Dans le même esprit que le retour d’expérience…la mise en place de pratiques communes, de coordination des actions, de partage de la connaissance.

« Les actions de gestion des risques doivent en effet faire l’objet d’une analyse, d’un suivi et d’un apprentissage.

Les résultats font ensuite l’objet d’une communication à la hiérarchie. La Direction Générale est informée de la qualité de la maîtrise des risques dans l’entreprise. Les enjeux de cette dernière étape sont la transparence vis-à-vis du management et des actionnaires – le climat de confiance – et la diffusion d’une culture du risque dans l’entreprise avec l’introduction d’une boucle d’apprentissage collectif.

L’analyse des résultats peut enfin donner lieu à la mise en place de retours d’expérience (mises à jour régulières du site de l’entreprise au fur et à mesure de la réalisation des plans d’actions, d’échanges d’informations entre le terrain et les équipes de management via les bases de données ou encore de diffusion des meilleurs pratiques accessibles à tous).

Ces outils donnent à la démarche de gestion des risques son caractère opérationnel.

Leur mise en place confère également à la gestion des risques une approche globale qui la rapproche de l’Enterprise-wide-Risk-Management (ERM), modèle anglo-saxon d’une gestion des risques présentée comme globale et intégrée, dans lequel le rôle des responsables opérationnels devient essentiel.

Une gestion des risques qui met en place ce type d’outils relève de l’Enterprise-wide-Risk-Management (ERM), modèle anglo-saxon d’une gestion des risques présentée comme globale et intégrée, dans lequel le rôle des responsables opérationnels devient essentiel. Elle est globale au sens de Louisot (2010)[1]. Elle est « intégrée, car la gestion des risques doit effectivement l’être à tous les niveaux de décisions et dans tous les process (Louisot J.P., « ERM à l’épreuve de la crise », Risk management n°1, avril 2010.)

Elle est par essence transversale puisqu’elle est là pour servir les projets, les différentes entités et les processus opérationnels et managériaux de l’entreprise et qu’elle se positionne en accompagnement du processus de décision. Elle suppose l’implication du personnel opérationnel indispensable à une bonne identification des risques. La démarche de gestion des risques se doit d’intervenir en amont de la survenance des évènements, les anticiper et non pas seulement valider les expériences survenues. En cela elle n’est pas seulement une activité de contrôle : on ne cherche pas seulement la qualité de chacune des opérations mais la bonne articulation des activités entre elles. »

[1] Modèle anglo-saxon d’une gestion des risques présentée comme globale et intégrée, dans lequel le rôle des responsables opérationnels devient essentiel. La notion de globalité introduit tous les éléments d’incertitude liés au futur de l’organisation, ce que Louisot (2010) englobe sous l’expression « toutes causes, toutes conséquences, toutes opportunités et menaces.»

Christine Grassi. 

La mise en place par les Risk Managers d’outils hors contrôle. L’exemple du Retour d’Expérience.

La mise en place par certains Risk Managers d’outils hors contrôle tels que le retours d’expérience, les réunions, la responsabilité des opérationnels, l’appropriation des outils permettraient aux Risk Managers d’avoir l’appui des opérationnels et d’acquérir une légitimité cognitive (celle qui consiste à s’ancrer dans l’inconscient collectif pour être compris par les parties prenantes, devenir incontournable ; elle est le « graal » de la légitimité.

Nous évoquons ces outils dans nos travaux (Aubry et Montalan, 2007) et dans l’ouvrage La Fonction Risk Manager. Organisation, méthodes et positionnement (2019, p.96).

Je vous propose de découvrir le Retour d’Expérience à travers l’article ci-dessous écrit par mon co-auteur Nicolas Dufour.

La construction d’une mémoire du risque en entreprise est un long apprentissage s’inscrivant dans la constitution (progressive) d’une culture du risque dans l’organisation. Au-delà d’une communication régulière, les actions suivantes peuvent être préconisées :

– dans le cadre des processus de cartographie des risques, réaliser une pré-identification des risques : reprendre les incidents marquants dans la revue des risques, en allant au-delà de l’exercice passé et s’assurer que ces risques restent sous contrôle ou que d’autres situations similaires ne seraient pas susceptibles d’arriver ;

– intégrer les « sachants » au processus de revue des risques, ayant la connaissance historique de l’organisation, même s’ils ont changé d’activité entre le moment de la survenance de certains incidents et celui de la revue des risques (le plus souvent annuelle) ;

– mieux exploiter les effets d’expérience issus des bases incidents, notamment les analyses de causes, même si celles-ci ne sont pas systématiquement documentées ;

– à la manière des méthodes formalisées en EHS (courbe de Bradley formalisant dans le temps la progression enregistrée en termes de réduction des accidents de travail en tenant compte de différentes étapes dans la constitution d’une culture du risque et de la responsabilisation des acteurs), construire des courbes d’apprentissage sur différents risques opérationnels : capacité à réduire les erreurs humaines, à détecter les fraudes…

What Price Reputation ? Article intéressant sur l’impact d’une dégradation de la réputation sur la valorisation boursière

La réputation des entreprises devient un facteur clef dans la valorisation boursière

La réputation des entreprises cotées participe désormais à hauteur d’un tiers à la valorisation des entreprises cotées. Pour l’établir, les investisseurs font passer au premier plan les données managériales et financières. Au détriment de l’innovation.

Publié le 9 juil. 2019

Qui dit temps troublés, tensions politiques liées à la perspective d’un « hard Brexit » et incertitudes économiques associées à la guerre commerciale menée par les Etats-Unis… dit retour aux « fondamentaux » des sociétés cotées pour prendre la mesure, de la manière la plus exacte possible, de leur réputation.

A cet égard, la lecture de la dernière étude « What Price Reputation ? » réalisée par  AMO (Havas), l’un des premiers réseaux mondiaux de communication corporate et de communication financière, est instructive sur le coût actuel d’une mauvaise réputation… comme sur son impact sur la capitalisation boursière de l’entreprise concernée et les critères retenus, où les items financiers l’emportent sur la qualité des produits et des services ou l’innovation.

A priori, pourtant, la notion même de réputation peut sembler arbitraire, à la fois subjective et difficilement appréciable. En réalité, il s’agit d’une réalité bien tangible. « La réputation d’entreprise contribue à hauteur de 38 % à la capitalisation boursière du CAC 40. Et à plus du tiers à celle des quinze principaux indices boursiers mondiaux, soit une valeur de 16 770 milliards de dollars dégagée pour leurs actionnaires. Et la tendance ne cesse de s’accélérer », explique Simon Cole, l’auteur de l’étude. Mais quoi de plus normal ? « A l’échelle mondiale, plus d’une société sur cinq a subi une dégradation de sa capitalisation boursière en raison d’une mauvaise réputation. »

Résister aux ondes de choc

Pendant un an, AMO s’est penché sur le profil de 1.611 sociétés cotées, notamment aux Etats-Unis, au Royaume-Uni, en France, en Russie et en Chine, pour réaliser son étude. « Les entreprises bénéficiant d’une bonne réputation sont davantage susceptibles de résister aux ondes de choc des marchés boursiers », justifie Simon Cole.

