001-Risque Opérationnel Dans L'entreprise

JEAN-DAVID DARSA
LES RISQUES
OPÉRATIONNELS
DE L’ENTREPRISE
UN ENVIRONNEMENT
TOUJOURS PLUS RISQUÉ ?
INFRASTRUCTURE
SÉCURISATION
INDUSTRIE
ENVIRONNEMENT
JURIDIQUE
INFORMATIQUE
HUMAIN…
COLLECTION AGIR FACE AUX RISQUES

Les risques opérationnels
de l’entreprise
Un environnement toujours plus risqué ?
Édition 2013
Ouvrage conçu et réalisé sous la direction de Catherine FOURMOND
Auteur :
Jean-David DARSA
Suivi éditorial, conception graphique intérieure : GERESO Édition

Conception graphique couverture : ATMOSPHÈRE COMMUNICATION -
Angers - France
© GERESO Édition 2013

26 rue Xavier Bichat - 72018 Le Mans Cedex 2 - France
Tél. 02 43 23 03 53
Fax 02 43 28 40 67
www.la-librairie-rh.com
e-mail : edition@gereso.fr
Reproduction, traduction, adaptation interdites

Tous droits réservés pour tous pays
Loi du 11 mars 1957
Dépot légal : Octobre 2013

ISBN : 978-2-35953-124-4
EAN 13 : 9782359531244
GERESO SAS au capital de 160640 euros - RCS LE MANS B 311 975 577
Siège social : 28 rue Xavier Bichat - 72018 Le Mans Cedex 2 - France
Dans la même collection :
• La gestion des risques en entreprise
À paraître dans la même collection :
• La gestion de crise dans l’entreprise
• La gestion du risque client
• Communication de crise
• Le coût du risque
www.la-librairie-rh.com
Remerciements
Une nouvelle fois, je tiens à remercier toute l’équipe GERESO pour la qualité
de son accompagnement dans ce nouveau livre, et plus particulièrement
Catherine FOURMOND. Depuis plusieurs années, Catherine poursuit sans
relâche son soutien inconditionnel envers ma démarche rédactionnelle,
avec gentillesse, grand intérêt et constance. Quoi de plus enrichissant pour
un auteur d’ouvrages professionnels que d’être ainsi épaulé, au quotidien,
par sa responsable d’édition ?
Catherine, un grand merci, une nouvelle fois, pour ton soutien permanent
et tes marques d’intérêt envers chaque projet éditorial que je me permets
de te soumettre. Tes conseils, ta curiosité intellectuelle face à chaque
nouveau sujet proposé, ta bonne humeur et ta gentillesse sont pour
moi autant de témoignages de la qualité du lien que tu sais créer avec
les auteurs. Merci pour tout cela, en attendant d’autres publications
originales ! Après sept ouvrages publiés (et une bande dessinée !) sur la
gestion des risques en entreprise, j’espère que les écrits à venir sauront
toujours t’étonner !
Également, je remercie Raphaëlle CORMIER pour sa collaboration et son

aide constructive dans le cadre de ce nouvel opus consacré cette fois aux
risques opérationnels. J’espère avoir le plaisir de collaborer à nouveau
avec vous à l’avenir.
Enfin, je remercie tous mes lecteurs, professionnels, dirigeants, salariés,

étudiants, simples curieux, qui continuent de me faire part de leurs
marques d’intérêt envers les ouvrages que je leur propose et cette réflexion
amorcée depuis de nombreuses années sur les risques en entreprise, que
je souhaite continuer à faire partager au plus grand nombre.
Signification des pictogrammes
Exemple
Bon à savoir
Important
Sommaire
Remerciements.................................................................................... 5
Introduction........................................................................................ 11
Partie 1 - Les risques de l’entreprise........................... 15

Chapitre 1 - L’entreprise : un environnement toujours
plus risqué ?..................................................................................... 17
Le principe de précaution érigé en modèle de vertu
par nos sociétés modernes........................................................ 22
Nous sommes tous concernés !................................................. 26
Chapitre 2 - Les différentes classes de risques

en présence................................................................................ ......29
De la diversité.............................................................................. 29
Démarche de la pyramide.......................................................... 31
Structure de la pyramide............................................................ 33
Chapitre 3 - Les 13 classes de risques..................................... 35

Les risques projet........................................................................ 44
Le risque ultime........................................................................... 47
Les 1 000 risques. ........................................................................ 48
Impact financier.......................................................................... 48
7
LES RISQUES OPÉRATIONNELS DE L’ENTREPRISE
Partie 2 - Risques opérationnels.................................... 53

Introduction..................................................................................... 55
Chapitre 1 - La notion de risque opérationnel..................... 57

Un impératif avant toute autre chose : faire l’inventaire
de l’existant.................................................................................. 66
Chapitre 2 - Infrastructure, accès, sécurisation.................. 71

De la sécurisation des infrastructures. ..................................... 80
Au-delà des actifs, ne pas oublier la dynamique des flux....... 84
Identification des dangers. ........................................................ 86
Une multitude de dangers en présence.................................... 87
De la problématique particulière du contrôle des accès........ 90
Enjeu de la détectabilité............................................................. 93
Chapitre 3 - Sous-traitants et activités externalisées. ..... 95

De la maîtrise de la sous-traitance............................................ 95
Chapitre 4 - Fraude interne et externe................................... 99
Chapitre 5 - De la conformité des opérations. ................... 103
Chapitre 6 - Maîtrise des processus opérationnels :

de la R&D à l’archivage. ............................................................. 107
Rappel sur la notion de processus. ......................................... 108
Chapitre 7 - De la maîtrise de la connaissance.................. 117
Chapitre 8 - Plan de continuité d’activité, plan

de reprise d’activité.................................................................... 121
Le coût du risque opérationnel................................................ 131
8
SOMMAIRE
Partie 3 - Risques industriels.......................................... 137

Introduction................................................................................... 139
Chapitre 1 - La problématique du risque industriel........ 141
Chapitre 2 - Les différents modèles en présence.............. 145

Analyse préliminaire des risques (méthode APR).................. 145
Méthode HAZOP........................................................................ 148
La méthode AMDEC................................................................... 150
L’utilisation des arbres décisionnels....................................... 152
La méthode MOSAR. ................................................................. 156
Des méthodes statistiques poussées...................................... 158
Chapitre 3 - Environnement, hygiène, sécurité................ 161
Chapitre 4 - Protection des personnes et des biens. ....... 163

Document unique ..................................................................... 168
De la sécurité des biens............................................................ 172
Chapitre 5 - Risque environnemental et risque image... 175

Du risque image......................................................................... 177
Partie 4 - Risques juridiques, Informatiques,

Sociaux : des enjeux opérationnels critiques
à ne pas négliger..................................................................... 181
Introduction................................................................................... 183
Chapitre 1 - Risques juridiques............................................... 187

De la notion de risque juridique.............................................. 188
Du droit des contrats. ............................................................... 189
Conformité................................................................................. 195
Pré-contentieux et contentieux............................................... 199
Du droit pénal............................................................................ 200
Chapitre 2 - Risques informatiques....................................... 207

De l’utilisation de listes (ou de check-lists)............................ 210
Approche générale.................................................................... 214
Approche par les menaces en présence. ................................ 215
9
L’approche synthétique............................................................ 218

L’approche informatique.......................................................... 220
Du risque projet......................................................................... 225
Chapitre 3 - Facteurs Humains................................................ 231

Il n’est de risques que d’hommes............................................ 232
Risques sociaux......................................................................... 235
Risques psychosociaux............................................................. 248
Comment les facteurs humains alimentent les risques
opérationnels de l’entreprise................................................... 253
Communication, fédération, animation................................. 255
Conclusions. ..................................................................................... 261

Bibliographie.................................................................................... 265
À propos de l’auteur........................................................................ 267
10
Introduction
« Le moment est temporaire, mais le souvenir demeure toujours.»

Bud Meyer
Quoi de commun entre l’explosion d’une plateforme pétrolière, une fuite

de gaz en mer du Nord, de la viande de cheval dans des lasagnes de bœuf
surgelées, un produit non conforme, le suicide d’un cadre en entreprise et
l’indisponibilité d’une donnée sur un ordinateur ?
A priori, rien, me direz-vous. Et vous aurez peut-être raison.
Mais si vous endossez un costume de dirigeant, de risk manager, de cadre

responsable ou de salarié engagé, vous vous apercevrez assez vite qu’à
la source de ces événements dramatiques ou secondaires réside une
multitude de risques qui, à un moment ou à un autre, se sont concrétisés.
Et cette concrétisation des risques, source de coûts (coups ?) et de douleurs
pour l’organisation, apparaît directement liée aux cycles d’exploitation de
l’entreprise qui produit, qui transforme, qui vend, qui travaille ou dont les
processus de maîtrise et de contrôle défaillants des cycles opérationnels
ont permis l’émergence et la concrétisation trop souvent douloureuse.
Tous ces risques – et des milliers d’autres - constituent ce qu’il convient

d’appeler selon nous, des risques opérationnels. Nous allons essayer,
à travers les pages de cet ouvrage, d’en définir les contours, et de vous
apporter des clés de compréhension vous permettant de les identifier, de
les détecter, de les comprendre et de les maîtriser au mieux.
Bien évidemment, le premier qualificatif qui vient à l’esprit lorsqu’on

aborde la question des risques opérationnels dans l’entreprise sera celui de
11
la diversité. Nous pouvons par défaut considérer qu’ils seront, par nature,
innombrables. Chaque risque ne serait-il pas un risque opérationnel pour
l’organisation ?
En fait, de la rupture d’un processus opérationnel à l’arrêt d’une chaîne

de montage, d’une mise en danger de la vie d’un salarié à l’existence de
clauses léonines dans un contrat, les risques opérationnels sont quasiment
partout. Ils sont toujours présents, à l’affût, prêts à se montrer.
Quelle que soit l’activité de l’entreprise, la mise en oeuvre de ses

cycles d’exploitation va immanquablement provoquer l’opportunité
de concrétiser des centaines, pour ne pas dire des milliers de risques
opérationnels. Infrastructure, accès, informatique, processus industriels,
enjeux juridiques, facteurs humains, autant de périmètres d’actions
et d’interventions en contact direct ou indirect avec le client, et qu’il
conviendra de maîtriser au mieux dans toute logique de pérennisation
d’entreprise.
Les risques opérationnels font partie des risques que chaque société devrait
maîtriser. Car ils matérialisent par essence les fragilités opérationnelles ou
organisationnelles de la structure dans son ADN le plus intime : la qualité
de ses cycles d’exploitation et d’activité courante.
Maîtriser les risques opérationnels revient à maîtriser le coût du risque

du « coeur métier » de l’organisation. Si l’entreprise identifie, détecte et
maîtrise son exécution opérationnelle, il y a fort à parier que sa pérennité
sera presque garantie. Ou, à tout le moins, moins exposée que celle des
autres.
Bien sûr, les risques stratégiques et financiers ne sauraient être absents du

débat lorsque les vecteurs de pérennisation seront abordés en entreprise.
Mais les risques opérationnels sont l’illustration immédiate de la capacité
– ou l’incapacité – de la structure à maîtriser son activité courante, ses
modes opératoires, son fonctionnement nominal quotidien.
Les risques opérationnels sont protéiformes par nature, et illimités par

essence. Nous avons choisi d’aborder cet enjeu difficile à sérier de manière
pragmatique. Dans la première partie de cet ouvrage, nous reviendrons
sur les fondamentaux nécessaires à la bonne compréhension de l’enjeu
risk management en entreprise : les principales classes de risques en
12
INTRODUCTION
présence, afin de permettre une meilleure appropriation des différentes

thématiques associées aux risques opérationnels.
Puis, dans une seconde partie, nous aborderons les risques opérationnels
eux-mêmes. Nous essayons de délimiter de manière simple les périmètres
à considérer et les moyens d’action à engager afin de les maîtriser au
mieux.
Dans une troisième partie, nous abordons la problématique spécifique
des risques industriels. À partir du moment où l’organisation produit ou
transforme quelque chose, les risques opérationnels associés aux cycles de
production ou de transformation appellent une lecture méthodologique
parfois différente des risques opérationnels en présence. De nombreuses
démarches méthodologiques particulières viendront éclairer la réflexion.
Dans une quatrième et dernière partie, nous réaliserons enfin un point

de focalisation sur trois classes de risques particulières qui s’inscrivent
selon nous en totale cohérence avec l’enjeu des risques opérationnels en
entreprise, car elles contribuent en permanence à la composition du coût
du risque opérationnel : les risques juridiques, les risques informatiques et
les risques associés aux facteurs humains dans l’organisation.
Les risques opérationnels peuvent répondre à de multiples définitions, en

fonction des spécificités sectorielles ou réglementaires. Chaque secteur
d’activité a essayé de définir ce que sont, ou ce que ne sont pas, les
risques opérationnels. Nous nous sommes attachés à éviter toute posture
dogmatique ou spécialisée, en vous proposant une lecture transversale,
pragmatique et simple de l’enjeu.
Complexes, diversifiés, les risques opérationnels constituent le sel de

l’entreprise. Tous les jours, l’entreprise sécrète des risques opérationnels,
plus ou moins dangereux, plus ou moins coûteux. La question de leur
identification et de leur maîtrise demeure une constante pour chaque
dirigeant. D’où notre souhait de vous accompagner au mieux dans votre
réflexion et vous proposer, aujourd’hui, cette publication exclusivement
dédiée aux risques opérationnels.
Partons dès à présent à l’assaut des risques opérationnels ! Il est plus que
temps, le ciel s’assombrit déjà autour de votre entreprise !
13
Partie 1
LES RISQUES DE L’ENTREPRISE

Chapitre 1
L’entreprise : un environnement
toujours plus risqué ?
« Ne pas prévoir, c’est déjà gémir ».

Léonard de Vinci
L’enjeu de la maîtrise des risques préoccupe toutes les entreprises, et ce

de manière encore plus prégnante depuis ces dernières années, quels que
soient leur taille, leur histoire, leur dimensionnement ou leurs activités.
L’intérêt sociétal, mobilisé par les sollicitations permanentes de la sphère
médiatique apparaît désormais plus que jamais focalisé sur les récentes
catastrophes financières, industrielles, sanitaires et/ou environnementales
des entreprises, concrétisant de manière brutale et souvent spectaculaire
des risques souvent complexes, parfois multiples, et qui démontrent
avec soudaineté l’implacable justesse des principes énoncés, il y a bien
longtemps déjà, par les lois dites de Murphy, puis celles de Finagle.
Ces derniers prédisent statistiquement, et pour simplifier, que « le pire

événement prévisible pouvant arriver va arriver », et ce, « de la manière
la plus désastreuse, au pire moment, et au pire endroit ». Les scandales
financiers des années 2000, la crise dite des subprimes amorcée en
2007-2008, les récents désastres écologiques provoqués par l’explosion
de la plateforme pétrolière BP dans le golfe du Mexique en 2010, la
catastrophe nucléaire de Fukushima résultant du tremblement de terre et
du tsunami au nord-est du Japon au printemps 2011 et autres joyeusetés
découvertes dans nos assiettes en témoignent en permanence, chaque
jour Proches de nous, les scandales sanitaires et alimentaires nourrissent,
17
quotidiennement ou presque, notre rapport aux risques. Défaut de

traçabilité, de détectabilité, de maîtrise des risques Autant de fragilités qui
aboutissent, à court ou moyen terme, à la fragilisation de l’entreprise et
de ses composantes directes ou indirectes : clients, fournisseurs, salariés,
actionnaires, simples mortels…
Et avec, à la clé et à la source de tous ces risques, quels qu’ils soient,

l’Homme encore et toujours.
Les principes statistiques de persistance de la malchance (ou de la chance)

se vérifient en permanence et donc, s’appliquent par essence au monde
de l’entreprise. Ainsi, chaque jour, et au-delà des cas médiatiquement
porteurs, les chroniques récurrentes sur des acteurs économiques en
proie à des difficultés financières ou industrielles majeures se multiplient,
s’accumulent, se renouvellent, et sont transmises en temps réel aux
décideurs réels ou supposés, aux quatre coins du monde, démultipliées
par le biais de tous les canaux d’information disponibles, à la vitesse de
l’éclair.
Le monde ne semble désormais plus vivre qu’au rythme de l’évolution

erratique, virtuelle ou réelle, des dernières crises d’entreprises, des
derniers dévissages des cours de Bourse, des inflexions de croissance de
taux, des variations de devises et de matières premières, des tensions
géopolitiques, des communications stratégiques ou institutionnelles
erronées ou mal interprétées
Le monde, en temps réel, guette et analyse chaque mouvement

d’anticipation des professionnels, des experts, des analystes, des
commentateurs, mais aussi chaque décision de dirigeant, et leurs impacts
directs ou indirects, réels, supposés voire fantasmés Avec, pour résultat
fréquent d’en accroître le plus souvent les effets, volontairement ou non,
mais qui s’avèrent potentiellement dévastateurs pour le secteur d’activité
ou la firme éventuellement concernés La création – ou la destruction – de
valeur n’est plus forcément en cohérence avec le partage du risque et/ou
son coût induit, voire ses conséquences et ce de manière plus ou moins
désastreuse pour l’humanité dans son ensemble, la plupart du temps.
La traduction de ce contexte permanent d’information, d’anticipation et

d’action sur une multitude d’indicateurs ou de paramètres économiques
ou financiers par une diversité d’acteurs plus ou moins éclairés engendre
ou amplifie a priori une multitude de risques, plus ou moins nouveaux,
18
L’ENTREPRISE : UN ENVIRONNEMENT TOUJOURS PLUS RISQUÉ ?
pour les entreprises. Et ces risques fragilisent de plus en plus vite les
organisations.
Y aurait-il de nos jours plus de risques pour les entreprises que par le passé ?
Ou serions-nous tellement hyper-connectés à notre environnement, grâce
notamment à nos gadgets électroniques, que nous serions simplement,
et désormais, de plus en plus hyper-connectés aux risques ? Les risques
seraient-ils une nouveauté ou plutôt une prise de conscience accélérée
pour notre monde ?
Et bien, non ! Car un premier constat s’impose : les risques ne sont pas
une invention du monde moderne, aggravés par l’existence de vecteurs
toujours plus performants de communication, ou la virtualisation accrue
de l’économie, de la valeur ou des échanges. Ils ont toujours existé.
Le risque fait partie de la vie de l’homme, donc de l’entreprise, au

quotidien. Sans vouloir réécrire l’Histoire ni reprendre en détail les
concepts terminologiques de la notion de risque, de menace ou de danger1,
il est utile de rappeler en préambule de notre réflexion que les risques en
entreprise, d’une manière générale et au-delà des risques opérationnels,
objet du présent ouvrage, ne sont pas une invention récente.
De l’homme préhistorique, premier risk manager historique, aux

mécanismes souhaités de contrôle réglementaire et effectif des risques,
l’humanité a toujours été confrontée à l’enjeu de la maîtrise des risques.
Faisant de tout temps partie de notre histoire commune, mesure de
l’évolution et de la capacité de développement de nos sociétés modernes,
le risque est un facteur inhérent à notre environnement, car en interaction
forte avec la notion d’incertitude qui lui est rattachée. Et les entreprises
ne font pas exception. Pour simplifier, depuis que « l’homme est homme »,
les risques cernent et concernent ses activités, quelles qu’elles soient.
Avec un spectre plus ou moins médiatiquement élargi ou focalisé
sur des thématiques particulières, en fonction des tendances et des
préoccupations du moment. Mais la logique d’incertitude permanente du
risque à se concrétiser un jour in fine, demeure. Car, un risque sera par
nature toujours potentiel…
Décréter le principe de précaution comme vecteur de sécurisation absolue

ne changera rien à la donne. Ni passer d’une culture statistique de
l’appréciation des risques à une démarche volontairement empirique et
1. cf. Jean-David Darsa, La gestion des risques en entreprise, GERESO Édition, Le Mans, 2011.
19
systématique des zones ou des événements sources de fragilités. Dans les

deux cas, la couverture exhaustive des enjeux en présence ou l’interdiction
quasi systématique de la prise de risque ne saurait répondre de manière
pertinente à la problématique sociale ou sociétale posée.
Car, au-delà des catastrophes naturelles (inondations et feux de forêt

partout dans le monde, tremblement de terre et tsunami au Japon
en 2011, séismes, intempéries, tornades aux États-Unis en 2013), des crises
sanitaires latentes ou déclarées (grippe aviaire, pandémies, épidémies…),
des accidents industriels (accident de Tchernobyl, explosion de l’usine
AZF, désastre pétrolier dans le golfe du Mexique, mais aussi présence de
viande de cheval dans les lasagnes de boeuf !), des enjeux géopolitiques
sensibles (conflits régionaux séculaires, évolution des équilibres désormais
multipolaires, révolutions sociales et conflits ouverts récents au Proche-
Orient) et des contraintes économiques trop souvent subies (impacts
multiples et durables de la crise dite des subprimes, stagflation ou
récession longue au sein de vastes zones économiques), l’environnement
de l’entreprise apparaît fondamentalement risqué par nature. De plus en
plus.
Comme nous l’exprimions dans un ouvrage précédent, et à la lumière de

notre environnement, nous sommes tentés de réaffirmer d’emblée en
amorce de ce livre qu’« il n’est de risques que d’hommes ».
Mais nous serons peut-être tentés d’affirmer, tout au long de cet

ouvrage, « qu’il n’est de risques majeurs pour l’entreprise que d’enjeux
opérationnels ». Même si les enjeux stratégiques et financiers demeurent
critiques pour la pérennité de l’entreprise (élaboration et exécution
financière de la vision du business model de l’organisation), il apparaît
sans conteste que l’homme constitue très souvent le vecteur essentiel de
la concrétisation – ou non – du risque et que cette concrétisation apparaît
à l’aube des actes opérationnels quotidiens la plupart du temps.
Il n’est de risques que d’hommes
Nous y reviendrons ultérieurement et longuement, car cette vision

constitue la clé de lecture principale de cet ouvrage, ou, plus précisément,
l’idée que les risques opérationnels constituent l’enjeu quotidien
prioritaire pour chaque organisation. Ainsi, chaque acteur d’entreprise
doit – ou devra – s’attacher à identifier, comprendre et maîtriser du mieux
possible les risques opérationnels de sa structure, de ses processus, de ses
20
procédures, qu’il s’agisse d’enjeux locaux ou transversaux complexes…

Et à l’appui de sa lecture, du rôle de l’homme dans la structure. Nous y
reviendrons en considérant notamment l’enjeu « facteurs humains »
comme une classe de risques opérationnels à part entière.
Face au front des risques, complexes et multiples, auxquels chaque

entreprise est quotidiennement confrontée, nous observons a priori une
évolution marquée de la perception du risque par l’opinion publique, et
plus particulièrement par les chefs d’entreprise, tout au moins concernant
certaines thématiques. Par exemple, la dimension du risque relatif à
l’intégrité comptable et financière des acteurs semble désormais plus
renforcée, accompagnée, il est vrai, par la médiatisation massive – et
justifiée – des récents comportements délictueux de certains dirigeants
peu scrupuleux. Chaque mois apporte au lecteur curieux son lot de
désastre comptable ou financier annoncé, ce qui maintient et renforce
l’exigence d’intégrité sur ce sujet, de moins en moins remise en cause
a priori.
En un mot, la destruction de valeur, donc de richesse par l’entreprise, suite

