Je vous souhaite une BONNE ANNEE 2022.
Une année à l’image de ce paysage. Simple. Pure ou Transparente, selon la terminologie que vous préférez. Forte et Fragile à la fois. Avec beaucoup de courage pour défendre vos rêves et s’en approcher.
Cette semaine, un article très court pour mieux connaitre un risque souvent passé sous silence : le risque de propriété intellectuelle.
Nous nous retrouvons en 2022. Je vous souhaite de belles fêtes de fin d’Année 🎄
Les actifs immatériels comme les brevets, marques, droits d’auteur ou secrets d’affaires représentent plus des trois quarts de la valeur de la plupart des entreprises. La gestion de la propriété intellectuelle (PI), des risques associés et du transfert à l’assurance, est donc un enjeu crucial, voire une question de survie pour les PME selon Marie L’Affeter, directeur de la souscription propriété intellectuelle chez Tokio Marine HCC.
Qu’est-ce qui aujourd’hui constitue la valeur d’une entreprise ?
Les actifs immatériels tels que les droits de PI représentent aujourd’hui la majorité de la valeur de beaucoup d’entreprises, voire constituent leur atout le plus précieux. Nous sommes désormais dans une économie de la connaissance : quand les actifs immatériels ne pesaient que 10 % de la valeur des entreprises de l’indice S&P 350 Europe en 1975, leur part s’élève désormais à plus de 80 % (étude OceanTomo). Comme le prédisait Mark Getty, petit-fils du magnat américain du pétrole : « La propriété intellectuelle est le pétrole du XXIe siècle. »
Quel impact cette place prépondérante de la PI a-t-elle sur la gestion des risques ?
La majorité des entreprises a une exposition croissante aux risques liés à la PI, qu’elle en ait conscience ou non. La valeur commerciale et stratégique des droits de PI explique l’augmentation constante des demandes de droits de PI et du nombre de litiges. Ainsi, l’an dernier, malgré une baisse de 3,5 % du PIB mondial, les demandes de brevets à l’international ont progressé de 4 % pour atteindre le record de 275 900, selon l’Organisation mondiale de la propriété intellectuelle (OMPI).
Les dirigeants doivent comprendre l’importance des droits de PI pour leurs objectifs commerciaux et avoir une stratégie de gestion de la PI et de transfert des risques en adéquation. En effet, seulement 15 % environ des actifs immatériels sont assurés actuellement contre plus de 60 % des actifs matériels (Financial Impact of IP & Cyber Assets : 2020 Aon-Ponemon Global Report)…
Le marché a besoin de bien comprendre les enjeux des risques PI et l’intérêt de leur transfert aux assureurs. En tant qu’assureur PI, nous permettons à une entreprise mise en cause de résister en conservant une tranquillité financière, et lui apportons notre expertise dans la gestion de litiges souvent complexes.
Quelle est votre perception actuelle du marché ?
Le marché de l’assurance PI est un marché de niche en pleine évolution depuis deux ans. Par exemple, les clauses d’indemnisation non plafonnées liées à la violation de droits de PI deviennent des standards en matière d’obligations contractuelles entre vendeurs, clients et partenaires, et leur assurance est de plus en plus exigée.
Dernier ou avant-dernier partage avant Noël. Je vous souhaite à tous de bonnes fêtes. Et je joins le visuel « clin d’oeil » de l’an dernier pour profiter des vacances pour partager, lire toujours et encore…
Comment le risque est devenu une variable stratégique. Deux facteurs explicatifs sont l’élargissement du domaine du risque et son amplification depuis 2004 par le régulateur-législateur.
RAPPEL LOI SAPIN II
La loi Sapin II vise à prévenir les risques de blanchiment des capitaux, de financement du terrorisme et de la corruption – la corruption est le fait pour toute personne de solliciter une personne dépositaire de l’autorité publique, moyennant rémunération, un acte relevant de ses fonctions Elle propose six mesures pour cartographier le risque de corruption et le prévenir au niveau organisationnel et individuel. Cette loi n’oblige pas à une communication extérieure spécifique mais elle engage la responsabilité personnelle des dirigeants et celle de la société en tant que personne morale.
Nicolas Dufour et moi-même présentons davantage la loi Sapin II ainsi que les réglementations en vigueur et la soft-law (principe de précaution) dans notre ouvrage ; voir « La Fonction Risk Manager. Organisation. Méthodes et Positionnement », Ed Gereso, p.50.
https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html
LIRE OU RELIRE
Vous pouvez également lire ou relire d’autres articles sur ce sujet sur le blog dans les rubriques corruption et/ou Loi Sapin II ou en recherchant par mots clés ou dans les archives mensuelles par date. .
Obligation légale en vertu de la loi Sapin II, les due diligences apparaissent comme l’un des piliers principaux de tout programme de conformité robuste, que celui-ci soit dédié à l’anticorruption ou à d’autres enjeux ESG. Parmi les tiers à évaluer – clients, fournisseurs et intermédiaires – ces derniers demeurent les plus à risque. Comment les définir ? Comment les évaluer ? Quelles mesures de remédiation adopter pour continuer de nouer des relations contractuelles avec eux ? C’était l’objet de notre dernier atelier pratique !
L’intermédiaire, un (in)dispensable ?
Le recours à des intermédiaires pour faciliter, mener à leur terme ou sécuriser des relations commerciales est une pratique courante du commerce international et du marché à l’export. Cet usage, légal, s’avère néanmoins porteur de risques juridiques, financiers et réputationels conséquents eu égard aux réglementations anticorruptions. Un grand groupe européen du secteur de l’aéronautique en a récemment fait les frais en étant condamné au paiement d’une amende de plusieurs milliards d’euros pour des allégations de corruption via des réseaux d’« agents » – l’autre dénomination des intermédiaires.
Si l’emploi de ce type de tiers reste autorisé, de nombreuses entreprises souhaitent désormais le limiter au maximum. Certaines d’entre elles assument même de ne plus y avoir recours du tout, quitte à se fermer certains marchés.
Reste que pour certains marchés, le concours d’agents continue d’apparaitre comme indispensable pour de nombreuses équipes commerciales. « C’est un enjeu culturel » affirme l’un des experts qui s’est exprimé lors de notre dernier atelier pratique, « mais il est maintenant fondamental de remettre en cause ces pratiques et de s’interroger systématiquement sur l’opportunité réelle de recourir à ce type de tiers ». S’il convient alors de restreindre l’usage d’intermédiaires aux situations de nécessité, ce délaissement progressif doit néanmoins s’accompagner d’un « développement des capacités d’intelligence stratégique et économique au sein même des entreprises ou dans leur environnement proche » avance un autre participant.
Évaluer et remédier
Lorsque l’entreprise juge nécessaire de recourir à un intermédiaire, elle se trouve alors dans l’obligation de conduire une due diligence à son égard, c’est-à-dire une évaluation préalable de sa maturité vis-à-vis de la prévention de la corruption. Pour cela, encore faut-il que tout le monde s’accorde sur ce que recouvre la notion d’intermédiaire. Bien qu’elle puisse varier significativement en fonction des sociétés considérées, tous les experts interrogés s’accordent sur le fait que la qualité d’intermédiaire ne dépend pas des appellations que peuvent en donner les opérationnels : consultants, agents commerciaux, prestataires de services, voire traders, lobbyistes, avocats ?
Aussi pour faciliter le travail des équipes E&C, il peut être judicieux de recenser et de cartographier le type d’intermédiaires couramment utilisés dans l’entreprise, d’en dresser une typologie et de définir pour chacun d’entre eux les rôles et responsabilités à priori attendus. Cet exercice facilitera ensuite grandement le travail du compliance officer lors du suivi de la relation ou de prochaines relations contractuelles.
En fonction de la taille et de l’organisation des entreprises, le process de due diligence en tant que tel est soit centralisé, soit délégué aux compliance officers locaux. L’évaluation s’effectue grâce à des outils informatiques et des bases de données bien connues des professionnels du domaine, soit en externe grâce à des prestataires de service spécialisés. Les solutions disponibles – et par conséquent les due diligence réalisées – sont donc assez similaires entre les différentes entreprises.
En revanche, la façon de traiter les résultats délicats diffèrent. Selon la criticité du risque, les mesures de remédiation varient et vont de l’inscription de clauses anti-corruption spécifiques, à l’audit sur pièce voire sur site, jusqu’au refus pur et simple de nouer une relation contractuelle, même si cela peut signifier le retrait pur et simple d’un marché potentiel.
