Les entreprises sont de plus en plus amenées à faire face à des crises de différentes natures: cyber-attaques, accidents climatiques, problèmes causés par des tiers… Comment s’y préparent-elles ? Comment font-elles pour les éviter, mais aussi limiter leurs impacts quand elles sont inévitables ? Telles sont les questions soulevées par Deloitte dans une étude publiée en octobre 2018. Explications de Sonia Cabanis, associée Risk Advisory.
Pourquoi avoir consacré une étude à la façon dont les entreprises gèrent les crises et y survivent ?
Chez Deloitte(1), nous constatons que cette question préoccupe de plus en plus les entreprises. Depuis plusieurs années, un nombre croissant d’entre elles exprime un besoin d’accompagnement sur ce terrain, notamment lorsqu’il s’agit de préparer et d’effectuer des exercices de simulation de crise. Cela concerne absolument toutes les tailles d’entreprises et tous les secteurs d’activité.
Du reste, notre étude elle-même confirme cette tendance : près de 60 % des répondants estiment que les entreprises sont confrontées à davantage de crises aujourd’hui qu’il y a 10 ans.
Cette étude mondiale(2) a été réalisée auprès de plus de 500 responsables de la gestion des crise et des risques opérant dans des entreprises du secteur privé. De qui s’agit-il précisément ?
Cela dépend des organisations et des domaines d’activité. Cette responsabilité est souvent associée à d’autres fonctions. Dans les entreprises industrielles, il s’agira majoritairement de la fonction qui gère les risques ou de celle en charge des questions de sûreté/sécurité, alors que dans le secteur de la banque et de la finance, la gestion de crise sera surtout du ressort de la direction des systèmes d’information. Et bien souvent, la communication est en première ligne lorsque survient une crise.
Pourquoi les entreprises sont-elles de plus en plus préoccupées par ce sujet ?
Parce qu’elles sont davantage susceptibles de devoir gérer des crises de différentes natures, dont certaines peuvent avoir des impacts très importants. Aujourd’hui, les principales crises sont liées à des incidents cyber. Les entreprises se préparent donc tout naturellement à gérer des cyber-attaques. Dès lors qu’elles sont sensibilisées à ce risque, elles s’intéressent aussi aux enjeux que représentent les autres risques en matière de gestion de crise : inondation, incident climatique, crise de réputation, etc.
Pourquoi évoquez-vous dans l’étude, les “risques de l’entreprise étendue” ?
Cette notion signifie que, depuis quelques années, de plus en plus d’entreprises rencontrent des crises survenues du fait de tiers. En effet, elles tendent aujourd’hui à opérer au sein d’écosystèmes toujours plus complexes. Dans le domaine des achats, par exemple, elles sortent des relations binaires fournisseur/client pour instaurer plutôt des logiques de partenariat et de co-construction. Il en est de même pour la recherche et le développement avec les approches du type open innovation. Dans le même temps, la contrainte réglementaire se renforce en matière de gestion des risques des tiers. La Loi Sapin 2, notamment, ou encore celle relative au devoir de vigilance obligent les entreprises à assurer une traçabilité maximale de leurs processus et à contrôler les risques sur toute leur chaîne de valeur.
Le tout, évidemment, dans un contexte où les réseaux sociaux, qui changent considérablement la donne en termes de visibilité, peuvent accélérer et amplifier les effets des crises.
Quels principaux enseignements peut-on tirer de cette étude ?
Elle met tout d’abord en évidence l’importance de la préparation. Si la prévention est bien sûr primordiale, toutes les crises ne peuvent pas être prévenues ou prévues. Celle, par exemple, du volcan islandais qui a paralysé le trafic aérien européen durant plusieurs jours, en 2010, était a priori totalement impondérable. D’où l’intérêt de préparer, de définir à l’avance quelle sera la réaction de l’entreprise si une crise n’a pas pu être évitée. Comment limiter son impact ? Comment empêcher une propagation rapide ? Comment ne pas avoir à improviser ? Les répondants nous confirment combien il peut être salutaire, notamment, de s’être exercé, d’avoir simulé des crises.
L’étude pointe également le rôle capital joué par les dirigeants. Selon eux, souvent, il ne s’avère pas simple d’aborder l’exercice de la crise. 25 % des sondés citent pourtant l’efficacité de la direction et de la décision comme un paramètre clé en de telles circonstances. À l’évidence, il y a un vrai travail à faire en termes d’apprentissage et d’entraînement. Cela concerne les hauts dirigeants, mais aussi d’autres managers que les crises peuvent amener à endosser des responsabilités très différentes de celles qui leur reviennent au quotidien.
Qu’en est-il des tiers ?
Leur implication croissante dans les fonctionnements de l’entreprise est logiquement considérée comme porteuse de nouveaux risques, mais elle est aussi vue comme un atout. Ainsi, 51 % des répondants déclarent avoir effectué des exercices de simulation de crise avec des fournisseurs, des clients ou autres parties prenantes. C’est assez nouveau car jusqu’ici toutes ces questions étaient plutôt traitées en interne, dans une logique “confidentielle”. Mais aujourd’hui, les entreprises comprennent qu’en impliquant les autres acteurs de leur écosystème, leurs simulations et leurs plans de gestion de crises gagnent considérablement en réalisme et en efficacité. Nous y voyons une évolution très positive.
Sonia Cabanis en bref
Au sein de Deloitte France, Sonia Cabanis est spécialisée dans la mise en œuvre de dispositifs de gestion des risques. Elle aide les entreprises à renforcer leurs systèmes de ERM (Enterprise Risk Management) et de contrôle interne, à implémenter leurs processus de gestion de crise et de continuité d’activité, et à structurer leur audit interne. Elle est également en charge de l’offre de gestion des risques de tiers, allant de la conduite d’audit de tiers à la mise en place de systèmes TPRM (Third Party Risk Management).
(1) Deloitte est l’un des quatre plus importants cabinets d’audit et de conseil mondiaux.
(2) Les 523 participants sont des responsables de la gestion de crise, de la continuité des activités et des risques qui occupent des postes de direction (mais inférieurs au conseil d’administration). Ils travaillent au sein de grandes entreprises du secteur privé affichant un chiffre d’affaires mondial annuel d’au moins 5 milliards de dollars pour les entreprises basées aux États-Unis et d’au moins 1 milliard de dollars pour tous les autres pays. Cette étude a été menée dans 20 pays de 5 régions mondiales : Amérique du Nord (109 sondés), Amérique latine (114), Europe (106), Moyen-Orient/Afrique (69) et Asie-Pacifique (125).