Même si l’importance de cette réputation varie selon les pays et les secteurs d’activité. Parmi les 15 principaux indices boursiers nationaux, la réputation du FTSE 100 britannique contribue à hauteur de 47 % à sa capitalisation boursière globale, alors qu’inversement, l’indice RTS du marché russe enregistre la contribution moyenne la plus faible, avec seulement 13,8 %.

De même, alors que le secteur technologique bénéficie d’une prime de réputation moyenne de plus de 43 % par rapport à la valeur générée par les seuls paramètres financiers… les secteurs du gaz et du pétrole ne recueillent qu’une (petite) hausse de 25,2 % de leur capitalisation grâce à leur valeur réputationnelle.

Véronique Richebois

Communication de crise de Carlos Ghosn. « Conférence de presse de Carlos Ghosn : Liban, la brute et le truand ? Analyse d’une communication offensive. »

Rappel des faits et prise de position intéressante d’Olivier Cimelière.

De mémoire de communicant ayant une certaine expérience professionnelle, je ne crois pas avoir souvenir d’un ex-PDG d’une immense constellation industrielle convoquer les médias du monde entier pour contester des faits délictueux qu’un pays lui reproche, le tout après une rocambolesque évasion de Tokyo à Beyrouth via Istanbul. Avec la conférence de presse donnée le 8 janvier, Carlos Ghosn a choisi l’option d’une communication offensive maintenant qu’il a recouvré sa liberté de parole, loin de son assignation à résidence japonaise et de son interdiction de rencontrer des journalistes. Que retenir de cet exercice de funambulisme communicant ?

« J’ai été présumé coupable devant les yeux du monde. Mon épreuve de ces derniers mois et le résultat d’une poignée d’individus sans scrupules ». Loin d’être affaibli par les stigmates du strict régime de surveillance que les autorités japonaises lui avaient infligé, Carlos Ghosn s’est présenté combatif devant près de 150 journalistes de toute la planète (sauf le Japon qui fut refoulé, on se demande bien pourquoi !) pour plaider sa cause, dénoncer une justice nippone totalitaire et suggérer la théorie du complot au plus niveau pour faire rouler sa tête dans la sciure médiatique. Pour cela, il s’est adjoint les services de la réputée agence de communication, Image 7 et de sa patronne fondatrice Anne Méaux qui sont rompues à l’art de la défense des causes délicates.

Un mythe qui s’ébrèche

Au départ de l’histoire, Carlos Ghosn est d’abord cet impitoyable patron « cost-killer » qui a successivement redressé Renault et Nissan, deux constructeurs automobiles en mauvaise posture sur un marché international ultra-compétitif. De ces deux entités, il en a fait une alliance surpuissante qui parvint même un temps donné à grimper sur la première place du podium mondial du secteur. Fort d’une saga personnelle atypique et fruit d’un métissage culturel entre racines libanaises, brésiliennes et françaises, l’homme est consacré par les puissants de la planète. Politiques, financiers comme médias économiques et écoles de management lui tressent des lauriers à longueur de temps tellement le tour de force réalisé semble énorme.

Il n’en demeure pas moins que la réputation de ce PDG multilingue doté d’un hubris sans limite, va se fendiller progressivement au fil des années avec des histoires d’audits internes truqués, de licenciements express de haut-cadres soupçonnés d’espionnage au profit d’adversaires, de pléthore de filiales nichées dans des pays au régime fiscal conciliant et de fêtes somptueuses où l’on ne rechigne pas à la dépense, surtout lorsqu’il semblerait que celles-ci soient épongées par l’entreprise du mogul de l’automobile. Pour s’en convaincre, il suffit de se plonger dans l’haletante lecture du livre-enquête du journaliste, Matthieu Suc, « Renaud, nid d’espions » qui révèle comme le promet le bandeau de l’opus, la « face cachée de Carlos Ghosn ».

Restaurer l’image flétrie

L’incarcération de Carlos Ghosn au Japon puis son assignation dans une résidence surveillée, ne sont venues que ternir un peu plus l’image ambivalente d’un patron longtemps tout-puissant que politiques et banquiers chouchoutaient avec prévenance et que beaucoup craignaient en interne. D’autant plus que l’impétrant est également sous le coup en France d’une enquête préliminaire et d’une information judiciaire pour deux affaires de corruption présumée. De quoi briser le mythe d’un boss qui avait jusque-là réussi sans coup férir et qui écartait tous les potentiels prétendants à sa succession à la tête de l’Alliance Renault-Nissan.

Sauf que Carlos Ghosn n’est pas du genre à se laisser abattre ! A quelques heures du réveillon du Nouvel An, l’homme écrit un nouvel épisode de sa légende hors normes. Il déjoue la surveillance des autorités japonaises, s’enfuit dans un jet spécialement affrété pour ses besoins et se réfugie finalement dans sa mère patrie qu’est le Liban. Même un scénariste prolifique aurait sans doute eu peine à oser une telle intrigue. Au point même d’attirer la compassion d’un improbable soutien comme Jean-Luc Mélenchon qui l’a estimé victime de « malveillance ».

La « trumpisation » de Carlos Ghosn

L’argument est intéressant car c’est précisément sur celui-ci que Carlos Ghosn va fonder sa démonstration à coups de Powerpoint illisibles lors de sa conférence de presse. D’emblée, il va évacuer toutes les questions périphériques relatives aux circonstances exactes de son escapade façon Comte de Monte Christo ou sur les soirées dispendieuses façon roi Soleil à Versailles. Son axe de communication s’apparente à ce que déroule en permanence Donald Trump, à savoir des punchlines cash (comme celle décochée à un journaliste américain sur Pearl Harbour), de la théorie du complot (dans laquelle Nissan et justice japonaise seraient de mèche), de la victimisation (au regard de la maltraitance judiciaire dont il aurait fait l’objet au Japon) et de la presse « muselée » (aucun journaliste japonais n’a obtenu une accréditation).

Pour renforcer l’aspect « Petit Chose », la scénographie de la conférence de presse interpelle. Elle se déroule dans un bâtiment relativement modeste (comparé aux espaces de réception superbes qu’on peut trouver dans la capitale libanaise), dans une salle plutôt blafarde et avec une présentation Powerpoint à peine lisible qui ressemble à un docte exposé professoral d’une école de commerce. Comme s’il y avait l’intention de conférer un côté improvisé, spontané et sincère à l’exercice alors que tout a été sciemment organisé de bout en bout, avec de plus, une sélection drastique des médias participants. Et « last but not least », un horaire spécialement étudié pour que la conférence puisse avec des impacts en direct autant au Japon que sur la côte Est des Etats-Unis et sur l’Europe. Techniquement, c’est du bel ouvrage tactique.

Risky business ?