Une culture de la due diligence
Pour renforcer la robustesse du dispositif de due diligence, tout en favorisant une culture de compliance au sein de l’entreprise, de nombreuses directions E&C délèguent en partie le process de due diligence aux équipes locales et aux opérationnels en charge de la relation avec l’intermédiaire. Ainsi il peut être demandé aux équipes commerciales de réaliser une due diligence de premier niveau, superficielle mais suffisante pour écarter les intermédiaires les plus à risques.
Ce transfert de responsabilité partiel participe à la sensibilisation des opérateurs et à l’intégration des contraintes légales au plus près de l’activité. Cette acculturation doit en outre permettre une meilleure compréhension de la part de ces derniers des contraintes de temps et de budget attachées à la réalisation de due diligences robustes.
Pour ce faire, les équipes opérationnelles doivent être formés aux enjeux de l’anticorruption et à l’utilisation des outils informatiques de screening. A ces actions de sensibilisation, peuvent s’adjoindre, le cas échéant, des mesures de sanction (blâmes, avertissements, assortis généralement de sessions de formation dédiées) en cas de non-respect de l’obligation de due diligence précontractuelle.
Récemment, une juridiction est même aller jusqu’à considérer que le licenciement d’un directeur commercial qui ne s’inquiétait pas de la due diligence anti-corruption devant être réalisée avant la signature d’un contrat reposait bien sur une cause réelle et sérieuse[1]. Un argument massue qui devrait permettre aux compliance officers de rappeler à ceux qui l’oublieront, que les due diligences sont belles et bien devenues des prérequis indispensables à toute relation contractuelle avec un intermédiaire… A bon entendeur !
[1] https://www.doctrine.fr/d/CA/Angers/2021/C65C9311DC30A792F5983
Mai 2021
Je vous propose :
La fraude au président (ou FOVI, faux ordre de virement international) est une escroquerie frappant les entreprises depuis les années 2000. Selon les autorités françaises, ce risque « concerne les entreprises de toute taille et de tous les secteurs ».
Après une prise de conscience mondiale du risque, les affaires se sont à nouveau multipliées depuis fin 2017. Et surtout, elles ont explosé dans le cadre de la pandémie de la Covid-19.
Comment se déroule une attaque ? De manière schématique, le fraudeur téléphone ou envoie un mail au comptable de l’entreprise en se faisant passer pour le PDG, lui-même en déplacement. Prétextant la signature urgente d’un contrat stratégique, le criminel demande d’effectuer rapidement un virement bancaire. L’attaque a lieu en général lorsque le responsable financier est en congé afin d’échanger avec l’adjoint, plus vulnérable.
En France, une étude du cabinet Euler Hermes indiquait que, avant 2017, 20 % des attaques avaient réussi. De grandes entreprises comme le fabricant de tubes en acier Vallourec avait perdu plus de 20 millions d’euros en 2013 et le spécialiste du pneumatique Michelin 1,6 millions d’euros l’année suivante.
Un retour en force
Face à cette marée irrésistible, des mesures avaient été prises : spécialistes accompagnant les entreprises, banques intégrant des procédures de sécurité renforcée pour les virements internationaux, experts-comptables sensibilisés… Mais après une brève accalmie, le phénomène est réapparu ces dernières années et la crise sanitaire a écarté encore un peu plus les mailles du filet.
Quelles sont les raisons qui peuvent expliquer cette résurgence ? En menant une étude exploratoire auprès de chefs d’entreprise de l’hexagone et de quelques pays étrangers (dont la Belgique et Madagascar), trois raisons principales ont émergé : la faible sensibilisation (notamment au sein des petites et moyennes entreprises, désormais principales victimes), la routine et la surconfiance.
À chaque fois, la formation des salariés s’avère insuffisante. Les plus anciens ne bénéficient que très rarement de mises à jour de leurs connaissances et ne sont pas toujours informés des cyberattaques. Les nouveaux salariés, quant à eux, ne sont ni formés ni même sensibilisés au risque. Par exemple, le PDG d’une PME victime à plusieurs reprises le reconnaît :
« Nous n’avions pas indiqué au nouveau comptable que nous avions déjà fait l’objet d’une attaque par le passé. »
L’ensemble du personnel tombe ainsi dans la routine, oubliant de rester en veille et de cultiver le doute. Il est pourtant nécessaire de stimuler régulièrement l’attention sur ces risques en cassant l’habitude qui s’installe inévitablement. La dimension psychologique reste donc au cœur de la prévention. Chaque salarié doit s’imprégner des procédures et ces dernières doivent être régulièrement remises en cause. Le PDG d’une PME attaquée en novembre 2020 l’admet :
« Nos procédures n’avaient pas été vérifiées et mises à jour depuis plus de deux ans. »
Enfin, le biais de surconfiance, autrement dit « la propension d’un individu à surestimer ses probabilités de succès ou la véracité de ses jugements » se retrouve souvent la cause de nombreuses erreurs. Le directeur général d’une entreprise de taille intermédiaire approchée en 2018, reproche l’absence « de regard humain » :
« On se défausse trop sur la machine, réputée infaillible avec ses process automatiques. Les salariés, trop confiants dans les systèmes et procédures, vont laisser la machine gérer le risque et se mettre eux-mêmes “en veille”. »
En tout état de cause, c’est quasiment systématiquement l’erreur humaine qui prévaut chez les victimes de ces attaques. Et le récent ciblage des PME, plus vulnérables car moins protégées et formées, est inquiétante. D’après une étude d’Euler Hermes en 2020, « plus de 6 répondants sur 10 n’ont toujours pas alloué de budget spécifique à la lutte contre la fraude et la cybersécurité en 2019 ».
Les fraudeurs profitent de la crise
En effet, la crise sanitaire actuelle n’a fait qu’aggraver la situation, comme nous avons pu le constater dans nos recherches. Dès le début de la pandémie, on a assisté au pillage de réserves sanitaires, à des arnaques en tout genre sur Internet, à la vente de contrefaçons de produits sanitaires ou de médicaments, à l’explosion des cyberattaques pour pirater les données, etc.
Tracfin, l’organisme anti-blanchiment français, indique dans un rapport de mai 2020 les arnaques exacerbées par la crise et détectées par ses enquêteurs. On y trouve notamment les détournements d’ordres de virement. Le développement du télétravail et des réunions en visioconférence entraîne une situation propice à la fraude au président puisque les échanges à distance se justifient pleinement.
Ailleurs dans le monde, le Bureau canadien du crédit évoquait même l’existence d’une « corona-fraude » ! Cette nouvelle dénomination reflète la professionnalisation de la fraude. Elle témoigne d’un nouveau paradigme de la fraude où les escrocs construisent des montages, tous plus sophistiqués les uns que les autres. L’appui des nouvelles technologies rend la délinquance de plus en plus astucieuse. Les cyberarnaques sont de plus en plus nombreuses et surtout de moins en moins perceptibles.
À cet égard, en Italie, le journaliste Roberto Saviano, auteur du célèbre livre sur la mafia napolitaine Gomorra, alertait sur l’intensification des activités mafieuses, dans une chronique du journal italien La Repubblica.
Globalement, la digitalisation des échanges ainsi que le contexte sanitaire ont fait entrer la fraude dans une nouvelle ère. Si la fraude au président s’appréhendait par une escroquerie au faux nom et/ou à la fausse qualité, il est loisible que celle-ci ait muté vers des manœuvres frauduleuses qu’on retrouve intégrées à un montage complexe. Ainsi, l’adaptabilité de la fraude et des fraudeurs n’est plus à démontrer. À plus forte raison, l’habileté des fraudeurs rend également le contrôle des opérations plus ardu et moins fiable puisque les salariés sont éparpillés sur le territoire et demeurent à leur domicile.
La mutation du procédé de tromperie de l’escroquerie associée à l’apport du digital, a rendu la fraude au président excessivement efficace. C’est donc le moment de redoubler d’attention et d’alerter toutes les entreprises, quelle que soit leur taille. La formation et la sensibilisation des salariés accompagnées par un renforcement des procédures permettront d’éviter une routine délétère en matière de prévention de la fraude.
