire, mieux vaut faire appel à des professionnels de la gestion de crise pour vous aider (ils auront ainsi un œil extérieur et bienveillant) et vous garantir que l’exercice sera bien perçu par vos collaborateurs et vos parties prenantes.

L’équipe RETEX EH&A est ainsi régulièrement consultée comme acteur extérieur pour effectuer cet exercice. Disponible pour répondre à vos besoins, nous collaborons avec des petites et grandes entreprises dans l’élaboration de leur stratégie de réponse à la crise.

Emmanuelle Hervé

21 avril 2021  

La Gestion de Crises (3). Anticipation et gestion de crises. Retour sur l’anticipation et proposition de plans d’actions (2). Quatre grandes thématiques à appliquer pour améliorer la capacité d’anticipation d’une organisation.

Pour notre 2ème opus sur les solutions pour une « bonne » gestion de crises, un dernier article sur l’anticipation et la gestion de crises.

Emmanuelle Hervé, dg et fondatrice du cabinet de conseil en gestion de crise EH&A, revient dans cet article sur l’importance de l’anticipation dans la gestion des crises et sur l’impact d’une préparation insuffisante, puis propose quatre grandes thématiques à appliquer pour améliorer la capacité d’anticipation d’une organisation.

Dans la gestion de crise, l’incertitude fait partie du lot de tous les jours. Cependant, nous pouvons tenter de prendre les devants en anticipant les risques. L’anticipation est le seul moyen de garder une longueur d’avance et d’imaginer comment une situation peut empirer. Elle permet de garder une marge d’erreur, un temps pour se préparercartographier les parties prenantes, les dangers, et ce, dont on aura besoin pour remédier à la crise.

L’anticipation : le cœur de la gestion de crise

« Prendre les devants sur une situation future pour limiter les impacts négatifs »

En gestion de crise, l’anticipation fait référence à la capacité d’imagination de scénarios défavorables sur l’évolution d’une situation. Anticiper l’évolution d’une crise grâce à la construction des scénarios en considérant toutes les dimensions de celle-ci (RH, juridique, financier, opérationnel, réputationnel, IT etc.) permet de construire un plan d’action pertinent.

Dans notre monde volatile, incertain, complexe et ambigu, être en mesure « d’imaginer des scénarios futurs » est une qualité recherchée par les organisations pour faire face aux crises. Cette qualité s’acquiert grâce à de la méthode, au partage de la vision, au suivi des temporalités de la crise et à l’entraînement.

Dans la gestion de crise, l’incertitude fait partie du lot de tous les jours. Cependant, nous pouvons tenter de prendre les devants en anticipant les risques. L’anticipation est le seul moyen de garder une longueur d’avance et d’imaginer comment une situation peut empirer. Elle permet de garder une marge d’erreur, un temps pour se préparer, cartographier les parties prenantes, les dangers, et ce, dont on aura besoin pour remédier à la crise.

L’importance de l’anticipation réside principalement dans la préparation. En effet, de nombreux chefs d’entreprises ne voient pas les crises arriver. Il est parfois difficile de voir au-delà et d’imaginer que quelque chose pourrait mal tourner. Dans ces situations, les conséquences peuvent être catastrophiques :

  • Mauvaise gestion de la crise
  • Communication bancale
  • Manque de coordination entre les membres de l’équipe
  • Enregistrement imprécis des actions prises, des informations prises par manque d’anticipation des outils nécessaires : logiciels dédiés à la gestion de crise, mind mapping, white board…

Afin d’éviter ces conséquences, il y a 4 grandes thématiques à appliquer qui permettent de développer la capacité d’anticipation :

  1. Organiser une veille active : celle-ci permet de se tenir informé des évolutions de l’entreprise, de son environnement, des signaux faibles … Afin d’avoir un coup d’avance en permanence.
  2. Définir un plan de crise : il permet de savoir ce qu’est une crise, comment s’organiser en interne pour affronter la situation, de savoir quels sont les membres de sa cellule, d’identifier les scenarios défavorables pour adapter les prises de décisions. 
  3. Se former et s’entraîner pour réagir aux imprévus avec plus d’agilité : formations méthodologiques, media training, exercices pratiques, simulations…ce panel permettra aux membres de la cellule de crise et aux portes-parole de développer les réflexes, et l’agilité nécessaire quand une crise survient.
  4. Maîtriser et savoir manier la communication de crise : la communication de crise est un atout important de la gestion de crise car elle vient accompagner le processus et les actions mises en place par la cellule de crise pour les diffuser vers les parties prenantes avec le bon timing. Bien utilisée, elle permet d’éviter les sur-crises qui surviennent parfois même si la gestion opérationnelle de la crise a été bien faite.

L’entreprise doit penser à toutes les situations susceptibles de provoquer une crise et de s’y préparer dans le but d’agir plutôt que de réagir, anticiper plutôt que subir. Concrètement, anticiper permet d’être capable de se mobiliser sans délai en cas de crise à chaud et les bonnes pratiques à appliquer durant les exercices de crise « à froid ».

C’est pourquoi se préparer à gérer d’éventuelles crises est primordial pour ne pas être désarmé lorsqu’elles se produisent. Mesurer les risques, élaborer des plans d’anticipation, planifier des exercices d’entrainements, sont des éléments essentiels pour diminuer les conséquences éventuelles de la crise. L’ajustement des procédures, des méthodes et des outils ou la mise en place de ceux manquants ainsi que la formation et l’entraînement des équipes doivent permettre à l’organisation de mieux anticiper et se préparer pour des crises futures.

Juillet 2021. Emmanuelle Hervé.


 

 

 

La Gestion de Crises (2). Anticipation et gestion de crises. Retour sur l’anticipation et proposition de plans d’actions (1).

Je vous propose un article écrit par R. de Vittoris. Il est en charge de la gestion de crise pour le groupe Michelin depuis plus de 7 ans. Il est également chercheur associé dans le laboratoire de recherche en management CleRMa. Un double profil comme je les aime ! Il est enfin l’auteur de « Surmonter les crises » paru aux éditions Dunod.

Il revient dans cet article sur l’anticipation dans la gestion des crises mais va plus loin en proposant des plans d’actions destinés à en atténuer les limites et à l’améliorer.

L’ANTICIPATION. PRÉVOIR LE FUTUR : ÉTABLIR DES PROCESSUS ET OUTILS ESSENTIELS POUR LA SURVIE DE L’ORGANISATION.

L’anticipation est un élément dont l’importance est systématiquement louée dans l’univers de la gestion de crise. S’il est aisé de concevoir le bénéfice d’une anticipation pertinente afin de préparer l’organisation à affronter l’évènement tout en évitant un maximum la perte de repères associée, il est beaucoup moins facile de saisir les limites floues d’une activité propice à l’expression des biais.
L’anticipation, littéralement « prendre avant », se base essentiellement sur la prévision du futur en vue d’un ajustement des actions et situations du présent. Dans l’univers incertain de la crise, il a été maintes fois établi du caractère fondamental de cette prévision du futur pour l’établissement des processus et outils essentiels pour la survie de l’organisation.

LE BESOIN D’ANTICIPATION N’A PLUS BESOIN D’ÊTRE CONFIRMÉ

Il permet de réduire à la fois :

  • l’ambiguïté (par des interprétations possibles d’un réel futur dont les manifestations parcellaires pourraient générer des incompréhensions et des pertes de repères) et
  • l’incertitude (fournir un spectre large des possibles permettant à l’organisation de se situer dans l’échelle des possibles). Cette proposition structurante de l’avenir, forcément inexacte, n’a pas pour objectif la précision mais la mise en place de repères garantissant une focalisation constante et une interprétation cohérente et collective des évènements.