L’ex-PDG déchu cherche-t-il à se rendre sympathique auprès de l’opinion mondiale et des médias et d’apparaître comme le bouc émissaire de guerres intestines intrinsèques à la gouvernance de l’Alliance Renault-Nissan et à la partialité de la justice du pays du Soleil Levant ? Une partie de son discours emprunte à cette rhétorique comme en atteste l’entretien exclusif accordé mercredi soir au journaliste de TF1, François-Xavier Ménage diffusé dans le JT de 20 heures. Il parle de la privation de sa famille et de son épreuve de prisonnier avec une tonalité inoxydable et assertive qui n’est pas sans rappeler l’aplomb d’un Bernard Tapie, la gouaille décomplexée en moins.

Néanmoins, à bien y regarder, l’essentiel de cette stratégie de communication gonflée ne se résume pas dans un numéro de « Calimero » injustement écarté des hautes fonctions qu’il avait et brutalement traité par le Japon auquel il a pourtant redonné du lustre à la marque nationale emblématique qu’est Nissan. Un élément assez peu retenu de son discours est notamment le tacle allusif à la montée du gouvernement dans le capital de Renault en 2016 avec à la manœuvre, un certain Emmanuel Macron, alors ministre de l’Economie et des Finances. Serait-ce un signal envoyé à un corps politique et financier dont beaucoup ont pris de la distance depuis que Carlos Ghosn s’est retrouvé dans les filets de la justice japonaise ? Toujours est-il qu’il a évoqué ce qu’il qualifie d’« immanquable », à savoir le rapprochement avec le groupe Fiat-Chrysler qui depuis, s’est fiancé avec le groupe PSA dirigé par Carlos Tavarès, ex-numéro 2 de … Carlos Ghosn. En substance, l’image d’un PDG incompris, voire ostracisé.

Premier round efficace mais …

Tactiquement, Carlos Ghosn a marqué des points. Qu’on aime ou pas le personnage particulièrement décrié, ce dernier a repris la maîtrise du tempo du discours médiatique en déroulant son récit oscillant entre complotisme et victimisation et en soulignant que sa seule ambition était d’être un PDG responsable, en témoigne sa réponse au journaliste de TF1 où il déclare qu’il aurait pu gagner autrement plus d’argent avec une mission moins risquée en devenant CEO de Fiat-Chrysler plutôt que l’ancien canard boiteux qu’était Renault-Nissan. De fait, le décor est posé et le terrain de jeu médiatique balisé. Aux autres de se positionner.

La partie n’est pas pour autant gagnée. Il y a fort à parier que les autorités japonaises et françaises ne vont pas rester inactives et communiquer à leur tour des faits qui pourraient contredire le « storytelling » implacable que Carlos Ghosn entend imprimer. Sans parler de la presse économique anglo-saxonne qui s’est rapidement intéressée à cette affaire hors normes. Alors fuite en avant d’un grand patron qui cherche à gagner du temps ou bras-de-fer aux imbrications plus complexes qu’il n’y paraît ? La guerre de communication n’est pas prête de s’éteindre entre les différentes parties prenantes.

 

 

Contrer le cyber risque, risque n°1 du baromètre Allianz 2019.

Ci-dessous un article intéressant paru dans les Echos. Je vous conseille la lecture du dossier des Echos sur ce sujet.

Contrer le risque : toutes les étapes dans un guide de l’Anssi et de l’Amrae

L’Agence nationale de la sécurité des systèmes d’information et l’Association pour le management des risques ont conjugué leurs expertises pour apporter aux entreprises, dans un guide gratuit, une réponse globale et pratique au risque cyber.

Voilà devenus réels les pires scénarios de science-fiction… Dans un monde où les nouvelles technologies ont pénétré toutes les strates de l’entreprise, une atteinte aux infrastructures informatiques peut remettre en question l’existence même d’une organisation.

Arrivées à ce même constat – celui que le risque cyber a glissé du domaine technique vers le champ stratégique -, l’Agence nationale de la sécurité des systèmes d’information (Anssi) et l’Association pour le management des risques et des assurances de l’entreprise (Amrae) ont mutualisé leurs compétences dans un guide cosigné.

Destiné aux acteurs économiques moins matures en termes de cybersécurité, depuis les PME jusqu’aux grandes sociétés cotées, administrateurs ou services publics, « Maîtrise du risque numérique, l’atout confiance » est téléchargeable gratuitement sur les sites des deux organisations.

« L’objectif est de généraliser la prise de conscience et de rendre accessible au plus grand nombre les principes pratiques d’une politique de sécurité numérique », explique Brigitte Bouquot, présidente de l’Amrae. « Ce guide a également une ambition européenne : nous plaidons pour un partage à l’échelle du continent », poursuit Guillaume Poupard, directeur général de l’Anssi.

Lancé officiellement la semaine dernière au cours du forum de la Fédération européenne des associations de risk management (Ferma) à Berlin, ce vademecum détaille 15 étapes clefs de la mise en oeuvre d’une stratégie de cybersécurité.

Parmi elles : une appropriation du sujet par la direction générale« Il n’y a que le dirigeant qui puisse débloquer des budgets, doter l’entreprise d’une gouvernance de la cybersécurité et mettre toute l’organisation en ordre de marche », pointe Fabien Caparros, chef de la division chargée des méthodes de management de la sécurité numérique de l’Anssi et contributeur du guide.

Fil conducteur de l’ouvrage, la nécessité de mettre la prévention au service de la croissance de l’entreprise imprègne chaque conseil énoncé. Ainsi, dans les démarches jugées essentielles à une politique de sécurité, la cartographie des impacts fait écho à la méthodologie des risk managers. « Nous préconisons d’anticiper les scénarios les plus impactants, en évaluant leurs conséquences financières ou réputationnelles. Si l’entreprise a en permanence un oeil sur ses vulnérabilités, elle pourra réduire le risque », estime Philippe Cotelle, président de la commission systèmes d’information de l’Amrae, qui a également participé à la rédaction.

Dossier: Cybersécurité : les entreprises contre-attaquent

Valorisation du risque

Autre pilier d’une stratégie visant la protection, la défense et la résilience, la capacité à tenir sur le long terme. « La démarche en faveur de la sécurité doit être tenable dans le temps, ce qui se révèle compliqué, car le numérique évolue en permanence. Pour cela, l’organisation doit se donner les moyens d’être agile et performante », prévient Fabien Caparros.

Outre le rappel des enjeux et une boîte à outils, le guide insiste sur la notion de valorisation de la prise en compte du risque cyber. « Cela suppose des investissements conséquents, mais, en retour, l’entreprise sera perçue comme un partenaire de confiance par ses clients et ses investisseurs », souligne Philippe Cotelle.

L’une des caractéristiques du risque cyber étant sa transversalité, « Maîtrise du risque numérique, l’atout confiance » est destiné à tous : dirigeants, gestionnaires des risques, directeurs des systèmes d’information, responsable de la sécurité des systèmes d’information, mais aussi responsables métiers, directeurs des ressources humaines, directeurs financiers, etc. « Le but n’est pas d’avoir un discours suscitant la peur et prônant le tout sécuritaire, mais de rappeler que si la maison brûle, nous avons les outils pour la protéger et mettre en sécurité ses occupants », conclut Brigitte Bouquot.

