Comment réaliser une évaluation des risques liés à son activité

Dans nos économies soumises à la globalisation, l’entreprise repose sur une logique forte de réseau, d’interconnexion. Les échanges avec son environnement (environnement physique, technique, juridique, économique, social, médiatique…) sont incessants, les dépendances inévitables (fournisseurs, conjoncture économique et politique, opinion publique, intempéries…). 

Cet environnement dans lequel interviennent des acteurs variés aux logiques divergentes tout autant que le hasard est par définition instable, non totalement prévisible. L’entreprise doit savoir en faire un allié. Elle sera d’autant plus forte qu’elle saura entrer en symbiose avec lui, l’apprivoisant, anticipant ses mouvements, s’adaptant  tout en sachant y puiser les opportunités de création de valeur  indispensable, dans une économie hyper concurrentielle, à sa survie.

Dans ce contexte où la prise de risque est génératrice de valeur et où les risques peuvent en même temps affaiblir voire anéantir une entreprise, la détection et l'évaluation des risques deviennent incontournable.

La notion de risque

Classiquement, on considère que pour une entreprise, un risque est ce qui peut entraver son fonctionnement ou déploiement, compromettant l’atteinte de ses objectifs et finalement la création de valeur. Concrètement, un risque peut se matérialiser : 
-sous la forme d’un événement ou d’une conjonction d’événements préjudiciables au patrimoine matériel (infrastructures…) ou immatériel de l’entreprise (savoir faire, notoriété…) et/ou à son activité (services…)

-par une rupture de l’entreprise avec son environnement, un déphasage, qui naît de ce que l’entreprise n’aura pas su évoluer de concert avec les transformations de son environnement (évolution de la réglementation, des normes, du marché, des consommateurs…) ni transformer à son avantage son environnement (en ne réussissant pas à imposer une norme technologique, subissant alors un nouvel environnement défavorable, en laissant s’installer un environnement médiatique préjudiciable…). 
 
Le risque est question de perspective. Un risque pour l’un peut s’avérer une opportunité pour l’autre. De même une mutation dans l’environnement sera une menace si l’entreprise « décroche » en ne s’adaptant pas, neutre si l’entreprise s’adapte ou mieux, une opportunité si l’entreprise sait l’exploiter, en tirant un profit direct qui sera d’autant plus intéressant qu’elle devance ses concurrents. 

La veille des risques ou risk intelligence, même si elle varie selon le secteur d’activité, peut être définie par l’anticipation et la détection de tous les risques possibles pouvant affecter votre organisation et la création de plans d'urgence, de protocoles de réponse et de stratégies de communication.

• Acquérir une connaissance précise de votre environnement et comprendre où vous êtes vulnérable.

• Représenter ou définir clairement vos risques (ce processus peut également être appelé «cartographie des risques», et il comprend généralement la mise en place de vos risques sur un graphique, une carte ou tout autre autre représentation visuelle, c'est un outil essentiel de gestion des risques).
• Surveiller de près vos risques (ou les facteurs qui pourraient se transformer en risques).
• Prendre des mesures stratégiques pour éviter les risques en trouvant des moyens de les prévenir ou en améliorant votre temps de réponse et votre efficacité lorsqu'un risque devient réalité.

• Économique
• Social
• Géopolitique
• Légal et normatif
• Pays
• Écologique
• Technologique
• Sécurité
• Employé / personnel (prévention de la fuite de données)
• Réputation
  

1. Une matrice d'analyse des risques

2. Analyse des risques : Des sujets généraux, mais spécifiques pour mieux détecter les risques

3. Identification des risques : la Cartographie des risques

4. Livrez des informations rapidement

5. La veille risques et sécurité en action

6. Utiliser le "Web Invisible" pour une veille risque encore plus complète

👉sur le même sujet :

Veille e-réputation : Les 3 étapes pour auditer et cartographier votre réputation

Gestion de crise sur les réseaux sociaux : un outil de suivi des parties prenantes

Outil de Gestion de crise sur les réseaux sociaux : Quels KPIs suivre et comment ?

Comment analyser les différentes dimensions de votre réputation de marque

Veille e-réputation : Comment analyser votre réputation de marque avec les bons KPIs

Comment optimiser votre veille des risques géopolitiques ?

Les défis et outils pour gérer le risque de réputation de vos marques

Détecter vos risques de réputation : les matrices et analyses des risques pour les réseaux sociaux

1. Matrice d'analyse des risques

Même si la veille sécurité peut être utilisée à de nombreuses fins, il est important pour les organisations de mettre en place une méthodologie rigoureuse afin de maîtriser ou du moins détecter et anticiper les risques.