Second bénéfice majeur, celui d’amorcer un mouvement.
Dans des états de procrastination, de sidération ou de panique, l’anticipation permet, par une perspective future (aussi inexacte soit-elle) positive ou négative, de forcer à amorcer l’action. C’est alors en perspective des situations à venir que des actions peuvent s’amorcer et des décisions se prendre.

IL EST ESSENTIEL DE TENIR COMPTE DES « NOUVELLES » CARACTÉRISTIQUES DU RÉEL.

Nos sociétés sont désormais le lieu d’interactions et d’échanges récurrents, parfois autodéterminés et non-linéaires d’organisations complexes. Cette complexité a une tendance à augmenter avec la progression technologique et l’élaboration des tâches et induit ainsi une propension statistique à l’apparition de défaillance.
En outre, le couplage étroit entre les activités des différents systèmes conduit à une propension, pour les défaillances, à se propager dans l’organisation et même au niveau des organisations environnantes. C’est en partie en raison de ces éléments que les nœuds évènementiels que sont les crises actuelles deviennent multi dimensionnelles et non plus typiques et catégorisables par familles comme les penseurs de la crise auraient pu l’envisager dans le passé.

IL CONVIENT, EN OUTRE, D’ADMETTRE LES LIMITES DE L’ANTICIPATION

L’anticipation consiste essentiellement à une élaboration conceptuelle de l’avenir.
Or les propositions sont le fruit d’un réarrangement des connaissances dans une proposition semblant plausible pour des situations futures. Ainsi, l’activité même d’anticipation repose sur l’induction avec toute la notion d’erreur cognitive qu’elle véhicule.
Dans ses ouvrages Taleb utilise l’exemple d’une dinde pour qui l’apparente linéarité de son existence l’aveugle de futurs alternatifs à cette linéarité (son exécution à la veille de Thanksgiving).

Il est donc difficile aux anticipateurs de s’affranchir du passé pour imaginer le futur et d’éviter ainsi tout biais inductif.

Cette difficulté s’ajoute d’ailleurs à une conséquence négative des schémas anticipatifs lorsqu’ils sont établis et partagés : la réduction du champ cognitif des cellules de crises qui se reposent d’abord (ou se focalisent) sur cette perspective de futur sans la challenger.

NOTRE PROPOSITION
  1. Soulager les acteurs en charge de l’anticipation de toute autre tâche afin de bénéficier au maximum de leur ouverture cognitive
  2. Singulariser des équipes dédiées dans un processus uniquement tourné vers des prospectives à court, moyen et long terme. Une telle approche collective de l’anticipation, par l’émulation et la conceptualisation / projection par rebond qu’elle génère enrichi les réflexions et propositions
  3. Impliquer des acteurs sans spécialisation stricte en lien avec la crise en cours ni d’orientation opérationnelle forte. Une telle approche permettra une plus grande objectivation et un plus grand recul de la démarche
  4. Baser son approche sur la loi de Murphy en s’interrogeant constamment à propos de « comment cela pourrait-il être pire ? »
  5. Impulser les réflexions sur des scenarii de rupture, bouleversant les idées préconçues ou les éléments tenus pour acquis. De ce fait, il est fondamental de ne pas s’imposer de restriction vis-à-vis de la plausibilité des projections.

Raphaël de Vittoris

GESTION DE CRISES (1). Contextualisation : gestion de crises et démarche de gestion des risques ; un exemple récent de communication de crise « brouillonne »

Un thème pour les quatre semaines à venir : LA GESTION DE CRISES

Un contenu par semaine.

  • Contextualisation : la gestion de crises et la démarche de gestion des risques ; un exemple récent de communication de crise « brouillonne »
  • Des solutions en trois opus : anticipation et gestion de crises. Retour sur l’anticipation et proposition de plans d’actions (1) ; anticipation et gestion de crises. Retour sur l’anticipation et proposition de plan d’actions (2) ; présentation d’un outil, le RETEX.

Contextualisation : la gestion de crises et la démarche de gestion des risques

Pour moi, la gestion de crises est ce qui arrive une fois que le risque s’est réalisé – une fois qu’il est trop tard pour le RM. Un RM me disait : « pour moi il faut faire très attention, la plupart du temps, la gestion de crise, la communication de crise ne fait pas partie des descriptions de postes, c’est un tout autre métier. La gestion de risques est vraiment la préparation de tout avant, mais lors des événements se sont des spécialistes opérationnels qui prennent le relais, et surtout en communication de crise…»

Pour autant, revenir sur la gestion de crises a sa place dans un ouvrage consacré à la Fonction Risk Manager https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html et dans un blog consacré aux risques, à la gestion des risques et à la Fonction Risk Manager tant les sujets sont proches voire reliés : le risque de réputation est devenu le « cauchemar » des organisations ; les médias sont identifiés comme un des amplificateurs de risques – rôle encore amplifié par les réseaux sociaux -.

Risque de Réputation. Définition

Nicolas Dufour et moi-même reprenons la définition de Rayner (2003) : « toute action, évènement ou circonstance qui pourrait avoir un impact positif ou négatif sur la réputation d’un organisme…ou encore… comme un ensemble de perceptions et opinions présentes ou passées sur un organisme, nichées dans la conscience des parties prenantes. »/ouvrage p.35.

Dans le blog, je reviens en :

  • septembre 2020 sur l’identification du risque de réputation à travers les affaires Nike : « Risque de réputation. Définition, illustration à travers les affaires Nike 1990-2000, 2020. » ;
  • janvier 2020 sur son impact : « What Price Reputation ? Impact d’une dégradation de l’image sur la valorisation boursière. »

Risque de Réputation. Les médias comme amplificateur de risque.

Nous présentons les médias comme un des deux amplificateurs du risque qui a contribué à mettre en place l’image d’un monde plus risqué : « les médias tendent à amplifier la notion de responsabilité du dirigeant en cas de négligence et les logiques de compensation…Ces évolutions rendent les entreprises plus vulnérables et le risque est partout mais ce qu’elles craignent le plus, c’est la perte de réputation. »/ouvrage p.58.

Risque de Réputation. Evolutions : e-réputation ; éthique

Les entreprises doivent de plus en plus compter avec la viralité des réseaux sociaux. Le risque de réputation croise de plus en plus le risque éthique dans sa dimension développement durable et de plus en plus dans sa dimension gouvernance (respect des engagements pris). Elles doivent soigner leur e-réputation. Le risque de réputation est exacerbé. Le rôle des médias et ces évolutions récentes (e-réputation/éthique de l’entreprise) sont très bien illustrés dans l’étude VISIBRAIN dont je vous propose un résumé dans le blog en décembre 2020.

Des exemples de gestion de crises et communications de crise « ratées ». Dans notre ouvrage, je vous propose les exemples de Total Raffinerie de la Mède, AF-KLM, Lidl, Dove, Lactalis ou encore Nike qui comptent parmi les plus médiatiques.

Je vous propose un article de Valéry Rieß-Marchive qui analyse la communication de crises externe confuse après une cyberattaque du groupe Hopps. Bien qu’en interne, l’information ait été honnête et rapide auprès des employés, la communication externe manquait de clarté et surtout de transparence, ce qui a été souligné par les médias et les réseaux sociaux. Un alignement de la communication entre toutes les parties prenantes est important afin de maintenir la confiance de ces dernières.

