Évoluant dans un monde incertain, les entreprises ne sont pas à l’abri d’événements sur lesquels elles n’ont aucune prise. Qu’il s’agisse d’actes de terrorisme, d’enlèvements, de guerres civiles, de compromission d’informations stratégiques ou encore d’attaques informatiques, ces menaces à leur encontre ne relèvent aucunement d’une pure fiction. Il suffit pour s’en convaincre de reprendre les statistiques du ministère de l’Intérieur, qui, en 2011, estimaient à 399 le nombre d’entreprises ayant été la cible d’attaques.
Dans cette perspective, l’enjeu d’une veille efficace sur ce spectre très large des risques exogènes est important, la concrétisation de l’un d’entre eux pouvant mettre à mal l’activité des entreprises. Plongées dans le décryptage d’un monde en pleine ébullition, les entreprises évoluant sur des secteurs sensibles (on pense particulièrement aux opérateurs d’importance vitale [1] (OIV) ont de longue date intégré et anticipé ces périls. Total ou EDF disposent ainsi depuis plusieurs dizaines d’années de services de sécurité et d’intelligence économique afin de veiller à ces évolutions.
Reste que de nombreux dirigeants d’entreprise, notamment pour les entreprises de taille moyenne, considèrent encore cette problématique comme trop éloignée de leurs préoccupations. Pensant que cela ne peut arriver qu’aux autres et que c’est à l’État d’assurer la sécurité de ses ressortissants, certaines préfèrent faire encore l’économie d’une fonction sécurité au sein de leur organisation. À l’inverse, les entreprises américaines investissent dans la prévention et la protection de leurs actifs (humains, matériels et immatériels) : système de management de la sûreté, fiches reflexes, plan d’évacuation… Ce qui se traduit, comme à leur habitude, par la rédaction de milliers de documents ! Au début des années 1990, une société américaine dédiait déjà 15 pages à la probabilité de voir un avion s’écraser sur un de ses bâtiments [2]… Il y a très certainement un équilibre à trouver, sachant que trop de procédures peuvent freiner le développement opérationnel.
Sans tomber dans ces excès, les entreprises hexagonales sont donc aujourd’hui obligées d’y regarder de plus près, leur dirigeant pouvant dorénavant se retrouver condamné. La « jurisprudence Karachi » a certainement été le facteur déclenchant de cette tardive prise de conscience. Le 8 mai 2002, un attentat-suicide à Karachi au Pakistan tue 11 employés français de la Direction des constructions navales. Les familles ont assigné le dirigeant au pénal, accusé de n’avoir pas informé le personnel de l’évolution de la situation et pas pris les mesures de sécurité élémentaires.
En quelques années, quasiment toutes les grandes entreprises, en tout cas l’essentiel des entreprises du CAC 40 et des grandes entreprises publiques se sont dotées d’une personne chargée de gérer ces risques exogènes. Qu’il s’agisse de risk manager ou de directeur de la sécurité ou de la sûreté, ils ont pour mission d’identifier les risques et les menaces internes ou externes, et de s’assurer que ceux-ci seront pris en charge par les bonnes personnes et les bons services. Issues dans la plupart des grandes entreprises du monde militaire et policier, ils sont embauchés à la fois pour leur entregent, leur capacité à savoir « collecter du renseignement stratégique aux meilleures sources et au bon moment [3] » ou encore à solutionner des problèmes.
Dans cette perspective, les propos de René-Georges Querry, ancien directeur de la sécurité du groupe Accor, sont très éclairants : « je vous prends l’exemple du secteur de la ville de L. où une réunion avec quinze directeurs d’hôtels avait été prévue. Je participe à la réunion, on déjeune, on discute et je leur dis : la prochaine fois que vous aurez un problème, passez-moi un coup de fil, je verrai ce que je peux faire. On me répond : j’ai un réel problème avec des prostituées dans certains de nos hôtels, que pouvons-nous faire ? Donc moi je téléphone au commissaire de la ville avec qui j’ai un contact privilégié, c’est ça le réseau. Le directeur a vu son problème réglé d’un coup de baguette magique en un rien de temps, alors qu’il lui aurait fallu six mois autrement. Ce n’est pas pour se voir décerner des lauriers, mais pour traiter plus vite et mieux, et petit à petit, la confiance s’est établie [4] ».