1. Faites un brainstorming sur tous les risques possibles pouvant vous affecter, votre organisation, vos partenariats, votre secteur d'activité, votre pays, etc. Impliquez le plus grand nombre de collaborateurs d’autres business units car ils possèdent une excellente connaissance de votre environnement. Lorsque vous identifiez pour la première fois des risques potentiels, n'excluez rien.
2. Une fois que vous avez identifié tous les risques possibles, déterminez comment ces risques pourraient vous affecter. Il faut associer à chaque risque des typologies de risque.

3. Evaluez tous les types de risques selon la probabilité de survenance et la gravité

4. Ecrivez les différents types de scénarii afférents aux risques identifiés, en les graduant selon la facilité de mise en place, les hypothèses d'évolution-réaction favorable et défavorable. 5. Créez des plans pour atténuer ces risques et des plans pour répondre à ces risques dans le cas où vous n'êtes pas en mesure de les arrêter efficacement. 
6. Maintenant, définissez vos paramètres de monitoring pour surveiller ces risques.

Evaluation et hiérarchisation des risques

2. Analyse des risques : des sujets généraux, mais spécifiques pour mieux détecter les risques

Lorsque vous surveillez à des fins de veille sécurité et de détection des risques, vos paramètres de surveillance / recherche seront à la fois considérablement plus larges et incroyablement spécifiques.

La veille sécurité est très différente des autres applications de la veille à cet égard.

Mais où commencer ? Nous avons listé ci-dessous les principales sources que vous devriez inclure dans votre plan de surveillance :

• Nouvelles et changements sectoriels
• Nouvelles réglementations
• Actualités des fournisseurs / fabricants
• Risques pays et géopolitique dans les états où vous opérez
• Menaces de sécurité
• Innovations
• Changements politiques
• Scandales / problèmes éthiques
• Risques naturels / catastrophes
• Risques économiques
• Différence de prix / changements
• Concurrents
• Cyber menaces *

*Notez qu’il est extrêmement difficile d’anticiper une cyberattaque vous visant, mais que vous pouvez vous tenter de vous protéger en répertoriant les types de virus ou cyberattaques les plus récents et en établissant un plan de réponse, en organisant des simulations et stress test.

Cette liste peut sembler au premier abord effrayante :  comment pouvez-vous surveiller toutes ces informations ? Que faire si vous êtes une entreprise de fabrication internationale avec des usines et des fournisseurs dans le monde entier ? Comment surveillez-vous tous ces sujets dans tous les pays où vous opérez ?

3.  Identification des risques : La cartographie des risques 

Soyez organisé et utilisez la technologie, parce que vous n’y arriverez pas tout seul. Comme mentionné précédemment, la cartographie des risques est un moyen de représenter visuellement les risques en fonction de la probabilité qu'ils se produisent.

Lorsque vous menez un projet de veille sécurité et de veille risques, il est fortement recommandé d'utiliser des outils de visualisation des données pour vous aider à suivre toutes les informations.

En connectant votre outil de veille ou social media listening aux outils de visualisation de données (dataviz), vous serez alors en mesure d’établir une carte virtuelle de gestion des risques, ou une sorte de «salle de guerre».

Imaginez que toutes vos informations soient automatiquement importées dans une carte de visualisation de données. Si vous voyez soudainement la ville dans laquelle se situe votre usine s'allumer, vous pourrez rapidement vérifier les mentions et identifier le risque, et dans un second temps mettre en place les plans prédéterminés pour le type de risque en question.

4. Livrez des informations rapidement

Encore une fois, il est fortement recommandé de prévoir suffisamment de temps avant de configurer votre projet de veille sécurité et gestion des risques pour :

1) répertorier tous les risques possibles et 2) déterminer les réponses à tous ces événements à l'avance.

La direction générale devra être fortement impliquée dans ce processus, ainsi plusieurs départements clés (par exemple, votre service de relations publiques devra établir des scénarii de réponses à un accident de travail, une violation d'une nouvelle réglementation ou un problème de réputation en avance).