à l’émergence de comportements délictueux ou inadaptés relativement
à l’intégrité comptable et/ou financière, individuelle et/ou collective des
acteurs, semble de moins en moins acceptée ou de plus en plus visible.
Cette avancée contribue à l’amélioration de cette exigence de maîtrise
globale du risque en entreprise, seul vecteur de pérennité.
En outre, et grâce au principe de précaution, instauré parfois en véritable

dogme sociétal, nous observons en parallèle une réelle évolution de
la prise de conscience effective du rôle du risque dans l’environnement
des entreprises et de leurs impacts induits, ce qui est, convenons-en, une
bonne chose.
Mais cette relation désormais quasi systématique du risque au principe

de précaution, qui, nous le verrons, témoigne d’un désir conscient (ou
inconscient) de réduction permanente et absolue du risque, traduit en
fait une évolution sociale manifeste même si elle ne saurait répondre de
manière satisfaisante à l’enjeu.
21
Le principe de précaution érigé en modèle

de vertu par nos sociétés modernes
Avant d’entrer dans le vif du sujet et le coeur de notre problématique, à
savoir, la maîtrise des risques opérationnels de l’entreprise, arrêtons-nous
un instant sur l’enjeu du principe de précaution.
Il semble que nos sociétés modernes refusent de plus en plus la prise

de risque. Même si chaque individu va présenter un rapport ou une
expérience au risque particulière (en fonction de son éducation, de son
histoire personnelle, de ses cadres de référence), la manière dont nos
sociétés appréhendent et maîtrisent les risques constitue aujourd’hui un
véritable étalon de mesure de notre propre développement.
Comme l’a parfaitement expliqué le sociologue allemand Ulrich Beck2, le

partage du risque est devenu aujourd’hui la mesure du développement
de la Société dans son ensemble ou, plus précisément, la manière dont le
risque est in fine partagé entre les acteurs.
Le traitement d’un risque, quel qu’il soit, et nous y reviendrons en détail

ultérieurement, peut être appréhendé, selon la méthode élaborée par
Riskeal, de six manières différentes. Le risque peut ainsi être :
1. évité (on ne le prend pas) ;
2. contourné (on prend un autre risque, a priori mieux maîtrisé que le
risque nominal identifié) ;
3. accepté (on prend le risque en toute conscience, en assumant les
conséquences le cas échéant) ;
4. réduit partiellement (on limite le coût du risque/de ses impacts directs
et indirects) ;
5. réduit totalement à zéro (en mettant en oeuvre des stratégies de
réduction absolue du risque, très coûteuses, et laissant in fine un risque
résiduel, le risque zéro n’existant pas) ;
6. transféré vers un tiers (le transfert du risque pouvant se réaliser de trois
manières : par la vente, par son refinancement ou par la mise en oeuvre de
la démarche d’assurance).
2. Dans son essai intitulé La société du risque, Aubier, 2001.
22
Nous y reviendrons en détail tout au long des différentes parties de cet

ouvrage, en mettant en oeuvre ces différentes méthodes de couverture
du risque aux enjeux opérationnels. Mais, parmi les stratégies présentées
ci-dessus, figure la stratégie de réduction totale du risque identifié. Cette
stratégie consiste en fait à refuser le coût du risque net in fine, quel qu’il
soit. Il s’agit de l’illustration du fameux principe de précaution : un refus
absolu du risque par refus de l’incertitude de ses impacts.
Le principe de précaution peut prendre plusieurs formes, mais il revient

fondamentalement à refuser la prise de risque par défaut en l’absence de
certitude de résultat en cas d’occurrence du risque identifié (et donc, de
ses impacts directs ou indirects).
Par principe, l’entité, l’organisation, et, nous le verrons, l’entreprise

n’accepte pas la prise de risque proposée ou les risques identifiés à
assumer en cas d’émergence dudit risque. Elle met en œuvre des actions
souvent maximalistes, toujours extrêmement coûteuses, permettant
la réduction à zéro (ou, plus précisément, anticipée à zéro) des impacts
directs ou indirects des risques potentiels à prendre en cas d’émergence.
Le principe de précaution s’illustre par exemple dans le retrait d’un

produit, dans le refus de déploiement d’un produit ou d’un service, dont
les incidences sur la santé publique ou l’environnement sont incertaines
pour le citoyen. Exemple : refus de mise sur le marché d’un médicament
dont le rapport bénéfices/risques est peu connu, abattage systématique
d’animaux dans un périmètre épidémique identifié, destruction d’un stock
de produits dont la conformité à l’étiquetage est remise en cause, etc.
La notion de principe de précaution peut donc être définie comme le

renoncement d’une activité humaine, quelle qu’elle soit, en l’absence de
qualification et de quantification certaine ou raisonnable de ses impacts
directs et/ou indirects sur la société, notamment en cas d’émergence d’un
risque.
Le principe de précaution, relatif à des risques probables, est d’application

réduite. Il devra donc être complété par d’autres principes complémentaires
qui, eux, véhiculeront des dimensions différentes. Ainsi, et par exemple :
-- le principe dit de prudence, lequel sera destiné à couvrir des risques
avérés (ex : on ne boit pas un café sur un clavier d’ordinateur pour éviter
des impacts certains en cas d’occurrence !) ;
23
-- le principe de prévention, dédié quant à lui à des risques avérés mais

dont l’incertitude d’occurrence demeure (ex : le risque d’une explosion
nucléaire).
Or, il semble que le principe de précaution soit devenu aujourd’hui,

pour nos sociétés « civilisées » ou « développées », une norme sociétale
habituellement acceptée. Mesure de la maîtrise technologique de notre
environnement voire de notre devenir, pour ne pas dire de notre capacité
à maîtriser notre avenir, nos sociétés modernes n’acceptent plus la prise
de risque, et considèrent trop souvent de facto comme la réponse ultime
et acceptable à la maîtrise du risque, le fameux principe de précaution. Le
risque, l’incertitude, ne sont plus acceptables, encore moins leurs impacts.
Les sociétés humaines dites « développées » acceptent de moins en

moins facilement la prise de risque, et recherchent de plus en plus
vite l’application systématique du désormais sacro-saint principe de
précaution. S’agit-il réellement d’une avancée ?
Notre développement devrait inconsciemment nous garantir la pérennité

individuelle et collective de notre propre devenir, donc, de l’humanité
dans son ensemble
Or, cette perception désormais exacerbée de refus du risque peut s’avérer

in fine contre-productive car la création de valeur (ou l’économie de
dépenses liées au coût du risque) ne peut avoir lieu qu’avec ou grâce à
la prise de risque(s). En termes économiques, le prix Nobel d’économie
Markovitz a démontré, dès les années 1950, la relation intime existant
entre la rentabilité d’une action (financière, avantage concurrentiel, gain
économique) et la prise de risque elle-même. Cette vision économique,
qui introduit notamment l’exigence de dilution et de dispersion des
décisions pour parvenir à un rendement optimum en fonction des risques
pris ou à prendre, se révèle tout à fait adaptée pour l’entreprise.
Sans prise de risque, jamais l’humanité n’aurait découvert la radioactivité,

ne serait allée explorer la Lune, n’aurait découvert l’Amérique, encore
moins les vaccins. Il n’y a pas si longtemps, la prise du risque était valorisée,
réalisée par des héros, sacralisée Qui rêve encore devant le lancement
d’une fusée ? Qui en accepte encore le risque d’intégrité physique des
équipages, lorsque celui-ci, malheureusement, arrive ?
24
La prudence n’était pas encore instituée en principe de fonctionnement

intrinsèque de société aux siècles précédents. Le sacro-saint principe
de précaution n’aurait-il pas eu un effet castrateur certain sur les
expérimentations audacieuses (pensons à Marie Curie), ni, d’une manière
générale, sur la capacité à innover de certains visionnaires, prenant des
risques par la nature même de leur essence ? Aujourd’hui, plus personne
– ou presque – ne prend de risque, ou n’est à même d’accepter le risque,
partiel ou total, individuel ou collectif.
Comme l’exprime avec justesse Jean de Kervasdoué dans Les prêcheurs

de l’apocalypse : « Être prudent, analyser les risques pour tenter de les
éviter, constituent de sages conseils ; mais d’avoir fait de la précaution
un principe est un drame : il ne s’agit plus de tenter d’analyser des
évolutions vraisemblables, compte tenu des informations disponibles,
mais d’imaginer l’irréel, l’impensable, sous prétexte que les dommages
causés pourraient être importants. ». Et le principe de précaution annihile
par défaut la prise de risque acceptable.
Ainsi, si l’on revient un instant sur le fameux risque de pandémie de grippe

aviaire, des centaines de millions de doses de vaccins ont été acquises,
stockées, distribuées puis détruites en pure perte, face à l’émergence
d’un risque éventuel de pandémie grippale. Bien sûr, il est toujours aisé
de constater a posteriori les erreurs, les prises de décision excessives et
de les commenter. Que se serait-il passé en cas de déclaration réelle et
majeure d’une pandémie, et qu’il n’y ait pas eu de vaccins disponibles sur
le territoire national ?
Certes… Mais le principe de précaution, qui guida toute cette action, était-
il réellement la seule réponse à retenir ? Fut-il dimensionné avec sagesse,
au-delà d’enjeux politiques ou de risque d’image associé ? Et que penser
aujourd’hui de la défiance des citoyens vis-à-vis d’une campagne de
vaccination émanant des autorités sanitaires à l’avenir ? N’est-ce pas là
le principal risque a posteriori d’une mauvaise application du principe de
précaution ?
Le principe de précaution s’impose de plus en plus dans nos sociétés

contemporaines. Or, sans prise de risque, il n’y a pas création de valeur.
L’enjeu est complexe. Quel degré de prise de risque notre société est-elle
capable d’accepter face à un risque sanitaire, par exemple ? Et, au-delà
de cette capacité d’acceptation, de quelles ressources dispose-t-on pour
25
allouer, de la meilleure manière, les stratégies et les moyens de couverture

appropriés, sans se ruer par défaut sur le principe du refus du risque, fut-il
minime, face à l’incertitude de ses effets de bords, plus ou moins identifiés,
qualifiés et quantifiés ?
Cette question, à multiples entrées, est très complexe à résoudre. Le rapport

au risque de l’individu est spécifique et propre à chacun. En fonction
de son expérience, de son vécu, de son cadre de référence, l’individu ne
présente pas un rapport au risque homogène, nous y reviendrons. Se faire
vacciner contre la grippe relève tant de moteurs internes factuels (fonction
d’utilité à ne pas être malade, historique de l’expérience, appréhension
des injections !), qu’irrationnels, émotifs, affectifs, etc.
Dans l’entreprise, cette question du principe de précaution et de son

utilisation, nous le verrons, sera essentielle, notamment en ce qui
concerne les risques opérationnels, car le principe de précaution sera
difficile à manœuvrer, quant à l’enjeu opérationnel. Nous y reviendrons en
détail ultérieurement.
Nous sommes tous concernés !

La question du risque en entreprise devient aujourd’hui un enjeu essentiel
beaucoup plus présent dans les organisations. L’évolution sociétale, le
rapport du monde au(x) risque(s) y contribue fortement. Désormais, toutes
les entreprises commencent, de plus en plus, à se préoccuper de la maîtrise
effective des risques susceptibles de remettre en cause leur pérennité
et pas uniquement pour des motivations réglementaires, prudentielles
ou éthiques. Cette tendance de fond semble vouloir s’affirmer depuis
quelques années, et de plus en plus d’organisations créent, structurent
et déploient des mécanismes de plus en plus robustes de maîtrise des
risques. C’est une excellente nouvelle.
Cette évolution structurelle constitue une bonne tendance de fond pour

les entreprises, même si de très nombreux progrès restent à réaliser,
notamment en TPE, PME et PMI. Naturellement, en contexte de pénurie
latente de ressources, le choix d’allouer des ressources financières,
humaines et/ou matérielles aux processus de détection, de compréhension,
de couverture et de maîtrise des risques demeure pour l’instant l’apanage
des structures significatives ayant les moyens – et la volonté réelle – de le
26
faire. Et même si les risques opérationnels peuvent être considérés comme

les enjeux les mieux dotés par les organisations, il n’en demeure pas moins
que la culture du risque dans l’entreprise demeure largement perfectible.
Néanmoins, la prise de conscience d’un environnement de plus en plus

incertain, des enjeux et de l’exigence de réduction impérative du coût
du risque s’impose progressivement à toutes les entreprises. La porte
d’entrée des risques opérationnels, notamment, y contribue grandement.
Toutes les entreprises, y compris les TPE, les PME et les PMI, doivent se
préoccuper de la maîtrise de leurs risques, et ce de manière structurée.
L’environnement, le contexte général les y invitent en permanence.
Appréhender l’enjeu risk management en entreprise par le biais des
risques opérationnels constitue une excellente porte d’entrée pour
engager l’action.
Toutefois, un travail important reste à conduire afin d’assurer la meilleure

maîtrise des risques au sein de toute organisation, et plus particulièrement
les TPE, les PME et les PMI, par nature exposées et moins disposées à
allouer, dans un contexte permanent de pénurie de ressources financières,
des moyens humains et financiers dédiés à des dimensions de gestion et
de couverture des risques.
L’heure est clairement à la nécessaire maîtrise des risques de la société,

donc de l’entreprise, mais sans toutefois verser dans une dérive
paranoïaque de refus permanent du risque, selon le sacro-saint principe
de précaution illustré précédemment pour les risques sanitaires.
Car sans prise de risque, et nous le verrons ultérieurement, il n’y a pas

de création de richesse ni création de valeur. Mais la préoccupation de
la question du risque s’impose désormais à toute entreprise, plus que
jamais, compte tenu des coûts induits par un coût du risque non maîtrisé.
Cette démarche de maîtrise affirmée des risques s’inscrit dans une

logique sociétale, dont l’expression en entreprise va vraisemblablement
se renforcer au cours des prochaines décennies.
Aux risques gérés de manière fonctionnelle par les grandes entreprises,

devrait se succéder une véritable dynamique de gestion des risques dans
toutes les entreprises, comme véritable outil managérial, stratégique et
différenciateur de pérennité.
27
De fait, la gestion des risques en entreprise, et plus particulièrement la

maîtrise des risques opérationnels quotidiens en premier lieu, va devoir
progressivement s’imposer à toutes les organisations de manière plus
marquée. Et ce, quels que soient sa taille, son secteur d’activité ou son
exposition réelle, supposée ou perçue, au facteur risque.
Cette démarche s’inscrit désormais dans une approche naturelle de tout

dirigeant, donc de toute stratégie à long terme pour l’entreprise, dans une
recherche permanente de pérennité, de manière structurée et organisée
ou, tout au moins, devrait faire partie de ses composantes essentielles par
nature.
L’entreprise va donc – ou devrait en conséquence – apprendre à identifier,

comprendre et maîtriser les multiples risques qui la menacent au
quotidien. Mais quels sont-ils au juste ? Et surtout, pourquoi les risques
opérationnels constituent-ils une priorité majeure et la porte d’entrée
des risques à privilégier au quotidien par les dirigeants et les acteurs
responsables ?
Positionnons maintenant l’enjeu des risques opérationnels parmi les

multiples risques en présence dans l’entreprise.
28
Chapitre 2
Les différentes classes de risques
en présence
Afin de garantir la pérennité de l’entreprise, le risk manager (c’est-à-

dire la personne en charge des risques dans l’entreprise, mais aussi, et
très souvent, le premier d’entre eux : le dirigeant !) va devoir identifier,
comprendre et maîtriser les risques susceptibles de fragiliser, voire
remettre en cause, sa viabilité. Mais quels sont-ils en fait ? Comment
l’enjeu des risques opérationnels s’inscrit-il dans la présentation générale
et globale des risques de l’entreprise ?
Et là se pose une question majeure : comment présenter, de manière

efficace, exhaustive, précise, et complète les risques de l’entreprise,
compte tenu de la multitude des situations potentiellement aptes à
fragiliser toute organisation ? Quels risques ?
Comment présenter simplement et visuellement la multitude des risques

à couvrir ? Et comment le rendre compréhensible et intelligible, sans
lourdeur ni « inventaire à la Prévert » repoussant ?
De la diversité
Fondamentalement, il existe une extrême diversité des risques en
entreprise, pouvant remettre en cause sa pérennité au quotidien. Car,
même si la situation de déclaration de cessation des paiements (premier
pas vers la fin de l’organisation) consacre une rupture de trésorerie
structurelle ou accidentelle, et constitue de facto le seuil primordial et
unique qui déclenchera la mise en liquidation judiciaire, en redressement
29
judiciaire ou en anticipation d’une procédure de sauvegarde, la rupture

de trésorerie résultera au préalable et essentiellement d’un faisceau
de risques convergents non gérés… au premier rang desquels figurera
très certainement la contribution de multiples risques opérationnels
concrétisés ! Leur traduction financière ne sera peut-être, au final, qu’un
effet secondaire, même si c’est ce qui conduira le dirigeant au tribunal
de Commerce ! Y aurait-il, à la source d’une rupture de trésorerie, la
concrétisation systématique de risques opérationnels ?
Il s’avère donc nécessaire, dans un premier temps, d’identifier, de

comprendre et de maîtriser tous les risques susceptibles, directement
ou indirectement, de fragiliser l’entreprise. La rupture de trésorerie ne
constitue qu’une résultante technique de la concrétisation effective
de risques non maîtrisés à l’origine. Il y aura toujours, à l’origine d’une
défaillance, l’existence d’un ou d’une multitude de risques convergents,
non maîtrisés et ayant des conséquences négatives.
Pour chaque secteur d’activité il existe un faisceau spécifique de risques

susceptibles d’impacter les entreprises intervenant dans ledit secteur, de
manière propre et spécifique. Et, pour chaque entreprise du même secteur
d’activité, le spectre des risques à couvrir sera spécifique, en fonction de
son histoire, de sa taille, de son ancienneté, de son organisation, de son
mode de fonctionnement, de son encadrement, de la vision de son équipe
dirigeante, du profil individuel de chacun de ses salariés
De même, chaque entreprise, chaque dirigeant, chaque acteur de chaque

organisation présente, par nature, un profil risque particulier, bâti en
fonction de ses connaissances, de son expérience, de sa vision, de son
ancienneté dans l’entreprise, de son profil psychologique, de son âge, de
sa maturité professionnelle, de son appétence – ou son aversion – aux
risques, de sa sensibilité individuelle aux enjeux ou aux impacts, de sa
capacité de décision, de responsabilisation, etc.
Chaque processus, chaque sous-processus traduisant une activité dans

l’entreprise va être aussi exposé à un spectre de risques spécifiques.
Schématiquement, les processus « achat de matières premières
dangereuses » et « nettoyage des bureaux » ne seront pas exposés aux
mêmes risques mais ils présenteront, chacun, des menaces particulières,
plus ou moins sévères, à maîtriser.
Chaque individu présente une appétence, une prédisposition face à la

problématique de la gestion des risques : risque adverse, preneur de
30
LES DIFFÉRENTES CLASSES DE RISQUES EN PRÉSENCE
risque, indifférence au risque, forte sensibilité au risque, autant de profils

que d’individus.
Bref, comment prendre en compte tous ces critères, toutes ces contraintes
antinomiques, toute cette diversité et représenter, malgré tout, les
différentes classes de risques des entreprises de manière homogène,
cohérente, donnant du sens sans spécificité sectorielle, fonctionnelle et/
ou technique ? Vaste enjeu à traiter.
De cette interrogation, et après mûres réflexions, je vous propose ci-

dessous une approche déjà proposée dans une publication précédente3
et qui permet a priori, et de manière simple et efficace, de présenter
une vision cohérente, complète et adaptable à toutes les entreprises, de
toute taille et de toute nature, à tous les secteurs d’activité, le spectre des
risques auquel chaque organisation sera potentiellement exposée. À vous
de juger.
Démarche de la pyramide
Reprenons brièvement certains fondamentaux de la question des risques
en entreprise. Tout d’abord, et nous venons de le préciser précédemment,
une réflexion. L’entreprise, quelle qu’elle soit, va être par essence exposée
à une multitude de risques. Chaque risque va impacter l’entreprise à
travers un coût économique et/ou financier, susceptible de déstabiliser ses
fondamentaux, d’obérer sa capacité de financement ou d’investissement,
de remettre en cause de facto son existence à court, moyen ou long terme,
donc de fragiliser sa pérennité.
Partant de ce constat, l’image de la pyramide s’est imposée à moi,

visualisant l’entreprise solidement ancrée sur ses fondations,
représentées par la base de la pyramide, et devant maîtriser de grandes
familles de risques, intrinsèques à sa propre existence, susceptibles de
faire s’effondrer la belle construction. Je renvoie le lecteur curieux à mon
précédent ouvrage sur la gestion des risques de l’entreprise, pour plus
d’explications détaillées.
3. Cf. La gestion des risques en entreprise, GERESO Édition, Le Mans, 2013.
31
En réfléchissant aux différentes familles de risques à aborder, je me

suis aperçu qu’il y avait peut-être une certaine logique à représenter les
différents risques selon une approche duale :
-- l’une, relative à l’homme : partir de l’individu, entité unique, c’est-à-
dire le salarié, le dirigeant, le client, le fournisseur et progresser vers le
groupe (la somme collective des humains soit l’équipe, le service, l’unité,
le département, l’usine, la société, la collectivité, le pays, le monde, la
société humaine dans son ensemble) ;
-- l’autre, relative à l’environnement de l’entreprise elle-même :
évoluer des considérations et des dimensions macroéconomiques de
l’environnement de l’entreprise (l’environnement géopolitique, le marché,
les zones géographiques) vers les entités microéconomiques (l’entreprise
elle-même comme aboutissement final).
Enfin, cette représentation visuelle des risques de l’entreprise est conçue

pour être par nature généraliste, non spécifique à un secteur d’activité, à
un métier, à une fonction managériale, ou à un processus.
Au final, le fruit de cette réflexion permet de représenter les différentes

classes de risques auxquelles l’entreprise est exposée, de manière
structurelle, de la manière suivante :
32
LES DIFFÉRENTES CLASSES DE RISQUES EN PRÉSENCE
Structure de la pyramide
Sur la base de cette représentation (du macroéconomique vers le
microéconomique, de l’individu vers le groupe), de haut en bas ou de bas
en haut, il reste à définir puis positionner les différentes classes de risques
au sein de cette pyramide.
Les principales familles – ou classes – de risques identifiées selon cette

démarche méthodologique de la pyramide sont les suivantes, à la lumière
de mon expérience et de ma perception du monde des entreprises :
-- risques géopolitiques ;
-- risques économiques ;
-- risques stratégiques ;
-- risques financiers ;
-- risques opérationnels (l’objet central de cet ouvrage) ;
-- risques industriels (une famille particulière de risques opérationnels) ;
-- risques juridiques (risques opérationnels spécifiques) ;
-- risques informatiques (risques opérationnels particuliers) ;
-- risques sociaux et psychosociaux (faisant également partie des risques
opérationnels) ;
-- risque d’image et de réputation ;
-- risque de Knowledge management (ou de « gestion de la connaissance ») ;
-- autres risques (famille à périmètre élargi : risque environnemental, de
surqualité, de défaillance de contrôle, de défaillance des dispositifs de
pilotage) ;
-- risque d’intégrité (le risque individuel ultime).
Sur cette base des 13 grandes classes de risques peut être ensuite organisé
le positionnement de chacune des classes. Cette pyramide constitue in
fine une présentation rapide et efficace des différents types de risques
auxquels toute organisation est – ou sera – potentiellement exposée.
33
INDIVIDU MICRO
Risque
INTÉGRITÉ
Risques
AUTRES
Risques KNOWLEDGE
MANAGEMENT
Risques
IMAGE-RÉPUTATION
Risques
JURIDIQUES INFORMATIQUES R.H.
Risques Risques
OPÉRATIONNELS INDUSTRIELS
Risques FINANCIERS
Risques STRATÉGIQUES
Risques GÉOPOLITIQUES Risques ÉCONOMIQUES

GROUPE MACRO
Si l’on parcourt la pyramide de bas en haut, les grandes familles de risques,

au nombre de treize, sont organisées de manière rationnelle, témoignant
in fine d’une démarche cohérente :
-- assurer la cohérence de la démarche macro/micro et individu/groupe,
essentielle à mon sens ;
-- positionner les risques financiers dans le centre de la pyramide, chaque
classe de risques engendrant potentiellement, par nature et par défaut, un
impact financier ;
-- considérer les risques opérationnels, objet de notre ouvrage, comme la
classe de risques primordiale à traiter au quotidien, ainsi que les risques
opérationnels sous-jacents (industriels, informatiques, juridiques, etc.) ;
-- présenter en haut de la pyramide le risque individuel ultime, directement
lié à l’individu : son intégrité personnelle ; de cette intégrité personnelle
pourront naître de multiples risques directs, indirects ou collatéraux pour
l’entreprise, ses clients, ses fournisseurs, ses partenaires…
Il existe 13 grandes classes de risques au sein des entreprises.
34
Chapitre 3
Les 13 classes de risques
Présentons maintenant de manière succincte les principales classes

de risques en présence, telles que présentées précédemment. Nous en
identifions treize :
1 - Risques géopolitiques
Fondamentalement, il s’agit des risques liés à l’environnement global de
l’entreprise hors de ses frontières. À partir du moment où une organisation
évolue à l’extérieur de son pays d’origine (localisation du siège social),
pour quelque raison que ce soit (présence de clients, de fournisseurs,
de sous-traitants, de franchisés, de prospects, de partenaires industriels
ou commerciaux, d’équipes dédiées, d’actifs, d’investissements,
d’engagements), elle est par nature exposée au « risque pays » où
sont localisées ses activités et/ou ses actifs, et à ses composantes de
déstabilisation potentielle liée à son exposition géographique hors
frontière.
Blocus économique, attentats, guerres, climat insurrectionnel,

catastrophes naturelles, mouvements sociaux, instabilité économique,
politique ou sociale, tels sont les risques majeurs à appréhender et à
traiter, pays par pays, zones géographiques par zones géographiques. Ces
zones de fragilité seront bien évidemment et également à appréhender
au niveau du pays d’origine et d’implantation initiale de l’entreprise, mais
elles seront considérées a priori comme mieux connues et maîtrisées par
les dirigeants, les fondateurs et/ou les actionnaires impliqués. La notion
de « risque pays » amène un point d’intérêt spécifique à ne pas négliger.
35
Ces risques sont donc regroupés sous une appellation un peu pompeuse
(« risques géopolitiques »), mais qui demeure toutefois appropriée. Traiter
un « risque pays » consiste bien à analyser un contexte donc des risques
géopolitiques. Il s’agit donc de l’analyse du cadre initial d’évolution de
l’entreprise en dehors de ses frontières, dont les risques sous-jacents
géopolitiques associés doivent être maîtrisés au mieux.
Les risques géopolitiques constituent donc la première brique de stabilité

de l’édifice entreprise. Ils constituent donc, naturellement, la partie
basse, la base de la pyramide, en partie gauche. C’est la première classe
de risques à appréhender de manière dédiée, dans le cheminement
macroéconomique de la maîtrise de l’environnement d’intervention de
l’entreprise.
2 - Risques économiques
Une fois l’environnement géopolitique de l’entreprise connu – et, si
possible, maîtrisé – la compréhension, l’analyse et la prise en compte
efficace de l’environnement économique de l’entreprise s’imposent (au
sens macroéconomique du terme).
Inflation, conjoncture, évolution des conditions de financement et de

refinancement, évolution de la cherté, de la disponibilité et de la rareté
des ressources de l’entreprise nécessaires à son bon fonctionnement
(ressources financières, matières premières, marchandises), situation
conjoncturelle locale, régionale, nationale et internationale, perspectives
macroéconomiques constituent autant de risques économiques majeurs
pouvant durablement et profondément remettre en cause la pérennité
des organisations et de leurs activités.
Les risques économiques sont positionnés également dans le socle de la

pyramide, en partie droite de la base de la pyramide, aux côtés des risques
géopolitiques précédemment explorés. Il s’agit, conjointement avec les
risques géopolitiques, d’une classe de risques essentielle et primordiale
à identifier, comprendre et maîtriser, ce qui, nous le verrons, ne sera pas
forcément des plus simples.
Les deux classes de risques, risques géopolitiques et risques (macro)

