Les risques majeurs, les plus fréquemment rencontrés
Les risques majeurs
Nous allons maintenant développer certains de ces risques, les plus fréquemment rencontrés.
- Le risque lié aux systèmes d’information
Les systèmes d’information sont au cœur de l’activité et du développement de l’entreprise et participent à la mise en œuvre de sa stratégie. Cette composante essentielle du fonctionnement de l’entreprise nécessite une protection à la hauteur de son importance.
La sécurité informatique est un sujet particulièrement médiatisé depuis quelques mois. Les médias relayent largement les incidents et actes illicites touchant la sécurité des systèmes d’information.
Ainsi les articles fleurissent pour décrire les « actes de piratage » du moment : le virus « I Love You » en mars 2000, la plongée de la valeur actionnariale de Yahoo!, les fraudes à la carte bancaire sur Internet …
Les attaques menées contre les systèmes d’information ont un vecteur spectaculaire, Internet, mais paradoxalement ce n’est pas le plus utilisé.
En effet, contrairement aux idées reçues, la grande majorité des actes délictueux sont d’origine interne : comme pour la ville de Troie, il est plus facile de nuire depuis l’intérieur des remparts, où l’on n’attend pas l’ennemi.
Ces attaques inattendues frappent sous de multiples formes : virus, dénis de service (réalisés par des « crashers » qui ont pour seul but de rendre inaccessible votre système d’information) , chevaux de Troie, usurpations d’identité, etc.
Dernièrement, un fait marquant a été largement médiatisé en France. Il s’agit du piratage du réseau informatique interne du leader mondial des logiciels : Microsoft. Un mois durant, des hackers ont eu libre accès aux codes sources des logiciels les plus vendus au monde tels que Windows ou la suite bureautique Office.
Le vecteur de cette attaque se nommerait « QAZ Trojan », un cheval de Troie d’origine chinoise apparu sporadiquement au cours des derniers mois.
L’exemple le plus médiatique est sans contexte celui de Yahoo. En février 2000, quatre grandes entreprises présentes sur le Web, dont Yahoo, subissaient la plus importante attaque de déni de service distribué jamais observée.
Ce type d’attaque perpétrée contre un système d’information vise à bloquer son fonctionnement, ceci est obtenu en saturant le système avec une quantité d’informations supérieure à celle qu’il peut traiter.
Cette médiatisation récente des problèmes de sécurité est la conséquence de la popularité grandissante d’Internet auprès du grand public, et de sa montée en puissance comme canal de distribution et de communication pour les entreprises.
Elle a largement contribué à la sensibilisation des dirigeants sur le sujet de la sécurité, mais ceux-ci ont plutôt une réaction défensive par rapport à ce sujet.
Internet est aujourd’hui un élément incontournable des stratégies de développement de la grande majorité des entreprises, les projets Internet, e-business, « B to B » et autres fleurissent dans les sociétés.
La mise en place des projets Internet amène de nouvelles technologies et donc de nouvelles menaces dans ces entreprises : serveurs Web, courrier électronique, « supply chain », etc.
L’ouverture grandissante des entreprises sur le monde extérieur, en particulier par le biais des nouveaux moyens de télécommunication, fait de la sécurité un enjeu crucial.
Dans l’ « ancienne » économie, les sociétés établissent des relations, des liens, et parfois même des connexions informatiques avec des partenaires qu’elles connaissent. C’est cette connaissance et cette identification mutuelle des partenaires qui va permettre d’instaurer une relation de confiance entre eux.
Dans la nouvelle économie, aussi appelée Net-économie, les entreprises se dotent d’un système d’information essentiellement tourné vers l’extérieur, se concentrent sur ce qui est le coeur de leur métier, et externalisent tous les aspects « périphériques » à leur activité auprès de partenaires.
La réussite de ces entreprises passe donc par une imbrication forte des systèmes d’information des différents partenaires. La force d’une telle chaîne correspond en fait à celle de son maillon le plus faible.
Qu’un seul des maillons de cette « supply chain » présente des faiblesses et tombe sous les attaques d’un pirate ou d’un concurrent déloyal, et c’est l’ensemble de la chaîne qui est mis en cause, et par voie de conséquence l’activité même de l’entreprise qui est mise en péril.
- Le risque lié à la réputation :
La protection de la marque est souvent considérée comme une simple question juridique : les noms et les critères servant à identifier un produit sont utilisés comme marques pour les protéger.
La protection légale de la marque crée un monopole, généralement illimité, qui subsiste aussi longtemps que le produit est commercialisé. La législation en la matière interdit à d’autres sociétés de se servir de noms, critères ou logos, quand ces éléments constitutifs de l’identité de marque sont déjà utilisés et qu’il existe un risque de confusion sur le marché.