Eric Vernier, Université de Lille. Vincent Le Trouher, Directeur juridique Investigations, Fraudes et Litiges chez Hexaforensics. Janvier 2021
Face à l’accroissement du risque de fraude au faux virement, le groupe immobilier a externalisé et automatisé ses processus de vérification des coordonnées bancaires de ses fournisseurs.
Fraude au président , au « faux virement » ou au « faux fournisseur » , etc. Les tentatives d’arnaques fondées sur des numéros de comptes bancaires frauduleux se sont multipliées ces dernières années. Et ont de quoi inquiéter les entreprises. En particulier celles qui, par leur forte croissance, sont souvent appelées à travailler avec de nouveaux fournisseurs… C’est le cas du groupe Pichet, un groupe familial spécialisé dans l’immobilier et qui compte aujourd’hui quelque 1.300 collaborateurs, pour un chiffre d’affaires de l’ordre de 600 millions d’euros.
Lorsque Benoît Chardonnet rejoint les équipes en 2017 comme responsable du contrôle interne, il met tout d’abord en place un processus un peu « artisanal ». « A chaque nouveau fournisseur, nous avions des procédures de vérification oculaires des informations communiquées par les fournisseurs. Cela portait sur le titulaire du compte, son K-Bis, le RIB certifié conforme – tamponné ou signé -, la cohérence des adresses, etc. : une vraie check-list à respecter avant l’enregistrement du fournisseur, avec un double niveau de contrôle en interne », se souvient-il.
Quelques années plus tard, ce process ne suffit plus face à la multiplication des tentatives de fraudes et à la professionnalisation des escrocs, qui élaborent des scénarios de plus en plus complexes et fondés sur de l’ingénierie sociale. En outre, la charge de travail est importante : le fort développement du groupe le conduit à créer ou modifier entre 10 et 15 comptes fournisseurs par jour, pour une base « fournisseurs » qui compte environ 15.000 lignes.
Paiement : les trois grandes fraudes d’une année 2020 atypique
Courant 2020, le groupe se met donc en quête d’une solution automatisée de sécurisation des relevés d’identité bancaire de ses fournisseurs. C’est la solution proposée par la start-up SIS-ID qui est choisie. « Il s’agit d’une externalisation complète du process de vérification : pour chaque RIB, nous avons un signal soit vert, totalement sécurisé, soit orange, pour davantage de vérifications, ou rouge, lorsqu’il y a une anomalie », explique le responsable.
Un process véritablement sécurisant grâce à la garantie financière donnée par SIS-ID en cas de problème sur un paiement à destination d’un compte « vert ». Son coût ? « Il est très relatif et doit être apprécié au regard de la réduction du risque : si nous pouvons éviter une fraude à plusieurs milliers d’euros, nous sommes clairement gagnants ! » estime Benoît Chardonnet.
Nous sensibilisons aussi très régulièrement nos collaborateurs sur le sujet, en particulier toutes les personnes en lien avec le traitement administratif des fournisseurs.
Mais, attention, ce n’est là qu’une des briques mises en place par le groupe Pichet dans le cadre de sa lutte contre la fraude. « Nous sensibilisons aussi très régulièrement nos collaborateurs sur le sujet, en particulier toutes les personnes en lien avec le traitement administratif des fournisseurs », précise Benoît Chardonnet.
Il y a aussi une attention beaucoup plus large aux enjeux de cybersécurité, car une intrusion directe dans les fichiers fournisseurs serait également très problématique. « Les deux axes ne peuvent plus être dissociés, aussi nos formations internes lient-elles systématiquement les deux notions », explique le responsable, qui travaille avec le RSSI (responsable de la sécurité des systèmes d’information) sur des sujets comme l’active directory, les habilitations, ou encore les liens entre les applications de comptabilité et de trésorerie.
De quoi gagner encore en sérénité sur la sécurisation des flux financiers, au moment où le groupe se structure et se digitalise de plus en plus…
Cécile Desjardins. Nov. 2021
Je vous propose un article de fonds paru dans The Conversation, écrit par Eric Vernier, Directeur de la Chaire Commerce, Echanges & Risques internationaux – ISCID-CO, Université du Littoral Côte d’Opale, Chercheur au LEM (UMR CNRS 9221), Université de Lille.
J’ai classé ce risque dans les rubriques du BLOG : éthique/gouvernance et cybersécurité. Si l’on suit la typologie des risques de l’AMRAE, il s’agit d’un risque transverse/catégorie financier et Ethique.
La semaine prochaine : un 2ème article sur le sujet et un exemple de Plan d’Action mis en place par une entreprise.
Les escrocs récoltent des données sur l’entreprise, puis l’un d’eux se fait passer pour le patron et contacte directement le comptable en charge des virements.
Comme nous l’expliquions dans un article précédent, la fraude au président touche de plus en plus d’entreprises. Après une recrudescence liée à la baisse de la vigilance dans les services comptables, à la routine et à l’excès de confiance envers les outils informatiques et les procédures, l’escroquerie a été favorisée par la pandémie de Covid-19, la digitalisation des échanges facilitant ce type de fraude à distance.
On peut donc oser le néologisme « coronafraude » pour évoquer ce phénomène de plus en plus présent. Le Bureau canadien du crédit avait d’ailleurs évoqué en ces termes, dès mars 2020, ce risque de « pandémie de fraude à venir ». Selon le FBI, 26 milliards de dollars ont été extorqués aux entreprises depuis 2013 dans le monde.
La fraude au président représente plus de 200 millions de pertes chaque année en France. Un pic jamais vu a été touché en février 2021. L’un des records a même été atteint avec pour victime une société d’expertise comptable, censée maîtriser toutes les procédures de prévention et de contrôle, présentant une perte de 14,7 millions d’euros !
La procédure déployée est toujours la même : les escrocs récoltent des données sur l’entreprise grâce à Internet, l’un d’eux se fait passer pour le patron et contacte directement le comptable en charge des virements. Les fraudeurs exercent plusieurs relances jusqu’à ce que le transfert d’argent soit effectif.
Dans ce contexte, nous avons mené une analyse sémiologique de corpus audio (enregistrements téléphoniques) et écrits (échanges mails initiés par les fraudeurs), portée successivement sur l’analyse d’éléments linguistiques (par exemple : sémantique, syntaxe, morphostylistique.), conversationnels (positionnements hiérarchiques, dynamiques interactionnelles), émotionnels (tonicité de la voix, rhétorique) et stratégiques (techniques de persuasion et manipulation).
L’objectif d’une telle analyse était de tester l’hypothèse selon laquelle il existerait des similitudes dans les schémas de manipulation, ou encore des structures sous-jacentes communes aux différentes interactions entre les fraudeurs et leurs victimes.
Les fraudeurs sont-ils repérables à travers des marqueurs linguistiques particuliers ? Quelles stratégies sont les plus efficaces ? Comment parviennent-ils à « faire faire » leur programme ? Voici les questions auxquelles nous avons voulu répondre.
Tournures complexes et discours incarné
D’un point de vue linguistique, c’est-à-dire de ce qui est visible à travers des marqueurs spécifiques, on se rend compte que le fraudeur est celui qui utilise davantage de « mots pleins », c’est-à-dire ceux chargés d’une fonction sémantique (mots dont la charge sémantique est forte, soit les noms communs autour desquels s’organise le sens de la phrase).
À l’inverse, les « mots vides » (ou « outils grammaticaux ») sont davantage utilisés par la victime. Il s’agit ici des mots dont la charge sémantique est faible, soit de tous sauf des noms communs, adjectifs et verbes. On retrouve dans cette catégorie : les déterminants, pronoms, adverbes, conjonctions… À noter que la stylométrie s’intéresse particulièrement à l’agencement des mots outils, signature « verbale » inconsciente du discours.
Aussi, le fraudeur est le plus « bavard » (logorrhée) et ses mots sont davantage chargés de signification : une première manière de se positionner hiérarchiquement par rapport à l’autre comme le « guide » de la conversation, voire comme « sachant ».
Plus spécifiquement, le lexique s’organise principalement autour de trois fonctions du langage :
D’un point de vue syntaxique et stylistique, on observe une différence selon le canal de communication utilisé. À l’oral, les fraudeurs enrobent leurs propos : l’espacement entre le sujet et l’objet est important, le conditionnel est préféré à l’usage de l’impératif, les tournures de phrases sont complexes (subordonnées, tournures alambiquées, etc.) et le discours est incarné (beaucoup de pronoms personnels liés à l’échange conversationnels je/vous).