Un exemple récent de communication de crise « brouillonne »

Cyberattaque : Colis Privé donne l’exemple d’une communication de crise externe brouillonne

La maison-mère de Colis Privé, le groupe Hopps, a été victime d’une cyberattaque fin avril. Mais il s’est montré incapable d’assurer une communication externe juste. Alors qu’en interne, elle semble l’avoir été.

La communication de crise du groupe Hobbs, dont font partie Dispeo, Colis Privé, ou encore Adrexo, pourrait bien rester dans les annales comme illustration de ce qu’il ne faut pas faire vis-à-vis du public et de ses clients finaux, lorsque l’on est confronté à une cyberattaque.

L’information a commencé à filtrer le 25 avril, par le biais du syndicat C.A.T. d’Adrexo. À cette date, celui-ci évoquait sur son blog un « incident informatique » : « le réseau informatique de l’entreprise connaît des difficultés » ; « une partie des services informatiques sont actuellement à l’arrêt suite à un incident ». Le lendemain, les choses gagnent un peu en clarté : « informatique à l’arrêt ; cyberattaque confirmée », apprend-on… toujours du syndicat C.A.T. d’Adrexo. Ce dernier « félicit[e] la transparence dont l’entreprise a fait preuve dès ce matin, car nous pensons qu’il est prudent d’anticiper toutes les conséquences pratiques dès aujourd’hui ».

En interne, la communication trouve donc un écho positif. Mais à l’extérieur, la situation est toute autre. Sur Twitter, le message officiel est bien différent. Là, le 26 avril au matin, Colis Privé ne parle que d’un « incident technique » à la suite duquel « vous ne pouvez pas vous connecter sur le suivi de votre colis. Veuillez nous excuser de la gêne occasionnée ». Il faudra attendre le 29 avril, vers midi et demi, pour que le message change : « Colis Privé a été victime d’une cyberattaque ».

https://cdn.ttgtmedia.com/rms/LeMagIT/colis-prive-0426_half_column_mobile.png

La communication extérieure officielle est à ce stade formalisée et répétée à l’envie : la cyberattaque « a été très rapidement contenue » ; « nos équipes et des experts externes travaillent ardemment à la résolution de cet incident ». Le lendemain, nos confrères de L’Usine Digitale n’ont rien de plus à se mettre sous la dent. Sur ses pages Facebook et LinkedIn, ou sur l’espace presse du groupe Hopps : rien ; silence complet sur l’incident.

Entre-temps, les critiques fusent depuis le 26 avril contre un Colis Privé muré dans le mutisme. L’annonce de la cyberattaque est même accueillie par certains consommateurs avec un doute non dissimulé. Et ce n’est guère une surprise. Car le groupe Hopps a commencé par chercher à minimiser la gravité de la situation, auprès du public, probablement en s’imaginant rassurer. Mais sans y parvenir. Ce faisant, il a semé le discrédit sur sa communication publique. D’où la défiance à son égard lorsqu’il a enfin reconnu la cyberattaque.

Mais là encore, le groupe s’évertue à minimiser la gravité de la situation, assurant que l’attaque « a été rapidement contenue » et parlant d’un incident « qui a pu occasionner quelques dysfonctionnements ». Pourquoi est-ce que cela ne passe pas ?

Notamment parce que côté syndicat, le message véhiculé le 26 avril ne laissait pas entrevoir un incident « rapidement contenu » : « pour Adrexo, les badgeuses ne fonctionnent pas, mais il en est de même pour l’ensemble des services informatiques sauf les messageries ». Qui plus est, « les routeurs ayant été débranchés dans les agences à la demande des services centraux, le réseau téléphonique filaire est également souvent à l’arrêt. Ceci veut aussi dire que l’entreprise ne peut plus facturer, gérer sa comptabilité ou éditer sa paie à ce jour ». Le 28 avril, le syndicat C.A.T. d’Adrexo expliquait que l’informatique du groupe était encore à l’arrêt et que la paie… serait assurée manuellement.

https://cdn.ttgtmedia.com/rms/LeMagIT/colis-prive-0430_half_column_mobile.png

Ironie de la situation, en interne, selon un e-mail partagé par la CGT, la direction affirmait, le 27 avril, souhaiter « donner un maximum de visibilité quant aux actions en cours ». Le message est d’ailleurs détaillé et plutôt transparent, donnant aux équipes une vraie visibilité sur la feuille de route des équipes impliquées dans la réponse à incident.

Ce courriel est intéressant à un autre titre. Là, pas question de minimiser la gravité de la situation. Même si l’on retrouve la tentation classique de jouer la surenchère quant à la sophistication de l’agresseur : « nous avions jusqu’ici réussi à contrer les attaques dont nous avions pu faire l’objet ; il s’avère que celle que nous venons de subir est l’une des plus virulentes au niveau mondial ».

Le vendredi 30 avril au matin, si les consommateurs affectés n’ont toujours qu’une information en peau de chagrin, en interne, la transparence est encore de mise, avec la perspective d’une « reprise progressive des fonctions principales, essentielles à notre activité, à partir de mardi prochain [4 mai, donc, N.D.L.R.], et ce pour toutes les filiales du groupe ».

Mais attention : « le rétablissement intégral de nos solutions informatiques et la mise en place de nouveaux process organisationnels prendront du temps, et nous savons que les conséquences de cette cyberattaque pourront être longues à être entièrement absorbées ». Ce qui ne va pas sans contraster quelque peu avec le triomphalisme affiché au paragraphe précédent : « à l’échelle de l’attaque que nous avons subie, le délai de résolution de cet incident est un exploit ».

Quiconque a suivi, même de loin, les cyberattaques récentes mesure à quel point l’expérience peut être traumatisante… et qu’il est illusoire d’espérer retrouver des conditions opérationnelles normales en l’espace de seulement quelques jours. Mais à défaut de rassurer, les efforts de minimisation de la sévérité de la situation donnent donc l’image d’une communication externe brouillonne et d’un manque de préparation.

Bien loin, donc, d’une communication de crise comme celle d’un OVHcloud, par exemple, dont le PDG a su se montrer pleinement mobilisé, dans la durée, après l’incendie de l’un de ses centres de calcul. Ce qui apparaît d’autant plus regrettable, pour le groupe Hopps, qu’en interne, la communication apparaît bien plus réussie.

Valéry Rieß-Marchive. Mai 2021

Télétravail, risques et plans d’actions ou quels plans d’actions pour gérer les risques liés au télétravail et selon quelle approche ? (2)

✴ Une gestion des risques technique et socio-cognitive.

Je reviens avec l’extrait ci-dessous d’une chronique d’Olivier Cimelière sur l’idée que les risques psycho-sociaux liés au télétravail comme tous les risques ne sont pas seulement un « problème » technique mais également un « problème » de facteur humain.

Le deuxième article ciblé sur la cyber-malveillance (surexposition au risque) présenté par Caroline Diard –  enseignant-chercheur en management des RH et Droit, ESC Amiens – comme l’un des risques liés au télétravail propose 12 recommandations de sécurité pour prévenir ce risque. Dix sont techniques. Deux sont socio-cognitives.

Une approche à la fois technique et socio-cognitive pour passer d’une logique de contrôle à une logique de soutien rejoint la mise en place du « risk management intelligent » préconisés par Power (2004, 2007, 2009, 2016). Cette approche permet d’émanciper les managers du déploiement d’informations sous la forme « d’outils formalisés, normés… » qu’il décrit comme une « addition de couches de pseudo confort donnant une illusion de confort. » (p.66 Aubry C., Dufour N., La Fonction Risk Manager).

✴ Quelles sont les grandes lignes et les outils pour que les risk-managers français mettent en place le « risk management intelligent » préconisé par Power ?