économiques, que nous détaillerons plus loin, constituent le cadre de
stabilité, d’instabilité – ou d’environnement initial – de l’entreprise. La
36
LES 13 CLASSES DE RISQUES
maîtrise de leurs risques associés demeure la priorité essentielle à la survie

de toutes les entreprises, quel que soit le secteur d’activité considéré.
3 - Risques stratégiques
Une fois maîtrisé l’environnement macroéconomique de l’entreprise,
nous abordons le coeur de la problématique, ce qui constitue, à nos yeux
le risque long terme essentiel pour chaque entreprise : la qualité de son
modèle stratégique.
Quelle que soit sa taille, chaque entreprise, artisan, commerçant, TPE, PME,
PMI, grand groupe national, multinationale, tous bâtissent et proposent un
modèle stratégique, en constante évolution et en adaptation permanente.
Seules la complexité, la disparité et la densité de ses composantes (les
segments stratégiques) et de ses interactions différencieront le modèle
stratégique d’une boulangerie de celui d’une multinationale. Mais les
fondamentaux de cette notion clé que constitue un modèle stratégique
sont les mêmes.
Composés de multiples segments stratégiques, le modèle stratégique

est exposé à de multiples risques, et notamment le risque d’incohérence
entre les différents éléments constitutifs dudit modèle. Sa constitution,
sa validité, sa robustesse, la capacité d’ajustement et de réponse des
processus cibles le composant seront le coeur de la réussite de toute
entreprise.
Essentielle, critique à la pérennité, la maîtrise des risques stratégiques nous

amène à positionner les risques stratégiques dans le coeur de la pyramide,
appuyés sur le socle précédent constitué des risques géopolitiques et
(macro) économiques.
4 - Risques financiers
La mise en oeuvre du modèle stratégique engendre, par essence, la
création d’une multitude de risques financiers. Du risque d’illiquidité au
risque de taux de change, du risque de crédit au risque de dilution du
capital, du risque de financement aux risques comptables et fiscaux, les
risques financiers constituent l’étape suivante dans notre présentation
structurée des différents risques de l’entreprise.
37
Multiples, complexes, directement impactants, pouvant remettre en

cause en une journée la pérennité complète de l’organisation, les risques
financiers constituent une famille de risques spécifiques, à part, située
dans le coeur même de la pyramide.
Le positionnement central des risques financiers, au cœur de la

pyramide, n’est ni fortuit, ni le fruit du hasard. Tout risque, toute classe
de risques, toute décision d’entreprise aura une incidence financière sur
l’entreprise, donc favorisera l’émergence potentielle d’un risque financier.
Son positionnement central traduit également cette dimension : les
13 classes de risques, en se concrétisant, engendreront par nature et
systématiquement, un risque financier, plus ou moins difficile à assumer
par l’entreprise.
Causés directement par la mise en oeuvre du modèle stratégique

de l’entreprise, directement ou indirectement, les risques financiers
complètent le coeur de notre réflexion centrale, compte tenu de leur
diversité et de leur gravité potentielle.
5 - Risques opérationnels
Objet de notre ouvrage, la notion de risques opérationnels est extrêmement
large : elle exprime tous les risques pouvant engendrer un dommage, une
perte, un coût, créés ou subis lors de la réalisation de l’activité courante
de l’entreprise : infrastructures, cycles de production, de distribution,
processus logistique, gestion documentaire, etc. En résumé, les risques
opérationnels matérialiseront tous les impacts directs ou indirects
engendrés par l’entreprise dans son activité quotidienne.
Ils figurent immédiatement après les risques financiers, résultant du

« coeur opérationnel » de l’entreprise. Leur analyse devra être réalisée par
grandes familles de processus opérationnels.
Trois types de risques opérationnels spécifiques, particulièrement

importants, seront à considérer de manière dédiée et à traiter de
façon particulière dans l’entreprise : les risques juridiques, les risques
informatiques, et les risques sociaux et psychosociaux (plus simplement
dénommés les risques « ressources humaines »).
38
6 - Risques industriels
Les risques industriels couvrent, comme leur nom l’indique, une catégorie
particulière de risques opérationnels, rencontrés exclusivement dans les
activités de fabrication, de transformation, donc de production de biens.
Qu’il s’agisse d’emboutissage de pièces simples, de construction

mécaniques complexes (avions, voitures, bateaux, machines-outils, gros
oeuvre), de chaînes de montage ou d’assemblage, d’activités de finition
légère ou de transformation, les cycles industriels sont à considérer
de manière exclusive et leurs risques associés, multiples et complexes,
nécessitent un traitement ainsi qu’une approche spécifique.
Un certain nombre de démarches méthodologiques exclusivement

dédiées à la maîtrise des risques industriels existe, et le savoir-faire
des grands groupes industriels, réputés pour la maîtrise des cycles
techniques de production, participe à la maîtrise des risques industriels,
particulièrement critiques pour les entreprises concernées. Un chapitre
leur est dédié dans notre livre.
7 - Risques juridiques
Les risques juridiques constituent la première classe de risques
opérationnels à traiter selon notre approche de manière différenciée. Ils
couvrent pour l’essentiel les problématiques contractuelles des relations
d’affaires, des obligations de respect de la conformité des lois et des règles
en vigueur (notion de conformité juridique), les problématiques liées
à la contrefaçon, ainsi qu’un approfondissement d’un risque juridique
particulier : la responsabilité pénale du dirigeant.
Compte tenu de la pénalisation croissante du monde des affaires, de la

tendance générale observée d’une certaine dérive du nombre des actions
à l’encontre des personnes morales et de leurs représentants mandataires
sociaux, de la médiatisation marquée des abus toutefois marginaux
de la fonction de direction d’entreprise en contexte social tendu, et
de la multiplication des dérives « sociales » actuellement observées
(séquestration, conflits sociaux délicats, conjoncture difficile), les risques
juridiques deviennent désormais un véritable piège pour les entreprises à
court, moyen et long terme.
39
Facteur aggravant de la bonne maîtrise des risques juridiques, l’inflation

législative et la multiplication effarante des textes et des décrets rendent
désormais pratiquement illisibles et/ou inapplicables la connaissance
et donc le bon respect des lois en vigueur, sans l’aide permanente d’un
juriste spécialisé par domaine de compétences : droit social, fiscal, pénal,
civil, droit des contrats, droit des assurances, etc. Nous leur consacrons
une partie de l’ouvrage.
8 - Risques informatiques
Seconde famille de risques opérationnels spécifiques, les risques
informatiques sont une source permanente, récurrente et coûteuse de
risques critiques pour les entreprises de nos jours, compte tenu de l’usage
intensif, permanent et structurel des outils informatiques (matériels,
logiciels, applications, infrastructures réseaux, etc.) et de la multitude des
risques associés au périmètre informatique.
Vulnérabilité, sécurité physique et logique, qualité des couvertures

applicatives, gestion des coûts associés, perte de données, disponibilité
des outils et des réseaux, fiabilité/confidentialité/intégrité/disponibilité
des données, performance des applications et des traitements, autant
de risques informatiques à traiter et à maîtriser impérativement, compte
tenu de la permanence et de la prégnance de l’outil IT dans le monde de
l’entreprise aujourd’hui.
Quelle que soit la dimension de la structure, l’outil informatique

est désormais essentiel à l’activité quotidienne, et la pérennité de
l’infrastructure informatique – et de communication associée – devient
critique. Ses risques associés, multiples et lourdement impactant,
constituent un gisement de risques majeurs à identifier, comprendre et
maîtriser. Un chapitre leur est également consacré.
9 - Risques « ressources humaines »

Derrière cette dénomination peu valorisante, les risques « ressources
humaines » sont constitués en fait de deux grands types de risques distincts :
les risques sociaux (climat social, maîtrise du turn-over, gestion de la
compétence, perte homme clé) et les risques psychosociaux (mal-être,
stress, harcèlement sexuel et/ou moral, suicide, conduites additives).
Cette classe de risques, également rattachée indirectement aux risques
40
opérationnels, nécessitera un traitement particulier et délicat, compte

tenu du périmètre et de la sensibilité du domaine abordé.
« Il n’est de richesse que d’hommes ». Au-delà de l’adage fameux de Jean

Bodin, nous serons tentés de dire « qu’il n’est de risques que d’hommes ».
Clé de voûte de tout projet de création et de développement d’entreprise,
la gestion du risque humain sera primordiale, complexe, passionnante,
mais source de nombreuses fragilités à appréhender puis à maîtriser.
De même, les enjeux du management intergénérationnel (et la prise en

compte de la fameuse « Génération Y », de ses désirs, de ses contraintes, de
ses codes, de ses valeurs et de ses apports), la question de l’encadrement
interculturel pour les entreprises internationales, le développement et
la pérennisation des connaissances, des compétences et des savoirs des
acteurs, la création et le maintien d’un lien social efficace et serein, sont
autant d’enjeux RH à traiter au titre de ce risque opérationnel générique.
Nous y reviendrons dans le cadre d’une partie dédiée.
10 - Risque d’image et/ou de réputation

Le risque d’image ou le risque de réputation peut être considéré, à
tort, comme des problématiques de haut niveau dont l’intérêt et/ou la
portée, en cas d’émergence, ne concernent que les grandes entreprises,
médiatisées, significatives en dimensionnement ou en respectabilité.
Bien au contraire…
Connaître l’image de son entreprise et la maîtriser vis-à-vis de ses salariés,

de ses clients, de ses fournisseurs, de ses partenaires, de ses tiers de
confiance, ne constitue pas l’apanage des stars du CAC 40 ou des entreprises
intégrées aux indices phares des places boursières internationales.
Autant la construction d’une image interne et externe va s’avérer complexe,

difficile, longue, autant sa destruction – ou sa dégradation – constituera
des risques extrêmement rapides en concrétisation, difficilement
maîtrisables, dont les impacts en termes de gravité seront très lourds,
voire impossibles à surmonter.
41
Contrefaçon, rumeurs, guerre économique, diffamation, contrebande,

concurrence déloyale, autant de vecteurs de risques que l’entreprise devra
contrôler afin de maîtriser son image.
Gérer un risque image ne s’improvise pas, et chaque entreprise devra

garder en permanence un oeil sur sa réputation, dont les dommages
seront lourds de sens.
Un risque à ne pas négliger, même pour une toute petite entreprise Il

contribuera à la pérennité de la structure et demeure intimement lié
aux risques opérationnels, même si cette classe de risques ne sera pas
considérée comme faisant partie des enjeux opérationnels, objet du
présent ouvrage.
11- Risque knowledge management/gestion de la connaissance

Principal actif de l’entreprise, la connaissance et les savoir-faire de
l’organisation, des équipes, des salariés, son évolution et sa capitalisation
exposent toutes les entreprises aux risques liés à ce que la terminologie
anglo-saxonne appelle le knowledge management, autrement dit la
gestion de la connaissance.
Documentation des procédures et des processus, actualisation des modes

opératoires, gestion de la donnée et de l’information en interne et en
externe, veille prudentielle, autant de sources de risques que la gestion
de la connaissance devra encadrer, afin de sanctuariser l’actif essentiel de
toute entreprise : son savoir.
Vecteur de transmission, de formation, de capitalisation et de

différenciation de l’entreprise, la maîtrise de la connaissance et de ses
risques associés constitue un risque particulièrement sensible à gérer. Il
permettra également d’optimiser l’efficacité de l’activité. Souvent perçue
comme contraignante, la maîtrise de ce risque demeurera critique, à bien
des égards. Ce risque nourrit bien évidemment les risques opérationnels,
mais nous avons décidé de ne pas le considérer de manière dédiée, afin de
limiter notre propos et la cohérence de notre démarche.
42
12 - Autres risques : de multiples sources de risques

à ne pas négliger
Avant-dernière famille des risques identifiés dans l’entreprise, la classe
des « autres risques », comme son nom l’indique, regroupe toute une série
de risques à traiter de manière individuelle dans le temps et dans l’espace,
mais qui ne constitue pas de classes de risques dédiées, ne pouvant
proposer au lecteur une multitude infinie de thématiques différenciées.
Il nous a semblé que, bien que significatifs pour la plupart d’entre eux,
ces types de risques pouvaient être trop spécifiquement marqués de
complexité d’un secteur d’activité à l’autre, ce qui nuisait à la présentation
homogène et graduelle souhaitée de la pyramide initiale retenue. D’où le
choix méthodologique de créer une « classe élargie » de risques, à ne pas
oublier toutefois.
Parmi les grands risques constitutifs de cette classe n° 12, nous trouverons
notamment les problématiques de surqualité, de risque environnemental
et de maîtrise du développement durable, de défaillance des dispositifs
de contrôle interne, de défaillance de pilotage, de gouvernance de
l’entreprise, etc.
Ces risques ne font toutefois pas partie d’une classe de risques transversale
dédiée, compte tenu de la spécificité de chacun de ces risques, et de leur
non-applicabilité dans un certain nombre de situations. Ils pourraient
également être considérés pour certains, directement ou indirectement,
comme des risques opérationnels. Là encore, nous avons fait le choix de
ne pas les considérer comme tels, même si certains d’entre eux demeurent
directement liés aux enjeux opérationnels de l’organisation.
13 - Risque d’intégrité
Enfin, le sommet de la pyramide est représenté par le risque individuel
ultime, en cohérence avec la philosophie de présentation des treize classes
de risques. Le risque d’intégrité sera à percevoir et analyser tant d’un point
de vue individuel (démarche, comportement ou action inappropriée,
réalisés par un acteur individuel : discrimination, injure, non-respect des
règles d’entreprise, vol, fraude) que d’un point de vue de conformité/
déontologie (respect par les acteurs de l’entreprise – et l’entreprise elle-
même – des règles, lois et décrets en vigueur).
43
Fondamentalement, l’intégrité individuelle d’un dirigeant, d’un

collaborateur, d’une organisation pourra potentiellement remettre
en cause la pérennité même de l’entreprise. Ce risque d’intégrité est
positionné en haut de la pyramide, représentant le sommet de l’action
individuelle et du risque éventuel associé.
De cette culture de l’intégrité individuelle et/ou collective, du respect – ou

non – des règles établies (internes et/ou externes à l’entreprise) découle
une vision d’entreprise, de mise en oeuvre du modèle stratégique,
appliqué à chaque acteur.
Il s’agit du risque individuel ultime, potentiellement dommageable et

pouvant impacter ou engendrer tous les risques précédents : risque
d’image, risque financier, juridique, opérationnel, jusqu’au socle primal. Il
n’est donc pas exclusif ni spécifique à l’enjeu opérationnel dans l’entreprise
même si, au quotidien, le non-respect d’un mode opératoire engendrant
la concrétisation d’un risque opérationnel pourrait être considéré comme
un risque opérationnel ! Nous avons fait le choix de ne pas l’intégrer dans
notre lecture des risques opérationnels.
Ces treize classes de risques spécifiques permettent d’appréhender de

manière simple les principaux enjeux conceptuels à traiter en entreprise.
Mais cette pyramide ne couvre malheureusement pas tous les risques à
appréhender.
Les risques projet

Dernière dimension à ne pas négliger, et notamment dans le cadre
des actions et activités opérationnelles courantes, car elle demande
une démarche propre, particulière, et bien que ne constituant pas une
classe de risques « spécifique » dans notre modèle de présentation des
enjeux, nous préconisons également d’identifier et de maîtriser une
classe « méthodologique » de risques spécifiques : la maîtrise des risques
inhérents au mode projet.
En mode projet, certaines fragilités potentielles et spécifiques à la

démarche projet vont être mises en exergue, et elles seront à traiter de
manière dédiée, dans le cadre d’une démarche indépendante particulière
de type « risque projet ».
44
Qu’il s’agisse de projets informatiques, organisationnels, opérationnels,

industriels ou de toute autre nature, l’appréhension des risques associés
au projet sera à réaliser de manière dédiée.
Les grandes étapes d’un projet, de quelque nature qu’il soit, peuvent être
résumées de la manière suivante :
Pour chacune des étapes du mode projet, les risques, multiples, vont se
présenter et menacer la bonne exécution du projet considéré. Et ce, tout
au long du processus projet.
Trop souvent, les risques s’accumulent et remettent en cause, soit le projet

lui-même, soit l’intérêt initial de la démarche, compte tenu des surcoûts
associés à une mauvaise maîtrise des risques du projet (coût d’opportunité,
délais, ressources additionnelles, études complémentaires, inadéquation
des ressources aux besoins).
Sans entrer dans un détail trop marqué, il est toutefois à noter que
figurent, parmi les principales dimensions « risques » à appréhender en
mode projet, les points suivants :
-- Risques « RH » : fondamentalement, tout projet ne verra sa réussite
concrétisée que grâce à la performance de l’équipe et des acteurs qui le
portent. Les enjeux spécifiques de gestion de la compétence requise pour
la bonne exécution du projet et de maîtrise de la connaissance capitalisée
au titre du projet sont critiques à maîtriser. En outre, la dimension
comportementale des acteurs impliqués au projet, et plus particulièrement
la capacité de fédérer et conserver l’adhésion et la motivation des acteurs
contributifs au projet sur toute sa durée, constitue une source de risques
non négligeables, à ne pas sous-estimer.
45
-- Risques « pilotage du mode projet » : tout projet initié doit être piloté
avec efficacité. Les risques issus d’un mauvais pilotage de l’exécution du
projet ou d’un dimensionnement inadapté des ressources nécessaires à
sa bonne réalisation doivent être particulièrement étudiés. Notamment,
les enjeux associés au pilotage des activités des tiers sous-traitants
apparaîtront critiques.
-- Risques « gestion de la planification » : en mode projet, la maîtrise
du planning projet est essentielle. De multiples risques sont susceptibles
d’obérer le bel édifice, pour de multiples faits générateurs : projections
prévisionnelles incohérentes, irréalistes, temps contraint marqué dans
l’exécution de certaines phases du mode projet, sous-dimensionnement
des charges (et des ressources financières, humaines et/ou matérielles à
mobiliser) nécessaires à la bonne réalisation dudit projet, etc.
-- De multiples autres risques propres au projet considéré sont
également à traiter. Par exemple, les enjeux liés à la budgétisation
appropriée et à la disponibilité assurée des compétences à mobiliser dans
le cadre du projet, la multiplication des sources de modification des cahiers
des charges initiaux (aux enjeux parfois antinomiques), l’interdépendance
des phases du projet entre elles (bloquant l’avancement), les rôles
et responsabilités des acteurs (maîtrise d’œuvre, maîtrise d’ouvrage,
assistance à maîtrise d’ouvrage, confusion des rôles…), la qualité des sous-
traitants (exigence de résultat ou de moyens), des contractants (risque de
défaillance pendant la vie du projet), sans oublier les risques techniques,
organisationnels et/ou opérationnels associés au projet lui-même.
En mode projet, les risques sont à appréhender de manière dédiée,

indépendamment des démarches existantes dans l’entreprise. Un
projet, au-delà de sa pertinence, c’est avant tout un ensemble de risques
particuliers à maîtriser.
Les risques d’un projet seront donc à traiter dans le cadre d’une démarche
méthodologique normée, performante, dédiée et si possible, pertinente.
Il en va de la qualité de l’exécution, voire de la bonne fin du projet initié à
l’origine. Notre présentation des différentes classes de risque en pyramide
aurait été incomplète sans cet apport spécifique à la dimension associée
des risques en mode projet, à ne pas oublier dans la réflexion.
Au final, un seul risque menace vraiment l’entreprise. Il s’agit d’un risque

ultime.
46
Le risque ultime
Chacune des treize classes de risques présentées précédemment, ainsi
que la démarche spécifique « risque projet » présentée ci-dessus, va
potentiellement, en cas de survenance, contribuer à engendrer un coût du
risque, donc un risque financier additionnel pour l’entreprise. Sa gravité
sera bien sûr significativement variable en fonction de la classe de risques
considérée, du coût du risque net et de ses composantes particulières,
mais elle aura des impacts certains, plus ou moins dommageables pour
l’organisation. Et cette certitude conduit à notre volonté de mise en oeuvre
d’une démarche tant préventive que curative de maîtrise du risque, quelle
que soit la classe de risques considérée.
Mais, au-delà des impacts multiples et variés que l’entreprise devra

assumer en cas d’émergence d’un risque, quel qu’il soit, le risque ultime
de toute entreprise reste et restera, somme toute, assez simple.
L’entreprise, quelles que soient sa taille, son activité, sa maîtrise préventive

ou curative des risques, est confrontée à un seul risque primordial : celui
de la déclaration de cessation des paiements, unique et premier pas vers :
-- la liquidation judiciaire ;
-- la mise en redressement judiciaire et ses plans de suivi post-RJ (plan de
redressement, plan de cession, partielle ou totale) ;
-- la mise sous procédure de sauvegarde (dispositif créé par la loi du
27 juillet 2005, au final peu usité, anticipant toutefois la situation de
déclaration de cessation des paiements) ;
-- la cessation d’activité pure et simple par volonté unilatérale de son
dirigeant et/ou de ses actionnaires/fondateurs, le cas échéant.
Toutefois, la concrétisation de ce risque ultime ne sera, au final, que

directement lié à la matérialisation d’un ou de plusieurs risques faisant
partie d’une ou de plusieurs classes de risques proposées ci-dessus.
Très souvent, ce sont des risques opérationnels qui ouvriront la boîte
de Pandore des risques, conduisant l’entreprise vers le chemin de la
concrétisation du risque ultime.
47
Le risque ultime de toute entreprise est la déclaration de cessation des

paiements, dont l’issue est, le plus souvent, définitive pour l’entreprise
(redressement judiciaire, liquidation judiciaire).
Les 1 000 risques

Au-delà de notre démarche méthodologique, de ce support visuel de la
pyramide, et à travers l’expérience et la vision de la gestion des risques
acquise en entreprise depuis de nombreuses années, il va sans dire que cette
représentation, extrêmement synthétique, ne permet – et ne permettra
pas – de lister objectivement et de manière exhaustive l’intégralité des
risques susceptibles d’impacter et de fragiliser une entreprise.
Toutefois, cette présentation permet de ne pas oublier certaines

dimensions fondamentales de sources de fragilité, souvent méconnues
quoique profondément risquées. Il existe, en entreprise, plusieurs
centaines de risques potentiels à identifier, comprendre et maîtriser. Pour
ne pas dire plusieurs milliers.
De notre expérience acquise en entreprises puis au sein de la société

Riskeal, spécialisée en audit/conseil, formation et accompagnement
des entreprises et des dirigeants dans leur gestion des risques, nous
avons identifié, au bas mot, plusieurs milliers de risques individualisés,
potentiellement aptes à affecter une entreprise, de manière plus ou moins
sensible.
Il convient, en outre, de démultiplier chacune des grandes classes de

risques présentées dans cette pyramide et de maîtriser, société par
société, département par département, service par service, processus par
processus, sous-processus par sous-processus, les différentes classes de
risques proposées et les effets de leurs interactions, afin de contrôler les
éventuelles sources d’exposition. Notre lecture et notre présentation des
risques opérationnels s’inscrit tout naturellement dans cette démarche.
Impact financier
Il est également essentiel de noter, dès à présent, que chaque risque
opérationnel, quel qu’il soit, engendrera, en cas de survenance, un coût
48
financier pour l’entreprise. Nous reviendrons ultérieurement sur la notion

de coût du risque (et des coûts associés des stratégies de couverture à
mettre en oeuvre), mais compte tenu de ce critère contributif partagé par
toutes les classes de risques, nous avons volontairement placé la classe
de risques « risques financiers » au centre de la pyramide. La pertinence
de souhaiter positionner de manière centrale les risques financiers s’en
trouve de facto également renforcée.
Bien évidemment, chaque risque opérationnel concrétisé engendrera un

coût financier pour l’entreprise. Positionnée au coeur de l’édifice, chaque
classe de risques, et notamment celles dédiées aux enjeux opérationnels,
objet du présent ouvrage, impactera, directement ou indirectement, le
coût financier, donc le risque financier de l’entreprise.
Il faudra en permanence conserver à l’esprit le coût du risque associé aux

enjeux opérationnels. Car ils ne seront pas négligeables, bien au contraire
Nous y reviendrons.
Il existe, au bas mot, plus de 1 000 risques pouvant remettre en cause ou

fragiliser la pérennité de l’entreprise au quotidien. Les enjeux opérationnels
demeurent la priorité quotidienne à traiter de manière permanente, lucide
et pragmatique.
De façon pragmatique, et au-delà de la dimension symbolique portée

par cette volumétrie « des 1 000 risques », précisons qu’il existe en
fait des milliers de risques individuels à appréhender. Le choix du
dimensionnement limité, volontaire, ne doit cependant pas laisser à
penser que « seulement » mille risques sont à identifier, comprendre et
maîtriser.
Et parmi ces milliers d’enjeux individuels à identifier, comprendre et

maîtriser, les risques opérationnels constitueront l’épine dorsale de toute
organisation, car ils refléteront l’exposition aux risques de l’entreprise
dans le cadre de l’exécution quotidienne et d’exploitation courante du
modèle stratégique et financier de l’entreprise.
Autant de miroirs susceptibles d’illustrer ou de démontrer la robustesse –

ou la fragilité – opérationnelle de l’organisation. De nombreux enjeux en
perspective !
Abordons à présent le vif du sujet et explorons ensemble cette notion des

risques opérationnels.
49
50
À retenir
• Chaque entreprise, quels que soient son secteur d’activité, son
historique, son métier, sa taille, est par nature exposée à une multitude
de risques qu’il convient d’identifier, de comprendre et de maîtriser.
• Il existe plusieurs milliers de risques susceptibles de remettre en

cause la pérennité d’une organisation ; ils peuvent être représentés
autour de 13 classes de risques différentes.
• Hormis les entreprises soumises à des contraintes réglementaires,

la grande majorité des entreprises ne met pas en oeuvre de véritable
politique de gestion des risques, à tort.
• Les risques ne sont pas une invention du monde moderne ; ils existent
depuis toujours, et existeront toujours mais la médiatisation accrue de
leurs impacts renforce le sentiment perçu d’incertitude chronique de
l’environnement dans lequel évoluent les organisations.
• Dans un monde incertain, la maîtrise des risques permet de renforcer

la pérennité de l’entreprise. Toutefois, la survie d’une organisation ne
dépend pas uniquement de sa capacité à maîtriser les risques.
• Chaque individu possède sa propre sensibilité au risque, forgée à

partir de son expérience personnelle, son caractère, sa sensibilité, sa
formation, son appétence aux risques.
• Sans risque, donc sans prise de risque, il n’y a pas d’entreprise.