Inversement, à l’écrit, les références extralinguistiques et statutaires sont beaucoup plus nombreuses (appel aux autorités comme l’avocat ou l’Autorité des marchés financiers), le ton y est beaucoup plus directif (les impératifs sont nombreux et les conditionnels peu présents). Le tutoiement peut même devenir l’usage.
Le doublement des canaux de communication permet la mise en place d’une architecture manipulatrice : le bâton et la carotte, cette manière de souffler le chaud et le froid successivement.
Incorporation des codes de l’entreprise
D’un point de vue de la pragmatique et des dynamiques conversationnelles, il est à noter que le pouvoir d’influence et de persuasion des fraudeurs passe davantage par l’implicite et le non-dit. Par exemple, c’est la dimension paraverbale (timbre de la voix, intensité, débit de parole, prosodie et pauses) qui va permettre au fraudeur de déployer son « charisme ».
Comme le rappelle le chercheur Albin Wagener dans sa thèse « Le désaccord conversationnel », les exercices du pouvoir ne sont pas nécessairement perçus par les interactants. Cependant, ils sont « systématiquement présents lorsqu’un système conversationnel présente les caractéristiques d’un désaccord émergeant ». Il rappelle : « Le pouvoir, tout comme les autres éléments d’un système conversationnel, constituerait avant tout un ressenti plus ou moins fluctuant selon le contexte ».
C’est ce qui rend l’exercice d’influence du fraudeur si redoutable : il parvient à se lover dans le « entre les lignes » conversationnel pour exercer son pouvoir.
Ici les notions bourdieusiennes d’hexis et d’habitus sont utiles pour comprendre la mécanique efficiente du fraudeur. Rappelons que, selon le sociologue Pierre Bourdieu, l’habitus est une manière d’être au monde basée sur des rapports de force et d’inégalités. L’hexis est une disposition incorporée, une manière durable de se tenir, parler, marcher et donc de penser.
En définitive, les fraudeurs savent solliciter à leur guise l’imaginaire (prélinguistique) de leurs victimes. Être un employé, c’est : bien faire son travail et écouter les ordres de sa hiérarchie. Les fraudeurs le savent, et jouent sur cette incorporation des codes et normes de l’entreprise pour déployer leur ethos hiérarchique.
Tel un hypnotiseur…
Cette manière de faire est bien connue par exemple des hypnotiseurs qui usent de leur « prestige » en s’appuyant sur la cartographie mentale de leur partenaire (« pré-talk »). Dit autrement, les fraudeurs s’appuient sur des codes et des imaginaires préexistants qui sont ceux de l’entreprise, et qu’ils connaissent bien grâce au travail de recueil de données qu’ils effectuent en amont (ingénierie sociale et récolte de la data via Internet et les réseaux sociaux).
Ils sont d’autant plus efficaces que leur interlocuteur a une représentation forte et incorporée des codes hiérarchiques de l’entreprise (obéissance et volonté de bien faire son travail). Comme l’écrivait en 2016 Maurice Dhooge, senior vice-président Global Security chez Schneider Electric, « toute la vulnérabilité du salarié ciblé est là. S’il n’est pas sur ses gardes face à ce type d’attaque, une partie de lui-même voudra croire à l’histoire qui est racontée… ».
« Fraude ou arnaque au président : une cybercriminalité (FOVI) record depuis février 2021 » (Élodie Mielczareck, 2021).
En conclusion, bien qu’il existe des signatures verbales spécifiques et visibles (liberté d’action « je vous laisse voir avec… », implication personnelle du fraudeur « je compte sur vous… »), l’analyse des corpus montre que les traces de manipulation sont implicites (de l’ordre du paraverbal, du régime d’interaction et liées à des cadres cognitifs préexistants).
Il semble donc difficile, par exemple, de pouvoir développer une intelligence artificielle qui s’appuierait uniquement sur des marqueurs visibles, explicites et verbaux. Tout comme l’hypnotiseur, le fraudeur est davantage un « surfeur » utilisant des codes incorporés, déjà présents chez son interlocuteur, plutôt qu’un « producteur » de contenu inédit.
Eric Vernier. Mars 2021.
Mercredi 23 novembre, à la Toulouse School of Management, lors d’une table ronde sur le thème « Comptabilité, crise(s) et résilience », j’expliquais en quoi la Fonction Risk Manager (FRM) était un acteur contribuant à augmenter la capacité de résilience de l’organisation. Pour établir ce rôle qu’aujourd’hui personne ne conteste, même si beaucoup reste à faire, je suis revenue sur les étapes de l’ERM et les facteurs qui ont fait que le risque est devenu en trente ans une variable stratégique de la réflexion des entreprises.
Deux de ces facteurs sont l’élargissement du domaine du risque et son amplification depuis 2004 par le régulateur-législateur et les médias.
(1) Aux risques « traditionnels » (incendie, inondation…) se sont ajoutés :
(2) Le législateur-régulateur et les médias ont contribué à la diffusion de ce que M. Power appelle l’image d’un monde plus risqué et l’ont amplifié. Ils amplifient la notion de responsabilité du dirigeant en cas de négligence.
Ces évolutions ont conduit les organisations à créer depuis 2004 la FRM, fonction corporate dédiée aux risques.
Pour en savoir plus : voir « La Fonction Risk Manager. Organisation, Méthodes et positionnement. » Aubry et Dufour. Chapitre 1 Définition des notions mobilisées et contextualisation de la Fonction Risk Manager. .
Lien. https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html
Je vous propose un tour du côté de l’actualité pour :
Pour commencer : le risque éthique dans sa dimension gouvernance / la gouvernance : respect par l’entreprise des engagements pris, transparence et ouverture aux besoins de l’environnement dans laquelle elle opère, prise en compte des parties prenantes, les actionnaires et tous les groupes ou individus qui peuvent affecter ou être affectés par la réalisation de ses objectifs.
Pour d’autres exemples plus anciens voir :
« La Fonction Risk Manager. Organisation, Méthodes et positionnement. » Chapitre 1 Définition des notions mobilisées et contextualisation de la Fonction Risk Manager. Chapitre 3 Définition et illustration des différentes classes de risques auxquelles sont confrontés les Risk Managers.
Lien. https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html
Blog : https://gestiondesrisques.net/category/risques/ethique-gouvernance/
Je vous propose deux articles très intéressants de septembre 2021 qui illustrent le risque éthique dans sa dimension gouvernance à travers la mise en examen du groupe Lafarge pour « mise en danger de la vie d’autrui » dans le cadre de ses activités en Syrie entre 2011 et 2014, et plus particulièrement des accords financiers passés avec des groupes armés.
Vous y retrouverez :
Le premier est un article rapide du Monde qui rappelle les faitss. Le deuxième écrit par Nathalie Belhoste. Enseignant chercheur, Grenoble École de Management (GEM) propose une analyse approfondie du risque.
La plus haute juridiction de l’ordre judiciaire a également cassé la décision de la cour d’appel de maintenir la mise en examen du groupe pour « mise en danger de la vie d’autrui ».
C’est un nouveau rebondissement spectaculaire dans l’affaire hors norme sur les activités en Syrie du cimentier Lafarge : la Cour de cassation a renvoyé mardi 7 septembre devant la justice le débat sur la mise en examen du cimentier pour « complicité de crimes contre l’humanité » en Syrie, annulée en novembre 2019 par la cour d’appel de Paris.
Dans un arrêt très attendu, la plus haute juridiction de l’ordre judiciaire a invalidé la décision d’annuler ces poursuites, prononcées dans l’enquête relative aux activités du groupe en Syrie jusqu’en 2014.
Elle a aussi cassé la décision de la cour d’appel de maintenir la mise en examen du groupe pour « mise en danger de la vie d’autrui », et renvoyé ces deux questions devant la chambre de l’instruction, dans une composition différente, afin qu’elle se prononce à nouveau.
Les magistrats de cette chambre pourront ainsi décider de maintenir ou d’annuler ces poursuites contre le groupe. La Cour a, en revanche, confirmé la mise en examen du cimentier pour « financement du terrorisme ».
« La décision prise aujourd’hui par la Cour de cassation ne présume en aucun cas d’une éventuelle culpabilité de Lafarge SA », a réagi le groupe, dans une déclaration adressée à l’Agence France-Presse (AFP), assurant qu’il continuait « de coopérer pleinement avec la justice ».