La mise en place d’outils hors contrôle tels que le e-learning, le retour d’expérience, les formations, la responsabilité des opérationnels, l’appropriation des outils…permettent d’avoir l’appui des opérationnels et d’acquérir une légitimité cognitive (celle qui consiste à s’ancrer dans l’inconscient collectif pour être compris par les parties prenantes, devenir incontournable) ; elle est le « graal » de la légitimité.

✴ Nous évoquons cette approche technique et socio-cognitive et ces outils dans nos travaux (Aubry et Montalan, 2007) et dans l’ouvrage « La Fonction Risk Manager. Organisation, méthodes et positionnement (2019, p.96) »

https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html

✴ Sur le blog, vous pouvez lire ou relire sur cette approche :
  • l’article « Yves Rocher et les NeuroSciences ». Archives du blog mai 2020
  • l’article relatif à L’Organisation Apprenante. Archives du blog décembre 2020.

Télétravail et déconfinement : l’humain reste le pivot essentiel

Télétravail n’est pas martingale managériale

C’est un fait que le coronavirus aura contribué à plus nettement matérialiser le recours au télétravail. Les mentalités à l’égard de celui-ci évoluent. Du côté des dirigeants, il n’est plus forcément perçu comme une subtile excuse pour tirer au flanc, d’autant que le présentéisme au bureau engendre aussi bien des excès. Du côté des collaborateurs, il est synonyme d’un équilibre de vie plus flexible, entre obligations professionnelles et tâches domestiques, tout en ayant un cadre de travail délibérément choisi plutôt qu’un flex office impersonnel ou un open space plein de vacarme. Pour autant, le travail à distance n’est pas une martingale managériale. Si le dirigeant y consent, il doit aussi impulser les conditions de son efficience collective.

La première étape, basique mais incontournable (et déjà source de bougonneries), est le matériel du collaborateur. Autant au bureau, il est relativement simple de disposer d’infrastructures et de terminaux performants, autant la distance implique des obligations très concrètes à traiter. L’enquête de Deskeo le rappelle. 78% des personnes interrogées ne possèdent pas les équipements adéquats comme l’imprimante ou l’écran ergonomique. 66% doivent aussi se débattre avec un débit Internet parfois capricieux.

Collaboration et sécurité avant tout

Deux autres dimensions sont absolument cruciales : le choix d’un outil collaboratif qui conviendra à la majorité des salariés en télétravail et la garantie de la cybersécurité des échanges . Travailler à distance ne signifie pas travailler en silo, mais être au contraire capable de se synchroniser avec ses collègues et suivre les avancées d’un projet. Sur le marché, il existe quantité de solutions éprouvées mais attention à tenir compte de la maturité digitale des personnes. Un outil trop complexe à manier peut dérouter.

Enfin, la sécurisation est indispensable. A cet égard, l’engouement pour Zoom, la solution de visioconférence, a mis en exergue les failles de sécurité qui allaient de pair avec des intrusions ou des vols de données. Conséquence : tout le monde dans l’entreprise doit être extrêmement au clair et au carré avec ces points fondamentaux. Sans oublier évidemment le respect de la loi applicable en la matière.

La com’ interne comme lien essentiel

L’autre challenge induit par le télétravail, quelquefois largement sous-estimé par les adeptes fraîchement convertis, est la préservation du lien humain et de la culture d’entreprise. C’est là où la communication interne a un rôle clé à jouer pour éviter qu’au fil du temps, les interactions ne se réduisent qu’à des chats sur la messagerie interne et quelques séances collectives en visio pour entretenir a minima l’esprit d’équipe et le sentiment d’appartenance à la communauté qu’est l’entreprise.

Plus que jamais, des espaces fédérateurs doivent être mis en place et animés régulièrement comme l’Intranet – mais pas que – qui peut ainsi distiller des témoignages terrain, partager des bonnes pratiques, présenter des métiers et même offrir des canaux de détente comme des mini-compétitions de jeux en ligne ou des forums de discussion thématiques.

Avec le travail à distance, il ne faut pas perdre de vue que la précieuse machine à café n’est plus totalement en mesure d’être cet indispensable lieu de brassage du corps social de l’entreprise. La virtualisation des discussions peut aider à décloisonner mais elle peut aussi dématérialiser l’essence même d’une organisation humaine. C’est sans doute un paradoxe mais le télétravail requiert aussi de la proximité physique régulière. Là aussi, les possibilités sont variées : réunions sur un lieu unique, séminaires, team building, repas en commun, etc. Sinon, trop de distance tue la quintessence de l’entreprise.

Olivier Cimelière est directeur adjoint ESJ Pro Entreprise. Mai 2021

Recommandations de sécurité informatique pour le télétravail en situation de crise

En complément des mesures générales de vigilance cybersécurité publiées sur la crise du CORONAVIRUS – COVID-19, cet article décrit les conseils de Cybermalveillance.gouv.fr pour les employeurs afin de limiter les risques de sécurité informatique liés au télétravail.

12 recommandations de sécurité liées au télétravail pour les employeurs

Pour faire face à la crise et au confinement imposé par l’épidémie du CORONAVIRUS – COVID-19 les employeurs, entreprises, associations, administrations, collectivités se sont vues devoir mettre en place ou développer dans l’urgence le télétravail pour maintenir, au moins a minima,  leurs activités essentielles. L’ouverture vers l’extérieur du système d’information de l’entreprise peut engendrer des risques sérieux de sécurité qui pourraient mettre à mal l’entreprise, voire engager sa survie en cas de cyberattaque.
Voici 12 recommandations à mettre en œuvre pour limiter au mieux les risques :

  1. Définissez et mettez en œuvre une politique d’équipement des télétravailleurs : Privilégiez autant que possible pour le télétravail l’utilisation de moyens mis à disposition, sécurisés et maîtrisés par l’entreprise. Lorsque ce n’est pas possible, donnez des directives d’utilisation et de sécurisation claires aux employés en ayant conscience que leurs équipements personnels ne pourront jamais avoir un niveau de sécurité vérifiable (voire sont peut-être déjà compromis par leur usage personnel).

  2. Maîtrisez vos accès extérieurs : Limitez l’ouverture de vos accès extérieurs ou distants (RDP) aux seules personnes et services indispensables, et filtrer strictement ces accès sur votre pare-feu. Cloisonnez les systèmes pour lesquels un accès à distance n’est pas nécessaire pour les préserver, surtout s’ils revêtent un caractère sensible pour l’activité de l’entreprise.

  3. Sécurisez vos accès extérieurs : Systématisez les connexions sécurisées à vos infrastructures par l’emploi d’un « VPN » (Virtual Private Network ou « réseau privé virtuel » en français). Outre le chiffrement de vos connexions extérieures, ces dispositifs permettent également de renforcer la sécurité de vos accès distants en les limitant aux seuls équipements authentifiés. La mise en place sur ces connexions VPN d’une double authentification sera également à privilégier pour se prémunir de toute usurpation.

  4. Renforcez votre politique de gestion des mots de passe : Qu’il s’agisse des mots de passe des utilisateurs en télétravail, mais aussi de ceux en charge du support informatique, les mots de passe doivent être suffisamment longs, complexes et uniques sur chaque équipement ou service utilisé. La majorité des attaques est due à des mots de passe trop simples ou réutilisés. Au moindre doute ou même en prévention, changez-les et activez la double authentification chaque fois que cela est possible. En savoir plus.