Néanmoins, chaque dirigeant doit identifier, comprendre et maîtriser
les risques pris ou subis, donc les gérer de manière préventive et
curative.
• Il n’est de risques que d’hommes.
• Les principaux risques à considérer par l’organisation sont les risques

opérationnels quotidiens ; ils nourrissent en permanence le coût du
risque de l’entreprise, et peuvent remettre en cause la pérennité de
l’organisation en quelques heures.
51
• Les risques opérationnels sont de multiples natures ; leur

concrétisation relève de la robustesse – ou de la fragilité latente
ou avérée – des processus opérationnels et/ou organisationnels de
l’entreprise.
52
Partie 2
RISQUES OPÉRATIONNELS
Introduction
« Crains seulement de rester immobile. »

Sagesse Chinoise
Après avoir contextualisé notre démarche et parcouru succinctement les

treize grandes classes de risques en présence dans l’entreprise, abordons
à présent les risques opérationnels, objet de cet ouvrage.
Cette classe de risques se trouve positionnée au coeur de la pyramide

des risques que nous vous avons présentée dans la partie précédente.
Ce positionnement est tout à fait logique, car cette classe de risques va
cristalliser toutes les activités opérationnelles quotidiennes de l’entreprise
au titre de son coeur métier. Et nous verrons progressivement qu’au titre
de cette classe de risques, objet de notre ouvrage, d’autres classes de
risques dédiées viendront également enrichir notre rapport aux risques
opérationnels : risques juridiques, risques informatiques, risques sociaux
et psychosociaux…
Il est possible qu’au final nous aboutissions à la conclusion que tous les
risques seront des risques opérationnels en puissance !
Pour commencer, interrogeons-nous simplement : que représente

réellement un risque opérationnel pour une entreprise ?
55
Chapitre 1
La notion de risque opérationnel
Tout d’abord, soyons pragmatiques. À partir du moment où une

organisation se crée, se développe, et quels que soient son objet social,
son dimensionnement ou les processus d’exploitation qu’elle s’emploie
à concevoir, déployer et optimiser, elle va immédiatement ouvrir la
boîte de Pandore des risques. Ceux-ci prendront naturellement et
vraisemblablement le visage d’un risque qu’il conviendra d’appeler :
« risques opérationnels ». Ce qui reviendrait en fait à dire, sans abus de
langage et en préambule de notre propos que, théoriquement, tous les
risques présents en entreprise sont potentiellement, par nature et par
essence… des risques opérationnels, car directement liés, de près ou de
loin, aux cycles opérationnels de l’entreprise !
Quand je conçois, quand je produis, quand je stocke, quand je livre, quand

je facture, quand je saisis, recouvre, paye, recrute et forme, je suis dans
l’opérationnalité de l’entreprise. Donc, par nature, tout risque peut être
considéré a priori comme un risque opérationnel à première lecture !
Car, de la rupture d’une chaîne de production à la perte d’une donnée

informatique, d’un vol de matériel à l’inondation d’un stock, d’une attaque
à main armée à un détournement frauduleux d’identité, d’une coupure
électrique à un accident du travail, d’un incendie à une destruction
inopinée d’archives, tout risque peut être l’expression ou la conséquence
d’un risque opérationnel pour l’entreprise.
Voilà qui complique les choses ! Comment sérier plus précisément cette
classe de risques qui ressemble à s’y méprendre à des poupées gigognes,
et dont l’amplitude apparaît, à première vue, quasiment illimitée ?
57
Essayons tout d’abord de définir simplement ce qu’est un risque

opérationnel.
Fondamentalement, la notion de risque opérationnel se présente comme

étant extrêmement large, diversifiée et diffuse car les différents exemples
proposés ci-dessus peuvent tous être qualifiés de risques opérationnels.
Quoi de commun entre une rupture d’approvisionnement et un vol de
données informatiques ? L’existence d’un coût économique induit pour
l’organisation en cas d’émergence ? Ce critère n’est pas suffisant, chaque
risque engendrant un coût pour l’entreprise.
Essayons de forger une définition de cette notion de risques opérationnels,

loin des visions parfois dogmatiques de certains secteurs d’activité qui
définissent les risques opérationnels selon des appréciations ou des
contraintes d’origine essentiellement réglementaire (banque, assurance).
La notion de risque opérationnel recoupe selon moi, et par nature,

l’intégralité des risques dont les impacts, directs ou indirects, sont
susceptibles d’engendrer un dommage, une perte ou un coût financier
à l’organisation, de manière subie ou causée, à court, moyen ou long
terme, lors de la réalisation de son activité courante ou quotidienne de
l’entreprise.
À partir de cette réflexion, nous pouvons exprimer que, selon nous, la

notion de risque opérationnel s’avère en conséquence intimement liée à
celle du cycle d’exploitation de l’entreprise, ou plutôt des différents cycles
d’exploitation de l’organisation. Chaque processus ou sous-processus
opérationnel dans la société peut faire naître des risques opérationnels.
Fondamentalement, un risque opérationnel participe à la concrétisation

potentielle d’une perte économique pour l’entreprise (coût effectif
du risque, coût d’opportunité, coût du risque net, etc.) dans le cadre
du déploiement des activités d’exploitation de l’organisation. À partir
de là, toute activité d’exploitation peut logiquement être la source de
concrétisation de risques opérationnels.
Un risque opérationnel est un risque susceptible d’engendrer un dommage,

une perte ou un coût pour l’organisation lors de la réalisation de ses cycles
d’exploitation, de manière directe ou indirecte, subie ou causée, à court
ou long terme, ou dont le client ressentira les effets induits à plus ou moins
longue échéance.
58
LA NOTION DE RISQUE OPÉRATIONNEL
En conséquence, la notion de risques opérationnels recoupe par

défaut toutes les activités, processus, sous-processus, procédures et
modes opératoires déployés par l’entreprise dans le cadre de son cycle
d’exploitation et dont la résultante peut affecter à terme le client.
Comme l’objectif d’une entreprise consiste, avant toute autre chose, de

servir au mieux son client, en constance et avec qualité, nous pouvons
également définir cette notion de risque opérationnel comme un risque
susceptible de remettre en cause la satisfaction client dans le cadre
des activités nominales d’exploitation de l’entreprise. Quel que soit le
processus considéré mobilisé dans le cycle d’exploitation d’une entreprise,
tout risque concrétisé susceptible d’altérer, de dégrader, de remettre
en cause la qualité de services ou de produits offerts au client peut être
considéré comme un risque opérationnel.
Il existe donc une relation induite forte entre cette notion de risque
opérationnel, ses impacts internes pour l’entreprise et les impacts client
qu’il peut engendrer, directement ou indirectement, à plus ou moins
longue échéance.
Nous pouvons donc enrichir cette première approche du risque

opérationnel en lui attribuant le vecteur « impact client » comme critère
éventuel de discrimination. Si la réponse à la question posée « ce risque
présente-t-il un impact client » est affirmative, ce risque peut être considéré
comme un risque opérationnel.
Ce risque impacte-t-il le client à plus ou moins longue échéance ? Si

vous pouvez répondre « oui » à cette question, cela signifie que vous êtes
confronté à un risque opérationnel.
Il existe donc une relation intime entre l’impact du risque opérationnel

pour l’entreprise au titre de ses cycles d’exploitation, et ses conséquences
ressenties par le client de la société. Cette dualité de lecture permet de
qualifier, en premier lieu, l’enjeu à couvrir qui apparaît dès lors immense.
Au-delà de cette première clé d’interprétation, discriminante à souhait,

revenons à notre réflexion. Par nature, un risque peut être considéré
comme risque opérationnel s’il est en lien direct ou indirect avec les
cycles d’exploitation de l’entreprise. Où plutôt, s’il peut se concrétiser
dans le cadre des processus et autres sous-processus mis en oeuvre par
l’entreprise dans la réalisation de ces cycles d’exploitation.
59
À partir de ce point d’ancrage, si l’on souhaite avoir une première approche

des grandes typologies transversales des risques opérationnels présents
dans l’entreprise, il y a lieu de s’intéresser tout d’abord aux grands cycles
d’activité de l’organisation concernée.
En conséquence, les risques opérationnels concernent par nature les

grandes familles d’activités suivantes, à première vue et en première
approche :
Nous pouvons ainsi commencer à prédéfinir les grands axes de travail et

de réflexion qui seront à considérer dans la lecture pragmatique et efficace
des enjeux associés aux risques opérationnels présents dans l’entreprise.
Ainsi, les quatre thématiques que nous préconisons de considérer au titre

de la délimitation des grandes familles d’enjeux peuvent être proposées
comme ci-après.
L’intégralité des enjeux associés aux infrastructures

de l’entreprise
Si le premier prisme d’identification des risques opérationnels s’articule
autour de l’existence d’un impact client (direct/indirect) et ou l’interaction
des différents cycles d’exploitation de l’entreprise, la nécessaire
pérennisation des actifs de la société se pose afin d’assurer la continuité
60
des services offerts au client. Ainsi, une première étude des risques
opérationnels met en lumière les différents enjeux suivants :
-- accès : qui a accès à quoi, quand, où, comment, pourquoi, etc. ;
-- sécurité des personnes : comment assurer la sécurité physique des
acteurs sur le lieu de travail, où qu’ils soient, quoi qu’ils fassent, à tout
moment ;
-- sécurité des biens : assurer la sécurité des actifs matériels de l’entreprise
contre tout type de dommages (internes, externes, volontaires ou non,
malveillants ou non, etc.) ;
-- sécurité des produits et services : assurer la continuité de la qualité des
biens et services produits, proposés aux clients ;
-- sécurisation des actifs physiques : préserver le patrimoine économique
mis à disposition de l’entreprise par les tiers (actionnaires, financiers,
assureurs) ;
-- sécurisation des actifs logiques : sécurité des actifs immatériels de
l’entreprise (nom commercial, marques, brevets, licences, connaissances,
etc.) ;
-- sécurité des actifs virtuels : sécuriser la pérennité d’actifs virtuels tels la
réputation d’un nom, d’une enseigne ;
-- sécurisation des différents flux de l’entreprise (énergie, eau, chauffage,
télécoms…) : l’utilisation de ressources « flux », quel que soit le type de
flux considéré ;
-- sécurisation de l’environnement physique de l’entreprise : pérennisation
de l’environnement de l’organisation (environnement physique) ;
-- etc.
L’intégralité des enjeux associés aux cycles d’exploitation

courante de l’entreprise
Au-delà des enjeux d’infrastructure utilisés ou mis à la disposition
de l’entreprise s’impose la lecture judicieuse des différents cycles
d’exploitation mis en oeuvre par l’organisation, quelle qu’elle soit et
quels qu’ils soient. La notion de cycle d’exploitation résulte plutôt de la
conjonction d’une multitude de cycles d’exploitations divers et variés.
Parmi les principaux enjeux à considérer dans cette lecture initiale des
61
risques opérationnels, nous pouvons identifier d’ores et déjà les cycles

d’exploitation suivants (non exhaustifs) :
-- cycles d’approvisionnement et d’achats de matières premières,
dangereuses ou non : comment assurer la sécurisation des
approvisionnements, sans rupture, et la maîtrise de la dangerosité des
matières premières destinées à être transformées ?
-- cycles d’approvisionnement et d’achats des marchandises, dangereuses
ou non : comment pérenniser l’approvisionnement des marchandises
sans rupture ?
-- cycles de stockage des matières premières, dangereuses ou non :
comment pérenniser les zones de stockage de produits destinés à être
transformés ?
-- cycles de stockage des marchandises, dangereuses ou non : comment
pérenniser cet actif souvent critique dans l’entreprise ?
-- cycles de production de l’entreprise : comment assurer la capacité
productive et qualitative de l’entreprise en constance tout au long de son
cycle de production ?
-- cycles industriels mis en œuvre par l’entreprise : pérennisation des
procédés industriels développés et/ou utilisés par l’entreprise dans le
cadre de la réalisation de son objet social ?
-- cycles logistiques de l’entreprise, amont et aval (acheminement,
livraison) : comment sécuriser la mécanique logistique de l’entreprise, à
tous les niveaux d’exécution ?
-- cycles de la maîtrise d’exécution de l’offre (délais, qualité, suivi, retour) :
comment maîtriser les risques de perte de qualité, de dérapage de délais,
de mauvaise traçabilité des retours ou des rebuts ;
-- etc.
Une myriade de risques opérationnels directement liés à l’exécution

opérationnelle de l’entreprise dans son « moi intime ». La lecture affinée
des différents cycles d’exploitation permet de prendre conscience de la
complexité de l’enjeu « risques opérationnels » au sein des organisations.
Souvent, il s’agira d’ailleurs de la porte d’entrée de cette famille de risques
particuliers.
62
L’intégralité des enjeux associés aux cycles commerciaux

de l’entreprise
De la même manière, l’intégralité des processus permettant à l’entreprise
de commercialiser son offre, de sa conception à la gestion de la relation
client, risque d’être un puits sans fond de risques opérationnels, en
connexion intime avec le client ou le prospect :
-- cycles d’écoute du marché, de veille concurrentielle : comment s’assurer
que les études de marché, les dispositifs de veille concurrentielle ne
conduisent pas l’entreprise à concrétiser à l’avenir d’innombrables risques
opérationnels plus graves encore ?
-- cycles d’écoute du client, de ses besoins, de ses attentes : pérennisation
des dispositifs de maîtrise du cycle client ;
-- cycles de prospection commerciale : qualité et pertinence des dispositifs
et des pratiques de commercialisation au sein de l’organisation en
prospection ;
-- cycles de commercialisation de l’offre produite ou service : multiples
risques opérationnels à maîtriser dans le cadre de la gestion de la relation
commerciale ;
-- cycles de gestion de la relation client : la fidélisation client expose
l’organisation aux risques opérationnels liés à leur perte ! ;
-- cycle de gestion de la fin de la relation client : le risque image va
notamment se nourrir de la fin de la relation client et de la manière dont
l’organisation va gérer au mieux la « sortie » de la relation ;
-- etc.
L’intégralité des enjeux associés aux processus supports

de l’entreprise
De même, une multitude de processus supports va être mobilisée par
l’entreprise dans la mise en oeuvre de son modèle stratégique, sources
innombrables de risques opérationnels quasi permanents :
-- cycles des processus administratifs internes : comment sécuriser toute
la mécanique administrative de l’entreprise, de la saisie comptable des
opérations à la gestion des congés (tous deux susceptibles d’impacter,
directement ou non, le client) ?
63
-- cycles de facturation, d’achat, de règlements : pérenniser la qualité des

activités administratives déployées pour ou avec le client ;
-- cycles de recouvrement : maîtrise des activités de relances et de
gestion de la relation client, tant en relance amiable, pré-contentieux que
contentieux ;
-- cycles de gestion des réclamations client : risques image et commerciaux
induits par la mauvaise gestion d’éventuelles réclamations clients ; non-
détection de fragilités opérationnelles sources de réclamations client ;
-- cycle des enjeux qualité : maîtrise de la qualité des produits et services
offerts au client et des outils de pilotage de l’entreprise ;
-- cycle des dispositifs de contrôle interne et externe : pérennisation des
sondes destinées à piloter l’organisation, à l’appui de dispositifs robustes
de contrôle ;
-- cycle de gestion de la connaissance : comment sécuriser l’un des
principaux actifs de l’entreprise ? Connaissances, savoirs, savoir-faire…
Comment les pérenniser ?
-- cycle de gestion des archives, des documents, des données : maîtriser
l’histoire de l’entreprise en cas de besoin.
Au-delà de ces quatre grandes familles initiales de risques opérationnels,

l’enjeu opérationnel s’élargit aux dimensions suivantes, compte tenu
de leurs interactions permanentes avec les processus d’exploitation de
l’entreprise au quotidien :
-- L’intégralité des enjeux associés aux processus et activités externalisés :
• sous-traitance de tout ou partie d’un cycle d’exploitation (production,
stockage, livraison, retraitement, destruction),
• sous-traitance de tout ou partie d’un cycle client (plateforme
téléphonique),
• sous-traitance de tout ou partie d’un cycle support (comptabilisation
des opérations, R&D, développement informatique, etc.),
• sous-traitance de tout ou partie d’enjeux sociaux (recrutement,
formation),
• etc.
-- L’intégralité des enjeux associés à la problématique des fraudes internes
et externes.
64
-- L’intégralité des enjeux associés aux problématiques de la conformité

(conformité des produits et des services avec la législation, le droit en
vigueur, les pratiques opérationnelles internes, etc.).
-- L’intégralité des enjeux opérationnels associés aux risques informatiques.
-- L’intégralité des enjeux opérationnels associés aux risques juridiques.
-- L’intégralité des enjeux opérationnels associés aux risques sociaux.
-- L’intégralité des enjeux opérationnels associés aux risques
psychosociaux.
-- Etc.
Bref, le risque opérationnel couvre, globalement, tous les processus

opérationnels, métiers, fonctionnels, organisationnels et d’exploitation
de l’entreprise. Au quotidien, et en substance, tout ou presque peut
être source de concrétisation d’un risque opérationnel, et/ou peut-être
considéré comme tel. Nous vous proposons une méthode spécifique
d’identification des enjeux opérationnels, au titre de grandes familles
d’enjeux à considérer prioritairement.
Délimiter le périmètre initial des risques opérationnels peut se structurer

autour de quatre grandes thématiques à questionner : l’infrastructure
de l’entreprise, ses cycles d’exploitation, ses cycles commerciaux et ses
cycles dédiés aux activités support.
Cela revient in fine à exprimer l’idée initiale que tout ou presque peut être
considéré comme un risque opérationnel ! Il appartient en conséquence
à chaque organisation, au-delà de l’existence éventuelle d’une définition
dogmatique de l’enjeu, à définir individuellement ce qui constituera pour
elle, un risque opérationnel.
Tout - ou presque - peut être considéré comme un risque opérationnel

dans l’entreprise. Il appartient à chaque entreprise de définir, au cas par
cas, les risques qui seront considérés comme des risques opérationnels et
ceux qui seront exclus du périmètre d’intervention.
Car n’importe quel risque peut, directement ou indirectement, traduire

une activité courante de l’organisation dans son exploitation courante,
avec impact direct ou indirect vers le client, et ce quel que soit le prisme
d’analyse, de détection ou de traitement du risque. Nous vous conseillons
en conséquence dans votre réflexion première d’appréhension de l’enjeu
65
des risques opérationnels d’adapter une démarche de type « processus »

puis de systématiser la lecture des enjeux opérationnels à l’appui
d’un inventaire exhaustif et rigoureux des pratiques opérationnelles
effectivement en présence dans l’organisation, avant de délimiter
l’éventail des enjeux à considérer prioritairement.
Un impératif avant toute autre chose :

faire l’inventaire de l’existant
Afin d’identifier au mieux et de la manière la plus exhaustive possible
les multiples risques opérationnels dans l’entreprise (et aider à leurs
identifications et déterminations précises !), nous vous conseillons
de commencer par initier la démarche d’identification des risques
opérationnels sur la base d’un inventaire déclaratif et exhaustif de l’existant
opérationnel dans l’entreprise. Pour ce faire, nous vous conseillons de
réaliser les actions suivantes :
-- Collecter l’intégralité d’éventuels signes précurseurs témoignant de
l’existence de risques opérationnels déjà expérimentés :
• réclamation clients,
• insatisfactions salariés,
• plaintes fournisseurs,
• expressions ou remarques négatives des tiers, quels qu’ils soient :
banquiers, assureurs, concurrents, partenaires, prospects, anciens
salariés,
• etc.
-- Réaliser des audits et des visites au sein de l’organisation : inspection,
visites de sites, visites clients, visites fournisseurs, etc., en collectant la
parole exprimée.
-- Collecter les incidents, dysfonctionnements ou anomalies rencontrés au
sein de l’entreprise, ayant engendré un coût du risque pour l’organisation,
en lien avec ses activités opérationnelles. Par exemple :
• pertes liées à un défaut perçu par le client (qualité, délai),
• pertes liées à une mauvaise gestion des actifs (stocks),
• pertes liées à une rupture opérationnelle (approvisionnement, stock,
chaîne),
66
• pertes liées à une mauvaise organisation ou gestion (données,

informations),
• etc.
-- Identifier et élaborer une cartographie des processus en vigueur dans
l’entreprise, traduisant le fonctionnement opérationnel de l’organisation :
• par service, par département, par entité, par unité opérationnelle, par
entité organisationnelle (qui fait quoi, quand, pourquoi, comment…),
• par processus,
• par sous-processus,
• par mode opératoire (work-flows, schéma de flux).
-- Identifier et qualifier les processus et sous-processus critiques pour
l’organisation, nécessitant d’identifier, de comprendre et de maîtriser au
mieux les risques opérationnels en présence.
À l’issue de ce travail d’inventaire, vous vous retrouvez confronté… à

la multitude ! Des milliers de risques opérationnels ont été identifiés,
collectés, recensés et qu’il faudra critériser !
Il est alors nécessaire de déterminer, de manière collégiale, les signes

précurseurs, les dysfonctionnements, la structuration des processus et
67
procédures critiques que l’entreprise va souhaiter considérer en priorité

dans son travail de maîtrise des risques opérationnels.
Or, et nous l’avons déjà exprimé, l’enjeu de la multitude des risques à

traiter se pose. Plusieurs milliers de risques individuels seront à traiter.
Il sera donc essentiel de collecter de manière exhaustive les principaux
risques opérationnels à considérer dans un premier temps.
Face à la diversité des risques individuels, nous vous conseillons de définir,

pour chaque risque identifié, un degré de mesure de l’enjeu en présence,
afin de permettre de prioriser les actions et déterminer ainsi les risques
prioritaires à considérer. L’une de nos publications pourra vous aider en ce
sens dans cette démarche.
Il sera nécessaire de prioriser les risques opérationnels à considérer au

titre des processus critiques de l’entreprise, compte tenu de la diversité et
du volume potentiel des enjeux en présence dans l’organisation. Pondérer
et critériser les risques individuels peut utilement y contribuer.
La notion des risques opérationnels nécessite donc de déterminer avec

précision le périmètre éligible et la définition précise de ce que vous
considérerez comme étant – ou non – un risque opérationnel qui sera à
considérer. Une approche maximaliste et exhaustive est à considérer de
prime abord, avant d’en déterminer les axes critiques et prioritaires à
traiter.
Pour résumer, tout risque pourra logiquement être considéré comme

un risque opérationnel. À vous de définir simplement ce qui ne sera pas
un risque opérationnel, et de considérer tous les autres en tant que tels.
Par contre, il sera impératif, au-delà du devoir d’inventaire, de limiter les
enjeux essentiels à considérer dans cette réflexion destinée à réduire le
coût du risque opérationnel dans l’entreprise.
Définissez avez précision les risques qui ne seront pas considérés comme
des risques opérationnels. Il est plus simple de définir en la matière ce qui
n’est pas, et non pas ce qui est, afin de délimiter le spectre des risques
opérationnels à considérer en tant que tels.
68
Une nouvelle fois, nous vous conseillons d’appréhender la définition

des risques opérationnels de la manière la plus simple et pragmatique
possible :
-- Un risque opérationnel est un risque dont votre client subit, directement
ou indirectement, la concrétisation, à plus ou moins longue échéance.
-- Un risque opérationnel traite d’enjeux directement ou indirectement
liés aux multiples cycles d’exploitation de l’entreprise, quels qu’ils soient.
Maintenant que nous avons identifié plus précisément cette notion de

risques opérationnels, abordons dès à présent les principales thématiques
initiales à considérer, afin de les maîtriser au mieux.
69
Chapitre 2
Infrastructure, accès, sécurisation
Le premier point d’intérêt que je vous propose de considérer au titre

des risques opérationnels « classiques » résulte de la problématique
de l’infrastructure, de ses accès et, d’une manière générale, des enjeux
associés à la sécurisation de l’outil de travail de l’entreprise. C’est très
souvent grâce à ce premier point d’entrée et de confrontation avec les
risques que l’entreprise appréhendera de la manière la plus efficace ses
Toute entreprise va, en première instance, devoir sécuriser ses

infrastructures physiques. Cette obligation sécuritaire des infrastructures
utilisées, mises en oeuvre ou déployées par l’organisation s’impose à
plusieurs titres :
-- sécurisation physique des installations (prévention des dangers directs
ou indirects susceptibles d’altérer, de dégrader, de restreindre ou de
détruire, de manière totale ou partielle, permanente ou temporaire,
les sites, outils et équipements de l’organisation, par cause interne ou
externe) ;
-- sécurisation des personnels sur site ou à proximité des sites exploités
(préservation de l’intégrité physique et morale des équipes sur leur lieu
de travail, ou en proximité du lieu de travail ou d’opérations), en tous lieux
d’espace et de temps ;
-- sécurisation opérationnelle des actifs meubles ou immeubles utilisés
par l’entreprise (préservation des actifs patrimoniaux de l’entreprise, afin
d’en assurer la pérennité patrimoniale et d’usage, mis à la disposition de
l’entreprise) ;
71
-- respect des obligations réglementaires en matière de sécurité des

personnes et des biens (maîtrise des obligations afin d’assurer la
conformité des installations, des équipements et des outils utilisés aux
lois et règlements en vigueur, dans le respect de la personne humaine, de
l’environnement, de la responsabilité sociale et sociétale de l’entreprise,
et des responsabilités associées du dirigeant au titre de l’obligation de
sécurisation des salariés et de la préservation de l’environnement sur le
lieu de travail) ;
-- maintien en conditions opérationnelles des activités, produits et services
réalisés par l’entreprise, dans le cadre de la réalisation de son objet social
(préserver le fruit des activités réalisées, destinées aux clients, prospects,
partenaires, fournisseurs, tiers, etc.). Il est parfois bon de le rappeler, au-
delà de toute autre contingence !
Bien évidemment, la sécurisation des personnels constitue la première

grille de lecture à considérer prioritairement, au titre notamment des
obligations sociales et sociétales relatives aux contraintes de type EHS
(Environnement, Hygiène, Sécurité) et des éléments « métier » identifiés
au titre du Document Unique dans le cadre de la prévention des risques
professionnels des salariés.
Cet axe de travail doit constituer la priorité n° 1 des préoccupations du chef

d’entreprise et des cadres responsables lorsqu’est abordée la question
des risques opérationnels en entreprise.
La sécurisation physique des personnes doit constituer la priorité n° 1

des dirigeants dans leur réflexion sur les risques opérationnels au sein de
l’entreprise.
Cette sécurisation des infrastructures physiques s’impose à tout dirigeant