« Nous avons pris des mesures immédiates et fermes pour nous assurer que des événements similaires ne puissent plus se reproduire », a-t-il assuré, précisant que Lafarge n’exerçait « plus aucune activité en Syrie depuis plus de six ans ».
Dans cette information judiciaire, ouverte en juin 2017, Lafarge SA est soupçonné d’avoir versé en 2013 et 2014, par le truchement de sa filiale Lafarge Cement Syria (LCS), près de 13 millions d’euros à des groupes terroristes, dont l’organisation Etat islamique (EI), et à des intermédiaires, afin de maintenir l’activité d’une cimenterie en Syrie alors que le pays s’enfonçait dans la guerre.
Le groupe avait investi 680 millions d’euros dans la construction de ce site, achevé en 2010.
« En connaissance de cause »
Lafarge est également suspecté d’avoir vendu du ciment de l’usine à l’EI et d’avoir payé des intermédiaires pour s’approvisionner en matières premières auprès de factions djihadistes.
Un rapport interne commandé par LafargeHolcim, né de la fusion en 2015 du français Lafarge et du suisse Holcim, avait mis en lumière des remises de fonds de LCS à des intermédiaires pour négocier avec des « groupes armés ». Mais Lafarge SA a toujours contesté toute responsabilité dans la destination de ces versements à des organisations terroristes.
« L’on peut être complice de crimes contre l’humanité même si l’on n’a pas l’intention de s’associer à la commission de ces crimes », a expliqué la Cour de cassation dans un communiqué. « Dans cette affaire, le versement en connaissance de cause de plusieurs millions de dollars à une organisation dont l’objet est exclusivement criminel suffit à caractériser la complicité, peu importe que l’intéressé agisse en vue de la poursuite d’une activité commerciale », a-t-elle détaillé.
« La Cour de cassation donne raison au magistrat instructeur sur deux points essentiels : en confirmant les poursuites pour financement du terrorisme et en rouvrant le débat sur la complicité de crimes contre l’humanité, qui sera maintenue compte tenu des éléments accablants du dossier », a réagi Me William Bourdon, fondateur de l’ONG Sherpa.
« A l’échelon mondial, ces poursuites, qui déboucheront sur un procès de Lafarge et de ses dirigeants pour les crimes les plus graves, sont une première et nous rappellent l’impératif absolu que constitue le devoir du législateur de responsabiliser de gré ou de force les plus grandes entreprises de la planète », a-t-il poursuivi.
Dans son arrêt, la Cour de cassation a, par ailleurs, estimé que seule l’ONG European Center for Constitutional and Human Rights (ECCHR) pouvait se constituer partie civile, et uniquement à l’égard de l’infraction de « complicité de crimes contre l’humanité » reprochée à la société.
Sherpa et l’association Life for Paris se sont vues, pour leur part, déboutées de leur demande de se constituer partie civile.
« Sherpa reste fière d’avoir initié cette procédure. Si le rejet de notre pourvoi est singulier, il ne l’est que pour des raisons techniques, qui pourront être corrigées rapidement », a estimé l’avocat.
Le Monde avec AFP
Publié le 07 septembre 2021
Le 7 septembre, la Cour de cassation a invalidé les annulations des poursuites pour « complicité de crimes contre l’humanité » concernant les activités du groupe Lafarge en Syrie entre 2011 et 2014, et plus particulièrement les accords financiers passés avec des groupes armés, dont Daech.
Différentes parties civiles et des ONG de lutte contre les crimes économiques étaient à l’origine de ces pourvois. Elles contestaient l’annulation par la chambre de l’instruction, en novembre 2019, de la mise en examen du groupe en tant que personne morale pour « complicité de crime contre l’humanité », prononcée l’année précédente par les juges d’instruction. Avec cette décision, la Cour de cassation renvoie à présent le dossier vers une autre chambre de l’instruction afin qu’elle se prononce à nouveau.
Cette décision était attendue au-delà de l’affaire Lafarge. En effet, elle pourrait influencer de prochaines instructions menées contre des multinationales, comme dans le cas de la récente affaire du groupe viticole Castel, dont une filiale est soupçonnée d’avoir financé des groupes armés en Centrafrique. Dans ces cas, les processus de mise en accusation restent néanmoins toujours délicats car la responsabilité de l’entreprise en tant que telle reste difficile à prouver par rapport aux responsabilités individuelles à cause, notamment, de la complexité organisationnelle.
Ainsi, notre recherche sur le cas Lafarge montre que semble s’être développé ce que nous appelons une « myopie organisationnelle ». Celle-ci aurait conduit le cimentier à poursuivre ses activités en Syrie jusqu’en 2014, alors que des entreprises comme Total ou Air Liquide quittaient le pays dès le début de la guerre civile en 2011.
Cette « myopie organisationnelle » repose sur plusieurs éléments centraux, dont une volonté sans faille de protéger les investissements sur place. Toutefois, les logiques économiques restent insuffisantes pour expliquer que la production n’ait pas été arrêtée. Une interprétation défaillante du danger entre le siège et la filiale ainsi que des décisions entraînant une dépendance forte à un nombre restreint d’acteurs locaux apparaissent aussi comme des facteurs de cette « myopie organisationnelle ».
Une lente montée en pression
La chronologie du cas est à ce sujet éclairante. Dans une première phase, entre mi-2011 et juillet 2012, l’entreprise ne va pas réellement voir l’intérêt de partir, malgré les tensions. Quelques mois plus tôt, en octobre 2010, Lafarge inaugurait la plus grande cimenterie de la région moyenne orientale dans le nord de la Syrie, à environ 60 kilomètres de la frontière turque. Le coût du projet est de 680 millions d’euros, ce qui représente pour l’époque un très gros investissement pour l’entreprise.
Localisation de la cimenterie de Lafarge en Syrie.
Au départ, les salariés sont très satisfaits de cette implantation, notamment dans une région où les opportunités d’emploi sont très rares. Les premières contestations de début 2011 ne sont localisées que dans l’est de la Syrie, assez loin de l’usine et ce n’est que le 1er décembre 2011, le Haut-Commissariat des Nations unies aux droits de l’homme déclare la Syrie en état de guerre civile.
En mars 2012, la France décide de rappeler son ambassadeur en Syrie. L’entreprise décide alors de rapatrier ses expatriés, mais aucune décision n’est prise quant à un arrêt des activités sur place. L’entreprise mise alors sur un dialogue et des négociations avec les parties prenantes, notamment différents groupes armés présents dans la région.
Un premier intermédiaire, un Syrien possédant une participation dans l’usine, est choisi pour assurer les discussions et les transactions. L’entreprise décide, par ces mesures, d’assurer la continuité de ses activités et la sécurité de ses salariés, mais dans une zone qui commence à se tourner vers une économie de guerre basée sur le racket.
Certes, dans cette zone de gouvernance limitée (c’est-à-dire où l’autorité étatique n’était que partiellement reconnue), il était très difficile, à l’époque, de distinguer la création de groupes armés issus de la lutte anti-Damas (kurdes ou de l’Armée syrienne libre) d’autres groupes aux obédiences diverses et volatiles, attirés uniquement par l’appât du gain que représente la seule multinationale présente localement. Néanmoins, la décision de Lafarge n’était déjà pas en accord avec leur code de conduite de l’époque.
Une autre décision organisationnelle peut permettre de mieux comprendre le contexte de la prise de décision. À cette même période de l’été 2012, le directeur de la filiale est envoyé de Damas au Caire d’où il gérera les activités. Si cette mesure s’explique aisément pour sa sécurité personnelle dont doit légalement répondre l’entreprise, cette décision va entraîner une gestion à distance dont les travaux académiques en sciences de gestion ont déjà montré les grandes limites en temps de paix, à savoir la compréhension des problèmes locaux et la transmission de l’information qui se révèlent souvent partielles.
Un excellent réseau d’informateurs
L’entreprise, et notamment son comité de sûreté composé de cadres dirigeants et du directeur général adjoint, entérine ainsi sa décision de rester sur place malgré les premières alertes et le conflit civil.
Mais à partir de l’été 2012, une nouvelle période plus tendue se profile. Plusieurs salariés sont kidnappés. Lafarge paye une rançon mais pas à chaque fois. À partir de ce moment, le comité de sûreté analyse, en novembre 2012, la situation de la façon suivante : « Nous ne pouvons en aucun cas garantir que nous soyons capables de nous opposer avec succès à une action d’enlèvement ». Il existe une « menace directe et nominative contre Lafarge » et « la présence des extrémistes du Front al-Nosra constitue une menace supplémentaire ».