  5. Ayez une politique stricte de déploiement des mises à jour de sécurité : Et ce, dès qu’elles sont disponibles et sur tous les équipements accessibles de votre système d’information (postes nomades, de bureau, tablettes, smartphones, serveurs, équipements réseaux ou de sécurité…) car les cybercriminels mettent peu de temps à exploiter les failles lorsqu’ils en ont connaissance. Un défaut de mise à jour d’un équipement est souvent la cause d’une intrusion dans le réseau des entreprises. En savoir plus.

  6. Durcissez la sauvegarde de vos données et activités : Les sauvegardes seront parfois le seul moyen pour l’entreprise de recouvrer ses données suite à une cyberattaque. Les sauvegardes doivent être réalisées et testées régulièrement pour s’assurer qu’elles fonctionnent. Des sauvegardes déconnectées sont souvent indispensables pour faire face à une attaque destructrice par rançongiciel (ransomware). En outre, il convient également de s’assurer du niveau de sauvegarde de ses hébergements externes (cloud, site Internet d’entreprise, service de messagerie…) pour s’assurer que le service souscrit est bien en adéquation avec les risques encourus par l’entreprise. En savoir plus.

  7. Utilisez des solutions antivirales professionnelles : Les solutions antivirales professionnelles permettent de protéger les entreprises de la plupart des attaques virales connues, mais également parfois des messages d’hameçonnage (phishing), voire de certains rançongiciels (ransomware). Utiliser des solutions différentes pour la protection des infrastructures et pour les terminaux peut s’avérer très complémentaire et donc démultiplier l’efficacité de la protection dans un principe de défense en profondeur.

  8. Mettez en place une journalisation de l’activité de tous vos équipements d’infrastructure : Ayez une journalisation systématique et d’une durée de rétention suffisamment longue de tous les accès et activités de vos équipements d’infrastructure (serveurs, pare-feu, proxy…), voire des postes de travail. Cette journalisation sera souvent le seul moyen de pouvoir comprendre comment a pu se produire une cyberattaque et donc de pouvoir y remédier, ainsi que d’évaluer l’étendue de l’attaque.

  9. Supervisez l’activité de vos accès externes et systèmes sensibles : Cette supervision doit vous permettre de pouvoir détecter toute activité anormale qui pourrait être le signe d’une cyberattaque, tels une connexion suspecte d’un utilisateur inconnu, ou d’un utilisateur connu en dehors de ses horaires habituels, ou encore un volume inhabituel de téléchargement d’informations…

  10. Sensibilisez et apportez un soutien réactif à vos collaborateurs en télétravail : Donnez aux télétravailleurs des consignes claires sur ce qu’ils peuvent faire ou ne pas faire et sensibilisez les aux risques de sécurité liés au télétravail. Cela doit se faire avec pédagogie pour vous assurer de leur adhésion et donc de l’efficacité des consignes. Les utilisateurs sont souvent le premier rempart pour éviter, voire détecter les cyberattaques. Utilisez au besoin nos supports et notre kit de sensibilisation ou encore les recommandations aux télétravailleurs décrites supra. Ces utilisateurs coupés de leur entreprise ont également besoin d’un soutien de qualité et réactif pour éviter toute dérive.

  11. Préparez-vous à affronter une cyberattaque : L’actualité démontre qu’aucune organisation, quelle que soit sa taille, n’est à l’abri d’une cyberattaque. Il faut donc admettre que cela n’arrive pas qu’aux autres. La question n’est donc plus de savoir si on va être victime d’une cyberattaque, mais quand on le sera. Il faut donc s’y préparer. L’évaluation des scénarios d’attaques possibles (cf. menaces supra) permet d’anticiper les mesures à prendre pour s’en protéger et de définir également la conduite à tenir pour réagir quand elle surviendra : plans de crise et de communication, contractualisation avec des prestataires spécialisés pour recourir à leur assistance…

  12. Dirigeants : impliquez-vous et montrez l’exemple ! La sécurité est toujours une contrainte qu’il faut accepter à la mesure des enjeux qui peuvent s’avérer vitaux pour les entreprises. L’implication et l’adhésion des dirigeants aux mesures de sécurité est indispensable, tout comme leur comportement qui doit se vouloir exemplaire afin de s’assurer de l’adhésion des collaborateurs.

Cybermalveillance.gouv.fr

QUELS PLANS D’ACTIONS POUR GERER LES RISQUES LIES AU TELETRAVAIL ET SELON QUELLE APPROCHE ?

L’identification des risques liés au télétravail (étape 2 de la démarche de gestion des risques que je présente dans mes travaux) et leur mesure (probabilité/impact) (étape 3) permettent aux RM de les placer dans la cartographie des risques.

Voyons maintenant comment les gérer ?

Une grille de lecture / un article

👉 La mise en place de plans d’actions relève de l’étape 4 de la démarche de la gestion des risques.

En résumé, à quoi correspond-elle ?

Elle consiste à analyser les systèmes de contrôle interne : existe-t-il des dispositifs de contrôle ? De quels types sont-ils (procédures, chartes, formations, responsabilisation, assurances) ? Sont-ils efficaces, pertinents, fiables ?

Les conclusions quant à ces dispositifs de contrôle du risque permettent à l’entreprise de définir un ou des plans d’actions (bénéfice/ressources à investir) destinés à améliorer la couverture des risques majeurs (action sur l’impact et/ou la probabilité).

Les plans d’actions sont diffusés via la responsabilisation et la mise en réseau. En face de chaque risque majeur est positionné un responsable chargé d’un plan d’actions (également appelé le « propriétaire » du risque) : un réseau  de responsabilité est ainsi mis en place. Pour chaque famille de risques, des experts sont choisis pour aider ces « propriétaires » de risque : un réseau de soutien est mis en place. Un comité de risques central chapeaute ces deux réseaux.

Ces outils donnent à la démarche de gestion des risques son caractère dynamique.

👉 Des accords d’entreprise sont un plan d’actions pour prévenir les risques liés au télétravail.

Dans le cadre de leurs recherches, Caroline Diard et Nicolas Dufour (mon co-auteur pour l’ouvrage « La Fonction Risk Manager. Organisation, Méthodes et Positionnement » https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html) ont mesuré l’efficacité d’accords d’entreprise dans cinq grandes banques contre trois types de risques liés au télétravail : la surconnexion, la surcharge de travail, et une mauvaise articulation entre le contrôle et l’autonomie du télétravailleur.

👉 Une gestion des risques technique et socio-cognitive. D’une logique de contrôle à une logique de soutien.

A côté de la formalisation comme moyen de prévenir les risques, ils évoquent d’autres moyens tels que l’évolution des modes managériaux, l’autonomie, la co-construction de nouvelles normes, l’autodiscipline, les bonnes pratiques.

Les risques psycho-sociaux liés au télétravail comme tous les risques ne sont pas seulement un « problème » technique mais également un « problème » de facteur humain.

C’est une idée qui m’est chère et qui ressort des entretiens que j’ai pu mener avec des RM : la gestion des risques doit être à la fois technique et socio-cognitive, passer d’une logique de contrôle à une logique de soutien.

Elle rejoint la mise en place du « risk management intelligent» préconisés par Power (2004, 2007, 2009, 2016). Dans un article, j’écris : « Préférer une logique de soutien à la logique de contrôle qui prévaut à la mise en place de la gestion des risques transformerait la Fonction Risk Manager en instrument de légitimité cognitive. L’accès des RM au terrain serait facilité ; les obstacles associés à la logique de contrôle (manque de communication interne en direction des opérationnels, méfiance vis-à-vis des opérationnels, manque de motivation, de disponibilité et inertie des opérationnels, poids de la sanction venant de la direction) seraient allégés. Cette première dynamique passe par la mise en place d’une approche globale technique et socio-cognitive (Chautru, 2008 ; Aubry et Montalan, 2007). »

👉 A lire

Dans les banques, les accords d’entreprise limitent en partie les risques liés au télétravail

« En 2019, une étude de l’Association nationale des directeurs des ressources humaines (ANDRH) montrait que, dans la majorité des cas, le recours au télétravail était formalisé soit par un accord de groupe ou d’entreprise, soit par une charte d’employeur. Parmi ces sociétés, on retrouve de nombreuses banques, l’un des secteurs où cette pratique se concentre particulièrement.