à plusieurs titres : obligation de mise en sécurité des salariés sur le lieu de
travail (absence de mise en danger, obligation de sécurisation et de mise
en oeuvre des moyens adaptés à la réalisation de la mission), sécurisation
du patrimoine de l’entreprise (patrimoine mobilier et immobilier pérenne
dans l’entreprise) ; maintien en conditions opérationnelles des processus
de l’entreprise (à l’appui des actifs mis à disposition par l’actionnaire,
utilisés et disponibles).
Il apparaît essentiel de piloter la lecture initiale des risques opérationnels

au titre de la mise en sécurité absolue des personnes et des biens. Les
enjeux associés au maintien en conditions opérationnelles des processus
72
INFRASTRUCTURE, ACCÈS, SÉCURISATION
d’exploitation à destination des clients doivent être considérés en seconde

lecture.
Chaque dirigeant doit mettre en oeuvre une politique de sécurisation

des personnes et des biens au sein de l’entreprise. La pérennisation de
l’organisation s’appuie avant tout sur la sécurisation des personnels et des
actifs critiques de l’entreprise, dans le respect des lois et règlements en
vigueur, avant toute autre chose.
73
Toute démarche de sécurisation des infrastructures de l’entreprise doit

donc pouvoir s’appuyer sur une démarche méthodologique robuste qui
peut se résumer de la manière suivante :
Étape 1 : Identification exhaustive des infrastructures de

l’entreprise
Nature, dimensionnement et destination des locaux immobiliers détenus,
utilisés, loués ou mis à la disposition de l’entreprise :
• siège social ;
• succursales, points de vente ;
• locaux commerciaux, représentation ;
• filiales en France ou à l’international ;
• site de production ;
• site de transformation ;
• site de stockage, site d’entreposage ;
• site de traitement et de gestion logistique ;
• centre de recherche et développement ;
• centre de services, centre supports partagés ;
• etc.
La première démarche à effectuer consiste à disposer, en permanence et

en temps réel, de la liste exhaustive de l’intégralité des sites physiques
d’infrastructures de l’entreprise susceptibles d’exister, de loger des actifs
74
matériels ou immatériels appartenant à l’organisation, et où se situent des

salariés, conjoints, clients, sous-traitants, fournisseurs, partenaires, tiers,
etc. Cet impératif de connaissance s’impose à chaque entreprise, sans
exception. Seuls le dimensionnement et la complexité de l’organisation
peuvent rendre plus complexes cette identification exhaustive et
impérative. Combien de fois des dirigeants ont-ils découvert, au hasard
d’un accident ou d’un incident, l’existence d’actifs, de salariés ou
d’activités au détour d’un espace géographique dont ils ignoraient jusqu’à
l’existence ?
Lorsque cet inventaire exhaustif des sites est réalisé, la grille de lecture
adossée à la notion d’actifs – et de leur classification – s’impose.
Étape 2 : Identification exhaustive et classification des

actifs de l’entreprise
Nature, dimensionnement et destination (usage) des actifs corporels et
incorporels de l’organisation :
• équipements, machines outils, outils, machines, matériels ;
• matériels de stockage (racks, échelles, dispositifs d’automatisation et
de traçabilité) ;
• matériels de transport (véhicules, matériels roulants, transpalette,
gerbeur, remorque, porteur, camion, tracteur, etc.) ;
• mobilier (bureau, tables, armoires, racks, etc.) ;
• moyens informatiques et bureautiques (fixes, portables, serveurs,
routeurs, etc.) ;
• moyens de télécommunication (téléphones fixes et portables,
smartphones, visioconférences, infrastructure informatique…) ;
• actifs physiques associés à la « connaissance » : archives,
documentation, dossiers clients, éléments de comptabilité, pièces
comptables, historique d’activité client, fournisseurs, dossiers salariés,
fiches de paie, documents sociaux, documents gouvernance (comptes
rendus d’instances, ordres du jour, cahiers de présence, activités sociales
et syndicales, CE, DP, CHST, CODIR, COMEX, Conseil d’administration,
etc.) ;
• actifs incorporels : licences, brevets, marques, droits, actifs détenus
en propriété intellectuelle, etc. ;
• signalétique ;
• etc.
75
Cette classification des actifs doit être réalisée de la manière la plus

précise possible et l’inventaire associé doit garantir la traçabilité des
actifs identifiés au titre de la classification. Notamment, de nombreuses
entreprises perdent la trace des actifs par défaut de gestion de stocks
d’actifs, de traçabilité suite à mobilité interne, etc.
L’objectif de cette action de classification des actifs de l’entreprise consiste,

pour l’essentiel, à identifier l’existant physique, matériel et incorporel des
actifs d’infrastructure de l’entreprise, afin d’assurer la meilleure traçabilité
aux actifs opérationnels de l’organisation.
En complément de cette classification des actifs, il peut être judicieux de

critériser les actifs selon trois qualificatifs :
-- les actifs critiques, dont la sécurisation sera considérée comme
essentielle et prioritaire ;
-- les actifs importants, dont la sécurisation interviendra en phase 2 (après
le traitement effectif de la sécurisation des actifs critiques) ;
-- les actifs autres, dont la sécurisation interviendra en phase 3, à l’issue
des deux précédentes.
La critérisation des actifs peut être judicieusement réalisée lors de la phase

de classification des actifs, afin de gagner en efficacité lors de la mise en
oeuvre des plans de sécurisation et de secours des actifs d’infrastructure.
Pour une entreprise utilisant plusieurs sites à même vocation, certains

lieux pourront être considérés comme « critiques », alors que d’autres
seront qualifiés « d’importants ». De la même manière, certains actifs
pourront être critiques, et d’autres pas, même s’ils sont peut-être de même
nature : un serveur informatique, un routeur particulièrement sensible,
etc. La notion de criticité de l’actif doit être attachée à sa fonction d’utilité,
au-delà de sa nature propre.
La criticité d’un actif doit se déterminer à l’appui de sa fonction d’utilité,

pas uniquement sa nature.
76
Étape 3 : Classification et valorisation des actifs immobiliers

et mobiliers, corporels et incorporels de l’entreprise
L’identification et la classification des actifs critiques peut être réalisée
selon plusieurs critères :
• valeur brute d’acquisition (valeur nominale du bien acquis : coût
historique) ;
• valeur d’usage (valeur de marché : Fair Market Value ou valeur dite
Blue Book) ;
• coût de remplacement de l’actif en cas de dégradation ou de
destruction temporaire ou permanente ;
• ancienneté (année d’acquisition) ;
• nombre d’années d’usage restant disponibles (vie technique) ;
• criticité de la fonction d’utilité de l’actif (à quoi sert l’actif ?) ;
• difficulté à remplacer l’actif (rareté, cherté de l’actif, disponibilité,
coût) ;
• latence de remplacement de l’actif en cas de besoin (durée de la
réparation, du remplacement, du renouvellement ?) ;
• contraintes particulières associées à la réparation, au remplacement
ou à la substitution de l’actif ;
• capacité et difficultés techniques, opérationnelles ou
organisationnelles pour remplacer l’actif.
L’étape de valorisation des actifs et de leur classification s’appuie très

souvent sur la capacité de l’entreprise à classifier de manière fine chacun
de ses actifs, car elle participe à la qualification de la criticité – ou non – de
l’actif de l’infrastructure considérée. Parfois, il sera inutile de chercher à
valoriser l’actif, si cela ne sert pas à grand-chose.
Afin de réaliser ce travail d’inventaire, plusieurs démarches peuvent

être réalisées et leurs résultats doivent être croisés, afin d’aboutir à une
classification et une critérisation cohérentes :
-- données comptables : base de données bilancielles (inventaires des
actifs incorporels, corporels et financiers détenus par l’entreprise) ;
-- données d’investissement : base reprenant l’historique des
investissements réalisés par l’entreprise ;
77
-- liste déclarative : liste des actifs produite par les salariés eux-mêmes (par
département, service, unité), reflétant l’exhaustivité des actifs corporels,
incorporels et immobiliers utilisés ;
-- liste déclarative par processus : liste des actifs mobilisés au titre des
processus opérationnels de l’entreprise (fabrication, stockage, livraison,
saisie, recouvrement, etc.).
Amorcer ces travaux d’inventaire des actifs à partir de plusieurs démarches

conjointes permet de croiser les résultats de différentes natures et renforcer
l’exhaustivité des actifs concernés, la traçabilité des actifs et leurs degrés
et fonctions réelles d’utilité, relatifs et absolus. Entre la valeur comptable
d’un outil obsolète calculée par les services financiers, la rareté d’un
outil totalement essentiel à un processus métier et la fréquence de son
utilisation par de multiples processus, la valorisation et la classification de
l’actif peut être radicalement différente !
Multiplier les démarches d’inventaires : données comptables, politique

générale d’investissements, liste d’usage des salariés, approche par
les processus. Un actif peut devenir critique en fonction de l’auteur de
l’inventaire !
Soyez vigilant dans la réalisation de l’inventaire des actifs d’infrastructures,

afin de bien critériser la fonction d’utilité des actifs de manière pragmatique
et non dogmatique. La zone de confort des utilisateurs doit être remise en
perspective à la lumière de la fonction d’utilité réelle (et non vécue par
l’acteur) de l’actif considéré.
La plus grande vigilance s’impose dans la compréhension de la fonction

d’utilité réelle d’un actif. Un salarié qui utilise au quotidien un équipement
peut le considérer comme critique. À l’échelle de l’entreprise, l’actif
en question sera peut-être valorisé différemment Attention à ne pas
surestimer (ni sous-estimer d’ailleurs) les actifs, expression de la zone de
confort de leurs utilisateurs.
Ce travail d’inventaire doit donc être réalisé de plusieurs manières, et pas

uniquement à l’appui exclusif des utilisateurs, bien au contraire
Ce travail d’inventaire a également pour vertu d’accroître la traçabilité des

actifs (profitez-en pour marquer les actifs et renforcer leur détermination
formelle !) et affirmer la responsabilisation individuelle des salariés.
78
La détention ou l’usage d’un actif peut conduire certains salariés peu

soigneux à changer de comportement, simplement à l’appui d’une
affectation ou d’une identification plus formelle de la mise à disposition
d’un actif ou de son caractère éventuellement critique et reconnu par
l’entreprise.
Au-delà des travaux d’inventaire de l’existant, de la classification et de la

valorisation des actifs d’infrastructure de l’entreprise, quelles que soient
leurs natures, il peut également apparaître judicieux de s’interroger
simplement à l’appui d’un questionnement trivial mais efficace.
Identifier les risques opérationnels associés à l’infrastructue de

l’entreprise revient à répondre à quelques questions simples : où sont les
actifs de l’entreprise ? Quels sont les actifs critiques ? Quelle est leur valeur
d’usage, de remplacement, ou de valeur résiduelle ? Sont-ils sécurisés ?
Contre quoi ?
À l’issue de ces actions d’inventaire, l’entreprise est à même de bâtir son

identification exhaustive et critique de ses actifs immobiliers, mobiliers et
incorporels et de les critériser sur une base cohérente et crédible.
À l’appui de cet inventaire des actifs dédiés « infrastructure », il y aura

ensuite lieu d’identifier les dangers susceptibles de remettre en cause leur
pérennité, par degré de criticité.
Enfin, la question prioritaire à se poser face aux enjeux d’infrastructures

peut être résumée de la manière suivante :
-- qui à accès à quoi ? (gestion des accès, délégation aux accès, capacité
d’utilisation, formation, pour tous types d’actifs : immobiliers, mobiliers,
corporels, incorporels, données, etc.) ;
-- quand ? (gestion de l’accessibilité, procédures anti intrusion, dispositifs
de traçabilité des accès et des utilisations : qui a utilisé quoi, où, quand ?) ;
-- comment ? (sécurisation des sites, des actifs de toute nature (corporels,
incorporels, données, etc. ) : technologies, accessibilité, traçabilité des
accès, des intrusions, etc.).
79
De la sécurisation des infrastructures

Face aux risques opérationnels identifiés au titre de l’infrastructure de
l’entreprise et de ses actifs, il convient de questionner le rapport au
risque de l’organisation et définir, de manière formelle et pragmatique,
la meilleure stratégie à mettre en oeuvre afin de sécuriser les actifs et les
infrastructures utilisés par l’entreprise.
Nous rappelons tout d’abord qu’il n’existe pas de solution optimale de

couverture des risques en entreprise. Il n’existe que la réponse adaptée
à l’entreprise elle-même, compte tenu de son expérience du risque,
de sa culture, de sa volonté stratégique, politique, économique ou
opérationnelle.
Classiquement, nous avons précisé dans une précédente publication qu’il

existe six stratégies de maîtrise des risques en entreprise :
-- la stratégie d’évitement (le risque opérationnel n’est pas pris, tout
simplement) ;
-- la stratégie de contournement (le risque A est évité par prise du risque B) ;
-- la stratégie d’acceptation (le risque est accepté tel quel, ainsi que son
coût) ;
-- la stratégie d’acceptation avec réduction (le risque est accepté mais son
coût est réduit) ;
-- la stratégie de réduction (le risque est réduit à néant, bien que le risque
zéro n’existe pas) ;
-- la stratégie de transfert (le risque est transféré à tiers via la vente, le
refinancement ou l’assurance).
Ces différentes stratégies sont précisées en détail dans un ouvrage

précédent4.
Il existe six stratégies différentes de maîtrise des risques dans l’entreprise :

chacune de ces six possibilités existe au titre de la maîtrise des risques
opérationnels.
4. Cf. La gestion des risques en entreprise, GERESO Édition, Le Mans, 2011.
80
Toute entreprise doit donc au préalable définir sa propre « politique

risque », et mettre en œuvre sa propre démarche volontariste de maîtrise
du risque considéré et de la limitation de l’impact du coût du risque induit,
en cas de survenance.
Classiquement, le risque zéro n’existe pas. Chacune des six stratégies

présentées peut être déployée au titre des risques opérationnels associés
à l’infrastructure et à la sécurisation des actifs de toute nature. Prenons
quelques exemples :
Exemple R1 : Risque d’inondation d’une salle informatique

où sont logés plusieurs actifs critiques (serveurs de
données critiques ; données confidentielles, etc.)
Stratégie d’évitement : pour que le risque soit évité, il faut déménager
la salle informatique et l’installer dans une zone géographique et un
espace physique certifiés non inondables (localisation de la salle dans un
immeuble, à un étage élevé ; localisation de l’actif dans un site éloigné
des zones maritimes ou exposées au risque de débordement par crue d’un
cours d’eau ; actif positionné dans une zone d’insensibilité à d’éventuelles
intempéries remarquables, absence de circuit d’eau dans les locaux
concernés, imperméabilité démontrée, etc.). Cette stratégie d’évitement
peut engendrer la fabrication de nouveaux risques, et conduit in fine
à une stratégie de contournement (ex : inondation par le sol évité mais
contourné par des risques d’infiltration par les toits !).
Stratégie de contournement : le risque d’inondation suite à intempéries

ou crues peut être évité en relocalisant la salle dans un étage supérieur
mais le risque d’inondation par fuite d’un circuit d’eau ou du toit demeure.
Très souvent, les stratégies d’évitement sont en fait des stratégies de
contournement, le risque initial étant contourné par l’exposition à un
nouveau risque, jugé plus maîtrisable.
Stratégie d’acceptation : le risque d’inondation est accepté tel quel par

l’entreprise. En conséquence, aucune action ni ressource particulière n’est
mobilisée pour lutter contre ce risque. Les stratégies d’acceptation sont
complexes car elles consistent à exprimer une acceptation par défaut
du danger, ce qui peut être compliqué à justifier en cas de survenance
du point de vue d’un salarié, d’un client, ou d’un actionnaire. Appliquer
81
une stratégie d’acceptation ne constitue pas une solution simple,

contrairement aux apparences.
Stratégie d’acceptation avec réduction : le risque est accepté mais il est

réduit en installant, par exemple, des planchers permettant de surélever
les matériels et les circuits d’alimentation de quelques mètres (plancher
hors sol).
Stratégie de réduction : la salle informatique est intégralement

sauvegardée en temps réel, permettant la réplication immédiate,
permanente de l’intégralité des données, outils et processus dans deux,
trois, voire quatre autres sites distincts protégés au plus haut niveau de
sécurité anti inondation.
Stratégie de transfert : l’entreprise ne gère plus de salle informatique :

elle vend ou sous-traite intégralement la maîtrise de ce risque aux
tiers en confiant sa salle informatique (ou les actifs considérés) à un
tiers de confiance qui, lui, assumera le risque. Les autres stratégies de
transfert peuvent classiquement s’appuyer sur des solutions purement
assurantielles (les locaux sont assurés).
Exemple R2 : Dégradation involontaire d’une chaîne de

production (ex : un cariste « loupe son coup » et endommage
par inadvertance l’amorce d’une chaîne de production ou
de conditionnement, rendant indisponible le processus
opérationnel)
Stratégie d’évitement : le processus opérationnel interdit l’accès physique
d’un équipement à risque à proximité d’une chaîne de production,
engendrant une refonte des processus opérationnels d’approvisionnement
de la chaîne. Par exemple, le risque « endommagement du tunnel d’entrée
des produits par un transpalette » disparaît).
Stratégie de contournement : l’approvisionnement n’est pas réalisé à

l’appui de l’équipement risqué A, mais par un autre moyen technique,
moins risqué.
Stratégie d’acceptation : le risque est accepté tel quel par l’organisation,

qui assume le risque d’indisponibilité (et les coûts associés, directs ou
indirects), en cas de survenance.
82
Stratégie d’acceptation avec réduction : le processus opérationnel est

refondu, imposant à plusieurs acteurs d’agir afin de réduire le risque de
dégradation éventuelle (personnel à proximité de la chaîne qui coordonne
l’action de chargement de la chaîne, dédoublement des employés à la
manoeuvre, séparation des tâches, etc..).
Stratégie de réduction : le processus opérationnel interdit le débattement

de l’équipement lui permettant éventuellement d’entrer en contact avec
l’obstacle (détection de présence, blocage physique des équipements,
limitation des débattements, installation de portiques physiques
interdisant l’accès à la ligne de production, etc.).
Stratégie de transfert : l’approvisionnement est confié à un tiers qui assume

le risque opérationnel (sous-traitance du processus d’approvisionnement
physique sur la ligne de production ou d’approvisionnement).
Exemple R3 : Intrusion d’une personne non autorisée

dans un site sensible de l’entreprise (accès aux baies de
brassage informatique, à des données ou actifs physiques
critiques, etc.)
Stratégie d’évitement : personne n’est autorisé à accéder au site, quel que
soit le motif. L’espace est définitivement condamné, tant d’un point de vue
physique que logique. Aucun accès n’est rendu techniquement possible
(niveau de sécurité rendu impossible dans la pratique, à l’exception des
États eux-mêmes).
Stratégie de contournement : seule une partie de l’espace est sécurisée

au plus haut niveau. L’accès aux locaux et aux étages est filtré par système
de cartes ou autres, mais le risque spécifique d’accessibilité demeure.
Stratégie d’acceptation : le risque est pris « tel quel » et ses conséquences

acceptées, en cas de survenance effective du risque.
Stratégie d’acceptation avec réduction : quelques dispositifs de

sécurisation et de pilotage des accès sont déployés, sans atteindre le
niveau de réduction à zéro du risque : contrôle d’entrée, dispositifs
de sécurisation unique (badge, contrôle biométrique, codage, gestion
limitative des horaires et des profils autorisés, etc.).
83
Stratégie de réduction : les accès sont sécurisés par les dispositifs

disponibles de limitation d’accès les plus robustes et les plus fiables :
contrôles biométriques (empreintes digitales, reconnaissance de
l’iris, de la voix) + systèmes de sas filtrants multiples (séquençage de
doubles sas blindés) + accès nécessitant la réalisation d’une séquence
d’authentification et d’identification plurielle (plusieurs personnes pour
ouvrir l’accès en même temps), aléatoire (dispositifs d’identification
aléatoires), individuelle (codes, mots de passe renouvelés et sécurisés),
cryptée, etc. La multiplication des outils, méthodes et démarches de
sécurisation physique et logique rend la réduction du risque quasiment
possible à zéro, en l’état actuel des connaissances et des technologies
disponibles. Seule se posera la question du coût et de l’opportunité à
déployer une telle stratégie !
Stratégie de transfert : l’enjeu est externalisé à un tiers de confiance qui

prend en charge le processus et devient ainsi « propriétaire » du risque
d’intrusion.
L’enjeu de la sécurisation des infrastructures et des actifs se pose donc à

la lumière :
-- de la stratégie de couverture des risques que souhaite effectivement
déployer l’organisation ;
-- du coût d’opportunité à faire – ou à ne pas faire – la mise en oeuvre de
l’action ;
-- de la valorisation du risque résiduel et du coût du risque net associé à
l’enjeu opérationnel.
Au-delà des actifs, ne pas oublier la dynamique

des flux
En complément de ce travail d’inventaire des actifs en présence et des
moyens de les sécuriser au mieux le cas échéant, et ce quelles que soient
leurs natures et selon leur criticité, nous vous conseillons de réaliser
en même temps que l’inventaire physique des actifs d’infrastructure,
l’inventaire des flux présents dans l’entreprise.
Il s’agit des flux susceptibles d’irriguer l’entreprise, quelle que soit la nature
de ces flux, en fonction de leur point d’entrée et de leur point de sortie.
84
Ainsi, parmi les principaux flux à identifier et à sécuriser, transitant à

travers ou via les actifs physiques ou virtuels de l’entreprise :
-- flux électrique (gestion de l’énergie électrique : entrée, sortie) ;
-- flux physique (gestion des flux d’eau ou d’air ; entrée, sortie – gestion
des corps étrangers : poussières, outils, objets, pollution entrée, sortie) ;
-- flux des personnes physiques (entrée, sortie du personnel, des
intérimaires, des sous-traitants, des fournisseurs, des clients, des
instances, des stagiaires, des candidats, des visiteurs prévus et imprévus),
etc.
-- flux des matériels roulants (entrée, sortie des véhicules de toute nature) ;
-- flux énergétique (gestion du chauffage, de la climatisation, lumière
(entrée, sortie)) ;
-- flux de communication (gestion des flux télécoms, informatique) ;
-- flux des matières premières (entrée, sortie en approvisionnement, en
stock, en production…) ;
-- flux des marchandises (entrée, sortie en approvisionnement, en stock,
en transfert…) ;
-- flux des stocks de produits finis (entrée, sortie) ;
-- flux des stocks de produits semi-finis (entrée, sortie) ;
-- flux des stocks de toute nature « autres » (consommables, périssables) ;
-- flux des déchets (entrée, sortie) ;
-- flux des documents papier (archivage, destruction, collecte, stockage…) ;
-- etc.
Bâtir une cartographie des flux de toute nature sera riche de sens dans
l’identification des dangers sources des risques opérationnels dans
l’entreprise. Nous vous conseillons d’élaborer cette réflexion en parallèle de
l’identification des actifs vue précédemment, afin de coupler deux notions
essentielles et complémentaires dans toute démarche d’identification
des risques opérationnels : approche par les stocks (stocks d’actifs de
toute nature) et approche par les flux dans l’identification des dangers en
présence, donc des risques opérationnels potentiels à considérer.
Lors de l’audit de l’existant de l’entreprise, ne pas oublier, au-delà de

l’identification et de la critérisation des actifs en présence, l’existence et
85
le traitement des différentes natures de flux multiples et variés présents

dans l’entreprise : flux énergie, matière, communication, données, stocks,
personnes, matériels, équipements, etc.
Cette double lecture « stock/flux » apparaît à l’usage extrêmement riche

dans l’identification des risques opérationnels à considérer au titre de la
sécurisation des infrastructures et des accès à l’entreprise.
Réaliser un inventaire physique exhaustif des actifs immobiliers, mobiliers,

corporels et incorporels de l’entreprise. Critériser chaque actif en fonction
de son degré de criticité et d’utilité. Coupler cet inventaire à l’identification
d’une cartographie des flux de toutes natures présents dans l’organisation.
Toujours débuter par la sécurisation des personnes, puis celles des biens
au titre de l’infrastructure.
Identification des dangers

À l’appui de l’inventaire exhaustif des actifs et des flux en présence
dans l’organisation, l’exercice d’identification des risques opérationnels
classiques à considérer par l’entreprise consiste à déterminer en
premier lieu la liste des dangers en présence susceptibles de conduire
à la concrétisation des risques opérationnels prédéfinis. Ce travail doit
naturellement accompagner la réflexion dans la maîtrise des risques
opérationnels : quels sont les dangers susceptibles de favoriser la
concrétisation potentielle des risques identifiés ?
Identifier un danger revient, de manière assez triviale, à essayer de

répondre à la question suivante : qu’est-ce qui pourrait altérer, dégrader
ou remettre en cause l’intégrité d’un actif, d’une personne ou d’un flux, et
qui pourrait affecter économiquement, directement ou indirectement, à
plus ou moins long terme, l’entreprise, en concrétisant un risque ?
Afin de stimuler l’imagination dans cette phase d’identification des

dangers, développer la créativité de chacun et enrichir le questionnement,
nous vous conseillons de vous interroger de la manière suivante, à l’appui
d’une question qui peut apparaître simple, voire simpliste à première
lecture, mais qui va s’avérer riche de sens et de valeur à l’usage :
86
-- Qu’est-ce qui est et pourrait ne pas être ? Exemple : il y a un flux

électrique permettant de faire fonctionner un serveur informatique. Que
se passe-t-il en cas d’absence de ce flux électrique ?
-- Qu’est-ce qui n’est pas et pourrait être ? Exemple : il n’y a pas d’eau
dans cet espace de stockage. Que se passe-t-il en cas de présence de 30 cm
d’eau à cet endroit ?
Mêler l’identification, la localisation et la critérisation des actifs avec les

flux en présence, à l’appui du double questionnement précédent permet
d’identifier un nombre très important de dangers potentiellement en
présence, sources de multiples risques opérationnels à considérer.
Identifier un danger au titre des risques opérationnels consiste à se

questionner sur ce qui pourrait être (et ne devrait pas être), ou sur ce
qui ne pourrait pas être (et devrait être), et en mesurer l’impact sur
l’organisation. Comment et pourquoi l’existence de ce danger participe-t-
il à la concrétisation du risque ?
Toute la question de l’identification exhaustive des dangers résume l’enjeu

de la gestion des risques opérationnels de l’entreprise dans le cadre de
ses différents cycles d’exploitation ayant des conséquences sur les clients
de manière directe ou indirecte. Partant du principe que tout est possible
et que tout peut arriver, comment identifier ce qui pourrait arriver, et en
mesurer les impacts, à l’appui de notre réflexion initiale et de notre prisme
d’identification des risques opérationnels : l’existence d’impact(s) client et
l’implication de processus d’exploitation ?
Tout l’enjeu de la gestion des risques opérationnels consiste pour

l’essentiel à identifier cet univers des possibles, quasiment infini, à les
critériser et chercher à en réduire l’impact en cas de survenance, au
meilleur coût préventif possible, compte tenu du contexte de pénurie des
ressources existant.
Une multitude de dangers en présence