« L’Amrae continue à évangéliser les entreprises éloignées du risk management »

« La complémentarité de l’Anssi, sur les volets techniques et normatifs, et de l’Amrae, sur les aspects stratégiques et de gouvernance, n’a cessé de se resserrer ces dernières années. Dans ce guide exhaustif, l’Anssi apporte sa culture héritée d’un environnement étatique, voire militaire, là où l’Amrae continue à évangéliser les entreprises éloignées du risk management. Notre objectif commun est de faire en sorte que notre écosystème mette en place toutes les conditions d’une confiance numérique. » Brigitte Bouquot est présidente de l’Amrae

« Le numérique représente un vecteur de menaces toujours plus destructrices »

« L’Amrae et l’Anssi n’ont pas la même approche du risque numérique et parlent des langages différents, mais nous partageons une ambition commune : nous glisser dans la peau de la cible et répondre à ses préoccupations. L’enjeu est majeur à l’heure où le numérique représente autant une source d’opportunités qu’un vecteur de menaces, toujours plus sophistiquées et destructrices. Le risque zéro n’existe pas, mais ce livre entend être au côté des entreprises dans une logique d’amélioration continue. » Guillaume Poupard est directeur général de l’Anssi

Julie Le Bolzer

Procès France Télécom : analyse. Nouvel élargissement du périmètre de risques des entreprises. « Risque pénal, risque financier… De l’audit d’acquisition aux plans de restructuration, « il y a désormais de la part de l’employeur la nécessité d’anticiper le risque social »

Le procès France Télécom, symbole d’une nouvelle donne sociale

Exit le droit social « à la papa ». Avocats, syndicats et juges vont puiser leurs arguments ailleurs que dans le Code du travail. Explications en ce jour du jugement de France Télécom.

Changement d’époque. Pour la première fois, ce vendredi, le juge pénal doit se prononcer sur une question apparemment  loin de ses bases  : le tribunal correctionnel de Paris va devoir dire si la politique d’entreprise menée par France Télécom entre 2007 et 2010 est constitutive d’un harcèlement moral sur l’ensemble de ses 120.000 salariés à l’époque des faits. 35 personnes avaient mis fin à leurs jours.

Durant les deux mois d’audience cet été, le tribunal a écouté  les témoignages des victimes et de leurs familles venues crier leurs douleurs ainsi que la défense des ex-dirigeants, dont Didier Lombard. Mais comment juger une politique managériale ? Pour tirer les fils de la chaîne de responsabilité, avocats de la défense et des parties civiles se sont battus à coups de rapports, notes et comptes rendus . A l’issue de ces semaines d’émotions et de colères exprimées à la barre, le parquet a dénoncé dans son réquisitoire des « habillages » servant à mettre en oeuvre une « politique de harcèlement managérial ». « Le but de ce procès n’est pas de porter un jugement de valeur sur vos personnes, mais de démontrer que l’infraction pénale de harcèlement moral peut être constituée par une politique d’entreprise, par l’organisation du travail et [être] qualifiée de harcèlement managérial », expliquait la procureure Françoise Benezech le 4 juillet dernier. Le parquet a plus largement pointé du doigt ce langage managérial qui permet de « dissimuler » une volonté de déstabiliser les salariés.  Les peines maximales ont été requises  : 75.000 euros d’amende contre France Télécom, un an de prison et 15.000 euros d’amende à l’encontre de Didier Lombard, Louis-Pierre Wenès et Olivier Barberot, ainsi que 10.000 euros et huit mois de prison contre « leurs zélés complices » Jacques Moulin, Nathalie Boulanger et Brigitte Dumont.

Avant la mise en délibéré, la présidente Cécile Louis-Loyant a prévenu : le tribunal devra se détacher du poids de l’attente d’une jurisprudence nouvelle sur le harcèlement moral par une politique d’entreprise. Il jugera en droit. Néanmoins, quelle qu’elle soit,  la décision du tribunal correctionnel aura un impact considérable.

De nouveaux outils de régulation

Car au-delà des drames personnels des victimes, cette affaire est révélatrice d’un mouvement de fond discret, mais extrêmement puissant, d’une mutation majeure du contentieux social. Avocats, syndicats et juges élargissent leurs champs d’action. Ils vont puiser leurs arguments ailleurs que dans le seul Code du travail et utilisent une panoplie plus vaste, allant de l’investigation financière au droit pénal, en passant par les nouveaux instruments juridiques de négociation. Parallèlement, le public concerné s’étoffe :  des populations entières de hauts cadres , d’habitude plus policés, n’hésitent plus à attaquer leur employeur devant les tribunaux.

Avocats d’entreprises et avocats de salariés font le même constat. « Nous sommes aujourd’hui devant un paradoxe, il n’y a jamais eu autant d’accords d’entreprise. Et, pourtant, les conflits se radicalisent comme jamais », analyse Pascale Lagesse, avocate associée du cabinet Bredin Prat, qui conseille nombre de grandes organisations. « Le droit du travail n’est plus la seule ressource du règlement de la conflictualité sociale. Nous avons besoin de nouveaux outils de régulation », reconnaît Roger Koskas, avocat de plusieurs syndicats et organismes de représentation du personnel. Un accord qui part mal peut coûter cher à l’entreprise. Ainsi, Constellium a été condamné par la cour d’appel de Douai à verser 2,4 millions d’euros à 50 salariés du site de Ham dans la Somme licenciés « sans cause réelle et sérieuse » en septembre 2019. La société (ex-Alcan-Pechiney) avait conclu un accord avec les syndicats et supprimé en octobre 2011 une centaine de postes sur 200 sur le site. Elle avait proposé un plan de départs volontaires avec une indemnité majorée, auquel avaient adhéré 90 salariés. Au terme d’une longue bataille judiciaire de presque neuf ans, les anciens d’Alcan ont obtenu gain de cause. Les magistrats de la cour d’appel de Douai ont approuvé les syndicats qui reprochaient à l’employeur de ne pas avoir respecté ses obligations de reclassement interne, préalable à ce plan.

« Au fur et à mesure des années, les portes de la régulation sociale se sont fermées, le contentieux prud’homal s’est réduit. Parallèlement, la mondialisation des entreprises et le recours à toutes les astuces du droit des sociétés – comme la multiplication des entités juridiques – ont mis des écrans à la responsabilité. Résultat : les positions se durcissent. Nous sommes obligés d’aller chercher ailleurs la faute de l’employeur », reconnaît un syndicaliste. En trois ans, le contentieux prud’homal a chuté de 46 % selon la cour d’appel de Paris tandis que parallèlement le juge judiciaire étend son emprise. Il est désormais compétent pour des demandes de  contrôles des risques psychosociaux , surveillés jusque-là par le juge administratif.

