|
Envoyer à un ami |
Version à imprimer |
Version en PDF
La vulnérabilité
en entreprise Préalablement à la définition de I 'intelligence des
vulnérabilités, il convient de définir ce qu'est la vulnérabilité dans le monde
de I 'entreprise.
La vulnérabilité est en lien direct avec la notion de risque. Si le risque se concrétise, I' entreprise devra y faire face. Son challenge étant alors simple : surmonter les conséquences du risque survenu, ou disparaître. Hors de toute option de financement prise préalablement, elle ne pourrait opposer aux conséquences du risque survenu que ses fonds propres, c'est-à dire la partie haute du passif du bilan constitué du capital, des réserves. Or, nous pouvons aisément imaginer, face a la multiplicité des risques auxquels I 'entreprise est soumise, que ses fonds propres sont toujours largement inferieurs au cumul des risques encourus. L'existence de l'entreprise est rendu possible par le seul fait que les risques auxquels elle est exposée ne se déclenchent jamais simultanément. La vulnérabilité d'une entreprise, se définit comme l'écart entre le niveau des risques potentiels et le niveau de ses fonds propres. Si les conséquences de la survenance d'un risque sont supérieures aux fonds propres dont dispose I'entreprise pour y faire face, la pérennité de I'entreprise est menacée. Mais la règle inverse n'est pas applicable : la capacité d'une entreprise à supporter la survenance d'un risque grâce a ses seuls fonds propres ne lui assure pas de survivre. En effet, ses ressources financières ont bien d'autres finalités que la simple couverture des risques. L'INTELLIGENCE DES VULNERABILITES L'environnement humain, technologique, économique et naturel impose au chef d'entreprise d'avoir une vue globale des vulnérabilités qui guettent son entreprise. La gestion des risques se nourrit d'une chronologie d'informations et s'inscrit dans une dynamique de management et d'analyse de scénarios possibles. L'intelligence des vulnérabilités s'inscrit dans une déclinaison de l'intelligence économique. A cet effet, I'intelligence des vulnérabilités s'appuie sur ses composantes pour appréhender et gérer les risques en amont jusqu'a leur survenance en y faisant face, dans un objectif de pérennité d'exploitation et de compétitivité. L'intelligence des vulnérabilités est I' ensemble des moyens qui, organisés en systèmes de management de la connaissance par recours a I' intelligence collective, produit de l'information utile à la prise de décision face aux risques, afin d'anticiper, surveiller et protéger I' entreprise contre toute situation présente et future qui mettrait en cause la continuité de son exploitation. Alors que l'intelligence économique est tournée vers l'environnement externe, et le knowledge Management vers l'environnement interne à l'entreprise, l'intelligence des vulnérabilités embrasse ces deux environnements, puisque pour ce concept, les risques de l'entreprise peuvent provenir du dedans et du dehors de ses murs. La mise en place d'un dispositif d'intelligence des vulnérabilités qui est présenté s'articulera en deux phases: Une phase de diagnostic par I' identification, 1'évaluation, la hiérarchisation et la cartographie des risques pour les PME/PMI; Ce diagnostic trouve son origine dans un questionnement simple pour I'entreprise fondé sur le bon sens: quels sont les dangers et les risques actuels et émergents auxquels elle est exposée ? quels sont les moyens de protection ? dispose-t-elle des meilleurs sous-traitants, prestataires, structures, technologies, systèmes, assureurs et experts en la matière ? quelles sont les failles, incohérences, urgences et insuffisances du système actuel ? quelle est la qualité de son partenariat ? quel degré de fiabilité doit-elle accorder à ses méthodes de recensement, d'évaluation et de gestion préventive du risque une phase de mise en place d'une mission de prévention et de protection. A ce stade, le principe d'anticipation doit être présent dans tous les domaines de la protection sans exception. II doit être particulièrement manifesté dans la gestion des compétences, spécialement en ce qui concerne les hommes clés. Ainsi, dans une PME/PMI, le départ inopiné, le débauchage par un concurrent, voire la disparition d'un cadre «clé», doivent pouvoir être assurés sans mettre en péril l'entreprise grâce à une gestion prévisionnelle des effectifs et des compétences. Une culture de prévention semble nécessaire et permet d'éviter des solutions retenues hâtivement qui sont généralement insuffisantes, couteuses et parfois mêmes dangereuses. La réactivité en matière de sécurité ne s'improvise pas. La solidité d'un système de protection est toujours celle de son «maillon le plus