Pour cerner leur exposition aux menaces en tout genre, ces responsables provoquent une à trois fois par an la tenue de comités de sécurité, en réunissant responsables de la communication, des ressources humaines ou encore des personnes des unités opérationnelles et ils identifient les risques par ordre de priorité à traiter. Une synthèse de ces travaux est transmise au comité d’audit et au comité exécutif.
Élément central d’une veille efficace : l’information. En recroisant sources internes et externes, officielles (presse, bases de données, Internet) et officieuses (relations, réseau des directeurs de sécurité), les entreprises recoupent les informations provenant des filiales, des assureurs (un risque écarté est un bon indicateur), des autres directions sûreté et des services publics (ambassade, ministère des Affaires étrangères, ministère de l’Intérieur, etc.). Elles sont de même clientes de sociétés privées, professionnelles du renseignement et de la gestion de crise.
Le risque politique est un terrain très propice au grand brassage d’informations. Le décodage de ce type de risque passe d’abord par une abondante lecture. Les directeurs de sûreté se nourrissent de leur propre base de données (abonnement à des agences de presse, revue de presse) et des « alertes pays » fournies par les prestataires extérieurs. Celles-ci relatent les événements des plus médiatisés aux plus confidentiels.
Par ailleurs, grâce à leurs réseaux, ils repèrent la montée des risques pouvant provenir de l’entreprise elle-même (unité opérationnelle), des agents de sécurité intérieure ou de défense de l’ambassade, d’autres directions sécurité ou encore de prestataires sur place. Il est indispensable d’avoir des capteurs sur place. « Je ne vais jamais à l’hôtel, explique ce directeur de la sûreté. Je passe du temps avec les expatriés afin de nouer des relations très privilégiées avec eux ». Une proximité qui a permis, dans cet autre grand groupe, d’être éclairé sur la sympathie portée par des ingénieurs de haut niveau aux Frères musulmans [5]…
La veille peut reposer sur un réseau de responsables sûreté régionaux (security managers) aidés par des directeurs opérationnels sur zone. Sur place, le security manager pourra être un local ou un expatrié fin connaisseur de la zone. Par ailleurs, les patrons de filiales sont bien sûr invités à remonter l’information en cas d’incidents. Les employés peuvent être également sollicités. Le principe est de disposer du maximum d’information afin d’avoir une idée très précise du risque encouru par les employés sur zone et de dresser des cartes en couleur de chaque pays à risque, la couleur des provinces évoluant au gré des circonstances. Grâce à cette vigilance savamment orchestrée, certaines entreprises ont pu anticiper des crises locales.
Une fois la veille activée, les entreprises réfléchissent à la manière de minimiser leur exposition aux risques et, au pire, de les gérer en cas de crise. Sensibilisation des salariés en mobilité, interdiction de déplacement sur zone, exfiltration… Reste à trouver le bon dosage afin d’éviter d’envoyer un signal négatif à la population locale. Dans cette perspective, les entreprises disposent de plusieurs outils de sensibilisation pour leurs salariés en mobilité : formation aux us et coutumes du pays, guide de conseil aux voyageurs, informations sur l’intranet de l’entreprise. Et en période de crise, les entreprises peuvent être accompagnées à la fois par les autorités locales, les autorités françaises ou des prestataires de sécurité spécialisées.
Désamorcer les risques exogènes consiste aussi à observer sous un jour nouveau les process industriels. À ce titre, les systèmes d’information doivent par exemple faire l’objet d’une attention particulière. Il convient de souligner notamment la montée en puissance des risques liés aux systèmes d’information de pilotage de production (SCADA, Supervisory Control And Data Acquisition). Pour certains secteurs, ces « processus industriels » peuvent être des applications mises à disposition des clients. La pression du « marché » peut, dans ce domaine, conduire à mettre des produits à disposition (en ligne) rapidement sans maîtriser toutes les sources de vulnérabilités. Notamment, il existe une pression grandissante pour les connecter avec l’extérieur, soit pour du reporting en temps réel (par exemple exploitation des données des systèes d’information indus par logiciels du groupe SAP de contrôle de gestion des activités au niveau entreprise [6]), soit pour pouvoir reconfigurer rapidement une chaîne de production.