Cette dernière référence montre que les dirigeants du siège semblent informés de la dangerosité de certains groupes par rapport à d’autres, mais aussi avoir conscience des dangers encourus par leurs salariés sur place.
Une grande partie de la compréhension de ce cas (avec les données actuelles) porte alors sur cette décision de rester dans un pays en guerre, avec des groupes armés qui ne répondent plus forcément qu’à une logique économique et de racket mais à des logiques politiques et idéologiques fortes. La présence dans la zone du Front al-Nosra constituait une première alerte par sa proximité notoirement connue avec Al-Qaida.
En outre, plusieurs e-mails montrent que Lafarge avait mis en place depuis le début des événements un excellent réseau d’informateurs. À tel point que des rencontres entre le directeur de la sécurité du groupe et la direction générale de la Sécurité extérieure (DGSE) auraient amené à des échanges d’informations, Lafarge restant un point d’observation absolument stratégique (par la localisation de l’usine dans une zone frontalière et étant une des très rares grandes multinationales restant dans le pays).
Pour légitimer le fait de rester sur place, certains responsables de Lafarge mettent en avant le fait que le Quai d’Orsay aurait demandé à l’entreprise de rester, étant donné les informations qui pouvaient être prodiguées par l’entreprise. Une version contestée par le ministère des Affaires étrangères. L’enquête est toujours en cours.
Daech entre en jeu
Entre fin 2012, début 2013, un nouveau groupe apparaît dans la région en provenance d’Irak. Il s’agit de Daech. En mars 2013, Raqqa (à 87 kilomètres au sud de la cimenterie) est prise par différents groupes islamistes, dont le Front Al-Nosra, qui prête allégeance à Al-Qaida et tombe donc sous le coup des sanctions du Conseil de Sécurité́ de l’ONU.
En octobre 2013, le Conseil européen confirme les sanctions à l’encontre de certaines entités terroristes, dont le Front Al-Nosra, Al-Qaida et Daech. À ce moment-là, Lafarge sait donc que tout contact avec ces groupes les expose à des sanctions internationales (et plus à un simple délit de corruption).
Au même moment, le directeur de la sécurité de l’usine demande son retour au siège se disant recherché par le régime, les groupes rebelles et Daech. Devant cette situation, Lafarge recrute un autre directeur de la sécurité, un Syrien non qualifié dans ce domaine, qui va interagir avec ces nouveaux acteurs locaux.
Les premiers paiements à Daech semblent intervenir à partir de novembre 2013, toujours par le même intermédiaire et avec l’intervention d’un second. Au-delà des paiements, c’est également des achats de pétrole et la vente de ciment au groupe terroriste qui seraient en cause.
La dernière période qui s’ouvre en 2014 va marquer un point de non-retour. En mars 2014, Daech envahit la ville de Manbji où résident la plupart des salariés de Lafarge et leurs familles (sur demande de Lafarge depuis 2012). Ces derniers poussent leurs familles à partir, sans l’aide réelle de l’entreprise.
En parallèle, d’un point de vue organisationnel, en mai 2014, le directeur de la filiale syrienne en poste en Égypte, est remplacé par un nouveau directeur. Ces changements nécessitent un temps d’ajustement, comme le montrent des travaux académiques, et sont souvent source de déperdition d’informations lors du transfert de connaissances entre les deux expatriés.
Dans une période normale, ces problèmes ne sont pas insurmontables, mais dans un contexte aussi conflictuel, la compréhension des enjeux géopolitiques locaux et internationaux était cruciale. Or, il semble à la lecture des témoignages du second dirigeant de la filiale et des comptes rendus d’une rencontre de celui-ci avec l’ambassade de France en Jordanie que cette compréhension ait été limitée.
Pendant l’été 2014, plusieurs attaques de Daech sont perpétrées contre des camions de l’usine. Le 15 août 2014, une résolution des Nations unies interdit toute relation financière avec les groupes terroristes présents en Syrie. Au même moment, de nouvelles sommes auraient été versées à Daech. Sur le site, la production est suspendue quelques jours puis reprend jusqu’à mi-septembre 2014. À cette date, Daech envahit l’usine sans que Lafarge ait mis en place un plan d’évacuation d’après les ex-salariés. Les locaux resteront occupés jusqu’à fin 2015, puis repris par la coalition.
Transfert de connaissance altéré
Il ressort de cette brève chronologie séquentielle qu’il serait beaucoup trop simpliste de réduire cette succession de décisions à une logique strictement économique (même si elle est bien entendu présente). Des logiques organisationnelles semblent avoir également joué. Tout d’abord, le groupe a pu tirer de la confiance d’une certaine « culture du risque » puisqu’il a déjà été présent dans d’autres zones sensibles, notamment en Afrique. Certaines pratiques, comme recours rapide à des intermédiaires pour réaliser les transactions financières, semblent en témoigner.
Par ailleurs, le choix des expatriés aux postes clés (direction de la filiale et de la sécurité notamment) et leur capacité à comprendre le contexte, surtout à distance, ainsi que leur sensibilité à l’éthique, ont pu aussi peser sur la décision de rester. En outre, le transfert de connaissance a pu être altéré dans la relation siège/filiale par les changements de personnel à ces mêmes postes clés, dans un lieu de conflit et où la situation politique, les groupes armés et les allégeances pouvaient changer de mois en mois.
Enfin, le respect de ses propres règles de responsabilité sociétale des entreprises (RSE) et de ses engagements internationaux (l’entreprise avait signé les principes du Global Compact des Nations unies) apparaît comme un dernier élément important : est-ce que des garde-fous internes avaient été mis en place à différents niveaux pour évaluer la dangerosité ou la légalité des actions, comme annoncé ? Si oui, alors ceux-ci ne semblent pas avoir correctement fonctionné.
Il faut donc retenir que, dans cette affaire, les logiques internes de l’entreprise doivent être aussi observées à la lumière de la culture organisationnelle et pas uniquement au travers de la rationalité économique. Elles doivent surtout être repensées quand l’entreprise se retrouve en zone de conflit.
2 septembre 2021,
Nathalie Belhoste. Enseignant chercheur, Grenoble École de Management (GEM)
En guise d’article de conclusion au thème « gestion de crises » que j’aborde depuis trois semaines, un article sur le retour d’expérience également appelé RETEX. Emmanuelle Hervé nous y explique que si la plupart des entreprises sont frileuses à mettre en pratique le retour d’expérience, il s’agit pourtant d’une méthode précieuse, qui, empruntée à l’armée, permet d’apprendre de ses erreurs.
Nous y présentons le RETEX comme est un outil de gestion des risques « hors contrôle ».
Comme d’autres outils de gestion des connaissances tels que l’apprentissage, l’analyse rétrospective d’accidents et d’erreurs, il permettra la mise en place d’une démarche de gestion des risques globale, à la fois technique et socio-cognitive. Il permettra aux Risk Managers d’avoir l’appui des opérationnels et d’acquérir une légitimité cognitive.
https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html
De la crise sanitaire aux cyberattaques, les entreprises ont été sujettes ces derniers mois à une résurgence de crises en leur sein. Dans ce contexte, il est primordial pour l’organisation d’effectuer une mise au point sur la réponse apportée à une crise, avant d’entamer une nouvelle page. Organiser un « retour d’expérience », aussi appelé RETEX avec ses équipes, est une étape importante afin d’effectuer un travail d’introspection, observer ce qui a été fait et faire preuve de résilience.
RETEX, de quoi s’agit-il ?
Le RETEX est une démarche visant à mesurer l’efficacité de la mise en œuvre du processus de gestion de crise et des messages délivrés. Elle permet de : repérer les points positifs et de capitaliser sur ceux-ci ; et d’identifier des axes d’améliorations et les actions à mettre en place pour les corriger. Cette démarche est difficile à conduire et demande courage et honnêteté. Son objectif est d’aligner la vision de la crise entre tous les membres de l’équipe, de reconnaitre le travail de chacun, les compétences des collaborateurs pendant la crise et de garder une trace écrite de tous ces enseignements pour qu’elle puisse être utilisée lors de la prochaine crise et surtout par une autre équipe.