faible». Ce maillon faible est-il humain, technologique, social, financier, juridique ou informatique ? La Perception de I' environnement et I' analyse des informations permettent la détection de ces Maillons faibles des I' apparition des premiers signaux émergents. II convient d'être toujours a I'écoute de ces premiers bruissement Les particularités des PME/PMI a) Les PME/PMI ne sont pas des grandes entreprises. Nous entendons par PME, les entreprises qui entrent dans les seuils définis au sens européen. Petites entreprises : effectif 10 à 49 salariés Moyennes entreprises : effectif 50 à 250 salariés Les PME/PMI constituent un terrain particulièrement pertinent pour la mise en place d'un dispositif d'intelligence des vulnérabilités, et notamment dans son accompagnement par I'expert-comptable. Les PME/PMI ne doivent pas être considérées comme des grandes entreprises. En effet, de nombreuses différences distinguent fortement le monde des PME/PMI de celui des grandes entreprises, et ont un impact décisif à la fois sur la définition du système d'information et sur le processus de prise de décision de ces deux catégories d'entreprise. Au risque de présenter ces différences de manière quelque peu succincte, I' expérience montre que les processus de décision sont en général peu formalisés dans les PME/PMI, même pour des décisions non-stratégiques, tactiques, voir opérationnelles : l Au sein des PME/PMI, les mêmes décideurs doivent en permanence faire face a des situations nécessitant des décisions de type et de portée très variés, la faiblesse de I' effectif d'encadrement ne permettant pas une réelle spécialisation des hommes par niveau de décision ; la coordination de la grande entreprise avec son environnement et l fortiori avec le système qu'elle constitue autour d'elle (entreprise réseau) fait I'objet de procédures bien établies, parfois même de routine. Ceci est plus rarement le cas des PME/PMI dont I' architecture relationnelle est moins nettement définie ou délimitée ; dans les grandes entreprises, la mobilisation de compétences pour résoudre des problèmes inédits, est gérée de manière relativement codifiée, ou, en tous cas explicitée, alors que le plus souvent elle est tacite ou gérée «sur le tas» dans les PME/PMI. L'ensemble de ces éléments de caractérisation des PME/PMI a des incidences fortes sur leur système d'information et de prise de décision, justifiant une approche en termes d'intelligence économique spécifique, et au minimum, différente de celle des grandes entreprises. Les PME/PMI, et en particulier les plus petites d'entre elles, n'ont en général pas de personne en charge de 1'intelligence économique et de la gestion des risques, ni même de responsable de la gestion de leur système d'information. Connaître I'entreprise et son environnement est d'une impérieuse nécessité. Apprehender, comprendre I'etat du marché, la position des concurrents sur celui-ci, est fondamental. II n'est pas suffisant, loin de là, de connaître son produit, d'estimer la progression de sa production, de savoir vanter les spécificités, les avantages de ses produits, pour faire vivre et survivre une entreprise. Celle-ci et son «ecosystème» sont composes d'une myriade d'éléments facteurs de risques, mais également d'opportunités pour celui qui sait identifier, écouter, capter les signaux faibles, qui non décelés peuvent se reveler porteurs de risques ou de perte d'opportunités. l'intelligence des vulnérabilités doit répondre aux exigences qu'impose la multitude de risques que I'entreprise génère et qui I'entoure. Ainsi, I'entreprise se doit: de maîtriser sa sphère d'activité et son environnement immédiat; de connaître son environnement direct; d'etre à I'ecoute de son environnement indirect. La demarche d'intelligence des vulnérabilités est une méthode d'analyse structurée. En effet, une méthode s'impose car, dans un environnement plus mobile et totalement ouvert au monde, les compétences et les energies du personnel des entreprises doivent nécessairement être mieux fédérées pour pouvoir développer une intelligence collective, vecteur de performance. Cela passe par des réseaux d'échange pertinents au sein et en dehors de I'entreprise. La méthode se justifie par plusieurs considerations, entre autres : le dirigeant, seul décideur, ne doit pas perdre la moindre ressource pour asseoir ses choix. Une part essentielle de la connaissance se trouve en général dans l'entreprise, il suffit, dans une première phase de l'organiser; I'action du personnel est largement valorisée par une implication active au processus d'elaboration des solutions. Celui qui situe mieux son rôle au sein de sa fonction, sera plus pertinent dans sa contribution; Enfin, si I'entreprise