La protection juridique de la marque est donc un moyen séduisant pour préserver un avantage concurrentiel à long terme.
Aujourd’hui, la marque est bien plus qu’un simple nom ou logo. Elle génère différentes associations : on lui attribue des traits de personnalité et on parle plus volontiers de « relations à long terme avec les clients » que de transactions. Les marques véhiculent des valeurs émotionnelles.
Face à cette nouvelle interprétation plus sophistiquée, la protection de la marque dépasse largement le simple cadre de la loi. Les imitations ou contrefaçons ne sont plus les seuls actes susceptibles de lui porter atteinte. Par conséquent, la protéger de la concurrence agressive ne suffit plus.
Les sociétés doivent aujourd’hui gérer activement la « relation » marque-client. La protection de la marque s’étend à toute l’entreprise et englobe désormais la gestion de la réputation de l’entreprise aux yeux de toutes les parties concernées, notamment ses clients, fournisseurs, partenaires commerciaux, employés et actionnaires.
Tout ce que la société dit ou fait peut renforcer ou détruire la valeur de sa marque.
Il suffit de prendre l’exemple du groupe italien Benetton qui a lancé, en janvier, sa campagne de publicité printemps-été 2000 en Europe, en Amérique et en Asie : « Nous, dans les couloirs de la mort ».
La campagne était très audacieuse, même pour une société comme Benetton, et elle s’est d’ailleurs retournée contre elle sur certains marchés. En signe de protestation, des proches des victimes et des associations de défense des droits des victimes manifestèrent devant les bureaux de Benetton à New York.
Cette action a également conduit le distributeur américain Sears Roebuck à annuler son contrat avec Benetton. Une sanction qui a atteint la société de plein fouet car Benetton avait réalisé une gamme de vêtements exclusivement pour Sears Roebuck pour promouvoir ses ventes dans l’habillement, en baisse aux Etats-Unis.
Toutes ces répercussions mettent en exergue la nécessité pour les sociétés de protéger leurs marques sous un angle large. Certes, peu de sociétés sont aussi provocatrices que Benetton. Mais, de plus en plus, elles sont tenues responsables de toute une kyrielle d’actions par diverses parties prenantes.
Le consommateur ne se contente plus des messages publicitaires et s’intéresse de plus en plus à tout ce qui tourne autour de la marque : la composition de ses produits, l’histoire de la société, le comportement de l’entreprise vis-à-vis des problèmes environnementaux, sa politique du travail, y compris ses positions sur d’autres questions économiques, sociales et politiques. Aujourd’hui, les sociétés et leurs marques sont plus que jamais sous le feu des projecteurs.
La réputation de l’entreprise a pris une telle ampleur qu’elle est considérée aujourd’hui comme l’un de ses actifs. L’atteinte à la réputation constitue donc désormais un risque majeur pour les dirigeants et pour leur société.
La réputation a pris une telle importance aujourd’hui que le rapport Turnbull (cf. Note 3, Annexe 2) , qui fait maintenant partie des règles sur le gouvernement d’entreprise en Grande- Bretagne, conseille aux sociétés de la traiter sur le même pied que les autres actifs.
Enfin, une étude menée en décembre 1999 auprès des gestionnaires de risques dans les sociétés britanniques montre que le risque majeur pour une entreprise est celui lié à sa réputation.
La gestion de la réputation est le prolongement naturel de la gestion de marque. Bien conçue, elle peut être un avantage considérable pour l’entreprise, car elle favorise la vente des biens et services et attire de nouveaux talents ainsi que des partenaires séduisants. Mal gérée, elle entraîne les conséquences inverses et altère la valeur de l’entreprise pour les actionnaires.
La gestion de la réputation est importante dans la protection à long terme de la valeur de la marque. Elle ne se réduit pas à une simple image cosmétique ni à une stratégie pour vendre davantage. Elle doit être au centre même de toute organisation.
- Le risque d’exploitation
Les risques d’exploitation existent dès lors qu’il y a activité industrielle ou prestation de services et peuvent être engendrés également par le comportement des personnes chargées de ces processus.
A cet égard, les catastrophes ne se comptent plus : Challenger, Tchernobyl, l’« Exxon Valdez» illustrent autant de manquements dans les processus de sécurité ou de transport et de carences chez les dirigeants.
Dans le domaine de la finance, les exemples de Barings, BCCI, Crédit Lyonnais, Sumitomo sont également dus à des dysfonctionnements dans des processus, provoqués intentionnellement ou non par des personnes.