Dans le cadre de nos recherches (menées fin 2019), nous avons évalué l’efficacité de tels accords dans 5 grandes banques contre trois types de risques liés au télétravail : la surconnexion, la surcharge de travail, et une mauvaise articulation entre le contrôle et l’autonomie du télétravailleur. Il ressort de notre étude, publiée dans la Revue de l’organisation responsable, que les accords d’entreprise permettent effectivement de réduire les deux premiers types de risques, mais leur portée reste limitée pour gérer le troisième enjeu.

Une surcharge de travail limitée

En ce qui concerne le droit à la déconnexion, les accords d’entreprise reprennent les dispositifs introduits dans le Code du travail en 2017. La possibilité d’être connecté 24 heures sur 24 rend en effet le télétravailleur disponible et induit parfois une situation de connexion subie. L’organisation doit donc anticiper la perméabilité de la frontière entre vie privée et professionnelle.

Dans l’une des banques étudiées, l’accord prévoit explicitement que :

« Aucun courriel ne sera adressé avant 8 h le matin et après 19 h 30 le soir ; aucun courriel ne sera adressé durant les week-ends et jours fériés sauf en cas de manifestations commerciales de type foires et salons auxquelles participerait le salarié nomade ».

Même si certains salariés reconnaissent des « difficultés à déconnecter » ou encore « consulter souvent les messages via le smartphone », ils déclarent globalement respecter la séparation vie privée – vie professionnelle, évoquant notamment l’efficacité en ce sens d’un cadrage lié à une connexion à distance qui s’interrompt par module de 4 heures.

Pour ce qui est de la charge du travail du salarié, en pratique, la mise en place du télétravail ne devrait pas avoir d’effet. Dans le cas des banques étudiées, le respect des horaires semble être prévu par les accords et les directions s’attachent à respecter la loi.

Or, nos observations terrain, comme d’autres travaux de recherche, révèlent une tendance à l’augmentation de la charge de travail lorsque celui-ci est réalisé à distance. Il semble s’agir d’initiatives des salariés qui témoignent avoir des difficultés à « poser des limites », comme l’un d’entre eux nous l’a confié.

Les accords permettent toutefois de contenir le phénomène. Dans une caisse régionale étudiée, la règle selon laquelle le télétravailleur doit rester joignable aux horaires habituels de l’équipe, ou encore la définition stricte des horaires « 8h30 – 12h30/13h30 – 18 h », constituent par exemple des mesures appréciées de certains, qui se disent même « plus performants ». La limitation à un jour de télétravail par semaine permet en outre de laisser la charge de travail quasi inchangée.

Du contrôle à l’« autocontrôle »

Lorsqu’on l’interroge sur une éventuelle surcharge de travail, un répondant reconnaît l’apparition d’une plus grande amplitude horaire, mais aussi d’« une souplesse appréciable ». Ce témoignage illustre bien la nécessité d’un management différent du travail à distance, qui doit prendre en compte les bouleversements en termes de contrôle, d’autonomie et de confiance dans l’organisation. D’autant plus que l’autonomie gagnée rend le collaborateur redevable, parfois tenté de prouver son engagement et sa loyauté.

Dans une situation de télétravail, le collaborateur doit en effet s’adapter à des situations inédites, en l’absence de manager, définissant alors par lui-même un mode de fonctionnement. De son côté, le manager peut être tenté de recourir au contrôle technologique du travail effectué, ce qui peut donner lieu à certaines dérives.

Dans tous les accords étudiés, signés au sein de 5 banques, l’accès au télétravail est fondé sur la capacité du salarié à travailler en autonomie et à distance, et concerne les collaborateurs ne nécessitant pas de soutien managérial physique rapproché. L’accord d’une banque précise par exemple que :

« Une autonomie d’organisation du temps de travail est reconnue aux salariés nomades ».

D’autres accords prévoient une commission de suivi ou définissent encore le cadre hebdomadaire, par exemple « à raison d’un jour par semaine, fixé en concertation avec le manager ».

En revanche, la notion de contrôle n’apparaît pas systématiquement. Aucun des collaborateurs ou managers interrogés dans l’étude n’a évoqué de mise en place de logiciel spécifique de surveillance. Tous les managers disent accorder toute leur confiance aux collaborateurs. Ils n’ont pas la sensation de suivre de façon particulièrement étroite les télétravailleurs.

Cependant, le reporting est systématiquement évoqué, à l’image du témoignage de cet interviewé :

« Je contrôle au moins une fois par mois qu’elle réponde au téléphone le jour du télétravail, je regarde de temps en temps s’il est connecté et je lui demande un reporting le soir ».

L’autonomie et la délégation peuvent donc devenir un moyen de transférer la responsabilité des objectifs sur les collaborateurs. Autrement dit, une forme d’« autocontrôle » succède au contrôle qui repose désormais sur une auto-évaluation davantage que sur un lien hiérarchique entre manager et managé.

Autrement dit, la perception mouvante d’autonomie et de contrôle dépend autant de la relation managériale que de l’application de l’accord d’entreprise. Sur les risques liés à ce bouleversement dans le lien hiérarchique, l’accord d’entreprise – dans les banques mais sans doute également dans d’autres secteurs tertiaires – semble donc une réponse plus incomplète qu’il ne peut l’être concernant la surconnexion ou la surcharge de travail.

Dans un récent article publié dans The Conversation, nous avions d’ailleurs plus largement regretté l’absence de prise en compte de ces risques dans l’Accord national interprofessionnel (ANI) « pour une mise en œuvre réussie du télétravail » conclu par les partenaires sociaux, le 26 novembre 2020. C’est donc probablement sur ce point-là que les négociations, à tous les échelons et dans bon nombre de secteurs, devraient évoluer ces prochaines années. »

Caroline Diard Enseignant-chercheur en management des RH et Droit, ESC Amiens.

Nicolas Dufour Professeur affilié, PSB Paris School of Business – UGEI.

Mai 2021

TELETRAVAIL ET RISQUES (2)

ILLUSTRATION 2 / TELETRAVAIL ET HARCELEMENT MANAGERIAL

Pour continuer l’illustration d’un deuxième risque lié au télétravail non encadré, je vous propose une analyse intéressante de Caroline Diard concernant le harcèlement managérial vu sous l’angle du risque et de sa nécessaire gestion.

📌 Cet article donne les éléments pour identifier ce risque de manière structurée en permettant :

  • de le rattacher à une typologie ; il s’agit d’un RISQUE TRANSVERSE-RESSOURCES HUMAINES – Santé Sécurité Risque Sanitaire / Psychosociaux
  • de lister ses causes (pourquoi survient-il ?)
  • de lister ses conséquences (quels impacts ?)

Cette identification du risque constitue l’étape 2 de la démarche de gestion des risques.

📌 Cet article met également en évidence le cadre juridique qui l’accompagne ; celui-ci a joué-joue-jouera un rôle d’amplificateur.

Rappel : qu’est-ce qu’un amplificateur de Risques ?