n'adopte pas de méthodologie, alors, les concurrents ont un champ d'action plus facile a parcourir: de «conquerant», on devient une «proie». Cette démarche méthodologique passe par trois phases: 1) faire connaitre et montrer les enjeux du concept d'intelligence des vulnérabilités fondé sur une approche alliant gestion des risques et intelligence economique ; 2) proposer des outils d'analyse en vue du diagnostic d'intelligence des vulnérabilités, ce qui nécessite un dossier de travail structuré. Ce dernier suit logiquement la phase de prise de connaissance, d'indentification, d'évaluation et de hiérarchisation des risques, dont la finalité est l'emission d'un rapport faisant état de I'existant en matière de vulnérabilités. Les outils ainsi proposés permettent de : omesurer le risque global qui est la somme des risques endogenes, exogenes, de securité et de sureté ; definir les échelles de fréquences et les indices de gravité ; representer la criticité brute et résiduelle après definition de I'echelle de maîtrise; cartographier les risques et les vulnérabilités de I'entreprise. 3) fournir une démarche méthodologique dans l'elaboration et le pilotage du dispositif alliant prévention et protection au sein des PME/ PMI, qui précède le diagnostic effectué. Cette démarche passe par: la mise en place d'une stratégie compatible avec les moyens de I'entreprise ; la nomination d'un responsable d'intelligence des vulnérabilités; la mise en place d'un réferentiel interne ; le choix à faire pour le traitement des risques et la maîtrise par le recours au contrôle. la mise sous protection du patrimoine par un outil d'aide a la prise de décision ; les actions de prévention par la formation et la sensibilisation ; la mise en place de la veille (elaboration, perception des signaux, lancement de I'alerte); la mise en place de tableaux de bords, par des indicateurs en lien avec les risques identifies, et par I'approche gestionnaire des coûts d'un risque ; le suivi de la detection par I'actualisation du diagnostic, I'audit et les actions correctives; la préparation à la gestion de crise l'intelligence des vulnérabilités favorise le developpement de la capacité à traiter des situations existantes et nouvelles, elle ameliore la reactivité, elle évite les contre-sens en periode de crise, enfin, elle aide à structurer les domaines de la prevention et de la protection des entreprises. C'est assez dire combien l'intelligence des vulnérabilités se révèle un auxiliaire précieux pour permettre au chef d'entreprise, mais également a tout le personnel, d'optimiser leur attitude face au risque dans toutes les fonctions de I'entreprise, d'autant plus qu'aucune de ces fonctions ne doit être considerée comme secondaire. Le maillon faible de I'entreprise peut se trouver là ou il ne pouvait être imaginé. Toutefois Intelligence des vulnérabilités ne règle pas tout, et son examen ne suffit pas pour permettre la performance totale de I'entreprise, mais elle a le mérite d'être un instrument de management au service des décideurs, un mode de pensée, de réflexion et d'action collective, un outil de savoir, de defense et de recherche des menaces qui pèsent sur I'entreprise, comme des opportunités sources de performance et de developpement. Ces actions de prevention et de protection, doivent bien evidemment etre couplées a des actions offensives, telles que la saisie d'opportunités, 1'imagination des tendances, I'anticipation de la concurrence, la conduite d'actions d'influences. Si I'expert-comptable a un rôle important a jouer, dans la mise en place d'un dispositif d'intelligence des vulnérabilités pour les PME/PMI, c'est tout simplement, parce qu'il dispose de nombreux atouts lui permettant d'être au coeur d'un tel dispositif pour sa mise en place. Son approche par les risques, dans le cadre de certaines missions et, notamment, des missions d'audit, sa connaissance des entreprises, son adaptabilité a I'environnement de ses clients, I'etendue de son champ d'intervention, lui confèrent cette vision, et I'experience indispensable qui lui donnent les competences nécessaires pour justifier sa position en tant que conseil pour ce type de mission. II bénéficie également d'un capital confiance auprès des dirigeants, envié d'ailleurs par de nombreux conseils, ce qui lui permet d'acceder a cette mission et de la proposer. Mais au-dela de la competence de I'expert-comptable, I'intelligence des vulnérabilités est un enjeu pour la profession de I'expertise-comptable qui offre un élargissement de son champ d'action au-dela de son coeur de metier, dans un environnement en profonde mutation, dicté par la mondialisation et la dérèglementation. * Expert Comptable et Commissaire aux Comptes |
|