Après l’environnement et la fiscalité, le domaine qui a le plus suscité de lois est celui de la santé et de la sécurité. Pourtant on ne l’évoque que rarement lorsqu’on parle de gestion du risque.
En fait, le respect des normes en matière de santé et de sécurité est vital non seulement pour le bon déroulement des processus, mais aussi pour la réputation de la société et ses performances.
Depuis peu, la sécurité et la santé paraissent remonter dans l’estime des entreprises. Mais ces deux domaines n’ont pas encore le même prestige que d’autres. Des enquêtes récentes montrent en effet que la question figure aujourd’hui davantage parmi les priorités des dirigeants.
Dans une étude commandée par le British Safety Council (Conseil britannique de la sécurité) , une agence d’études de marché a évalué l’opinion de 102 administrateurs de grandes sociétés britanniques, tous secteurs confondus, en matière de santé et de sécurité.
Il en ressort que l’une comme l’autre déterminent en grande partie les performances. Les chiffres montrent que ces deux domaines ont un rapport étroit avec les résultats (prime d’assurance, chiffre d’affaires ou bénéfice).
Mais l’étude montre aussi qu’elles ont un rapport incontestable avec des notions plus intangibles telles que l’image de marque, le moral des employés et la satisfaction des clients.
Dans une autre étude (elle aussi financée par le British Safety Council) , les enquêteurs ont longuement interviewé un petit échantillon d’administrateurs.
Ils se sont aperçus que la santé et la sécurité sont prises au sérieux au niveau du conseil d’administration, dans la mesure où elles peuvent menacer la réputation et les bénéfices d’une entreprise.
Les dirigeants estiment de plus en plus que la culture d’entreprise doit intégrer ces deux préoccupations et que de bons résultats en la matière sont un sujet de fierté.
La santé et la sécurité ne relèvent pas du simple souci de respecter la loi. Dans les entreprises les plus complexes, elles ne sont plus considérées comme une fonction séparée, mais intégrées dans des initiatives plus globales ayant pour but d’accroître la productivité, la compétitivité et la rentabilité.
Les questions de santé et de sécurité ont une grande importance dans les entreprises et pas seulement pour des raisons d’ordre moral.
Elles recèlent une force économique réelle et permettent de détecter des comportements qui, s’ils ne sont pas contrôlés, peuvent porter préjudice à la situation financière de la société, directement ou indirectement en affectant d’abord son image de marque.
Un autre aspect du risque d’exploitation est le risque qualité. Mettre sur le marché des produits ou des services crée des obligations à la charge de tous les professionnels participant de l’activité économique, à savoir producteurs, industriels mais aussi importateurs, exportateurs, distributeurs, etc.
Le contrôle de la qualité des produits et services a traditionnellement, en France depuis le début du siècle, été assuré par les pouvoirs publics. L’actualité de ces dernières années, les a d’ailleurs incités à renforcer leurs contrôles.
Ce renforcement relativement récent des moyens de contrôle sanitaire tant au niveau national qu’européen ne doit pas faire oublier que, depuis les années 1980, c’est vers une responsabilisation des entreprises et une prise en charge par elle-même des contrôles qu’a tendu la politique des pouvoirs publics.
De plus, l’arsenal juridique français comporte plusieurs dispositions à caractère obligatoire qui imposent aux entreprises elles-mêmes de mettre en place des moyens de contrôle interne permettant de veiller, à titre préventif, tant sur la qualité que sur la sécurité de leurs produits ou services.
Les intervenants au mécanisme de production sont de plus en plus conscients de la nécessité de mieux appréhender la gestion des risques que peut provoquer la fabrication de produits.
La charge financière que peut engendrer la survenance de dommages corporels ou matériels est telle que la société a intérêt à ce que la victime trouve face à elle un débiteur solvable. L’assurance est une solution.
C’est dans ce contexte que le législateur a imposé pour certaines activités, la souscription d’assurances obligatoires (notamment dans le domaine de la construction) .
Ainsi, lorsque le législateur intervient pour soumettre un certain type de risque à l’obligation d’assurance, il impose aux assureurs d’accorder des garanties minimums qui sont souvent refusées en temps normal et peut interdire les plafonds d’indemnisation, ce qui constitue une garantie d’indemnisation très forte pour la victime d’un dommage.
Toutefois, aucun régime d’assurance obligatoire n’est actuellement prévu pour les activités de production dites « à risque », telle que l’industrie chimique, agro-alimentaire, pharmaceutique, etc.
En l’absence de telles mesures, les entreprises vont assurer leur risque de responsabilité civile en fonction de leur propre appréhension du risque, avec l’aide de l’assureur. L’octroi et la souscription des garanties sont soumis au principe de la liberté contractuelle sous réserve des dispositions impératives du Code des assurances.
