Le 11 janvier 2023, une vingtaine de directeurs de sécurité ont réfléchi, sous l’éclairage d’un expert en Risk management et en collaboration avec 3 Risk managers, sur « Risk-management et sécurité-sureté ».
1. Axes de réflexion
- Trois approches distinctes et corrélées : menaces, vulnérabilités, risques ! Le risque, assimilé- négatif, est inhérent à l’entreprise qui prend, en continu, des risques pouvant devenir positifs si la réussite en est l’issue !
- Le Risk management mériterait-il de constituer une préoccupation stratégique dans le monde de l’entreprise ? Porter une attention toute particulière au périmètre et aux objectifs du Risk management ne permettrait -il pas à un dirigeant d’entreprise de veiller, au mieux et par anticipation, à la pérennité de son entreprise ?
- Qui doit assumer la fonction « Risk Manager » pouvant devenir une fonction clé en entreprise ?
- Quelle coopération peut-on imaginer entre le Risk manager et le directeur de sécurité ?
2. Triptyque : menaces – vulnérabilités – risques -
La menace correspond à tout ce qui pourrait perturber la vie de l’entreprise en fragilisant son patrimoine (business, humain, production, …) ; trois types identifiables : Intentionnel (terrorisme, vol, mouvements sociaux, …), non intentionnel (incendie, panne, conformité, guerre, …), naturel (météo, sismique, …).
- La vulnérabilité correspond à une faille, une fragilité et/ou une faiblesse de l’entreprise et peut être liée à l’organisation, à l’architecture (cyber, …), aux personnels, à la méconnaissance, l’absence de préparation. La réduction des vulnérabilités passe souvent par l’audit pour les identifier et se concrétise par des actions de bon sens : renforcer les « murs », limiter les effets d’un incident, instruire la gestion des risques, former.
- Le risque, notion subjective, correspond à l’occurrence et/ou la probabilité que la menace engendre un évènement grave déstabilisant l’entreprise. Le risque provient de l’application d’une menace sur une vulnérabilité. Le risque demeure une perception singulière, différente selon les sociétés et les individus.
3. Concept du Risk management
- Le Risk Management, concept polymorphe, se rapporte à la gestion de tous les risques identifiés qui pèsent sur l’entreprise et ne doit pas être confondu avec la gestion de crise.
- La définition de la cartographie des risques est étroitement liée au domaine financier. Sachant que l’on ne peut que tendre vers le risque zéro, la perte financière demeure le déclencheur de la parade au risque retenu. Quand les solutions matérielles et immatérielles possibles ont toutes été imaginées, l’assurance demeure une voie à explorer pour réduire la perte effective.
- Le Risk manager doit identifier les risques, les matérialiser, les enregistrer, les analyser, les classer, fixer les exigences de sécurité, organiser et concevoir le plan d’actions de sécurité.
- Le classement doit s’effectuer selon des critères économiques, de conformité, de valeurs financières, de réputation, d’enjeu opérationnel, de concurrence. La pondération doit s’appuyer sur la probabilité, la provenance, la gravité, le poids des évènements potentiels.
4. Risk manager et directeur de sécurité
- En aval des recommandations du Risk manager, les porteurs des risques dans l’entreprise devront mettre en œuvre les mesures de réduction des risques, en supprimant au maximum les vulnérabilités connues.
- Sachant que le scope du Risk Manager déborde le domaine de la sécurité-sureté stricto sensu, la co-construction des solutions sera un gage de cohérence et de complétude car le directeur de sécurité reste le plus au fait de l’évolution des menaces potentielles.
- Un directeur de sécurité peut être le Risk manager des risques sécuritaires mais non de tous les risques !
- Le Risk manager, en collaboration étroite avec le directeur de sécurité, doit anticiper en permanence ; ce binôme est chargé d’éclairer et conseiller leur hiérarchie sur les menaces présentes et les risques résiduels que l’entreprise doit être en mesure de supporter. Ils constituent le tandem le plus crédible pour aider la direction générale à gérer les risques et être en mesure, le cas échéant, de manager les crises.