Plusieurs réformes sont la cause de cette mutation : la création de la  rupture conventionnelle , la  barémisation contestée des indemnités prud’homales, l’augmentation des démarches administratives, etc. Résultat, « le contentieux file ailleurs », constate Francis Teitgen, ancien bâtonnier de Paris et habitué du contentieux pénal de l’entreprise. « Le droit pénal, le droit financier… sont désormais appelés en soutien du conflit social », précise-t-il.

Ainsi, les contentieux ne se bornent plus au seul périmètre géographique de l’usine ou du site en cause. En septembre 2019, Michelin a été condamné à verser 1,3 million d’euros aux salariés de l’usine de Joué-lès-Tours (Indre-et-Loire) qui contestaient leurs licenciements. La cour d’appel d’Orléans a donné raison au conseil des prud’hommes de Tours d’avoir considéré « qu’un groupe de dimension mondiale ne doit pas être cantonné au secteur d’activité européen et que les informations limitées à ce secteur rendent le licenciement sans cause réelle et sérieuse ».

Des champs d’action élargis

Dans le même esprit, pour contester les licenciements chez Lee Cooper, les syndicats sont remontés jusqu’au fonds d’investissement américain Sun Capital Partners, qui possédait, via un holding basé à Amsterdam – Vivat Holding BV -, la célèbre marque de jean. « Les opérations contestables observées au sein du groupe » ont été faites « à l’encontre des intérêts de Lee Coper France » et « dans le seul intérêt de son actionnaire principal », Sun Capital Partners, écrivent les juges. Selon la cour d’appel, le fonds d’investissement n’avait « pris aucune disposition » pour remédier aux difficultés économiques que ses opérations ont engendrées. Cette décision a été confirmée par la Cour de cassation le 24 mai 2018.

« Les syndicats participent à leur façon et s’inscrivent dans le mouvement de refondation du capitalisme », veut croire Eva Joly. L’ancienne juge d’instruction, désormais avocate, a conseillé le comité d’entreprise ouest parisien de McDonald’s – composé en majorité d’élus Unsa et CGT. En 2015, celui-ci a déposé plainte pour blanchiment de fraude fiscale auprès du parquet national financier (PNF). Il mettait en cause des pratiques fiscales rendant « impossible » tout bénéfice, et donc tout intéressement des salariés. Selon « Challenges », McDonald’s serait en train de discuter avec les magistrats d’une convention judiciaire d’intérêt public (CJIP). Cette  transaction pénale créée par  la loi Sapin II permettrait au géant du burger d’éviter le procès et de mettre fin aux poursuites judiciaires à son encontre en payant une forte amende. Même stratégie pour Conforama, où deux syndicats, la CFE-CGC et FO, et un collectif de salariés ont porté plainte contre X auprès du PNF, le 4 novembre dernier, pour « présentation de faux bilan, abus de bien social et atteinte aux bons fonctionnements des marchés financiers ». Les plaignants estiment que les irrégularités comptables du groupe sud-africain Steinhoff ont précipité les difficultés de l’enseigne de meubles, sur le point de supprimer 1.900 emplois en France.

Les conflits « traditionnels » n’ont pas disparu pour autant. Mais leur base s’est diversifiée. Le 13 novembre dernier, la Cour de cassation vient à nouveau de donner raison à un financier qui réclamait le paiement de bonus différés que lui refusait son employeur, une grande maison de Wall Street. Il n’est pas le premier à utiliser le droit français contre le droit américain. En juin 2019, dans une première affaire, Morgan Stanley s’est vu condamné à verser 1,4 million d’euros de bonus différés  à son ancien banquier vedette Bernard Mourad . Et, dans une affaire concernant six ex-dirigeants du Groupe Barrière, la Cour de cassation, en avril 2019, a décidé que la plus-value réalisée à l’occasion de la cession de bons de souscription d’actions (BSA) devait être considérée comme un avantage obtenu en contrepartie du travail et devait donc être soumise aux cotisations sociales. « Cette décision remet en cause les montants des managements packages, chèrement négociés par les hauts dirigeants », constate Pascale Lagesse.

Prévenir partout et à tout moment

Cette intensification du contentieux social n’est pas près de s’inverser. Tandis que la Cour de cassation est venue élargir la  notion de préjudice d’anxiété à toute substance nocive et toxique dans un arrêt du 11 septembre 2019 – intensifiant ainsi les risques d’alertes internes -, la directive européenne du 7 octobre augmente  le pouvoir et la protection des lanceurs d’alerte .

Risque pénal, risque financier… De  l’audit d’acquisition aux plans de restructuration, « il y a désormais de la part de l’employeur la nécessité d’anticiper le risque social », prévient Laurent Gamet, avocat associé du cabinet Flichy Grangé.

Valérie de Senneville @VdeSenneville, Delphine Iweins @DelphineIweins

Procès France Télécom : rappel des faits

Procès pour harcèlement chez France Télécom : l’heure de la décision

Après plusieurs mois de délibéré, les juges rendent aujourd’hui leur jugement dans l’affaire des suicides qui a atteint l’opérateur entre 2007 et 2010. Les enjeux sont tels que les juges savent déjà que, quelle que soit leur décision, celle-ci sera frappée d’appel.

Cécile Louis-Loyant ne se fait pas d’illusion. Quelle que soit la décision que la présidente et ses assesseurs rendront ce vendredi 20 décembre, elle sera immédiatement frappée d’appel « tant les enjeux sont grands ». Après plus de mois de délibéré, les juges devront dire si France Télécom et ses ex-dirigeants ont mis en place, entre 2007 et 2010, une politique managériale constitutive de harcèlement moral.

C’est une première. Car la décision devra certes réparer et dire le droit. Mais l’équation judiciaire est délicate dans cette affaire, où les faits reprochés portent sur l’ensemble du personnel de l’entreprise. Or, jusqu’alors, le principe en droit pénal voulait qu’un lien direct existe entre la victime et l’auteur du dommage. Ici, il est clair que, ni l’ex-PDG, Didier Lombard, ni les six autres hauts responsables prévenus n’ont « directement » harcelé moralement les victimes. Quid encore de la personne morale ?

Harcèlement managérial

« Le but de ce procès n’est pas de porter un jugement de valeur sur (les) personnes, mais c’est de démontrer que l’infraction pénale de harcèlement moral peut être constituée par une politique d’entreprise, par l’organisation du travail et (être) qualifiée de harcèlement managérial », avait précisé  le parquet dans ses réquisitions en demandant les peines maximales contre France Télécom et ses ex-dirigeants : 75.000 euros d’amende contre l’entreprise, un an de prison et 15.000 euros d’amende à l’encontre de Didier Lombard, l’ex-PDG, Louis-Pierre Wenès et Olivier Barberot, les anciens n° 2 et 3. Sans oublier 10.000 euros et huit mois de prison contre « leurs zélés complices », Jacques Moulin, Nathalie Boulanger et Brigitte Dumont. « Les peines encourues à l’époque sont si faibles qu’il faut demander le maximum » pour que la sanction ait un sens, avait expliqué la procureure.