À l’appui de la liste des actifs de l’entreprise déterminés précédemment et
des flux en présence, une multitude de dangers est susceptible d’engendrer
la concrétisation effective d’une multitude de risques opérationnels, dont
nous avons balayé précédemment l’univers des possibles.
87
Parmi les principaux dangers au titre des infrastructures physiques, et

même si chaque entreprise est unique, nous pouvons citer notamment les
grands enjeux de dangerosité suivants, afin de faciliter l’appropriation de
la démarche :
-- Existence d’événements externes susceptibles de remettre en cause la
continuité d’un processus d’exploitation :
• inondations (d’un site de production, de transformation ou de
stockage, d’un site opérationnel, du siège, d’une représentation
commerciale),
• explosions (d’un site de production, de transformation ou de stockage,
d’un site opérationnel, du siège, d’une représentation commerciale),
• rupture de flux critiques, quelle que soit la cause (interne ou
externe) de la rupture (approvisionnement en énergie, en eau, en
télécommunications, en matières premières, en marchandises, etc.),
• arrivée de flux critiques (eau, feu, matières dangereuses ou chimiques,
matières premières, énergie, électricité, chaleur, humidité, etc.).
-- Existence de causes internes :
• toutes les causes externes précédentes peuvent être une cause
interne éventuelle : rupture d’une canalisation, fuite d’eau, section d’un
câble électrique ou de télécommunication, pollution chimique, etc.,
• maladresse d’un opérateur ou d’un acteur de l’entreprise (erreur
de manipulation, vitesse excessive, mauvaise utilisation d’un actif,
mauvaise maîtrise d’un geste technique, chute, malchance, etc.),
• erreur humaine (inattention, fatigue, énervement, mauvaise
interprétation d’une procédure, d’un mode opératoire, geste technique
inadapté, erreur, omission actions inutiles, dangereuses, comportement
malveillant, etc.),
• défaut de conception du produit ou service utilisé (dangerosité
intrinsèque de l’outil, de l’équipement, du produit, manoeuvre
malaisée, délicate, dangereuse),
• mauvaise utilisation d’un ou plusieurs actifs (équipement, machine,
matériels, outils), par détournement d’usage, mauvaise utilisation,
erreur humaine ou malveillance.
-- Défaut d’entretien ou de maintenance (équipements, outils, matériels,
véhicules) :
• vétusté,
88
• corrosion,
• défaillance de suivi des programmes d’entretien ou de maintenance
(préventif),
• non-réalisation des actions curatives prévues (réparations prévues,
modifications à réaliser),
• etc.
-- Défaillance d’un processus ou d’un sous-processus opérationnel
impactant l’infrastructure de l’entreprise (immobilier, mobilier).
-- Choc physique, accident, erreur de manipulation, d’interprétation,
d’action de l’acteur dans le système considéré.
-- Conditions météorologiques dégradées (pluie, neige, gel, froid, chaleur,
eau…).
-- Événements thermiques, chimiques ou de pollution subie ou causée
(surpression, corrosion, chaleur, intoxication externe, pollution).
-- Facteurs humains (défaut de formation, erreur humaine, maladresse,
méconnaissance, mauvaise manipulation, défaillance opérationnelle).
-- Fréquence, durée ou amplitude atypique d’un événement externe ou
interne : intempéries (eau, vent, chaleur), indisponibilité des équipes ou
des compétences nécessaires.
-- Défaillance d’un processus, d’une procédure, d’un mode opératoire
(subie ou causée), toutes causes et tous objets confondus, impactant via
un cycle opérationnel l’infrastructure physique ou logique de l’entreprise.
-- Vol, malveillance, dégradation volontaire ou involontaire au sein d’un
système.
-- Incendie volontaire ou involontaire, inondations.
-- Défaillance électrique ou énergétique provoquant un incendie, une
inondation, une rupture de stockage, une défaillance d’un processus
opérationnel, etc.
-- Phénomène naturel : tempêtes, inondations, glissement de terrain,
tornades…
-- Etc.
Compte tenu de la multitude de dangers susceptibles d’entraîner la

concrétisation d’un risque opérationnel impactant les infrastructures de
l’entreprise, plusieurs stratégies de réduction seront à envisager. Nous y
89
reviendrons en fin de partie 2. L’objectif de l’identification des dangers

consiste à mesurer l’impact des points précédents sur chaque élément
composant l’infrastructure de l’entreprise.
Une lecture exhaustive des actifs en présence et des dangers identifiés

s’impose dans la cartographie des risques opérationnels de l’entreprise au
titre des risques opérationnels d’infrastructure.
Une lecture complète des actifs d’infrastructure en présence dans

l’entreprise (immobiliers, mobiliers, stocks, flux) et des sources de
dangers, toutes causes, s’impose à la bonne identification des risques
opérationnels en présence au titre de l’infrastructure.
De la problématique particulière du contrôle

des accès
Parmi les principaux risques opérationnels liés aux infrastructures se pose
l’enjeu des accès aux sites, aux ressources, aux équipements, aux matériels
et/ou aux actifs incorporels sensibles de l’entreprise (données, fichiers,
formules, etc.). Nous vous conseillons de traiter cette problématique de
l’accès de manière dédiée, en tant que risque opérationnel à part entière
de l’enjeu des infrastructures utilisées par l’organisation.
Pouvoir accéder à une ressource physique ou logique de l’entreprise doit

faire partie du questionnement essentiel que doit – ou devrait – engager
tout dirigeant responsable. Il y a lieu en permanence de pouvoir répondre
à une question triviale mais essentielle : qui a accès à quoi, quand,
comment, et pourquoi ?
Un véritable contrôle de cohérence doit pouvoir être validé en permanence

afin de s’assurer que les ressources de l’entreprise, quelles qu’elles soient
et notamment les ressources critiques, sont suffisamment bien protégées
et sécurisées. La question des accès se pose en toute lucidité, sans tomber
dans la moindre paranoïa mais avec pragmatisme. Car au-delà des
espèces sonnantes et trébuchantes et des stocks de matériels sensibles,
l’intégralité des actifs de l’entreprise doit être sécurisée, et leurs accès
maîtrisés. Accéder à une salle blanche, à un entrepôt, à un stock de lettres
chèques, à des données clients critiques ou à un brevet, n’est pas anodin…
90
Afin de sécuriser les accès aux actifs immobiliers, mobiliers, physiques ou

logiques, posez-vous simplement les questions suivantes, en essayant d’y
répondre a minima deux à trois fois par an.
Qui a accès à quoi ?

• gestion des accès au siège de l’entreprise (existence de bureaux, de
salles, d’espaces sensibles ?) ;
• gestion des accès aux produits et aux services ;
• gestion des accès aux données informatisées ;
• gestion des accès aux informations clients (base de données
commerciale, prospects) ;
• gestion des accès aux stocks ;
• gestion des accès aux infrastructures sensibles (salles blanches, baies
de brassage, énergie, climatisation, eau, chauffage, etc.).
Quand ?
• horaire d’éligibilité à l’accès (définition, traçabilité) ;
• quid sur les accès hors horaire (indisponibilité, back up).
Vérification de la cohérence entre profil utilisateur, fonction, mission

et accès autorisé(s)
• est-il logique que l’acteur X ait accès aux sites Y ?
• est-il justifié que l’acteur Z ait accès aux données de W ?
• etc.
Définir le mode opératoire d’accessibilité au site ou à la ressource

identifiée :
• méthode de sécurisation des sites ou de la ressource (biométrie
éligible, processus opérationnel d’accès retenu ? Niveau d’inviolabilité
des mots de passe, règles d’authentification contraignantes, gestion
des profils autorisés, etc.) ;
• gestion et détection des tentatives d’intrusion (physique, logique) ;
• historisation et vérification des accès réalisés (traçabilité des accès,
contrôle de cohérence).
91
La problématique des accès pose également en filigrane la question

des délégations, des autorisations et du rapport à la responsabilité et
à l’autonomie dans l’exercice de ses fonctions. Ces points dépassent
largement les enjeux des risques opérationnels mais ils contribuent à la
réflexion et aux pratiques autorisées ou non, et ce de manière cruciale,
dans le cadre de la politique risque de l’entreprise.
Sécuriser un accès consiste à savoir répondre avec pragmatisme au

questionnement suivant : qui a accès à quoi, quand, comment et
pourquoi ? Cet accès est-il détectable ? Est-il cohérent avec l’usage pour
lequel il a été autorisé ?
L’objectif du contrôle des accès consiste pour l’entreprise à pouvoir

s’assurer, en permanence, que l’accès aux ressources ou sites critiques
est maîtrisé et sécurisé. La sécurisation des accès aux ressources
de l’entreprise, quelles qu’elles soient, constitue l’une des priorités
à ne pas oublier dans toute démarche de sécurisation des risques
opérationnels associés à l’infrastructure de l’entreprise. Ne pas oublier
que par « ressources » seront compris tous types de ressources : ressources
physiques (sites, entrepôts, produits, matériels, locaux, etc.) et ressources
immatérielles (données, informations, connaissance, etc.). La guerre
économique s’inscrit notamment dans l’enjeu des risques opérationnels
au titre des intrusions subies ou causées par une infrastructure défaillante
en raison de son contrôle d’accès.
Sans tomber dans l’angélisme ni verser dans la paranoïa, la sécurisation

des accès aux ressources de l’entreprise constitue un risque opérationnel
d’infrastructure à ne plus négliger. Et ce, quelle que soit la ressource
considérée : actif matériel (équipements, machines, stocks de produits
finis, semi-finis ou en cours de production, consommables, marchandises,
matières premières, énergie, informations, données, tampons encreurs,
signatures électroniques, moyens de paiement, papier à en-tête, systèmes
de messageries, bref contenus de toute nature !).
Enjeu de la détectabilité
Qu’il s’agisse des risques opérationnels d’infrastructure, de sécurisation
des actifs ou de contrôle des accès aux ressources critiques de l’entreprise,
l’enjeu de la détection du risque entrant constitue une problématique
92
majeure pour l’entreprise. Autant il est important pour l’organisation

d’identifier les dangers susceptibles de fragiliser un ou plusieurs éléments
de son infrastructure (dans un objectif de sécurisation permanente
des personnes et des biens), autant il apparaît vital pour l’entreprise de
savoir détecter le risque concrétisé au titre de ces risques opérationnels
classiques.
Détecter un risque consiste à mesurer la capacité d’un système

organisationnel, quel qu’il soit, à déceler le risque entrant et, surtout, avec
quelle latence. Détecter un vol dans un entrepôt, c’est bien. Détecter un
vol six mois après l’action, c’est moins bien. L’enjeu de la détection peut
s’avérer aussi important que l’action elle-même.
Aussi, nous vous conseillons de systématiser votre questionnement au

titre des risques opérationnels d’infrastructure et d’accès avec cette
question complémentaire : comment détecter le risque identifié ?
Toujours essayer de répondre à la question de la détectabilité du

danger, au-delà de son identification, notamment au titre des risques
opérationnels d’infrastructure ou d’accès ; une latence trop importante à
la détection nuit gravement à la santé de l’entreprise, au-delà du risque
opérationnel lui-même.
Certains risques d’infrastructures ou d’actifs seront détectés sans aucune

difficulté : inondation d’un stock, indisponibilité d’une infrastructure
informatique, défaillance d’une machine, d’un outil, etc.
Par contre, certains risques concrétisés pourront, le cas échéant, être

détectés après plusieurs heures, plusieurs jours, plusieurs semaines, pour
ne pas dire plusieurs mois. Par exemple :
-- détection d’une intrusion ou d’un vol de données dans l’entreprise ;
-- détection d’une fraude (rétrocession de commission en espèces d’un
salarié vers un fournisseur) ;
-- détection d’un détournement d’usage d’un actif (véhicule ou matériel
utilisé à des fins privées) ;
-- détection d’un vol organisé sous le seuil de signification d’un niveau de
stock ;
-- détection d’une défaillance opérationnelle sur une chaîne de production,
ou dans un processus industriel, quel qu’il soit (ex : intégration de la viande
93
de cheval à la place de la viande de boeuf dans un produit alimentaire,

non-respect d’un mode opératoire impactant le produit final) ;
-- etc.
L’enjeu de la détectabilité du risque opérationnel en matière de

sécurisation des infrastructures et des actifs se pose clairement. Il
convient d’y répondre au mieux, sans omettre cette dimension critique
dans l’identification des enjeux à mesurer et à sécuriser au mieux. L’enjeu
de la détection des risques opérationnels se pose de manière incisive,
particulièrement lorsque les acteurs en charge des processus ou modes
opératoires demeurent dans une certaine zone de confort ou d’habitude.
Toujours envisager les risques opérationnels sous le jour de l’enjeu de la

détectabilité. Le risque existe-t-il ? Est-il critique ? Quels sont les dangers
susceptibles de l’amener à se concrétiser ? Et, en pareille circonstance,
peut-on détecter facilement son apparition et/ou ses impacts ? Avec quelle
latence ?
94
Chapitre 3
Sous-traitants
et activités externalisées
Parmi les risques opérationnels critiques sur lesquels je souhaite attirer

votre attention dans le cadre de cet ouvrage, figure le spectre de plus en
plus élargi des activités résultant d’actions réalisées par les sociétés en
sous-traitance, ou des processus ou sous-processus externalisés à un ou
plusieurs tiers de confiance.
La sous-traitance et l’externalisation de processus à faible valeur ajoutée

constituent de véritables zones de danger pour les risques opérationnels
qu’il convient de maîtriser au mieux pour l’entreprise. Ce n’est pas
parce qu’une activité n’est plus réalisée par l’entreprise que les risques
opérationnels ont disparu. Bien au contraire
De la maîtrise de la sous-traitance
À partir du moment ou une entreprise souhaite externaliser à un tiers
de confiance tout ou partie d’un processus ou d’un sous-processus
opérationnel, quel qu’il soit, elle s’expose automatiquement à de
nouveaux risques opérationnels.
Le premier point de vigilance consiste tout d’abord à bien choisir le sous-

traitant à qui vous allez confier une partie de vos activités. La sélection du
prestataire ou de l’entreprise sous-traitante doit être réalisée avec le plus
grand soin, sur la base de critères objectifs. Parmi les principaux risques
95
opérationnels à maîtriser au titre de la sous-traitance, retenons les points

suivants :
-- risque de défaillance financière du sous-traitant sélectionné : procédure
de sauvegarde, mise en redressement judiciaire, liquidation judiciaire,
arrêt d’activité ;
-- risque de non-réalisation des actions prévues au contrat, ou de non-
respect des conditions exprimées dans le cahier des charges ;
-- risque de non-respect des conditions de réalisations des activités
sous-traitées : non-respect de la législation en vigueur, non-respect des
conditions de travail, dommage à l’environnement, etc. ;
-- risque de dégradation de l’image de l’entreprise en cas de risque de
corruption avéré chez le sous-traitant ;
-- risque de dégradation de l’image de l’entreprise en cas de mauvais
niveau de qualité de service impactant vos propres clients ;
-- risque de non-stabilisation des processus opérationnels portés par
le sous-traitant, impactant vos propres processus internes (respect des
délais, de la qualité, des normes fonctionnelles ou techniques) ;
-- risque de dégradation de la performance des modes opératoires de
l’entreprise, compte tenu de niveaux d’expertise technique, métier ou de
pratiques disparates.
Face à ces multiples risques opérationnels dus à l’action incomplète

ou inadaptée des activités sous-traitées ou externalisées, nous vous
conseillons de déployer le maximum de barrières de sécurité destinées
à maîtriser au mieux ces risques opérationnels majeurs. Notamment,
il convient au préalable d’exprimer l’exigence attendue et les moyens
adaptés pour la vérifier et la contrôler.
Ainsi, et pour ce faire, nous préconisons la réalisation systématique des

actions suivantes :
-- élaboration automatique d’un cahier des charges technique et
fonctionnel détaillé précisant les activités confiées au tiers de confiance.
De l’exhaustivité et de la précision du cahier des charges dépendront
en grande partie la qualité d’exécution des activités confiées en sous-
traitance ou externalisées ;
-- définition précise des indicateurs, démarches et fréquence des outils
de pilotage et de suivi de l’exécution des activités sous-traitées : quels
96
SOUS-TRAITANTS ET ACTIVITÉS EXTERNALISÉES
indicateurs retenus, définis et calculés comment ? Alimentés à quelle

fréquence ?
-- mise en oeuvre systématique et préalable des dispositifs d’audit et
de contrôle prévus, destinés à contrôler le bon respect des conditions
d’exécution de l’activité sous-traitée ;
-- rédaction contractuelle d’un droit de suite juridique, permettant au
donneur d’ordres de pouvoir, sur simple demande, constater la situation
réelle et opérationnelle des dispositifs, moyens et démarches déployés
par le sous-traitant dans la réalisation de son action ;
-- définition et mise en oeuvre de pénalités en cas de non-respect des
conditions contractuelles de sous-traitance, tant en termes de qualité de
prestations réalisées que de non-respect des dispositifs d’exécution mis
en oeuvre ;
-- investissements massifs au départ dans la mise en oeuvre dans les
dispositifs de formation, de sensibilisation, de suivi, de contrôle et de
pilotage des activités sous-traitées, afin d’assurer la meilleure qualité
attendue aux activités externalisées.
L’action de sous-traitance ou d’externalisation concerne historiquement

des processus, sous-processus et autres modes opératoires consommateurs
de ressources et offrant a priori de faibles niveaux de valeur ajoutée. D’où
la volonté de sous-traiter et d’externaliser un certain nombre de tâches
ou d’activités de l’entreprise. Toutefois, les risques opérationnels majeurs
observés depuis ces dernières années par la quasi-totalité des entreprises
sous-traitant tout ou partie d’un processus, conduisent à rappeler à
chacun l’essentiel :
Sous-traiter et externaliser ne signifie pas réduire les risques opérationnels.

Transférer une charge à un tiers nécessite la mise en oeuvre de processus
de pilotage et de contrôle extrêmement pertinents, afin de maîtriser
les innombrables nouveaux risques opérationnels qu’une telle action
engendre. Externaliser des risques opérationnels revient à en créer de
nouveaux !
97
Chapitre 4
Fraude interne et externe
Parmi les risques opérationnels à ne pas négliger figure celui de la fraude.

Un pourcentage non négligeable d’entreprises est l’objet de cas de fraude
avérée, et les dispositifs actuellement mis en place apparaissent, pour la
plupart, très largement sous-dimensionnés.
La problématique de la fraude se pose à plusieurs niveaux en entreprise :

-- la fraude interne, engendrée par les acteurs internes de l’organisation :
salariés, stagiaires, intérimaires, conjoints ou amis de salariés, etc. ;
-- la fraude externe, occasionnée par des tiers situés à l’extérieur de
l’entreprise : pirates, hackers, escrocs, acteurs du grand banditisme, petits
bricoleurs, malfrats, etc.
En outre, la notion de fraude s’articule autour de plusieurs dimensions

complémentaires mais différentes, même si, in fine, elle revient à peu
près à la même chose pour l’entreprise qui la subit. La fraude interne ou
externe peut présenter plusieurs objectifs pour ses auteurs :
-- Vol, dégradation, falsification, usurpation ou utilisation frauduleuse ou
détournée d’un ou plusieurs éléments d’actifs de l’entreprise :
• actif corporel : équipements, matériels, outillages, consommables,
• actif incorporel : brevets, licences, marques, noms, enseignes,
• actif incorporel particulier : usurpation d’identité de personne morale,
d’objet social,
• actif circulant : stocks de matière première, de marchandises, de
produits finis,
99
• actif financier : espèces, disponibilités, valeurs mobilières.

-- Action de guerre économique à l’encontre de l’entreprise :
• détournement d’image statutaire, appuyée par des rumeurs de
fraude,
• contrefaçon de produits ou services, commercialisés sous enseigne
frauduleuse, destinée à dégrader l’image institutionnelle (piètre qualité
servie),
• contrebande : détournement d’objets à destination de concurrents,
• espionnage industriel : détournement d’actifs stratégiques à des fins
de guerre concurrentielle.
Les actions de fraude, qu’elles soient internes ou externes, constituent

de puissants risques opérationnels que l’entreprise doit identifier et
détecter de la meilleure manière. Et contrairement aux idées reçues, voire
largement répandues, l’enjeu de la fraude n’est pas l’apanage des grandes
entreprises, des multinationales ou des enseignes de luxe à très forte
notoriété. Pratiquement, la majeure partie des entreprises, TPE, PME, PMI
et groupe font l’objet de fraudes, quelle que soit l’activité de l’entreprise,
quel que soit son dimensionnement ou sa notoriété.
Une étude récente précisait qu’environ 30 % des entreprises étaient

impactées par la fraude. Du vol de fournitures de bureau à la veille de
la rentrée scolaire aux piratages de données informatiques sensibles,
du détournement d’actifs à l’escroquerie en bande organisée, de la
dégradation volontaire d’un actif au vol d’un carton dans un entrepôt de
banlieue, la fraude est présente partout.
Il s’agit d’un risque opérationnel majeur que l’entreprise doit détecter

au mieux. Là encore, l’enjeu de la détection va se poser au plus près de
l’entreprise, car toute l’efficacité de la lutte contre la fraude, qu’elle soit
interne ou externe, reposera sur la robustesse des dispositifs de détection
mis en oeuvre par l’organisation en amont.
De la robustesse des systèmes de détection dépend la performance

des dispositifs de lutte contre la fraude, qu’elle soit d’origine interne ou
externe.
Afin de renforcer la maîtrise du risque opérationnel de fraude interne ou

externe dans l’entreprise, nous vous conseillons de débuter votre réflexion
100
FRAUDE INTERNE ET EXTERNE
grâce à l’inventaire et à la classification des actifs de votre entreprise.

À partir de cet état des lieux de l’entreprise, nous vous conseillons de
vous substituer à différents profils de fraudeurs internes et externes et de
répondre à cette lancinante question :
Si je devais voler, usurper ou détourner un actif de l’entreprise,

lequel présente le plus de valeur ?
La réponse va immanquablement évoluer en fonction du profil de fraudeur

que vous interprétez. L’enjeu monétaire et financier fera rapidement
place, en fonction des types de fraudeurs, aux problématiques des actifs
corporels ou incorporels, des stocks ou consommables, voire des enjeux
de guerre économique.
De la même manière, il sera nécessaire d’identifier les risques de fraude

les plus conséquents pour l’entreprise, avec plusieurs niveaux de lecture
simultanés :
-- Mesures des impacts éventuels en cas de fraude avérée :
• impact(s) financier(s) de la fraude,
• impact(s) stratégique(s),
• impact(s) image,
• impact(s) opérationnel(s),
• etc.
-- Moyens matériels, humains et financiers nécessaires pour réaliser la
fraude, et probabilité d’occurrence associée (y a-t-il un risque pour que ce
risque de fraude se concrétise un jour ?).
-- Moyens de détection à envisager permettant de détecter la fraude.
La lutte contre la fraude, qu’elle soit interne ou externe, constitue un

risque opérationnel à ne pas négliger par l’entreprise. Même si l’objectif ne
consiste pas à traquer le moindre vol de crayon, la plus grande vigilance
s’impose, compte tenu de la mondialisation de l’économie et de la volonté
farouche de certains acteurs émergents prêts à tout – ou presque – pour
gagner des années de recherche, de développement, ou tout simplement
des devises en toute simplicité apparente.
101
La fraude interne et externe, technologique ou économique, doit devenir,

pour chaque dirigeant, une préoccupation constante, sans toutefois
sombrer dans la paranoïa. La vigilance et le questionnement relatifs
aux dispositifs de détection à engager et la sensibilisation des équipes à
l’enjeu devrait, en grande partie, suffire pour limiter ce risque opérationnel
en fort devenir.
Une nouvelle fois, cet enjeu n’est pas l’apanage des grandes entreprises,
des sociétés spécialisées en biotechnologies ou en phase de R&D critique.
Toutes les entreprises doivent se préoccuper de leurs éléments clés et
actifs critiques sur lesquels reposent leurs leviers de différenciation et de
pérennisation.
Un risque opérationnel à ne pas négliger, donc.
102
Chapitre 5
De la conformité des opérations
La question de la conformité des opérations se pose à plusieurs niveaux

lorsqu’on aborde l’univers des risques opérationnels. Car être conforme,
pour une entreprise, relève de plusieurs niveaux de lecture et de
compréhension du concept même de conformité.
La notion de conformité peut tout d’abord être considérée comme la

capacité de l’entreprise à concevoir et délivrer ses produits et ses services,
quels qu’ils soient, en respectant par défaut, systématiquement et en
constance, les lois, décrets et obligations réglementaires qui s’imposent
à eux, et qui s’appliquent. Cette notion première de la conformité dans
l’entreprise s’inscrit donc plutôt dans une lecture juridique de l’enjeu.
Sera jugé conforme un produit, un service ou une action en cohérence
réglementaire avec l’exigence édictée par une instance supérieure, qu’elle
soit locale (décret d’une mairie), régionale (décret d’une préfecture),
nationale (loi, décret d’application), supranationale (règlement européen)
ou internationale (réglementation internationale type OMC, par exemple).
La première réflexion au titre des risques opérationnels consiste donc

à considérer que l’entreprise doit, par tous moyens, respecter les
réglementations législatives et prudentielles qui s’imposent à elle, sous
peine, en cas d’infraction, d’engendrer plusieurs risques opérationnels :
-- pénalités, amendes sanctions diverses des instances de contrôle ;
-- perte de labels, de certification, d’accréditation de la personne morale ;
-- restriction ou interdiction de mise sur le marché d’un produit, d’un
service ou d’une prestation par défaut de conformité ;
103
-- restriction, fermeture temporaire ou définitive d’un établissement, d’un

site, d’une personne morale (action en dissolution) ;
-- perte de satisfaction client, dégradation de l’image institutionnelle de
l’organisme ;
-- mise en danger de la vie d’autrui (produit frauduleux, défectueux, etc.) ;
-- multitude des risques connexes : risques stratégiques, financiers,
juridiques, sociaux, psychosociaux, d’image, de réputation, de contrôle,
de gouvernance, de sous-qualité, etc 5.
Ce premier niveau s’inscrit également dans une lecture de la qualité

de la gouvernance de l’entreprise, assurant l’intégrité des activités de
l’organisation par le biais de ces instances de direction et de pilotage. La
question de la conformité et de ses risques opérationnels associés s’appuie
donc en premier lieu sur la notion anglo-saxonne de compliancy , relevant
tant de l’éthique, de l’intégrité que du respect des lois et règlements.
À ce premier niveau de compréhension de l’enjeu de conformité s’ajoute

une seconde appréciation complémentaire de la dimension associée à
la conformité : la conformité des biens, des prestations et des services
réalisés par l’entreprise dans le respect de la promesse (contractuelle,
commerciale ou marketing !) qu’elle a émise envers ses prospects et ses
clients.
Cette conformité des produits et des services à l’engagement pris vis-à-

vis des clients (ou des prospects, futurs clients) engendre également une
myriade de risques opérationnels qu’il appartient à l’entreprise de maîtriser
au mieux. Parmi les principaux risques opérationnels susceptibles d’être
générés par une défaillance de conformité dans la réalisation des produits
et services :
-- Non-respect des éléments de la promesse commerciale émise envers le
client :
• non-respect des spécificités techniques et/ou fonctionnelles des
produits et services,
• non-respect des éléments constitutifs de la demande initiale du
client,
• non-respect des niveaux d’exigence souhaités.
5. Nous invitons le lecteur curieux à se référer aux différents ouvrages publiés par l’auteur sur
l’enjeu des risques en entreprise aux éditions GERESO !
104
DE LA CONFORMITÉ DES OPÉRATIONS
-- Non-respect des caractéristiques des produits et services délivrés :