Des professionnelles du RETEX doivent vous accompagner lors de votre processus de reconstruction après une crise : le RETEX étant l’une des étapes pour y parvenir, il est une procédure recommandée et même indispensable, à effectuer après une crise. Il permet de renforcer les liens entre les partenaires, de libérer la parole des employés, de mesurer l’efficacité des actions qui ont été entreprises et d’identifier les points négatifs afin de proposer les axes d’amélioration et d’en déduire un plan d’action. Il s’agit d’une étape clef dans la constitution d’une culture de la gestion de crise au sein de son organisation, à effectuer après toute crise, réussie ou non.
On va en fait capturer l’expérience acquise par les personnes pendant la crise et la transférer dans l’organisation afin d’en augmenter sa résilience. L’idée est de rendre l’organisation indépendante du savoir-faire intuitae personae.
Le RETEX ne s’improvise pas !
C’est un travail structuré, mais qui n’est pas exempt de difficultés. Une gestion de crise peut être influencée par certains biais cognitifs tels que :
Les personnes au sein d’une entreprise ayant eu à gérer une crise, ont donc pu être influencées par l’un ou plusieurs de ces biais et ne peuvent pas objectivement effectuer un retour d’expérience. La richesse d’un RETEX viendra de la confrontation des perceptions de la crise et de la réponse apportée, la nuance se situera dans les contradictions, il faut pour cela multiplier les points de vue : interroger les gestionnaires de crise mais également les « utilisateurs finaux », les salariés, comparer avec les productions écrites, etc.
Pour ce faire, mieux vaut faire appel à des professionnels de la gestion de crise pour vous aider (ils auront ainsi un œil extérieur et bienveillant) et vous garantir que l’exercice sera bien perçu par vos collaborateurs et vos parties prenantes.
L’équipe RETEX EH&A est ainsi régulièrement consultée comme acteur extérieur pour effectuer cet exercice. Disponible pour répondre à vos besoins, nous collaborons avec des petites et grandes entreprises dans l’élaboration de leur stratégie de réponse à la crise.
21 avril 2021
Pour notre 2ème opus sur les solutions pour une « bonne » gestion de crises, un dernier article sur l’anticipation et la gestion de crises.
Emmanuelle Hervé, dg et fondatrice du cabinet de conseil en gestion de crise EH&A, revient dans cet article sur l’importance de l’anticipation dans la gestion des crises et sur l’impact d’une préparation insuffisante, puis propose quatre grandes thématiques à appliquer pour améliorer la capacité d’anticipation d’une organisation.
« Prendre les devants sur une situation future pour limiter les impacts négatifs »
En gestion de crise, l’anticipation fait référence à la capacité d’imagination de scénarios défavorables sur l’évolution d’une situation. Anticiper l’évolution d’une crise grâce à la construction des scénarios en considérant toutes les dimensions de celle-ci (RH, juridique, financier, opérationnel, réputationnel, IT etc.) permet de construire un plan d’action pertinent.
Dans notre monde volatile, incertain, complexe et ambigu, être en mesure « d’imaginer des scénarios futurs » est une qualité recherchée par les organisations pour faire face aux crises. Cette qualité s’acquiert grâce à de la méthode, au partage de la vision, au suivi des temporalités de la crise et à l’entraînement.
Dans la gestion de crise, l’incertitude fait partie du lot de tous les jours. Cependant, nous pouvons tenter de prendre les devants en anticipant les risques. L’anticipation est le seul moyen de garder une longueur d’avance et d’imaginer comment une situation peut empirer. Elle permet de garder une marge d’erreur, un temps pour se préparer, cartographier les parties prenantes, les dangers, et ce, dont on aura besoin pour remédier à la crise.
L’importance de l’anticipation réside principalement dans la préparation. En effet, de nombreux chefs d’entreprises ne voient pas les crises arriver. Il est parfois difficile de voir au-delà et d’imaginer que quelque chose pourrait mal tourner. Dans ces situations, les conséquences peuvent être catastrophiques :
Afin d’éviter ces conséquences, il y a 4 grandes thématiques à appliquer qui permettent de développer la capacité d’anticipation :
L’entreprise doit penser à toutes les situations susceptibles de provoquer une crise et de s’y préparer dans le but d’agir plutôt que de réagir, anticiper plutôt que subir. Concrètement, anticiper permet d’être capable de se mobiliser sans délai en cas de crise à chaud et les bonnes pratiques à appliquer durant les exercices de crise « à froid ».
C’est pourquoi se préparer à gérer d’éventuelles crises est primordial pour ne pas être désarmé lorsqu’elles se produisent. Mesurer les risques, élaborer des plans d’anticipation, planifier des exercices d’entrainements, sont des éléments essentiels pour diminuer les conséquences éventuelles de la crise. L’ajustement des procédures, des méthodes et des outils ou la mise en place de ceux manquants ainsi que la formation et l’entraînement des équipes doivent permettre à l’organisation de mieux anticiper et se préparer pour des crises futures.
Juillet 2021. Emmanuelle Hervé.
Je vous propose un article écrit par R. de Vittoris. Il est en charge de la gestion de crise pour le groupe Michelin depuis plus de 7 ans. Il est également chercheur associé dans le laboratoire de recherche en management CleRMa. Un double profil comme je les aime ! Il est enfin l’auteur de « Surmonter les crises » paru aux éditions Dunod.
Il revient dans cet article sur l’anticipation dans la gestion des crises mais va plus loin en proposant des plans d’actions destinés à en atténuer les limites et à l’améliorer.
L’anticipation est un élément dont l’importance est systématiquement louée dans l’univers de la gestion de crise. S’il est aisé de concevoir le bénéfice d’une anticipation pertinente afin de préparer l’organisation à affronter l’évènement tout en évitant un maximum la perte de repères associée, il est beaucoup moins facile de saisir les limites floues d’une activité propice à l’expression des biais.
L’anticipation, littéralement « prendre avant », se base essentiellement sur la prévision du futur en vue d’un ajustement des actions et situations du présent. Dans l’univers incertain de la crise, il a été maintes fois établi du caractère fondamental de cette prévision du futur pour l’établissement des processus et outils essentiels pour la survie de l’organisation.
Il permet de réduire à la fois :
Second bénéfice majeur, celui d’amorcer un mouvement.
Dans des états de procrastination, de sidération ou de panique, l’anticipation permet, par une perspective future (aussi inexacte soit-elle) positive ou négative, de forcer à amorcer l’action. C’est alors en perspective des situations à venir que des actions peuvent s’amorcer et des décisions se prendre.
Nos sociétés sont désormais le lieu d’interactions et d’échanges récurrents, parfois autodéterminés et non-linéaires d’organisations complexes. Cette complexité a une tendance à augmenter avec la progression technologique et l’élaboration des tâches et induit ainsi une propension statistique à l’apparition de défaillance.
En outre, le couplage étroit entre les activités des différents systèmes conduit à une propension, pour les défaillances, à se propager dans l’organisation et même au niveau des organisations environnantes. C’est en partie en raison de ces éléments que les nœuds évènementiels que sont les crises actuelles deviennent multi dimensionnelles et non plus typiques et catégorisables par familles comme les penseurs de la crise auraient pu l’envisager dans le passé.
L’anticipation consiste essentiellement à une élaboration conceptuelle de l’avenir.
Or les propositions sont le fruit d’un réarrangement des connaissances dans une proposition semblant plausible pour des situations futures. Ainsi, l’activité même d’anticipation repose sur l’induction avec toute la notion d’erreur cognitive qu’elle véhicule.
Dans ses ouvrages Taleb utilise l’exemple d’une dinde pour qui l’apparente linéarité de son existence l’aveugle de futurs alternatifs à cette linéarité (son exécution à la veille de Thanksgiving).
Il est donc difficile aux anticipateurs de s’affranchir du passé pour imaginer le futur et d’éviter ainsi tout biais inductif.
Cette difficulté s’ajoute d’ailleurs à une conséquence négative des schémas anticipatifs lorsqu’ils sont établis et partagés : la réduction du champ cognitif des cellules de crises qui se reposent d’abord (ou se focalisent) sur cette perspective de futur sans la challenger.
Raphaël de Vittoris
Un thème pour les quatre semaines à venir : LA GESTION DE CRISES
Un contenu par semaine.