Que décidera le tribunal, qui connaît le poids symbolique de son jugement ? Il devrait en tout état de cause fortement motiver sa décision car cette approche collective du harcèlement moral est inédite en droit. Peut-être essayera-t-il de condamner pour exprimer  l’écoute envers les victimes , tout en expliquant très précisément les conditions très particulières, afin d’éviter  une généralisation non maîtrisée de cette jurisprudence qui pourrait atteindre toutes les entreprises qui entreprennent un plan de réorganisation et de modernisation de leurs structures et de leurs personnels.

Rationalité confondante

Pendant l’audience, les ex-managers ont souvent opposé une rationalité confondante face à la souffrance de certaines victimes. Nicolas Guérin, secrétaire général d’Orange, qui représente France Télécom au procès, a reconnu qu’il était « indéniable qu’il y ait eu de la souffrance chez certains de nos collaborateurs. […] Mais nous contestons un harcèlement moral généralisé ». Il avait annoncé qu’Orange allait lancer  une « discussion » avec les organisations syndicales pour créer une commission d’indemnisation des victimes, « quelle que soit la décision » du tribunal.

Au coeur du procès, les plans Next et Act visant à transformer France Télécom en trois ans, avec notamment l’objectif de 22.000 départs et 10.000 mobilités. Pour les prévenus, il devait s’agir de départs « volontaires »« naturels ». En 2005, France Télécom était « en péril », l’entreprise, surendettée, subissait une concurrence « agressive », des évolutions technologiques « extrêmement rapides ». Trente-cinq personnes s’étaient suicidées.

Valérie de Senneville

 

 

 

Je remercie la rédaction des Echos de m’avoir permis de proposer dans une tribune des pistes de réflexion sur la Fonction Risk Manager.

Je remercie la rédaction des Echos de m’avoir permis de proposer dans une tribune des pistes de réflexion sur la Fonction Risk Manager. Des Risk Managers plus influents sont en effet le meilleur atout des entreprises pour lever ou atténuer les risques et éviter les situations de gestion de crises. 

Pour en savoir plus, je vous renvoie à l’ouvrage  » La Fonction Risk Manager. Organisation, Méthodes et Positionnement » que j’ai co-écrit avec N.Dufour ; paru en avril 2019 aux Editions Gereso. 

TRIBUNE

Opinion | Propositions pour une fonction «risk manager» plus influente

Meilleur atout des entreprises pour lever ou atténuer les risques et éviter les situations de gestion de crises, les risk managers semblent pourtant bien discrets et dotés d’une autorité relative les cantonnant au mieux à une logique de conseil interne sur des risques importants. (Par Caroline Aubry, maître de conférences en gestion à l’université Toulouse-III)

Par Caroline Aubry (maître de conférences en gestion à l’université Toulouse-III)

Publié le 18 déc. 2019 à 9h39

Mis à jour le 18 déc. 2019 à 9h40

Multiples cyberattaques subies par Airbus, plainte contre la BNP Paribas et ses anciens dirigeants pour complicité de torture, crimes contre l’humanité, génocide, blanchiment et recel au Soudan ou encore incendie de l’usine Lubrizol, Volkswagen et le Dieselgate avec l’ouverture du procès, Renault-Nissan et l’incarcération de Carlos Ghosn, Lactalis et le lait contaminé pour ne citer que les affaires les plus médiatiques, cette actualité voit réunis les cinq facteurs qui ont fait du risque une variable stratégique de la réflexion des entreprises françaises : élargissement du domaine du risque, prise en compte de la subjectivité du risque, transfert de certains risques des assureurs vers les entreprises, affaires, rôle des acteurs-amplificateurs que sont le régulateur-législateur et les médias.

Depuis trente ans, ces facteurs ont conduit les entreprises françaises à mettre en place une démarche globale de gestion des risques, nommée Enterprise-Risk-Management (ERM) par les Anglo-saxons ; ils ont contribué à la création d’une fonction dédiée à la gestion des risques, que nous appelons Fonction Risk Manager.

Une Fonction Risk Manager détentrice d’une faible influence sur la décision

Les Risk Managers corporate à la tête des directions de gestion des risques rencontrent de nombreux obstacles pour se faire entendre de leurs directions générales. Une première série entrave l’exercice même d’un rôle « d’architecte » de la gestion des risques : ce que les Risk Managers corporate appellent l’illusion de transversalité de leur périmètre d’activité (« Une identification des risques à 360° » soit tous les risques, sur l’ensemble des activités, actifs et entités de leurs groupes) les amène à reconnaître qu’il y a des « zones grises » liées à la taille de leur groupe et que tous les risques ne sont pas remontés ; ce d’autant plus qu’ils font face à un manque de moyens humains et budgétaires ; le poids de la sanction venant de la direction pèse également sur leur prise de décision ; leur challenge est en effet de « prendre le maximum de risque avec le maximum de sécurité, car sinon on ne vous le pardonnera pas. »

D’autres obstacles rendent leurs relations avec la direction générale complexes voire difficiles : ils se sentent dessaisis du processus de remontée des informations et peu écoutés ; la remontée des informations est indirecte et se fait via un rattachement hiérarchique souvent situé à plusieurs intermédiaires de la direction générale et rarement membre du comité exécutif ; elle est « faiblarde » en termes de contenu, d’outils et de fréquence ; ils craignent particulièrement lorsqu’ils sont rattachés au directeur financier, au contrôle interne ou à l’audit interne, de ne pas avoir de liberté de pensée.

Une troisième série vient du manque d’implication de la direction générale : non-reconnaissance de la nature stratégique de la gestion de risques dont il est difficile d’évaluer le coût, ses objectifs étant difficilement mesurables et sans référentiel ; communication externe vécue comme un exercice de conformité via le document de référence, communication interne autour de la fonction peu pratiquée ; faible fréquence de réunion des comités de risques, ce qui les réduit à un outil sans autorité. Pour exercer leur autorité, les Risk Managers corporate doivent conquérir une légitimité.

Des Risk Managers corporate en quête de légitimité

Trois pistes peuvent être proposées. Un rattachement hiérarchique, sur le modèle du Chief Risk Officer américain, le plus proche de la direction générale et autre qu’à la direction financière ou au contrôle interne leur donnerait la liberté de remonter directement des informations non censurées. Une mesure de leur activité via des objectifs (de gouvernance, de contrôle stratégique, opérationnels) quantifiés et des indicateurs adéquats déclencherait la reconnaissance de la valeur ajoutée de la fonction et l’implication de la direction générale.

Gageons que des moyens humains et budgétaires suivraient. Une montée en puissance de leurs compétences grâce à leur expertise permise aujourd’hui par l’existence de formations supérieures (Master 3ème cycle, formations de l’Association pour le Management des Risques et des Assurances dans les Entreprises par exemple), l’expérience accumulée en une quinzaine d’années d’existence de la fonction, leur sens du relationnel et la connaissance de l’activité, du groupe et des opérations leur feront gagner en légitimité personnelle et faciliteront leur accès à la direction générale.