• en contradiction avec les prototypes de l’offre,
• en contradiction avec le contenu de l’offre commerciale émise,
• en contradiction avec les besoins et demandes des clients.
-- Non-respect des délais, des quantités et/ou du niveau de qualité
attendu :
• retards par rapport à la promesse de réalisation proposée,
• quantité incohérente avec la commande émise,
• niveau qualitatif perfectible des produits ou services.
Ces trois atteintes à la conformité des produits et services génèrent

l’émergence d’une multitude de risques opérationnels, directement liés
aux enjeux précisés ci-dessus. Cette seconde perception du sens de cette
notion de conformité produit, elle aussi, un vaste ensemble de risques
opérationnels susceptibles d’impacter le client dans le cadre des cycles
d’exploitation de l’entreprise.
Troisième et dernière manière d’aborder la question de la conformité,

la problématique issue de la qualité des produits et des services ouvre
enfin la boîte de Pandore des risques opérationnels, à l’appui, cette fois,
des exigences exprimées au titre des certifications Qualité obtenues par
l’organisation.
À partir du moment où une entreprise dispose d’une certification

Qualité, quel que soit le référentiel considéré (ISO 9001, ISO 14000, etc.)
et le périmètre certifié, la conformité des opérations doit être garantie,
tout dysfonctionnement (ou non-conformité, selon le vocable autorisé)
entraînant des risques opérationnels latents et multiples pour l’entité :
-- perte de certification ;
-- impact image client ;
-- coût de traitement des non-conformités Qualité ;
-- non maintien des niveaux qualitatifs souhaités, remettant en cause la
robustesse et la constance des processus opérationnels de l’entreprise ;
-- etc.
105
Ainsi, l’enjeu de la conformité apparaît au final protéiforme pour

l’entreprise, car il introduit de multiples dimensions, sources de
risques opérationnels majeurs. Dès lors, il nous semble essentiel que
l’entreprise s’approprie l’enjeu de la conformité pour chacun de ces
trois niveaux, afin de réduire au maximum les risques opérationnels
éventuellement produits par cette notion aussi complexe que diffuse.
L’enjeu de la conformité, source de multiples risques opérationnels, peut

être appréhendé à trois niveaux :
1. Le respect des lois, décrets et règlements en vigueur, quels qu’ils soient.
2. La conformité effective des produits et services réalisés
comparativement à la promesse client.
3. La conformité à l’exigence Qualité certifiée.
La question de la conformité se pose par défaut à chaque entreprise,

à chaque secteur d’activité. Que l’on soit un établissement financier,
un groupe pharmaceutique, un opérateur de télécommunication ou
une boulangerie, l’enjeu de la conformité des activités s’impose à tous.
Seuls le dimensionnement et la complexité des cadres réglementaires et
opérationnels à maîtriser seront différents.
Assez fréquemment, certains établissements se font « épingler » au titre de

la non-conformité de leurs pratiques commerciales, de leurs démarches
opérationnelles ou de la qualité « non conforme » de leurs produits ou
services. Une bonne adéquation entre l’exigence de conformité souhaitée
et les moyens mis en oeuvre pour la mettre en place, la réaliser et la
contrôler effectivement, s’impose.
Et vous ? Êtes-vous serein vis-à-vis de la conformité de vos activités au

quotidien ? Un questionnement d’importance, et très souvent riche de
sens lorsqu’on s’engage dans cette réflexion
106
Chapitre 6
Maîtrise des processus opérationnels :
de la R&D à l’archivage
Indirectement lié à l’enjeu de la conformité des produits et des services, la

maîtrise des processus opérationnels de l’entreprise nécessite une lecture
approfondie des enjeux encourus au titre des risques opérationnels
engendrés au quotidien, en permanence, par l’organisation dans le cadre
de son objet social.
L’entreprise, à bien y regarder, est en fait une usine à fabriquer des risques
opérationnels. Car à partir du moment où l’organisation met en oeuvre
son objet social et déploie des moyens matériels humains et financiers
pour le réaliser, elle va fabriquer d’innombrables risques opérationnels au
titre de ses cycles d’exploitation.
Nous avons abordé dans un premier temps les risques opérationnels

relatifs à l’infrastructure de l’entreprise et à la pérennisation des actifs
détenus et/ou utilisés, quelles que soient leur nature ou leurs fonctions
d’utilité.
La question des risques opérationnels doit également se comprendre et se

traiter, au-delà des pistes de réflexions proposées précédemment, comme
la nécessité de sécuriser, au quotidien, la majeure partie de l’intégralité
des processus d’exploitation déployés par l’entreprise.
Par cette définition, nous précisons à nouveau l’impérieuse nécessité

de comprendre le risque opérationnel à travers le double prisme de la
compréhension du cycle d’exploitation de l’entreprise et des impacts
client éventuels.
107
Afin de maîtriser les processus opérationnels de l’entreprise, une fois

achevée la lecture et la sécurisation des infrastructures et des actifs (des
biens et des personnes), l’analyse des risques opérationnels va se fonder
sur l’approche processus.
Rappel sur la notion de processus

Inutile de réinventer la roue. La notion de processus étant parfaitement et
clairement définie par les standards internationaux de la norme ISO, nous
vous proposons de vous attacher simplement à considérer l’entreprise
comme une somme de processus et de sous-processus tels que définis par
le standard ISO.
Tout d’abord, et pour rappel, qu’entendre par le terme « processus » ? Un

processus est une séquence d’actions successives qui se déroulent entre
deux points. Le point d’entrée, appelé également input en anglais se voit
appliquer différents moyens humains, matériels et/ou financiers. Cet
apport de moyens engendre par essence un apport de valeur ajoutée au
point d’entrée initial. Ce point d’entrée, rappelons-le, peut être de nature
multiple : une donnée, un actif matériel, un objet, une information, etc.
À l’issue de l’apport de valeurs appliquées au point d’entrée, le point de

sortie, également appelé output en anglais, est enrichi comparativement
à la valeur d’entrée. Ainsi peut se définir ce qu’est un processus : tout ce
qui se passe, de manière séquencée, entre le point d’entrée et le point de
sortie.
À partir de cette définition, l’entreprise va donc être invitée à séquencer

l’intégralité de ses activités selon cette approche dite par les processus et
notamment, au titre du sujet qui nous préoccupe, elle va devoir diviser
ses différents cycles d’exploitation en grandes familles de processus,
puis décliner en une multitude de sous-processus, reflétant ainsi de
manière formalisée et structurée ses différentes activités. Cette démarche
permettra de mieux appréhender les risques opérationnels susceptibles
de remettre en cause la pérennité de ses activités.
Pour se faire, dans toute réflexion articulée autour de cette notion de

processus, il faudra toujours conserver à l’esprit l’impératif apport de valeur
(à l’appui de moyens qui seront mis en oeuvre) entre le point d’entrée et le
108
MAÎTRISE DES PROCESSUS OPÉRATIONNELS : DE LA R&D À L’ARCHIVAGE
point de sortie. Cette approche par les processus permettra à l’entreprise

d’allouer avec précision les moyens nécessaires à l’enrichissement de
chaque processus déployé, et valider en permanence l’apport de valeur
effectivement réalisé.
La mise en évidence des risques opérationnels va donc se faire à l’appui de

l’identification, de la formalisation puis de la documentation formelle de
l’intégralité des processus opérationnels mis en oeuvre par l’entreprise au
titre de ses différents cycles d’exploitation.
Séquencer l’entreprise en processus et sous-processus, à l’appui de la

définition du terme par les standards ISO. Cette démarche sera riche de
sens et d’intérêt avant d’aborder les risques opérationnels « coeur métier »
de l’entreprise, au-delà des actions déjà présentées.
Pour simplifier, nous pouvons considérer qu’il existera dans chaque

entreprise trois grandes familles de processus qui entreront en ligne de
compte, et ce quelle que soit son activité :
Famille de processus n° 1 : Les processus centrés « client »

En considérant comme point d’ancrage le client, l’entreprise met en
oeuvre un processus majeur et essentiel : le processus client. Cette famille
de processus comporte ainsi, sans être exhaustive, les sous-processus
suivants, tous contributifs :
-- écoute du marché : intégralité des sous-processus destinés à l’analyse
structurée du marché : veille concurrentielle, veille technologique, veille
de l’offre ;
-- écoute du client : intégralité des sous-processus destinés à l’analyse
structurée des besoins et attentes des clients et des prospects : étude de
satisfaction, écoute client, scorecards… ;
-- conception de l’offre : intégralité des sous-processus d’élaboration de
l’offre de produits, de prestations et de service : R & D, prototypage, tests
marchés, retour d’expérience ;
-- prospection : intégralité des sous-processus dédiés aux mécanismes
de prospection : qualification et fiabilisation des bases de prospects,
élaboration des argumentaires (contenus, vecteurs, outils), déploiement
des démarches opérationnelles de prospection ;
109
-- commercialisation : intégralité des sous-processus dédiés à la

commercialisation des produits et services : réseau de vente, outils de
commercialisation, suivi de l’exécution commerciale ;
-- relation client : intégralité des dispositifs de gestion de la relation
commerciale avec le client ou le prospect : avant-vente, gestion de la
relation courante, gestion des réclamations… ;
-- fin de la relation : intégralité des sous-processus dédiés à la fin de
relation client (formalisation de l’arrêt des relations, fréquence et nature
des contacts futurs, maintien du lien).
Chaque processus et sous-processus centré « client » expose l’entreprise

à une multitude de risques opérationnels que l’organisation doit qualifier,
détecter et maîtriser au mieux. Ainsi, parmi les principaux risques
opérationnels à ne pas négliger, nous pouvons relever les enjeux suivants :
-- défaillance des dispositifs de veille marché, obérant la détection d’un
nouvel entrant ou d’une nouvelle offre concurrentielle mieux positionnée ;
-- défaillance des dispositifs de veille technologique, rendant obsolète un
développement inopportun suite à l’émergence d’un nouvel entrant plus
pertinent ;
-- défaillance des dispositifs d’écoute du besoin client, créant de
l’insatisfaction et/ou une diminution du taux de fidélisation ;
-- défaillance du mode projet dans l’une des phases de R & D, pénalisant
le produit final ;
-- défaillance de l’analyse des tests marché en phase pilote, engendrant
un échec commercial futur ;
-- défaillance des dispositifs de qualification des prospects, engendrant
des pertes financières sur les clients insolvables ;
-- défaillance de l’élaboration des argumentaires commerciaux, incohérent
avec la cible prospectée ;
-- défaillance de cohérence des outils de communication mobilisés par
rapport à la cible souhaitée ;
-- perte d’opportunité commerciale par défaillance des dispositifs internes
de demande et de suivi des devis ;
-- défaillance de pilotage des activités commerciales par suite de
défaillance des outils de collecte, de remontée ou de traitement des
indicateurs collectés ;
110
-- défaillance du pilotage de l’insatisfaction client ;

-- défaillance de maîtrise des réclamations émises par des tiers, impactant
potentiellement le client ;
-- mauvaise gestion d’une fin de relation client, engendrant un litige
juridique ou une erreur commerciale ou industrielle future ;
-- etc.
La liste des risques opérationnels directement liés à la gestion de la

relation client est quasi infinie. Il est donc nécessaire de s’en préoccuper
au mieux, au titre des enjeux opérationnels critiques de l’entreprise.
Famille de processus 2 : Les processus d’exécution

de l’offre
Le second axe de sources majeures de risques opérationnels au titre des
cycles d’exploitation de l’entreprise relève bien évidemment du coeur de
métier de l’entreprise : son activité courante. De fait, et au-delà des enjeux
précédents centrés « client », l’organisation va devoir analyser et détailler
chaque processus opérationnel d’exécution de ses cycles d’exploitation
dédiés à la réalisation de son objet social.
Pour simplifier, les sous-processus contributifs seront classiquement de

nature suivante :
-- élaboration des produits et services à destination du client : cycles de
recherche et développement, quelle que soit la phase du projet ;
-- pré-industrialisation des solutions proposées : évolution du prototype
à la présérie, validant les orientations et les procédés de production de
l’offre (produit, prestation, service) ;
-- industrialisation : ensemble des sous-processus constitutifs de la
production effective de l’offre (chaîne de production, d’assemblage, de
montage, de conditionnement) ;
-- ensemble des sous-processus amont et aval du cycle productif :
approvisionnement, stockage, conditionnement, logistique ;
-- ensemble des processus et sous-processus opérationnels annexes aux
cycles productifs : sécurisation des biens et des personnes dans le cycle
d’exploitation de l’entreprise.
111
Il apparaît évident que ces quelques lignes ne sauraient présenter de

manière exhaustive l’intégralité des processus d’exécution de l’offre.
Prenons un exemple concret pour mesurer la nature, le dimensionnement
et la complexité du travail d’identification des processus et sous-processus
à traiter.
Exemple :
Une entreprise est spécialisée dans l’abattage et le conditionnement
de volailles. Les grands processus mis en oeuvre dans le cadre de la
production de l’offre peuvent s’articuler de la manière suivante :
P1 : processus de réception des volailles vivantes (de l’accueil du camion

de livraison des volailles vivantes à leur déchargement) :
• A : sous-processus d’identification du fournisseur entrant et d’accès
au site.
• B : sous-processus d’accueil du camion de livraison sur le quai de
débarquement.
• C : sous-processus de vérification et contrôle de la traçabilité des
produits livrés.
• D : sous-processus de déchargement des volailles vivantes.
P2 : processus d’intégration des volailles dans la chaîne d’abattage :

• A : sous-processus de vérification des lots (origine, contrôles
sanitaires, qualité).
• B : sous-processus de qualification des processus de transformation
à opérer.
• C : sous-processus d’intégration des volailles dans la chaîne
d’abattage.
• D : sous-processus de contrôle qualité des actions réalisées.
P3 : processus de découpe des volailles à la sortie de l’abattage :

• A : sous-processus de définition de la typologie des actions de
découpe à réaliser.
• B : sous-processus d’exécution de la découpe à effectuer.
112
• C : sous-processus de contrôle de cohérence des actions de découpe

réalisées.
P4 : processus de conditionnement des éléments produits :

• A : processus de qualification et de contrôle de cohérence des actions
de conditionnement.
• B : sous-processus d’exécution des actions de conditionnement.
• C : sous-processus de contrôle de cohérence des actions effectuées.
P5 : processus de stockage des produits finis :

• A : processus de sortie de chaîne de production, de conditionnement.
• B : processus d’intégration dans les zones de stockages.
• C : processus de contrôle qualité de respect de la chaîne du froid.
P6 : processus de sortie de stock, etc.
À chaque étape critique du cycle de production et des différents cycles

d’exploitation mis en oeuvre par l’entreprise, les processus opérationnels
font naître un nombre conséquent de risques opérationnels que
l’entreprise doit appréhender au mieux.
Ainsi, et au-delà de l’exemple présenté, parmi les risques opérationnels

à considérer au titre de cette seconde grande famille de processus
d’exécution de l’offre, nous pouvons identifier les enjeux prioritaires
suivants :
-- défaillance d’un élément critique constitutif d’une chaîne de production ;
-- défaillance d’un élément constitutif d’une chaîne d’assemblage ;
-- rupture d’approvisionnement ;
-- indisponibilité d’un processus technique ou opérationnel ;
-- défaillance d’une chaîne logistique ;
-- défaillance technique ou fonctionnelle d’un équipement, d’un outil,
d’une machine ;
113
-- altération, perte ou détérioration de données ;

-- défaillance d’un flux (énergie, lumière, chauffage, climatisation) ;
-- panne matérielle critique ;
-- défaut qualité sur le produit ou le service réalisé ;
-- non-conformité du produit ;
-- défaillance de maîtrise des délais de réalisation prévus ;
-- défaillance des contrôles qualité ;
-- défaillance de la traçabilité des produits ou des approvisionnements ;
-- défaillance de la traçabilité des actions opérationnelles conduites ;
-- etc.
De fait, une multitude de risques opérationnels associés à la production de

l’offre, quelle qu’elle soit, nourrit au quotidien la fragilisation potentielle
de la pérennité des pratiques. Il sera nécessaire de les appréhender au
mieux et de manière constante.
Famille de processus 3 : Les processus supports

Afin de mettre en oeuvre les familles de processus 1 et 2, chaque entreprise
va devoir déployer une multitude de processus et sous-processus
contributifs à la bonne réalisation de l’objet social de l’entreprise. Ainsi,
au-delà des actions de production et de commercialisation de l’offre,
l’organisation va déployer une multitude d’autres processus opérationnels
qu’elle devra également maîtriser :
-- processus comptables et financiers de saisie des activités réalisées :
comptabilisation de l’intégralité des actions réalisées (achats,
investissements, paiements, encaissements, facturation, etc.), et leurs
résultantes comptables et financières ;
-- processus associés aux dispositifs consacrés aux acteurs de l’entreprise :
recrutement, paie, formation, développement, gestion des congés, des
absences, des plannings, des déplacements, etc. ;
-- processus associés aux outils déployés dans le cadre de la réalisation
des activités support à travers la réalisation de l’objet social : infrastructure
informatique, télécoms ;
-- processus associés aux dispositifs de pilotage et de contrôle des activités :
contrôle permanent, contrôle périodique, contrôle de conformité ;
114
-- processus associés aux dispositifs de maîtrise des activités : contrôle de

gestion, comptabilité analytique, production et analyse des tableaux de
bord d’activités ;
-- processus associés aux dispositifs de contrôle qualité des activités ;
-- processus associés aux dispositifs de gestion des risques de
l’organisation ;
-- processus associés aux dispositifs de veille et d’écoute de la voix des
salariés ;
-- processus associés aux démarches de communication interne et externe
de l’entreprise ;
-- processus associés aux dispositifs de gestion de la gouvernance de
l’entreprise et de relations avec les tiers ;
-- processus dédiés aux dispositifs d’assurance ;
-- processus d’élaboration des politiques budgétaires d’investissement,
d’exploitation ;
-- etc.
Une nouvelle fois, une multitude de processus supports sont mis en

oeuvre dans le cadre de la réalisation des différents cycles d’exploitation
de l’organisation. Une lecture affinée de tous ces processus sera alors
nécessaire afin de déterminer s’ils font partie – ou non – de l’univers des
possibles susceptibles d’être concernés par les risques opérationnels.
Par exemple, les dispositifs de communication externe pourront être

considérés comme natifs des enjeux opérationnels pour certaines
entreprises, et pas pour d’autres.
Les risques opérationnels associés au processus de cette troisième famille

d’activités résultent pour l’essentiel d’enjeux déjà identifiés, soit au titre
des risques d’infrastructure, soit au titre des enjeux d’exécution de l’offre
ou des dispositifs centrés « client ».
Ainsi, les risques à ne pas négliger au titre de cette troisième famille de

processus peuvent être les suivants, à première lecture :
-- défaillance d’un élément critique constitutif d’un processus supports
(ex : système d’information défaillant) ;
-- rupture d’approvisionnement (panne de café !!) ;
115
-- indisponibilité d’un processus technique ou opérationnel métier (paie,

comptabilisation) ;
-- défaillance technique ou fonctionnelle d’un équipement, d’un outil,
d’une machine ;
-- altération, perte ou détérioration de données ;
-- défaillance d’un flux (énergie, lumière, chauffage, climatisation) ;
-- panne matérielle critique ;
-- non-conformité d’une action support (saisie erronée, frauduleuse de
données) ;
-- défaillance de maîtrise des délais de réalisation prévus d’une activité
support ;
-- défaillance des contrôles qualité ;
-- défaillance de la traçabilité des activités supports ;
-- etc.
Nous vous conseillons d’identifier les risques des différentes familles de

processus selon la méthodologie préconisée, puis de croiser les résultats,
afin de disposer de la base la plus large possible des risques opérationnels
identifiés.
La critérisation et le traitement des enjeux et des risques prioritaires

s’impose. Nous invitons nos lecteurs à se pencher avec intérêt sur l’ouvrage
récent traitant de cette problématique de la critérisation des risques6.
Il va sans dire que l’analyse, l’identification et la gestion des risques

opérationnels associés à ces trois familles de processus seront des tâches
significatives dans la consommation des ressources de l’entreprise. La
maîtrise des risques opérationnels l’impose, compte tenu de la diversité et du
dimensionnement de l’univers des possibles relativement à cet enjeu critique.
Il existe trois familles de processus essentiels à considérer dans l’entreprise

pour toute démarche de risques opérationnels : les processus centrés
« client », les processus d’exécution de l’offre, et les processus supports.
6. Cf. Le facteur risque, GERESO Édition, Le Mans, 2012.
116
Chapitre 7
De la maîtrise de la connaissance
Élément incontournable, la maîtrise de la connaissance constitue une

classe de risques à part dans l’entreprise. Logiquement, la problématique
liée à la pérennisation des connaissances dans l’entreprise n’est pas
naturellement liée aux enjeux associés aux risques opérationnels.
Et pourtant…
Nous vous conseillons de ne pas négliger cette dimension, car elle va très
– trop ? – souvent impacter l’entreprise dans ses cycles d’exploitation et
ses clients, directement ou indirectement. Alors, nous pensons utile de
rappeler quelques fondamentaux sur cette question, et vous inviter à ne pas
oublier que la gestion de la connaissance peut impacter significativement
la dureté potentielle des risques opérationnels pour l’organisation.
À l’appui d’une démarche risk management robuste, la maîtrise de l’un

des principaux actifs de l’organisation (sa connaissance, ses données)
s’avère critique. Un mode opératoire manquant ou mal appliqué, un
savoir perdu, une connaissance indisponible, une donnée altérée, une
information tronquée Combien de projets, d’actions, de décisions, de
temps, d’argent consommés à tort à cause d’un défaut de pérennisation
des connaissances ? Comment aborder cette réalité à travers le prisme du
risque et plus particulièrement, sous la lumière des risques opérationnels
en entreprise ?
Les méthodologies de risk management proposées précédemment

s’appliquent parfaitement à la gestion de la connaissance dans l’entreprise.
Il y a lieu de définir l’objectif recherché (quels savoirs/informations
capitaliser ?), d’identifier l’univers des possibles en le cartographiant et
117
en le priorisant (inventaire des contenus, contrôle qualité, cohérence,

manquants critiques - par exemple, processus critiques non
documentés - …) ; puis, de définir la stratégie de couverture appropriée
(contenus, supports, pratiques) ; enfin, déployer les moyens cohérents
alloués et vérifier l’efficacité des décisions prises. Seules contraintes :
l’exigence de cohérence entre objectifs et moyens, l’animation impérative
des dispositifs et la réduction effective de coût du risque.
La maîtrise des risques associés aux informations, à la connaissance et aux

savoirs contribue à la pérennité de l’organisation et à la réduction de son
coût du risque. Capitaliser son savoir et ses connaissances, c’est assurer la
meilleure pérennisation des pratiques et des usages opérationnels.
Nous vous conseillons donc de ne pas négliger cet enjeu opérationnel

de taille.
Afin d’assurer la meilleure efficacité à la maîtrise des risques

de connaissance, nous vous proposons de suivre la démarche
méthodologique suivante :
Étape 1 : Définir l’objectif recherché

Que souhaitez-vous capitaliser ? Identifier précisément les savoirs, savoir-
faire et connaissances que vous souhaitez impérativement documenter et
actualiser dans l’entreprise. Pour ce faire, une approche processus permet
de mesurer l’effort à fournir afin de ne concentrer son action que sur les
processus et savoirs critiques.
Étape 2 : Cartographier les connaissances

À la lumière des processus et procédures existantes, mesurer tout ce qui
est à documenter, en définissant précisément les éléments manquants.
Une approche par département, par service, par entité puis par fonction
ou métier permettra à chacun de s’investir et de se responsabiliser dans
cet exercice essentiel pour la pérennisation des savoirs.
Étape 3 : Définir les moyens appropriés

À l’appui de l’action à conduire, déterminer les outils, démarches et
méthodes que vous allez privilégier pour capitaliser les savoirs. Supports
physiques retenus, protocoles de capitalisation, de validation et
d’actualisation des savoirs, animation des dispositifs. Ne négligez pas la
dimension « mode projet » d’une telle action.
118
DE LA MAÎTRISE DE LA CONNAISSANCE
Étape 4 : Faire vivre le dispositif