Comme le suggère le concept d’amplification sociale du risque, des facteurs sociaux, institutionnels et psychologiques influencent les perceptions du risque et les comportements à travers un réseau de canaux de communication qui les structurent et les transmettent socialement (Kaperson et al, 1988) ; les risques sont amplifiés et instrumentalisés par des institutions telles que le régulateur-législateur et les médias (Pidgeon et al, 2003).

Le rôle du régulateur-législateur a commencé en France avec la Loi de Sécurité Financière. L’analyse de la période 2008-2018 conduit à constater un renforcement institutionnel de l’obligation de prudence et de vérification. Sur fond de scandales et de crise, les interventions du régulateur-législateur amènent les entreprises à renforcer les systèmes de contrôle interne et de gestion des risques : loi du 3 juillet 2008, ordonnance du 8 décembre 2008 ; rapport du 8 décembre 2009 de l’AMF ; loi Sapin II du 9 décembre 2016…

📌 Pour approfondir les « classes » de risques, l’étape 2 d’identification, les étapes de la démarche de gestion des risques et le régulateur-législateur comme amplificateur de risques, voir « La Fonction Risk Manager. Organisation, Méthodes et Positionnement. » Editions Gereso. C.Aubry et N.Dufour.

https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html

Télétravail et harcèlement managérial : une situation dangereuse

Durant la pandémie de Covid-19, les entreprises ont eu massivement recours au télétravail. La distanciation du collectif au travail n’écarte pas le risque de harcèlement moral par le manager. Au titre de l’obligation générale de sécurité, l’employeur doit rester vigilant.

Pendant le confinement, 95% des organisations ont eu recours au télétravail pour les collaborateurs éligibles (enquête flash ANDRH, avril 2020). Le télétravail a été imposé à un quart de la population active pendant la période de confinement. En Ile-de-France, 41% des salariés ont été concernés (sondage Odoxa du 9 avril 2020).

Il s’agit d’une forme de télétravail contraint, à temps plein. C’est une situation inédite qui a révélé l’agilité des entreprises et la capacité d’adaptation des salariés. A la sortie du confinement 64 % des salariés ont affirmé vouloir continuer à travailler à distance.

Même les secteurs habituellement moins ouverts au travail à distance vont poursuivre l’expérience. C’est le cas du constructeur automobile PSA.

Cet engouement pour le télétravail lié à un contexte d’urgence sanitaire ne doit pas cependant faire oublier les risques liés à cette forme d’organisation du travail.

La vigilance du manager est donc impérative pour éviter l’isolement, la porosité de la frontière vie privée-vie professionnelle, la surcharge de travail et l’hyper-connectivité.

L’employeur devra être particulièrement vigilant dans le cadre de son obligation générale de sécurité (articles L4121-1 et L4121-2 du Code du travail).

Le risque de harcèlement moral par le manager

Un des risques identifiables est celui lié à la pression inhabituelle exercée par les managers. La distanciation du collectif de travail peut contribuer à isoler le télétravailleur qui sera parfois dans l’incapacité de refuser les sollicitations répétées et insistantes du manager, des nouvelles tâches, une surcharge de travail.

Le harcèlement moral par le manager est donc un risque qui peut ne pas avoir été anticipé.

De nombreux contentieux pourraient naître. Une décision récente de la Cour de cassation nous interpelle à ce sujet. En effet, dans un arrêt du 19 février 2019 (n°18-83268), la chambre criminelle de la Cour de cassation a cassé une décision de relaxe du chef de harcèlement moral, en date du 25 janvier 2018 aux motifs que les juges du fond n’avaient pas répondu aux arguments de la salariée victime de ce harcèlement allégué, dont celui consistant à soutenir qu’elle « avait été isolée des autres salariés en raison de la demande de son employeur de travailler chez elle en télétravail, en contradiction avec sa fiche de poste ».

Si le salarié en télétravail est victime de l’un ou plusieurs des agissements constitutifs de harcèlement moral, il pourra saisir le Conseil de prud’hommes et invoquer une situation de harcèlement moral afin de se voir octroyer des dommages-intérêts en réparation du préjudice qu’il a subi.

Des dérives amplifiées par le télétravail

Le salarié en télétravail ne devra donc pas être volontairement isolé ou mis à l’écart, devra  toujours se voir fournir du travail, pouvoir être en lien avec sa hiérarchie, bénéficier du soutien nécessaire à l’accomplissement de ses missions, ne pas être surchargé et ne pas être incité à une hyper-connectivité. En effet, de telles conditions de travail pourraient laisser supposer une forme de harcèlement managérial. Le profil de certains managers peut conduire à des dérives.  Les pervers narcissiques auxquels dès 1998, Marie-France Hirigoyen faisait référence (« Le harcèlement moral. La violence perverse au quotidien ») pourraient user de manœuvre pour conserver leur pouvoir, leur poste et masquer ses incompétences pendant cette période de travail à distance. Le manager harceleur et pervers narcissique met en place des mécanismes divers :

  • culpabilisation,
  • critique et dévalorisation,
  • report de sa responsabilité sur ses collaborateurs,
  • communication floue,
  • changement fréquent d’opinions,
  • mensonges

En cas de télétravail, les possibilités de déviance sont amplifiées. L’impossibilité d’échanger en face à face, la distance avec les collègues et le n+2 pourraient contribuer au développement de pratiques perverse de management.

L’article L 1152-1 du Code du travail relatif au harcèlement, permet de se prémunir des pervers narcissiques puisqu’ « aucun salarié ne doit subir des agissements répétés de harcèlement moral qui ont pour objet ou pour effet une dégradation des conditions de travail susceptible de porter atteinte à ses droits et à sa dignité, d’altérer sa santé physique ou mentale ou de compromettre son avenir professionnel ».

À titre d’exemple, dans le cadre du télétravail contraint, on parlera de harcèlement si un manager déviant venait à dévaloriser un collaborateur devant ses collègues lors de réunions de groupe par visio-conférence. L’utilisation quasi exclusive comme outil de communication des mails peut conduire les managers à envoyer des messages dont le contenu pourrait être insistant, insultant ou dégradant pour un collaborateur. La fréquence des sollicitations peut aussi s’accélérer dans le cas du travail à distance. Le télétravail peut aussi conduire à des situations dans lesquelles un collaborateur est appelé par le manager en journée, le soir et le weekend, et ce afin de lui demander des livrables dans des délais non tenables.

Télétravail et santé

Plusieurs enquêtes révèlent que la santé psychologique des télétravailleurs s’est dégradée. L’étude de perception CSA pour Malakoff Humanis, montre que 30 % des télétravailleurs confinés estiment leur santé psychologique dégradée. Un sondage Opinionway montre quant à lui, que 44 % des collaborateurs sont anxieux et perçoivent une détresse psychologique.

Enfin, une enquête de la CGT sur les conditions de travail et d’exercice de la responsabilité professionnelle durant le confinement, en date du 4 mai 2020, révèle que 35 % des télétravailleurs se sont victime d’une anxiété inhabituelle.

Il convient donc d’attirer l’attention des employeurs qui n’auraient pas répondu aux obligations de sécurité et de protection des télétravailleurs en laissant s’installer une situation de harcèlement et qui engagent lourdement leur responsabilité, tant au plan civil que pénal (sanction pouvant aller jusqu’à deux ans d’emprisonnement et 30 000 euros d’amende). Une vigilance toute particulière devra être apportée aux comportements managériaux déviants.

04/06/2020

Caroline Diard

Docteur en sciences de gestion de l’institut Mines-Télécom Business School, Caroline Diard est enseignant-chercheur en management des RH et Droit.