 

Fleury Michon : histoire d’une crise de cybersécurité qui a bien tourné

L’entreprise française d’agroalimentaire a été victime, au printemps, d’une compromission par ransomware. Mandaté par son assurance, Intrinsec est venu à la rescousse.

Compte-rendu par Valery Marchive d’une gestion de crise qui n’arrive pas qu’aux autres.

[En direct des Assises de la Sécurité.] Le 15 avril, Fleury Michon publiait un communiqué indiquant que ses systèmes informatiques avaient « été touchés par un virus informatique. Par mesure de précaution, l’ensemble des systèmes ont été déconnectés, pour éviter la propagation. Les usines, ainsi que notre unité logistique, ont été mises à l’arrêt jeudi dernier, 11 avril, à 14

Anne Michel, directrice organisation et systèmes d’information de Fleury Michon, aurait pu espérer une prise de fonctions plus calme : elle est arrivée à ce poste deux mois plus tôt. Le 11 avril, elle est prévenue à 7 h du matin, par un appel du responsable de la sécurité qui parle d’infection virale. Elle pense d’abord santé de ses équipes. Mais non, il s’agit d’un maliciel.

Et les circonstances ne sont pas des plus favorables. À l’époque, le responsable de la sécurité n’est même pas RSSI à 100 %, simplement à quart temps. Ce sont les vacances scolaires. Les équipes ne sont pas encore habituées à leur nouvelle cheffe. Et les procédures d’alerte ne sont manifestement pas pleinement au point : l’infection a été découverte vers minuit. Le directeur des infrastructures a été prévenu, mais il n’était pas immédiatement joignable, et il aura donc fallu attendre plusieurs heures avant qu’Anne Michel ne soit informée.

Toutefois, comme elle le souligne, de premières mesures avaient été prises immédiatement : l’accès à Internet avait été coupé et les applications avaient été arrêtées, par précaution. Mais rapidement, une attaque est soupçonnée. En accord avec le directeur de la production et de la logistique, des applications supplémentaires sont arrêtées. Le directeur général convoque alors la cellule de crise pour 10 h. Mais tout le monde s’active très vite en amont de cette réunion.

À 9 h, le directeur financier a déjà contacté l’assurance qui mandate un prestataire. Anne Michel a tenté de joindre directement l’Agence nationale pour la sécurité des systèmes d’information (Anssi), en vain. Le directeur général appelle le préfet de la Vendée qui demande que l’Anssi entre en contact avec Anne Michel. Ce qui est fait rapidement et contribue à faire baisser la pression.

À 10 h, la cellule de crise est donc réunie, avec directeur général, direction financière, direction de la santé alimentaire, direction industrielle, et Anne Michel. Le fait qu’il s’agit d’une attaque cyber est acté, de même que la méconnaissance de sa portée à ce stade. La communication réglementaire commence à être préparée. Il faudra aussi prévenir les banques, et surtout les clients pour les informer que les flux d’EDI et les interfaces applicatives sont coupés. Sans compter les directions des usines et des centres logistiques pour expliquer la situation et la manière de communiquer, car tant la production que l’expédition se retrouvent brutalement à l’arrêt. Les membres de la cellule de crise feront le point toutes les quatre heures.

À 11 h, Cyrille Barthelemy, patron d’Intrinsec, prend contact. Les grandes lignes du plan d’action sont lancées et une équipe constituée d’une dizaine de personnes est envoyée en Vendée : il faut trouver l’origine de l’incident et reconstruire. Et cela alors même que les documentations ne sont pas accessibles. L’approche retenue consiste à déployer en 24 h une petite base de centre opérationnel de sécurité (SOC) pour gagner de la visibilité, démarrer une première bulle de confiance, et la faire grossir graduellement. La surveillance permettra d’arrêter tout ce qui aura été relancé, mais présentera un comportement suspect. Au total, ce sont tout de même 8 To de données à analyser, 220 machines à couvrir, des points de réplication du trafic réseau à mettre en place, etc. Une source virale inconnue a pu être identifiée rapidement.

Rapidement, un constat s’impose : toutes les applications majeures fonctionnaient sur des serveurs affectés. Les usines et la production ont été coupées par prudence, mais leurs systèmes opérationnels ne sont pas touchés.

Il faut pouvoir décider vite de la marche à suivre, car l’entreprise, qui travaille avec des produits frais, ne peut pas rester trop longuement à l’arrêt. Et il faut lutter aussi avec ceux, en interne, qui seraient tentés de retrouver une connexion à Internet avec leur smartphone.

Le choix est donc fait de donner la priorité à la logistique afin de pouvoir vider l’entrepôt et de pouvoir le remplir à nouveau. L’application dédiée est reconstruite avec deux postes de travail, afin de pouvoir gérer les expéditions. Dans les usines, deux salles blanches sont mises en place pour remonter leurs applications et permettre aux équipes locales de travailler avant de pouvoir remonter les liens. Les applications de robotiques sont relancées directement.

En fait, il n’a fallu que trois jours pour remonter la logistique. Et quand Fleury-Michon rendait public l’incident, il relançait en fait sa production, grâce aux salles blanches. Du point de vue des métiers, la crise était finie deux semaines plus tard.

Un type d’attaque qui peut arriver à d’autres

Tout est parti d’un service RDP exposé sur une machine virtuelle hébergée sur Azure, comme il y en a tant, et détourné par une attaque en force brute. De là, il ne s’est rien passé pendant 10 jours. La phase de reconnaissance du système d’information a alors commencé – en remontant le VPN utilisé pour relier le SI local au cloud public de Microsoft. Des rebonds sur trois serveurs, en RDP en encore, ont pu être identifiés. Leur VLAN était accessible depuis le VPN. Le ransomware a ensuite été déployé via Psexec sur 220 machines, pourtant isolées sur un VLAN dédié. Enfin, l’outil Mimikatz a été mis à profit pour récupérer des identifiants avant de lancer le chiffrement du serveur identifié comme patient 0 de la crise.

Mais il a fallu rétablir la confiance, notamment vis-à-vis des partenaires. Là, les efforts de communication et de transparence ont joué un rôle important. D’ailleurs, d’anciens collaborateurs, ayant appris l’incident par ailleurs, ont proposé leur aide. À l’instar de partenaires. La prise de contact d’Intrinsec, en direct, avec l’un des principaux distributeurs, a également aidé à élever dès le départ le niveau de confiance. Des marqueurs ont également été partagés.

Du point de vue de la direction de l’organisation et des systèmes d’information, la sortie de crise a attendu le mois de juillet. Mais Anne Michel n’occulte pas quelques mois de traîne. Plus de 800 tickets ont été traités. Pendant pratiquement 12 jours, jusqu’à plus de 100 personnes ont été mobilisées 24 h/24. La fatigue, morale comme physique, était là.