Les entreprises vont donc rechercher à couvrir leur responsabilité civile :
- Pendant le processus de fabrication et de production pour les dommages causés aux tiers ou aux salariés de l’entreprise : ce sont les assurances dites de responsabilité civile exploitation
- Après la livraison pour les dommages corporels, matériels ou purement économiques causés par les produits fabriqués par l’entreprise : ce sont les assurances dites de « produits livrés ».
Ces garanties sont souvent regroupées dans un seul et même contrat d’assurance. S’agissant des garanties de responsabilité civile après la livraison, le producteur devra s’assurer de l’adéquation du risque assuré à ses besoins et notamment il devra veiller à ne pas avoir de « trous » de garantie.
L’une des exclusions les plus ignorées par les assurés est celle du dommage causé au produit lui-même. Sont seuls couverts les dommages causés par le produit à des biens ou à des personnes et non les dommages causés au produit.
En effet, les assureurs considèrent qu’ils ne doivent pas assumer les risques qui sont inhérents à l’activité de l’industriel. Il s’agit de risques dits d’entreprise qui relèvent de l’activité normale de l’entreprise. L’entrepreneur doit pouvoir les assumer seul.
Pourtant, l’absence de garantie du défaut du produit lui-même pose un véritable problème pour certaines entreprises dont le risque majeur de mise en cause de leur responsabilité réside dans le défaut de qualité du produit.
En effet, il arrive que le seul dommage causé au tiers ne soit pas un dommage à sa personne ou à ses biens mais résulte bien de la perte du produit lui- même (exemple : tissu effiloché) .
Le mode d’indemnisation le plus utile pour le producteur comme pour l’assureur est soit de remplacer le produit soit de le réparer.
En l’absence de garantie sur le produit livré, le producteur devra assumer seul ce coût. Or, lorsque le producteur se livre à une production de masse, c’est toute sa production qui peut être endommagée et la survie de son entreprise peut en être compromise.
D’où l’intérêt de vérifier que le contrat d’assurance couvre la prise en charge des frais de réparation, de remise en état voire de remplacement de la marchandise.
Ces quelques exemples de garanties démontrent que l’assureur est le partenaire indispensable du producteur pour supporter les nouvelles contraintes qui s’imposent à lui.
Toutefois, une bonne couverture du risque suppose nécessairement l’identification des risques et la négociation de garanties parfaitement adaptées à la situation de chaque entreprise.
- Le risque réglementaire
Les sociétés industrielles sont aujourd’hui soumises à un nombre croissant de réglementations et de normes techniques. Ces normes et réglementations ont une importance financière et stratégique décisive : en effet, tout changement de ces normes peut avoir des conséquences lourdes.
Il peut générer un coût important de mise aux normes des installations, en particulier pour ce qui concerne l’environnement, il décide de la pertinence des investissements portant sur des technologies, dont la durée d’amortissement est parfois longue, et il décide aussi de la pertinence des investissements portant sur des sites industriels ou des sociétés.
Plus encore, la réglementation liée au produit peut être stratégique : certains produits jusqu’alors d’usage courant peuvent être plus ou moins brutalement interdits ou leur usage alourdi par des précautions coûteuses et, au fur et à mesure que l’on remonte dans la chaîne des fournisseurs, c’est le produit lui-même et non plus un de ses composants qui peut être interdit.
On peut à cet égard citer le cas des abats de boeuf, mais l’amiante a aussi fait l’objet de ce type d’interdiction, et chaque jour de nouveaux produits comme le PVC ou le chrome hexavalent font l’objet de restrictions d’utilisation dans les produits.
Le risque réglementaire est décisif, il faut donc le veiller. Il va donc sans dire que la veille réglementaire est de plus en plus indispensable, en ce sens qu’elle permet d’anticiper les modifications de la réglementation, et donne le temps de s’adapter en développant de nouvelles stratégies industrielles ou des alternatives technologiques.
Elle donne aussi les moyens de communiquer avec les pouvoirs publics sur des aspects désormais stratégiques de l’activité des industries.
La veille réglementaire est compliquée par la multiplication des sources et sa liaison avec l’actualité. En effet, outre les niveaux national et communautaire d’édiction des réglementations, il faut considérer les niveaux normatifs français (AFNOR) , communautaire (CEN) ou international (ISO) .
De toute façon, le principe de précaution tend à responsabiliser le producteur même en l’absence de réglementation.
2.3) Classification des risques
Il existe de nombreuses nomenclatures de risques. Mon objectif n’est pas de toutes les présenter, mais d’en présenter quelques-unes (cf. Annexe 1).