De la même façon, les sous-traitants informatiques souhaitent pouvoir accéder à distance aux systèmes pour en assurer le dépannage ou le maintien, y compris l’application de correctifs. Le risque portant sur les systèmes industriels est donc considéré par de nombreuses entreprises comme s’aggravant rapidement. Il nécessite une prise en compte spécifique, en particulier si l’on considère la possibilité que des logiciels malveillants (de type DuQu, Stuxnet) soient introduits même dans des systèmes déconnectés du réseau. La tendance à une connexion plus importante (avec les réseaux bureautiques) ne fait qu’accroître les possibilités de voir un système infecté par un logiciel malveillant qui transiterait par les machines à caractère administratif. Comme le soulignent certains interlocuteurs, la généralisation des solutions commerciales (off-the-shelf) pour l’équipement des réseaux industriels tend à accroître les risques de voir des virus développés spécifiquement pour les infecter [7].
Face à ces différentes situations, il devient alors indispensable d’élaborer des plans de continuité, c’est-à-dire un ensemble de mesures visant à assurer, selon divers scénarios de crise, y compris face à des chocs extrêmes, le maintien, le cas échéant de façon temporaire selon un mode dégradé, des prestations de services essentielles de l’entreprise puis la reprise planifiée des activités [8] ». En effet, les entreprises sont très attentives à garantir la poursuite de leur activité afin d’éviter des pertes importantes de chiffre d’affaire.
À titre d’exemple, l’épidémie de grippe aviaire a fait l’objet d’une scénarisation bien rodée. En fonction des 10 niveaux d’alerte définis par l’OMS (Organisation mondiale de la santé), de nombreuses entreprises ont préparé plusieurs séries de plans d’actions. Dans leur scénario « gris » (basé sur quelques cas de transmission humaine), les entreprises poursuivent leur activité a minima. Le personnel travaille à distance en télétravail. À cette fin, elles ont d’ores et déjà réfléchi aux infrastructures nécessaires et aux avenants au contrat de travail. Des employés, pré-identifiés comme indispensables, assurent sur place la continuité. Interdiction leur sera faite de venir en transports en commun ou de prendre l’ascenseur à plusieurs. Dans le scénario plus noir (confinement absolu dans un pays), elles transfèrent l’activité dans une filiale non touchée. Un repli possible grâce à la création au préalable d’un backup, doublon des systèmes d’information les plus stratégiques [9].
Lorsqu’elle surgira, la crise prendra peut-être le visage le plus inattendu. Mais ce travail d’anticipation des risques n’aura pas été vain, car les entreprises auront acquis les bons réflexes. Une bonne gestion de la crise pourra alors profiter à l’entreprise, en améliorant sa réputation et en renforçant sa culture interne. À condition que la direction générale sache tirer de l’expérience les points forts et les points faibles de cette gestion de crise, et soit prête à en affronter une nouvelle en ayant amélioré l’existant.
[1] Les OIV, c’est-à-dire les opérateurs publics ou privés exploitant des établissements ou utilisant des installations et ouvrages, dont l’indisponibilité risquerait de diminuer d’une façon importante le potentiel de guerre ou de croissance économique, la sécurité ou la capacité de survie de la nation.
[2] Propos cité dans Alain Juillet, Olivier Hassid et Mathieu Pellerin, Gérer les risques criminels en entreprise. Stratégies et comportements pratiques, Paris : De Boeck, 2012, p. 117.
[3] Ocqueteau Frédéric, « Profils et trajectoires des directeurs sûreté », Sécurité & Stratégie, mars-juin 2011, n° 5, p. 39-55.
[4] Ocqueteau Frédéric, « Sécurité de l’entreprise et défense de la réputation de la marque. Entretien avec René-Georges Querry, groupe Accor », Sécurité-Stratégie, juin-septembre 2011, n° 6, p.39-48.
[5] Exemple repris à Pascal Junghans, « Un modèle de traitement du renseignement par les dirigeants de grandes entreprises », Sécurité & Stratégie, avril-juin2013, n°12, p.6-15.
[6] Voir le site Internet du groupe SAP : http://www.sap.com/france/pc/index.html
[7] Aghroum Christian et Hassid Olivier (sous la dir. de), Les entreprises et l’État face aux cybermenaces, Paris : L’Harmattan, 2013.
[8] Règlement n°2004-02 du Comité de réglementation bancaire et financière.
[9] Besluau Emmanuel, Management de la continuité d’activité, Paris : Eyrolles, 2010, 2e édition.
