Prévention.

Confrontés à des dangers multiples, les industriels ont tout intérêt à recenser
l'ensemble des situations qui peuvent mettre en péril leur organisation.
Attentats sanglants contre des intérêts occidentaux, intervention brutale des autorités russes
dans le fonctionnement des affaires, envolée de l'euro qui pénalise les exportations françaises...
Pour les industriels, l'évaluation des risques auxquels ils peuvent être confrontés est devenue un
exercice hautement aléatoire et particulièrement mouvant. Selon le premier baromètre du riskmanagement, réalisé par la société de conseil Proviti auprès de 100 directeurs financiers (1), le
reporting en la matière demeure encore notoirement insuffisant. 40 % des entreprises françaises
interrogées confient n'avoir pas encore mis en place de tableau de bord dédié aux risques, moins
d'une entreprise sur deux réalisant une véritable cartographie.
Ce nouvel outil a fait son apparition dans les sphères hexagonales industrielles, il y a quelques
années seulement. Son objectif ? Représenter et hiérarchiser l'ensemble des situations qui
peuvent menacer une organisation, d'un incendie dans un entrepôt à la défaillance d'un client
important en passant par une flambée du prix des matières premières ou le départ d'un homme
clé.

Première phase de la démarche : l'identification
« La cartographie constitue pour le responsable de la gestion des risques aussi bien un outil de
pilotage des risques qu'un moyen de communication sur ceux-ci », définit Marc Sabatier, associé
chez Sterwen Consulting, cabinet spécialisé dans la maîtrise des risques. « Pour l'entreprise et
les parties prenantes à son environnement (actionnaires, autorités réglementaires...), ce support
permet d'appréhender les risques critiques dans un contexte de contraintes de plus en plus fortes
- loi de sécurité financière, loi sur les risques industriels, loi NRE - et d'apparition de dangers
inconnus auparavant, confirme Guillaume de Chatellus, responsable de l'activité maîtrise des
vulnérabilités de l'entreprise chez le courtier Gras Savoye. Et il fournit aussi aux assureurs une
visibilité indispensable pour l'optimisation financière des programmes d'assurance ».
Première phase de la démarche : l'identification. Celle-ci peut être obtenue de deux manières
différentes. Soit selon la méthode dite « bottom-up », qui consiste à effectuer une remontée des
risques du terrain vers les personnes en charge de l'élaboration de la cartographie. Soit selon la
méthode « top-down », où le responsable descend chercher l'information. Dans le premier cas, le
travail est effectué de manière relativement libre et ouverte par les personnes les plus proches
possibles de l'activité, généralement sous la forme d'interviews. Exemple chez Total, lors de
l'élaboration d'une cartographie à l'échelle d'une division, d'une branche ou d'une business unit. «
Des managers de l'entité sont rassemblés dans un laps de temps assez court - une journée en
général - pour lister les principaux risques critiques affectant leur activité. Puis, ils sont invités à
s'exprimer sur deux dimensions : ce risque est-il majeur ou non ? Est-il bien maîtrisé ? Grâce à
cette auto-évaluation, le patron de l'entité qui a dirigé la démarche partage avec son équipe une
vision commune de l'entreprise. C'est une excellente manière de faire du « team building »,
affirme Michel Piaton, directeur de l'audit groupe du géant pétrolier. Par souci d'efficacité, les
spécialistes conseillent d'utiliser une grille déterminée à l'avance afin de s'assurer que tous les
types de dangers possibles seront bien évoqués au cours des interviews.
Chez Areva, qui a entamé un processus de cartographie depuis deux ans et qui est en train de
réaliser une deuxième « édition » au niveau des établissements, des business units et des
principales filiales (Cogema, Framatome-ANP...), la direction des risques et assurances a élaboré