La gestion de l’expérience a été engagée dès le mois de mai, afin d’identifier ce qui avait fonctionné ou pas, ainsi que les pistes d’amélioration. La partie industrielle/logistique en ressort comme particulièrement bien gérée, associée de près dès le début. Les choses sont moins flatteuses pour la partie administrative. Jusqu’en juin, des rumeurs circulaient sur l’origine réelle de l’incident. Pour Anne Michel, ces collaborateurs sont restés trop dans le flou.

Et puis, alors que les équipes informatiques sont massivement internes, certains n’ont pas compris pourquoi il était fait appel à des ressources externes. Certes, avec le recul, l’incident a été l’occasion de mesurer le niveau de compétence des équipes et de leur capacité de mobilisation, des personnes « qui ont véritablement sauvé l’entreprise », mais durant la crise elle-même, Anne Michel souligne qu’il ne faut surtout pas oublier le management des hommes.

Le principal enseignement qu’elle retire de cette crise est qu’il convient de revoir les plans de continuité de l’activité, qui se sont avérés inadaptés à une crise de cybersécurité. Comme le soulignait récemment dans nos colonnes Jérôme Saiz, dans un tel cas, il faut prendre en compte la question de la confiance que l’on peut accorder à ses outils et à son infrastructure.

Merci de m’avoir permis de décrire dans une tribune au « Monde » les facteurs qui ont placé les risques, la gestion des risques et la Fonction Risk Manager au cœur de la stratégie des entreprises. Pour en savoir plus, voir l’ouvrage « La Fonction Risk Manager. Organisation, méthodes et positionnement » que j’ai co-écrit avec Nicolas Dufour ; paru en avril 2019 aux Editions Géreso.

Le Monde (site web)

vendredi 18 octobre 2019 – 14:00

Incendie de Rouen : « L’actualité témoigne de l’élargissement de la nature et de l’ampleur des risques »

Caroline Aubry, enseignante en gestion du risque, décrit dans une tribune au « Monde » les facteurs qui ont placé cette discipline au cœur de la stratégie des entreprises.

Tribune. L’actualité récente témoigne de l’élargissement de la nature et de l’ampleur des risques, qui fait aujourd’hui de sa gestion une variable stratégique de la réflexion des entreprises. Les cyber-attaques subies par Airbus ces derniers mois appartiennent à la catégorie des risques nouveaux ; le cyber-risque est d’ailleurs le premier cité par les entreprises dans le baromètre des risques de l’assureur Allianz.

L’incendie de l’usine Lubrizol, le jeudi 26 septembre, n’est pas qu’un risque « traditionnel » d’incendie ; il s’agit d’un risque éthique dans sa dimension de développement durable. La plainte déposée le 26 septembre par la Fédération Internationale pour les droits humains contre BNP Paribas et ses anciens dirigeants, pour complicité de torture, crimes contre l’humanité, génocide, blanchiment et recel au Soudan, est un risque éthique dans sa dimension de gouvernance : respect par l’entreprise des engagements pris, transparence et ouverture aux besoins de l’environnement dans laquelle elle opère, prise en compte des parties prenantes, les actionnaires et tous les groupes ou individus qui peuvent affecter ou être affectés par la réalisation de ses objectifs.

Les entreprises doivent faire face à des risques potentiels plus difficiles à cerner car ils sortent du champ de compétences des experts. Depuis trente ans, ces facteurs les ont conduites à mettre en place une démarche globale de gestion des risques, nommée « Enterprise-Risk-Management » (ERM) par les Anglo-Saxons ; ils ont contribué à la création d’une fonction dédiée à la gestion des risques.

Anxiété collective

L’élargissement du domaine de la gestion des risques s’est amorcé dans les années 1990 avec l’apparition de nouveaux risques issus des changements technologiques. Il s’est poursuivi avec la multiplication de qualificatifs venus en préciser la nature : éthique, environnemental, social, de gouvernance, de réputation, etc.

Est ensuite apparue l’idée d’une perception du risque différente selon les individus ou les niveaux dans l’entreprise. Cette perception est en effet fortement liée aux caractéristiques individuelles de l’acteur, sa personnalité, son histoire, ses préjugés, son exposition au risque…

L’élargissement du domaine de la gestion des risques s’est amorcé dans les années 1990 avec l’apparition de nouveaux risques issus des changements technologiques

Cette subjectivité intervient aussi dans la relation de l’entreprise avec les acteurs de la société civile. Par exemple, l’explosion de l’usine AZF à Toulouse en septembre 2001 a généré en France un état d’anxiété collective, accentué par la vigilance nouvelle des acteurs de la société civile qui ont pris conscience de ces vulnérabilités ; les populations habitant à proximité d’installations classées Seveso ont une perception accrue du risque.

Une approche exclusivement objective de l’incendie de l’usine Lubrizol ne donnerait qu’une vision partielle, voire erronée de la situation. Les entreprises doivent dorénavant impliquer les acteurs, intégrer les facteurs d’environnement susceptibles d’influencer cette perception (les médias, par exemple) et tenir compte des valeurs et des attentes grandissantes des parties prenantes. La communication devient essentielle, le risque de réputation, risque subjectif par excellence, devient le « cauchemar » des directions générales.

Réticence des compagnies d’assurance

Les entreprises sont amenées à gérer elles-mêmes ces nouveaux risques du fait de la réticence des compagnies d’assurance à les prendre en charge : comment continuer à croire qu’il n’y a pas un « trou énorme » entre la protection des assurances et ce dont les entreprises ont besoin pour couvrir, par exemple, le coût de cyber-attaques répétées, ou celui d’une catastrophe environnementale comme celle de l’usine Lubrizol ?

La référence « tous azimuts » à ce principe de précaution au contenu peu structurant contribue à l’installation de l’illusion du risque zéro

Les « affaires » participent également à cette extension du domaine du risque. Les affaires Maxwell (1991), Enron (2001), Vivendi (2002)… ont débouché sur l’exigence de conditions nouvelles de transparence des risques de la part des entreprises. Lubrizol, Volkswagen et le Dieselgate, Renault-Nissan et l’incarcération de Carlos Ghosn, Lactalis et le lait contaminé, pour ne citer que les affaires les plus médiatiques, renforcent cette exigence.

Enfin, depuis 2004, le régulateur, le législateur et les médias ont contribué à la diffusion de l’image d’un monde plus risqué et l’ont amplifiée. Prenons le principe de précaution, pilier de la « soft law » adoptée par les entreprises : la référence « tous azimuts » à ce principe au contenu peu structurant (car il n’offre aucun modèle d’action prédéfini) contribue à l’installation de l’illusion du risque zéro ; le seuil d’acceptabilité du risque par les parties prenantes diminue. De leur côté, les médias amplifient la notion de responsabilité du dirigeant en cas de négligence, et surtout les logiques de compensation.

Caroline Aubry est coauteur, avec Nicolas Dufour, de « La Fonction Risk Manager. Organisation, méthodes et positionnement » (Gereso édition, 250 pages, 25 euros).

Cet article est paru dans Le Monde (site web)