Pour les livrables, les alertes sont probablement les plus efficaces. Si vous voyez qu'un risque théorique est sur le point de devenir réel, vous n'aurez pas le temps d'attendre une semaine et de créer une newsletter. Vos collaborateurs auront besoin un besoin immédiat d’information à ce sujet. Mettez en place des alertes chaque heure ou par mots-clés spéciaux, et assurez-vous que les parties prenantes reçoivent ces nouvelles alertes afin qu'ils puissent agir rapidement. Toutefois, il est nécessaire de synthétiser toutes les données de surveillance des risques au sein d'un tableau de bord interactif.

5. La veille risques et sécurité en action

Prenons l’exemple d’une société de loisirs implantée en périphérie urbaine, brassant des millions de visiteurs par an.

Penchons nous maintenant sur les risques qu’elle surveille :

• Grèves de transports publics : elles représentent un risque très important car elles paralysent une partie du trafic et peuvent démotiver de potentiels clients à se déplacer.
• Evolution du cours de la pomme de terre : cela peut paraître surprenant mais une partie du chiffre d’affaires du parc de loisirs repose sur la restauration qu’elle fournit à ses visiteurs. Si le cours de la bourse a une évolution défavorable sur le prix des aliments phares, alors les ventes s’effondrent, avec des répercussions financières pour le parc.
• Actualité économique de la région : imaginons qu’un concurrent indirect (par exemple un de centre bien être & aquatique) s’installe à proximité du parc. Ce dernier doit alors évaluer l’impact de ce changement de situation pour pouvoir décider de la nature du risque, des potentielles répercussions et de la stratégie à adopter : est-ce que le parc doit baisser ces prix, proposer de nouveaux services pour contrer ce nouveau concurrent, ou proposer un partenariat pour limiter les effets sur son activité ? C’est à ce genre de questions que doit répondre le risk intelligence.
• Risque employeur : compte-tenu de la nature de son activité, l’entreprise est plus sensible que d’autres aux accidents de travail. Elle se doit donc de faire une veille législative rigoureuse du droit du travail pour s’assurer qu’elle met tout en place pour prévenir ces accidents.

6. Utiliser le "Web Invisible" pour une veille risque encore plus complète

Devriez-vous surveiller le «web invisible» dans le cadre de votre stratégie risk intelligence ? Cela en vaut-il la peine ?

Avant de répondre à cette question, intéressons-nous à la définition du web invisible. 

Saviez-vous que le web invisible représenterait 96 % de l’intégralité du web alors que le web accessible par tous ne représenterait que 4% du contenu ? Imaginez la quantité d’informations disponibles !

Le deep web, ou web profond, est l’internet de tous les contenus qui ne sont pas indexés par les moteurs de recherche (ex : Google, Bing). Il est très difficile d’y accéder sans connaître l’adresse précise.  Le deep web héberge un certain nombre d’informations :

• Base de données utilisateurs
• Intranets d’entreprise
• Sites web protégés par authentification
• Informations académiques
• Records médicaux
• Données bancaires
• Sites utilisant exclusivement des technologies incomprises des robots d’indexation

Deep web et  dark web. Source : Digimind - Aleph

Différents sites peuvent y être trouvés : trafic de drogue, d’armes à feu, transfert d’organes, communications privées, pédo-pornographie, achat de logiciels malveillants etc.

Pour répondre à la question initiale, tous les veilleurs faisant de la gestion des risques et risk intelligence ne trouveront pas forcément une utilité à surveiller le web invisible.

En effet, cela peut représenter des perspectives intéressantes  pour les organisations qui souhaitent surveiller les sujets suivants :

• Commerce illégal
• Trafic de données personnelles / bancaires / santé
• Cyber sécurité
• Revendications politiques, activistes
• Identification de lanceur d’alertes
• Surveillance de réseaux terroristes

Voici un exemple concret :

MasterCard a réussi dernièrement à identifier une menace. En surveillant certaines communautés clandestines sur le web invisible, les analystes ont découvert qu'un groupe d'acteurs avait développé un logiciel similaire d'enregistrement EMV, ainsi que les techniques de fabrication nécessaires pour fabriquer des cartes de crédit à puce capables de contourner les plus robustes contrôles anti-fraude.

Après avoir été mis au courant de ces résultats, MasterCard a été en mesure d'ajuster sa stratégie de mise en œuvre de la norme EMV et de renforcer les mesures de sécurité pour éviter que la menace ne devienne réalité.

Ce qu’il faut retenir : plus une organisation se place dans une posture anticipative, en alliant une connaissance précise et parfaitement actualisée de son environnement et de ses vulnérabilités, plus elle sera en mesure de se prémunir contre les risques et de construire des protocoles de réponses adaptés.