Pour moi, la gestion de crises est ce qui arrive une fois que le risque s’est réalisé – une fois qu’il est trop tard pour le RM. Un RM me disait : « pour moi il faut faire très attention, la plupart du temps, la gestion de crise, la communication de crise ne fait pas partie des descriptions de postes, c’est un tout autre métier. La gestion de risques est vraiment la préparation de tout avant, mais lors des événements se sont des spécialistes opérationnels qui prennent le relais, et surtout en communication de crise…»
Pour autant, revenir sur la gestion de crises a sa place dans un ouvrage consacré à la Fonction Risk Manager https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html et dans un blog consacré aux risques, à la gestion des risques et à la Fonction Risk Manager tant les sujets sont proches voire reliés : le risque de réputation est devenu le « cauchemar » des organisations ; les médias sont identifiés comme un des amplificateurs de risques – rôle encore amplifié par les réseaux sociaux -.
Risque de Réputation. Définition
Nicolas Dufour et moi-même reprenons la définition de Rayner (2003) : « toute action, évènement ou circonstance qui pourrait avoir un impact positif ou négatif sur la réputation d’un organisme…ou encore… comme un ensemble de perceptions et opinions présentes ou passées sur un organisme, nichées dans la conscience des parties prenantes. »/ouvrage p.35.
Dans le blog, je reviens en :
Risque de Réputation. Les médias comme amplificateur de risque.
Nous présentons les médias comme un des deux amplificateurs du risque qui a contribué à mettre en place l’image d’un monde plus risqué : « les médias tendent à amplifier la notion de responsabilité du dirigeant en cas de négligence et les logiques de compensation…Ces évolutions rendent les entreprises plus vulnérables et le risque est partout mais ce qu’elles craignent le plus, c’est la perte de réputation. »/ouvrage p.58.
Risque de Réputation. Evolutions : e-réputation ; éthique
Les entreprises doivent de plus en plus compter avec la viralité des réseaux sociaux. Le risque de réputation croise de plus en plus le risque éthique dans sa dimension développement durable et de plus en plus dans sa dimension gouvernance (respect des engagements pris). Elles doivent soigner leur e-réputation. Le risque de réputation est exacerbé. Le rôle des médias et ces évolutions récentes (e-réputation/éthique de l’entreprise) sont très bien illustrés dans l’étude VISIBRAIN dont je vous propose un résumé dans le blog en décembre 2020.
Des exemples de gestion de crises et communications de crise « ratées ». Dans notre ouvrage, je vous propose les exemples de Total Raffinerie de la Mède, AF-KLM, Lidl, Dove, Lactalis ou encore Nike qui comptent parmi les plus médiatiques.
La maison-mère de Colis Privé, le groupe Hopps, a été victime d’une cyberattaque fin avril. Mais il s’est montré incapable d’assurer une communication externe juste. Alors qu’en interne, elle semble l’avoir été.
La communication de crise du groupe Hobbs, dont font partie Dispeo, Colis Privé, ou encore Adrexo, pourrait bien rester dans les annales comme illustration de ce qu’il ne faut pas faire vis-à-vis du public et de ses clients finaux, lorsque l’on est confronté à une cyberattaque.
L’information a commencé à filtrer le 25 avril, par le biais du syndicat C.A.T. d’Adrexo. À cette date, celui-ci évoquait sur son blog un « incident informatique » : « le réseau informatique de l’entreprise connaît des difficultés » ; « une partie des services informatiques sont actuellement à l’arrêt suite à un incident ». Le lendemain, les choses gagnent un peu en clarté : « informatique à l’arrêt ; cyberattaque confirmée », apprend-on… toujours du syndicat C.A.T. d’Adrexo. Ce dernier « félicit[e] la transparence dont l’entreprise a fait preuve dès ce matin, car nous pensons qu’il est prudent d’anticiper toutes les conséquences pratiques dès aujourd’hui ».
En interne, la communication trouve donc un écho positif. Mais à l’extérieur, la situation est toute autre. Sur Twitter, le message officiel est bien différent. Là, le 26 avril au matin, Colis Privé ne parle que d’un « incident technique » à la suite duquel « vous ne pouvez pas vous connecter sur le suivi de votre colis. Veuillez nous excuser de la gêne occasionnée ». Il faudra attendre le 29 avril, vers midi et demi, pour que le message change : « Colis Privé a été victime d’une cyberattaque ».
La communication extérieure officielle est à ce stade formalisée et répétée à l’envie : la cyberattaque « a été très rapidement contenue » ; « nos équipes et des experts externes travaillent ardemment à la résolution de cet incident ». Le lendemain, nos confrères de L’Usine Digitale n’ont rien de plus à se mettre sous la dent. Sur ses pages Facebook et LinkedIn, ou sur l’espace presse du groupe Hopps : rien ; silence complet sur l’incident.
Entre-temps, les critiques fusent depuis le 26 avril contre un Colis Privé muré dans le mutisme. L’annonce de la cyberattaque est même accueillie par certains consommateurs avec un doute non dissimulé. Et ce n’est guère une surprise. Car le groupe Hopps a commencé par chercher à minimiser la gravité de la situation, auprès du public, probablement en s’imaginant rassurer. Mais sans y parvenir. Ce faisant, il a semé le discrédit sur sa communication publique. D’où la défiance à son égard lorsqu’il a enfin reconnu la cyberattaque.
Mais là encore, le groupe s’évertue à minimiser la gravité de la situation, assurant que l’attaque « a été rapidement contenue » et parlant d’un incident « qui a pu occasionner quelques dysfonctionnements ». Pourquoi est-ce que cela ne passe pas ?
Notamment parce que côté syndicat, le message véhiculé le 26 avril ne laissait pas entrevoir un incident « rapidement contenu » : « pour Adrexo, les badgeuses ne fonctionnent pas, mais il en est de même pour l’ensemble des services informatiques sauf les messageries ». Qui plus est, « les routeurs ayant été débranchés dans les agences à la demande des services centraux, le réseau téléphonique filaire est également souvent à l’arrêt. Ceci veut aussi dire que l’entreprise ne peut plus facturer, gérer sa comptabilité ou éditer sa paie à ce jour ». Le 28 avril, le syndicat C.A.T. d’Adrexo expliquait que l’informatique du groupe était encore à l’arrêt et que la paie… serait assurée manuellement.
Ironie de la situation, en interne, selon un e-mail partagé par la CGT, la direction affirmait, le 27 avril, souhaiter « donner un maximum de visibilité quant aux actions en cours ». Le message est d’ailleurs détaillé et plutôt transparent, donnant aux équipes une vraie visibilité sur la feuille de route des équipes impliquées dans la réponse à incident.
Ce courriel est intéressant à un autre titre. Là, pas question de minimiser la gravité de la situation. Même si l’on retrouve la tentation classique de jouer la surenchère quant à la sophistication de l’agresseur : « nous avions jusqu’ici réussi à contrer les attaques dont nous avions pu faire l’objet ; il s’avère que celle que nous venons de subir est l’une des plus virulentes au niveau mondial ».
Le vendredi 30 avril au matin, si les consommateurs affectés n’ont toujours qu’une information en peau de chagrin, en interne, la transparence est encore de mise, avec la perspective d’une « reprise progressive des fonctions principales, essentielles à notre activité, à partir de mardi prochain [4 mai, donc, N.D.L.R.], et ce pour toutes les filiales du groupe ».
Mais attention : « le rétablissement intégral de nos solutions informatiques et la mise en place de nouveaux process organisationnels prendront du temps, et nous savons que les conséquences de cette cyberattaque pourront être longues à être entièrement absorbées ». Ce qui ne va pas sans contraster quelque peu avec le triomphalisme affiché au paragraphe précédent : « à l’échelle de l’attaque que nous avons subie, le délai de résolution de cet incident est un exploit ».
Quiconque a suivi, même de loin, les cyberattaques récentes mesure à quel point l’expérience peut être traumatisante… et qu’il est illusoire d’espérer retrouver des conditions opérationnelles normales en l’espace de seulement quelques jours. Mais à défaut de rassurer, les efforts de minimisation de la sévérité de la situation donnent donc l’image d’une communication externe brouillonne et d’un manque de préparation.
Bien loin, donc, d’une communication de crise comme celle d’un OVHcloud, par exemple, dont le PDG a su se montrer pleinement mobilisé, dans la durée, après l’incendie de l’un de ses centres de calcul. Ce qui apparaît d’autant plus regrettable, pour le groupe Hopps, qu’en interne, la communication apparaît bien plus réussie.
Blog de Caroline Aubry 