Si la mise en place d'un « firewall » permet assurément de diminuer la probabilité d'intrusion. un groupe pétrolier. nous utilisons les définitions fournies par les normes ISO afin de disposer d'un vocabulaire connu des opérationnels et international. peut considérer le risque géopolitique comme « acceptable » dans la mesure où il n'a guère le choix de délaisser une région concentrant une part substantielle des réserves d'hydrocarbures. souligne Alphonse Kugeler. En fonction de ce postulat. le « firewall » ne permettra en rien de réduire les dégâts possibles. nous avons repris des définitions courantes ou celles des assureurs. Selon l'ampleur du projet. La mise en place de cloisonnements intérieurs ignifuges permettra . directeur des risques et assurances du groupe. alors qu'une multinationale vendant des biens de consommation dans le monde entier pourra surseoir à d'éventuels projets dans la région. si cette dernière réussit. il est possible d'agir sur ses deux composantes. Deux composantes : la probabilité et la gravité Ainsi. précise Guy Lamand. senior vice-president business risk control chez Arcelor. courtiers. la probabilité et la gravité. direction des risques).. constitue la principale source d'informations ». responsabilité civile. un certain nombre de plans d'actions seront élaborés. « Il est possible d'agir sur les deux ». risque partenaire. Dans ce cas. dans ce cas. présent dans le Moyen-Orient agité d'aujourd'hui. écrit le chercheur Gilbert de Mareschal (2). où chaque risque est défini et des exemples précis détaillés.. risque fournisseur. Derrière chaque risque.). Pour un même type de cartographie. Autre cas : le risque incendie d'un hangar de stockage de produits inflammables qui ne possède pas d'aménagement intérieur.. « Pour diminuer le risque.). « Dans bien des cas.une procédure de référence : le BRM (Business Risk Model). poursuit Gilbert de Mareschal. en revanche. il est important de déterminer les zones « inacceptables ». une structure réunissant à la fois l'audit et la gestion du risque et qui pilote les cartographies du groupe à tous les échelons. en allouant certaines ressources pour améliorer le profil des risques ». experts thématiques). l'identification s'effectue de manière plus fermée. « Bien entendu l'ensemble des acteurs opérationnels. Les exemples sont toujours pris dans le contexte de nos activités. soit en externe (consultants. risque politique. les pilotes de la cartographie se trouvent soit en interne (audit interne. Ce seront certes autant d'ordinateurs qui ne pourront être touchés par une intrusion mais cela ne diminuera en rien la probabilité d'intrusion sur le réseau.. Si l'intérêt d'une cartographie réside en ce qu'elle peut aider à déterminer de manière optimale les actions correctives à mettre en place pour améliorer le profil des points sensibles. la déconnexion d'un certain nombre d'ordinateurs du réseau permettra de réduire la gravité du risque. responsables de la gestion effective des risques. alors que la méthode « top-down » est généralement plébiscitée pour des cartographies thématiques (environnement. la détermination de ces seuils dépendra de l'activité de l'entreprise concernée et de son « appétit » pour le risque. L'identification « bottom-up » est souvent utilisée pour une cartographie globale. Le processus ne constitue pas une fin en soi Si l'on décide d'agir sur la gravité. dommage. Pour les risques n'ayant pas de définition normée ( risque client. tout manager doit réfléchir à son évaluation et à la façon de le traiter ». informatique. qui utilise l'exemple d'une intrusion informatique. le sujet ciblé pouvant permettre l'élaboration de questionnaires relativement exhaustifs par les personnes en charge de la démarche. « acceptables » et « pleinement satisfaisantes ».

prévient Guillaume de Chatelus. peut être bénéfique en elle-même par la diffusion d'une culture et d'un langage commun sur les risques. puisque le cloisonnement isole les produits stockés de tout échauffement extérieur. il s'agit d'un processus itératif qu'il convient de faire vivre. insiste Jean-Pierre Girault. d'indicateurs et d'outils informatiques pour le suivi des risques spécifiques.de réduire la probabilité. à la direction des risques et assurances chezSchneider Electric. en diminuant le risque de départ de feu. de les réajuster éventuellement et d'en définir de nouveaux. la situation a évolué ». elle est souvent déjà fausse car. L'éla. Il réduira aussi la gravité en diminuant le volume de produits détruits en cas de feu. la cartographie aura pour mérite d'observer l'impact des plans d'actions. Modifiée en permanence. « Ce n'est pas une fin en soi. Cela peut se décomposer en la mise en place d'une procédure de contrôle récurrente. « La cartographie des risques n'a d'intérêt que si elle constitue le point de départ d'un processus de traitement des risques. directeur de la gestion des risques chez Schlumberger. lorsque la cartographie est prête. Etant donnée la durée de mise en oeuvre d'un tel projet.boration de la cartographie. qui fait figure de photographie à un instant donné du profil des risques. entretemps. comme le rappelle Chris Lajtha. » . il sera contenu par le cloisonnement. car si celui-ci démarre en un point du stockage. mais son aspect statique constitue incontestablement son point faible. Cependant. la cartographie des risques ne doit rester qu'un des éléments de la palette de vigilance face aux incertitudes du monde économique. de plans de réduction et de financement ». « auto-diagnostic sur les faiblesses internes de l'organisation et à ce titre outil fort utile pour le management.