 

TELETRAVAIL ET RISQUES

Bonjour, c’est la rentrée du blog.

La même méthode :

  • Un thème approfondi sur deux ou trois semaines ; un contenu par semaine.
  • Une structuration pour réfléchir le risque : contextualisation et définition du risque / identification du ou des risques / proposition de Plans d’Actions.
  • Un fil conducteur : le rôle du Risk Manager pour prévenir les risques.
  • Les sources des articles.

Pour approfondir :

Un ouvrage de référence sur les fondamentaux de la gestion des risques et la fonction Risk Manager : « La Fonction Risk Manager. Organisation, Méthodes et Positionnement. » Editions Gereso. C.Aubry et N.Dufour.

https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html

Le programme des trois semaines à venir :

Aujourd’hui, 14 septembre 2021

  • Définition du télétravail et rappel du contexte.
  • Les risques liés à un télétravail non-encadré.
  • Télétravail et Cyber-malveillance.

A relire sur le blog dans la catégorie Risques, rubrique télétravail :

  • « Télétravail et harcèlement managérial »
  • « Des recommandations de sécurité informatique

La semaine du 20 septembre

Exemple de PA – L’exemple du télétravail dans le secteur bancaire : l’importance des accords d’entreprise pour prévenir le risque.  

La semaine du 27 septembre :

Exemple de PA – Télétravail et déconfinement : l’humain  reste le pivot essentiel.

Définition

Le télétravail est défini par l’article L.1222-9 du code du travail : « Désigne toute forme d’organisation du travail dans laquelle un travail qui aurait également pu être exécuté dans les locaux de l’employeur est effectué par un salarié hors de ces locaux de façon volontaire en utilisant les techniques de l’information et de la communication. »

Rappel du contexte

41% des salariés ont eu recours au télétravail pendant le premier confinement, avec un retour à la normale avec 31% des salariés en télétravail en décembre 2020 (30% en novembre 2019).

Le télétravail peut être mis en place par tout moyen. C’est de cette diversité que vient le risque. Si vous ne mettez pas un cadre normé, vous prenez des risques.

Quels sont les risques liés au télétravail ?

Caroline Diard – Enseignant-chercheur en Management des RH et Droit (ESC Amiens) –  identifie les risques suivants :

  • Cyber-malveillance (surexposition au risque)
  • Risques psychosociaux (Burn-out, stress)
  • Harcèlement
  • Hyper-connectivité
  • Surcharge de travail
  • Contrôle exacerbé
  • Perte de concentration et erreur opérationnelle
  • Fraude interne.

Je vous propose ci-dessous un article sur le premier de ces risques.

Le télétravail accroît le risque de cyberattaques

Analyse 

L’essor du télétravail, lié à l’épidémie de Covid-19, a rendu les entreprises davantage vulnérables face aux hackers, qui prennent pour cible des grands groupes comme des PME. Les pirates se servent des ordinateurs personnels des salariés pour entrer dans le réseau de leurs entreprises.

Depuis le mois de mars, la plateforme publique cybermalveillance.gouv.fr, qui aide entreprises et particuliers à se défendre face aux attaques informatiques, a vu sa fréquentation augmenter de plus de 300 %. « Pendant le confinement, on a constaté une forte hausse d’actes de malveillance contre des grandes et petites entreprises, notamment de ransomware », explique Jérôme Notin, directeur général de la plateforme.

Ces « rançongiciels » s’attaquent à un ordinateur ou un réseau informatique, cryptent les données et les « prennent en otage ». Un message s’affiche sur l’écran des ordinateurs, indiquant le montant à payer pour retrouver l’accès aux fichiers dérobés.

Ces dernières semaines, les experts en piratage, nommés ha­ckers, ont pris pour cible de gros groupes pour leur soutirer de l’argent. L’assureur MMA, le groupe audiovisuel France Télévisions, le constructeur automobile Honda… À chaque fois, des milliers de clients sont affectés. Et ce phénomène est mondial : le 23 juillet, les utilisateurs des GPS et montres connectées Garmin se sont retrouvés sans signal. L’entreprise américaine a payé une rançon de 10 millions de dollars, d’après les révélations du site d’aide informatique Bleeping Computer.

Le télétravail, un terrain fertile

Le télétravail s’est révélé un terrain fertile pour ces attaques. « Les cybercriminels sont passés par les machines personnelles des salariés pour se connecter au réseau des entreprises », constate Jérôme Notin. Les ordinateurs personnels, transformés du jour au lendemain en outils de travail, ne disposent pas de logiciels aussi efficaces que ceux des postes de bureau pour bloquer un virus ou détecter un risque.

« Les entreprises risquent de payer pendant longtemps cette généralisation du télétravail, qui s’est faite sans aucune prise en compte des contraintes de sécurité informatique », regrette le directeur général. Car les cyberattaques ne se manifestent pas toujours immédiatement. Il faut le temps, pour ses auteurs, d’exploiter les données et de détruire les sauvegardes qu’en font les entreprises.

Tout part d’un hameçonnage

Toutefois, ces attaques étaient déjà légion avant le confinement. La Commission européenne a estimé que 80 % des entreprises du Vieux Continent avaient connu, en 2018, « au moins un incident lié à la cybersécurité ». Ceux-ci partent souvent d’un hameçonnage : un message d’une source jugée fiable, comme un site ou un tiers dont l’identité a été usurpée, invite l’employé à ouvrir un lien ou un document d’apparence anodine, par exemple nommé « facture.doc » ou « formulaire.doc », qui infecte l’ordinateur.

D’après le dernier rapport de l’assureur spécialisé Hiscox, l’impact économique des cyberattaques contre les sociétés a été multiplié par six en un an. « Nos adversaires sont plus efficaces que jamais », commente Astrid-Marie Pirson, directrice de la souscription chez Hiscox France. Sur un panel représentatif d’entreprises de huit pays, le coût médian de ces attaques est de 50 000 €.

Aux pertes liées à l’arrêt brutal de l’activité (impossibilité de communiquer, facturer, livrer) s’ajoutent les conséquences sur l’image de l’entreprise. « Ces incidents font l’objet de plus de publicité qu’il y a quelques années, notamment en raison du règlement général sur la protection des données (RGPD), qui impose aux entreprises de notifier à leurs clients les attaques dont elles ont été victimes et donc les risques de violation de leurs données », remarque Astrid-Marie Pirson. Elle rappelle le chiffre présenté par Hiscox : 80 % des entreprises ayant perdu toutes leurs données font faillite dans l’année qui suit l’attaque.

« Personne n’est à l’abri ! »

En 2019, Delphine Chevallier a fondé Thalia NeoMedia pour former employeurs et salariés à la « cyberimmunité ». « Beaucoup de chefs d’entreprise me disent qu’ils ne risquent rien car ils ne veulent de mal à personne. C’est faux, personne n’est à l’abri ! Bien sûr, les grands groupes sont des cibles du fait de leurs activités, explique-t‑elle. Mais la cybermalveillance est un phénomène global. »

La recommandation de l’Agence nationale de la sécurité des systèmes d’information (Anssi) est de ne pas payer la rançon, mais de se rendre sur le site cybermalveillance.gouv.fr pour alerter des experts, et de porter plainte. « Même en payant la rançon, on n’est pas sûr de retrouver les données, parfois déjà détruites »,explique Delphine Chevallier.

D’après la dernière enquête du Club des experts de la sécurité de l’information et du numérique (Cesin), seules 4 entreprises sur 10 s’estiment suffisamment préparées en cas de cyberattaque de grande ampleur.

Zoé Pallier, 

Le 25/08/2020