Au-delà de l’initialisation des démarches, il faut veiller à assurer la
pérennisation des pratiques, afin de garantir au fil de l’eau la bonne
continuité des démarches déployées : enrichissement permanent
des connaissances et savoirs nouveaux, actualisation des contenus,
disponibilité, indexation et véhicules porteurs adaptés, etc.
Au final, vous réaliserez assez rapidement que l’investissement fourni

au titre du maintien à terme des connaissances contribue nettement
à la réduction des risques opérationnels de l’entreprise. Les risques
d’interprétation, de méconnaissance ou d’erreurs disparaissent, à l’appui
de dispositifs robustes de capitalisation et de partage des connaissances
essentielles de l’organisation au titre des processus opérationnels engagés.
Sous réserve d’une parfaite maîtrise des enjeux associés à la confidentialité

des pratiques et des savoirs (qui doit savoir quoi, quand, comment, etc.),
la pérennisation des connaissances s’impose dans la lecture affirmée et
affinée des risques opérationnels en présence.
Pérenniser les savoirs et les connaissances permet de réduire les risques

opérationnels de l’entreprise.
119
Chapitre 8
Plan de continuité d’activité,
plan de reprise d’activité
Parallèlement aux dispositifs de gestion des risques opérationnels,

l’entreprise doit se préparer à gérer une crise d’un point de vue
opérationnel. Cette préparation passe notamment par la réalisation de
plans de continuité d’activité. Soucieux d’aborder cette dimension critique
dans le cadre de cet ouvrage, nous intégrons cet enjeu dès la présentation
générale des risques opérationnels.
La maîtrise des risques en entreprise nécessite d’organiser, au-delà des

démarches d’identification, d’évaluation et de déploiement des outils
de contrôle et de suivi des risques identifiés susceptibles d’engendrer
une crise, le maintien en conditions opérationnelles de l’organisation,
notamment en cas de défaillance d’un processus critique.
Tout un chacun le pense dans son for intérieur : « cela n’arrive qu’aux
autres », « cela ne peut pas nous arriver », « ce serait vraiment la faute à
pas de chance si », « nous sommes trop solides pour nous effondrer », etc.
D’autres pensent être suffisamment couverts par un contrat d’assurance,

ou par la solidité des procédures et des dispositifs de contrôle en vigueur.
Et pourtant, l’inéluctable arrive parfois. Le risque se concrétise malgré

tout, en dépit des efforts mis en œuvre pour l’éviter. Et la crise arrive, là où
on l’attend parfois le moins, engendrant une crise, qu’il va falloir affronter
et maîtriser au mieux.
121
Et le plus souvent, la crise se déclenche au mauvais moment et au mauvais

endroit
Aussi, afin d’éviter le chaos et organiser de manière préventive la survie de

l’entreprise à une crise majeure, la mise en place de plans de continuité
d’activité (PCA), puis de plans de reprise d’activité (PRA) apparaît souvent
judicieuse. Plus un plan de secours est préparé, validé, testé et diffusé en
amont, et plus la crise sera maîtrisée avec souplesse et efficacité. Il n’y a
pas de miracle.
« Gouverner, c’est prévoir », dit l’adage Alors, prévoyons !
Le principal objectif d’un PCA consiste à faire en sorte que l’entreprise

dispose d’une réponse appropriée aux dysfonctionnements majeurs
susceptibles de menacer sa survie ou, à tout le moins, de pouvoir maintenir
en conditions éventuellement dégradées un niveau de prestations et de
services internes et externes acceptables.
Certaines organisations, notamment bancaires et financières, ont,

d’ailleurs, l’obligation réglementaire d’organiser de tels plans de
continuité, et allouer en conséquence un niveau de fonds propres
susceptibles d’absorber des risques dits opérationnels (nouveau ratio de
solvabilité, exigences de fonds propres définies par les règles dites Bâle II).
L’avènement potentiel de crises majeures a incité les autorités à imposer à

certaines branches d’activités critiques de constituer des PCA structurels,
susceptibles d’être déclenchés en cas de besoin, face à une crise
sanitaire, environnementale ou sociétale majeure (maintien des activités
de transport et de logistique notamment, organisations judiciaires,
sécuritaires, sanitaires, sociales, principaux acteurs économiques, etc.).
Les approches transversales de gestion des crises, de gestion des risques

et de mise en oeuvre de plans de continuité d’activité apparaissent
complémentaires et non-concurrentes, car elles poursuivent des objectifs
différents.
122
PLAN DE CONTINUITÉ D’ACTIVITÉ, PLAN DE REPRISE D’ACTIVITÉ
Plan de continuité
Gestion des risques d’activité (PCA)
Réduction d’impacts/
Priorité Analyse Détails
Dysfonctionnement
Risques Tout type de risque majeur impactant un
processus critique
Survie suite à un
incident majeur
Impact Toute gravité impactant un processus
critique
La philosophie d’intervention des démarches de gestion de crise, des

risques et de mise en oeuvre des PCA s’avère de fait par nature différente,
les objectifs étant divergents.
D’un point de vue méthodologique, il est à noter qu’un certain nombre

de normes internationales régissent le cadrage de la mise en place de
solutions de plans de continuité : BS 7799, ITIL, etc. Le lecteur curieux
trouvera un certain nombre d’ouvrages dédiés au management des plans
de continuité d’activité, au-delà des solutions structurelles déjà déployées
dans les organismes rompus à ces méthodes.
Fondamentaux d’un plan de continuité d’activité (PCA)

Établir un (ou plutôt des) PCA nécessite de réaliser les étapes suivantes :
-- Identifier les processus critiques susceptibles de faire l’objet d’un PCA au
sein de l’entreprise : l’objectif n’est pas de documenter un PCA pour tout,
mais de mettre en place des PCA vitaux pour le maintien en conditions
opérationnelles des processus clés de l’organisation (les processus
critiques essentiels à l’entreprise).
-- Définir la stratégie de l’entreprise dans le déploiement de la démarche
PCA (global, par processus, limité à certains pans d’activité, etc.).
-- Définir par PCA les objectifs les plus critiques à atteindre : en situation
dégradée, quels sont les impératifs à maintenir ?
-- Définir les seuils de délai maximum d’indisponibilité, fait générateur
d’activation des PCA, avec graduation des solutions dégradées : quel sera
le fait déclencheur de la mise en activation du PCA ?
-- Documenter précisément les étapes de déclenchement, de mise en
oeuvre, de restauration complète (ou en mode dégradé) et de retour à la
123
normale : en complément du PCA, un plan de reprise d’activité peut être

à documenter également (reprise graduée et séquencée des activités
interrompues).
-- Tester au moins tous les ans les solutions définies et envisagées par un
PCA : un PCA non valide et non testé est inutile.
-- Analyser et commenter chaque sortie d’activation opérationnelle de
PCA, afin d’identifier les points d’amélioration à envisager et amender
en conséquence les démarches mises en place : retour d’expériences,
amélioration de l’existant, analyse des dysfonctionnements, optimisation
des pratiques.
L’élaboration d’un PCA et sa mise en oeuvre nécessitent une allocation de

ressources souvent significatives : inventaire, validation, documentation,
diffusion, tests à ne pas négliger avant toute initiation d’une démarche de
PCA ! Un PCA a un coût non négligeable !
L’entreprise doit se doter, de manière préventive, de plans de continuité

d’activité (PCA) lui permettant d’assurer en contexte latent ou déclaré de
crise, et de manière éventuellement dégradée, le maintien en conditions
opérationnelles de ses processus critiques.
Stratégie générale d’un PCA

Parmi les principaux risques majeurs pouvant nécessiter la mise en oeuvre
d’un PCA, et sans revenir sur l’approche méthodologique de l’identification
des risques principaux à couvrir au titre de ces PCA et des moyens de gérer
au mieux une éventuelle crise, il apparaît de manière générale que les
enjeux suivants semblent être les plus critiques, pour toute entreprise,
quel que soit le secteur d’activité ou le processus concerné : relocalisation
des fonctions et/ou des activités suite à une indisponibilité permanente
ou temporaire de sites, de moyens humains ou de matériels (catastrophe
majeure, attentat, non accès aux locaux, inondations, mouvements
sociaux, rupture de production, etc.).
Parmi les actions à envisager et les scénarios classiques à évoquer en

élaboration de PCA de cette nature, par exemple :
-- dédier des ressources permanentes inactives, destinées uniquement à
être activées en cas de déclenchement de PCA ;
124
-- définir une stratégie de réorganisation sur place : exploitation alternative

des moyens humains et financiers, hiérarchisation des actions ;
-- mise en oeuvre d’une stratégie de déplacement (transfert d’activités, de
sites, de personnes, etc.) ;
-- mise en oeuvre de solutions d’activité de processus à distance (travail à
domicile, etc.) ;
-- aménagement de sites alternatifs : espace dédié, location optionnelle
d’espace, installations mobiles ;
-- mise en oeuvre de solutions « clés en main » d’externalisation de
fonctions ou de processus en cas de défaillance ;
-- indisponibilité opérationnelle ou fonctionnelle majeure, par exemple :
• perte des données informatiques (crash serveur, perte de disques
durs non sauvegardés, etc.),
• perte de réseau téléphonique ou de centre d’appel (instabilité des
lignes IP, défaillance technique majeure réseau),
• perte de réseau Internet (commerce en ligne),
• perte de solutions de production,
• perte de la chaîne logistique,
• perte des zones de stockage (accès, destruction des stocks, etc.).
Ces différents événements nécessitent de mettre en place des solutions

préventives de repli afin d’assurer la continuité des activités critiques,
en cas d’occurrence de l’incident. Parmi les principaux moyens de
lutte préventive et curative à envisager et à intégrer dans la réflexion
d’élaboration des plans de continuité d’activité :
Moyens de lutte à envisager

-- Externalisation des processus et des activités critiques (prise en charge
par un tiers du risque et de son traitement).
-- Modification des processus (réduction du risque de non continuité par
remise en cause des modes de fonctionnement susceptibles d’engendrer
les risques de rupture de continuité).
125
-- Cessation des activités risquées, source potentielle de non continuité

critique (arrêt d’une chaîne de production sensible, source de danger pour
les autres activités de l’atelier par exemple).
-- Sécurisation extrême des sites ou processus difficilement « sécurisables »
(approche sécuritaire triplée par défaut).
-- Mise en place de solutions de restauration (back up préventif et curatif
mis en oeuvre avec haute disponibilité : équipements informatiques par
exemple).
-- Mise en place de polices d’assurance (compensation financière en cas
de perte d’exploitation et de sinistre financier majeur provoqué par une
non continuité).
La mise en place des plans de continuité d’activité nécessite au préalable

de définir les règles de fonctionnement dégradé en cas de survenance
d’un incident, les seuils de déclenchement du PCA en fonction de
l’indisponibilité maximale tolérée (une heure, un jour, une semaine, etc.),
et de veiller en permanence :
-- à la validité des documents référents, à réactualiser en permanence ;
-- à l’acuité des solutions proposées ;
-- à la pertinence des règles d’activation et de suivi des situations de crise ;
-- à la responsabilisation des acteurs, clé du succès en pareille circonstance.
Le lecteur doit d’ores et déjà prévoir et anticiper le fait que, en cas de

survenance d’un incident nécessitant le déclenchement d’un PCA :
-- malgré le niveau de préparation et de réaction, les imprévus seront
légion ;
-- chaque événement sera à gérer l’un après l’autre, avec pragmatisme et
discernement ;
-- la persistance statistique de la malchance sera une nouvelle fois
démontrée.
« Le pire n’est jamais décevant », échangeaient Bernard Tapie et Fabrice

Lucchini dans un film de Claude Lelouch. Toute la philosophie d’un
PCA repose sur cette affirmation. Préparons-nous au pire, sans état
d’âme ni paranoïa. Élaborer un plan de continuité d’activité y contribue
126
grandement. Le tester le rend crédible et permet à l’entreprise de gagner

en sérénité, le cas échéant.
Plan de reprise d’activité (PRA)

En complément de la documentation et de la mise en oeuvre de plans de
continuité d’activité, il peut apparaître judicieux de travailler également
sur les plans de reprise d’activité (PRA).
En effet, en contexte de crise, et après une période sensible de conditions

d’activité dégradées (activation d’un PCA), l’expérience montre que le
cycle de retour à la normale peut également provoquer de nombreux
incidents. Il est donc nécessaire de bâtir, de la même manière qu’un PCA,
un plan de reprise d’activité, c’est-à-dire un planning formalisé d’ctions
et de tâches séquencées permettant un retour serein aux conditions
normales d’exploitation.
Parmi les points non exhaustifs à couvrir en démarche PRA :

-- identification du facteur décisif justifiant la sortie de phase PCA ;
-- processus de décision et de communication d’initialisation du PRA ;
-- séquençage des tâches à réaliser :
• qui met en oeuvre quoi, quand, comment et pourquoi ?
• tests de validation de l’intégrité des restaurations opérationnelles
réalisées,
• validation de chaque étape avant déclenchement de l’étape suivante ;
-- organisation et suivi du retour progressif à la normale ;
-- pilotage et suivi du retour effectif à la situation normale ;
-- processus de désactivation effective du PRA ;
-- retour à la normale.
Parmi les principaux écueils à éviter dans la mise en place d’un PRA :
-- mauvais séquençage des opérations de retour à la normale (paralysant
le passage de l’étape n° 8 car l’étape n° 10 devait être réalisée en n° 5) ;
-- mauvaise allocation des ressources nécessaires à la stabilisation d’une
étape critique (l’étape 5 prend trois fois plus de temps que prévu, ayant été
127
mal dimensionnée dans sa réalisation. Exemple : « rebootage » des postes

informatiques individuels de centaines de salariés) ;
-- séquence incomplète de vérification avant retour à la normale,
engendrant des loupés opérationnels ou organisationnels majeurs a
posteriori (une étape critique a été oubliée par mégarde ou par absence
de check-list appropriée en PRA).
Là encore, la définition d’un PRA et la mise en oeuvre opérationnelle

d’un cycle de retour à la normale ne s’effectuent pas « à la légère »,
après une interruption plus ou moins longue d’un processus, quel qu’il
soit. La documentation formalisée des étapes à conduire et réalisées est
essentielle. Exemples :
-- En cas de plantage informatique général, les reprises de connexion et/ou
d’accès au réseau doivent être le plus souvent organisées progressivement,
afin d’éviter une surcharge informatique de capacité provoquant un
nouveau blocage généralisé des sessions et des accès.
-- En cas d’arrêt d’une ligne de production, son redémarrage doit être
réalisé dans les règles de l’art, afin d’éviter tout risque industriel potentiel
(cas du retour d’activité des sites de production d’acier ayant engendré
plusieurs accidents après des semaines complètes d’arrêt de production).
-- La qualité des produits post-PCA peut avoir été dégradée de manière
volontairement intentionnelle ; le retour à la normale implique un retour
aux référentiels et aux pratiques qualitatives initiales, avec un contrôle
qualité renforcé.
Bref, un PRA doit être envisagé comme un PCA, en fonction de la nature

des activités à reprendre et des risques associés au retour à la situation
normale.
L’élaboration de PCA et de PRA, leurs tests annuels et leur maintien en

conditions opérationnelles permettent à l’entreprise de se préparer à
affronter une crise avec sérénité et souplesse.
Exemples de PCA (ou de PRA) à envisager de manière préventive,

permettant de renforcer les dispositifs internes de gestion de crise dans
l’entreprise :
-- pannes de serveurs, d’infrastructures ou de données informatiques ;
-- non accès à un site de l’entreprise (piquet de grève, inondation) ;
128
-- perte partielle ou totale d’un processus opérationnel, externalisé ou

non ;
-- perte d’outils de production de stockage, de distribution ;
-- perte de source d’énergie (électricité, télécoms, chauffage, eau…) ;
-- perte de communication (téléphone, Internet, réseaux IT) ;
-- absence de courrier, de transports en commun, de services d’État ;
-- indisponibilité temporaire ou permanente de signataires ou délégataires
critiques ;
-- indisponibilité de plus de 20 % des collaborateurs d’une équipe, d’une
équipe entière, d’un service entier, d’un processus complet (exemple :
crise sanitaire) ;
-- indisponibilité générale et massive de ressources humaines (pandémie) ;
-- dirigeant en prison, en garde à vue, indisponible ;
-- etc.
Tout est possible ! La définition et la sélection des PCA (et des PRA)
à élaborer doivent être envisagées et réalisées dans une démarche
maximaliste, pragmatique et efficace, en cohérence avec les vrais enjeux
et les priorités essentielles de l’organisation.
Il sera nécessaire d’assurer la plus grande cohérence entre la qualité et

la profondeur des PCA documentés et testés, et la réalité des crises que
l’entreprise aura à subir. Dans un contexte permanent de pénurie latente
de ressources financières, matérielles et humaines, l’entreprise doit gérer
au mieux son investissement PCA sur les enjeux fondamentalement
critiques pour elle.
Le prisme de la réflexion des PCA à partir de l’enjeu « gestion de crise »

s’avère, sur ce point, extrêmement pertinent. Prioriser la gestion et le test
des PCA sur les vrais enjeux de l’entreprise, afin d’en assurer la meilleure
acuité.
Car documenter 500 PCA ne sert peut-être à rien, ne disposer d’aucun PCA
est dangereux.
129
Quelques règles d’élaboration

De la même manière que la connaissance doit être maîtrisée de façon
formelle, un PCA et un PRA doivent suivre certaines règles normatives, par
souci de cohérence et d’efficacité. Notamment :
-- un formalisme unique (un format de PCA et de PRA commun à
l’entreprise : structuration, style rédactionnel, contenu, organisation du
document, circuit de rédaction, de validation et de diffusion) ;
-- un PCA par processus, un PCA global par service ou par département
(principe de l’entonnoir) ;
-- les PCA sont à tester annuellement (avec retour d’expérience) :
documenter les tests effectués, les dysfonctionnements observés « à
blanc », afin d’assurer la meilleure efficacité au PCA le cas échéant ;
-- réactualiser les PCA à chaque changement organisationnel ou
fonctionnel (ne pas utiliser un PCA sorti « de la naphtaline » et totalement
inutilisable le cas échéant) ;
-- communiquer sur l’existence et la localisation des PCA (qui, quoi, quand,
comment, où ?) : qui doit savoir quoi, comment, quand, pourquoi ?
-- penser à la version papier des PCA en cas de panne informatique !
(PCA informatique logé dans l’intranet de l’entreprise et panne de réseau
informatique rendant inaccessible le document recherché en situation de
crise !) ;
-- faire valider les PCA par les acteurs concernés (les options prises,
organisationnelles, fonctionnelles doivent être validées par les acteurs
concernés au préalable) ;
-- définir impérativement les règles factuelles d’activation des PCA (critère
d’activation en fonction de délais d’indisponibilité : à définir le plus
précisément possible pour ne pas déclencher de PCA inutilement : temps
réel, heure, 2 heures, 4 heures, jour, 48 heures, etc.) ;
-- prévoir les phases de sortie de PCA et de PRA (critère d’activation du
PRA, critère de confirmation de retour à la normale post-PRA) : ne pas
engendrer de nouveaux dysfonctionnements par retour « prématuré » à
la normale.
Concevoir et imaginer un plan de continuité d’activité (ou un PRA) dans le

vif de l’événement n’est pas des plus simples. D’autres priorités sont alors
à gérer Autant se préparer sereinement et documenter efficacement les
130
conditions de maintien opérationnel des activités critiques de l’entreprise,

quand on a le temps d’y réfléchir, sereinement et lucidement.
Travailler à un PCA ou un PRA n’a jamais provoqué la survenance d’un

risque opérationnel anticipé, encore moins l’émergence effective de la
crise pour l’organisation. Mais cela améliore grandement son efficacité de
traitement le jour J !
L’élaboration, la documentation et le test fréquent des PCA et des

PRA contribuent à l’efficacité des dispositifs de gestion des risques
opérationnels et des crises potentielles dans l’entreprise. Même s’ils ne
sont pas systématiquement dédiés à gérer des situations critiques, ils
constituent l’épine dorsale des plans d’actions prioritaires à déclencher
en contexte de crise déclarée.
PCA et PRA devraient logiquement faire partie des réflexions directement

associées aux enjeux des risques opérationnels. Autant se préoccuper en
même temps des causes et des moyens de les surmonter au mieux !
Le coût du risque opérationnel

À l’appui de la réflexion initiale sur les risques opérationnels en
entreprise que nous venons d’introduire, il nous semble essentiel de vous
mobiliser d’ores et déjà sur la problématique du coût du risque, et plus
particulièrement, de l’enjeu du coût du risque opérationnel.
Mesurer le coût du risque pour l’entreprise revient à mesurer la

conséquence financière et économique de la concrétisation des risques
pour l’organisation. La notion de coût du risque consiste donc à quantifier
l’impact de la concrétisation du risque, à partir du moment où celui-ci se
concrétise.
Nous identifions en fait différents coûts du risque dans la conception

même de cette notion :
-- le coût du risque brut, qui reflète le coût complet du risque lors de sa
concrétisation effective ;
-- le coût du risque net, qui prendra en compte la réduction du coût du
risque brut grâce aux actions entreprises en amont du risque.
131
Le chiffrage du coût du risque opérationnel, tant brut que net, va s’avérer

particulièrement important car il conditionnera l’opportunité des
décisions prises – ou à prendre – face à des enjeux directement liés aux
cycles d’exploitation et d’activité de l’organisation, leur maintien, leur
remise en cause ou leur arrêt.
L’objectif de toute organisation résulte dans la réduction du coût du risque.

Mais cette démarche s’appuie en permanence sur la recherche constante
de cohérence entre les actions entreprises pour réduire les risques
opérationnels, le coût induit par les risques lors de leur concrétisation, et
la cohérence stratégique des politiques menées en ce sens.
Le coût du risque opérationnel va être intimement et directement

dépendant d’une multitude de facteurs :
-- le coût des dispositifs de détection des risques opérationnels
(conception, déploiement, maintien en conditions opérationnelles) ;
-- le coût des dispositifs d’animation, de formation et de sensibilisation
des acteurs à l’enjeu risques opérationnels ;
-- le coût des dispositifs de réduction, de transfert, de contournement ou
d’évitement des risques opérationnels (stratégies de couverture retenues) ;
-- le coût du risque opérationnel proprement dit, en cas de survenance
(impacts et dommages directs et indirects, à court, moyen et long termes,
toutes classes de risques impactées confondues).
Dès lors, tout l’enjeu de l’entreprise et de sa direction consiste à assurer

en permanence et en constance une véritable exigence de cohérence
entre trois dimensions essentielles : la politique risque de l’entreprise
proprement dite et les moyens humains matériels et financiers déployés
(adossés à la culture risque « maison » ) ; le coût du risque net souhaité par
l’organisation (ou recherché, ou accepté, ou budgété) ; le coût du risque
net final pour l’organisation.
La mesure du coût du risque opérationnel peut très vite devenir abyssale.

Prenons le cas de l’explosion de la plateforme pétrolière Deepwater
Horizon du groupe pétrolier BP dans le golfe du Mexique. Les dernières
estimations du coût du risque évoluent entre vingt et quarante milliards
de dollars.
132
Au-delà du montant faramineux, qu’il y aura lieu de contextualiser et de

comparer (pourcentage du CA, du résultat net, des fonds propres, etc.), le
coût du risque prend tout son sens en fonction de ses impacts directs et
indirects :
-- perte d’exploitation lors de l’indisponibilité de la plateforme pendant et
après l’explosion ;
-- dépréciation des stocks de matière première perdue lors de l’explosion
et des travaux de stabilisation ;
-- pertes associées aux multiples dédommagements engendrés par
la catastrophe : salariés, conjoints, éleveurs pollués, associations de
sauvegarde de l’environnement, États, État Fédéral ;
-- pertes associées au risque image concrétisé lors de l’événement ;
-- pertes associées à la mise en oeuvre des nouvelles obligations
sécuritaires ;
-- pertes associées à la diminution de la valeur du cours de Bourse de
l’action ;
-- pertes associées aux multiples actions judiciaires engagées à l’encontre
de BP ;
-- pertes associées à la dégradation des actifs mobilisés ;
-- pertes associées aux coûts d’opportunité de la gestion de cette
catastrophe (quand la gouvernance de BP gère cette situation de crise, elle
ne fait pas autre chose) ;
-- etc.
Bref, la concrétisation d’un risque opérationnel (ou plusieurs risques

engendrant la catastrophe) a entraîné un coût du risque majeur pour
l’enseigne. La diversité et le dimensionnement des coûts directs et
indirects supportés rappellent à tous, si nécessaire, que le risque coûte
très cher dans l’entreprise.
Tout l’enjeu consistera donc à assurer la meilleure maîtrise du coût

du risque net pour l’organisation, à l’appui d’une lecture affinée des
risques opérationnels en présence, de la mise en oeuvre d’une stratégie
de maîtrise des risques cohérente et adaptée aux enjeux, et surtout
d’une véritable démarche volontariste d’appropriation du sujet des
risques opérationnels par la gouvernance de l’organisation et ses relais
133
d’exécution opérationnelle : actionnariat, direction, encadrement,

animation opérationnelle sur site des dispositifs et démarches initiés.
Abordons à présent une famille de risques opérationnels particuliers : les

risques industriels.
134
À retenir
• Un risque opérationnel est un risque susceptible d’engendrer un
dommage, une perte ou un coût pour l’organisation lors de la réalisation
de ses cycles d’exploitation, ou dont le client ressentira les effets induits
à plus ou moins longue échéance.
• Délimiter le périmètre initial des risques opérationnels peut se

structurer autour de quatre grandes thématiques à questionner :
l’infrastructure de l’entreprise, ses cycles d’exploitation, ses cycles
commerciaux et ses cycles dédiés aux activités support.
• Tout – ou presque – peut être considéré comme un risque opérationnel

dans l’entreprise. Il appartient à chaque entreprise de définir, au cas par
cas, les risques qui seront considérés comme des risques opérationnels.
• Définir avec précision les risques qui ne seront pas considérés comme
des risques opérationnels. Il est plus simple de définir en la matière
ce qui n’est pas, et non pas ce qui est, afin de délimiter le spectre des
risques opérationnels à considérer en tant que tels.
• La sécurisation physique des personnes doit constituer la priorité n° 1

des dirigeants dans leur réflexion sur les risques opérationnels au sein
de l’entreprise.
• Identifier les risques opérationnels associés à l’infrastructure de

l’entreprise revient à répondre à quelques questions simples : où sont
les actifs de l’entreprise ? Sont-ils critiques ? Quelle est leur valeur
d’usage ? Sont-ils sécurisés ? Contre quoi ?
• Ne pas oublier, au-delà de l’identification et de la critérisation

des actifs, l’existence et le traitement des différentes natures de
flux dans l’entreprise : énergie, matière, communication, données,
stocks, personnes, matériels, etc. Ils contribuent à l’enjeu des risques
opérationnels.
• Identifier un danger consiste à se questionner sur ce qui pourrait être

(et ne devrait pas être), ou sur ce qui ne pourrait pas être (et qui devrait
être), et en mesurer l’impact sur l’organisation.
135
• De la robustesse des dispositifs de détection des risques opérationnels

dépend l’efficacité de la politique risque de l’entreprise, pour l’essentiel.
• La question du risque de conformité est à appréhender à plusieurs

niveaux complémentaires : conformité des opérations au cadre légal
applicable, conformité des opérations ayant trait aux processus
internes déployés, et conformité des activités sous l’angle de l’exigence
des éventuelles démarches qualité.
• L’approche processus est à privilégier dans toute démarche relative à

l’enjeu de la gestion efficace des risques opérationnels.
• De multiples classes de risques spécifiques sont à considérer dans

le cadre des enjeux associés aux risques opérationnels : connaissance,
juridique, informatique, social.
• PCA et PRA doivent contribuer à la réflexion du rapport aux risques

opérationnels.
136
Partie 3
RISQUES INDUSTRIELS
Introduction
« Il n’y a pas de sécurité sur cette terre, seulement des opportunités. »
Douglas Mac Arthur
Fondamentalement intégrés à l’enjeu objet de notre ouvrage, les risques

industriels constituent l’épine dorsale des risques opérationnels pour toute
organisation dont l’objet social s’appuie sur une démarche de production
ou de transformation d’un produit, qu’il soit technique, alimentaire, dédié
à la santé, à la cosmétique ou pour un usage chimique, et quelle que soit sa
complexité. À partir du moment où une entreprise fabrique, transforme ou
assemble des éléments afin de produire un objet fini ou semi-fini destiné
à être vendu à un tiers, les risques industriels existent naturellement,
compte tenu de la mise en oeuvre spécifique d’enjeux opérationnels
lourds de sens pour l’entreprise, à de multiples points de vue.
Fabriquer un système roulant (voiture, poids lourd, autocar), un système

aérien, (avion, hélicoptère) un bateau, une crème solaire, un pot de yaourt,
une fourchette ou un objet technique quel qu’il soit, va conduire l’entreprise
à déployer une multitude de processus et de procédés industriels exposant
l’organisation à de très nombreux risques opérationnels. La complexité
et le dimensionnement d’un système productif, d’élaboration ou de
transformation, quel qu’il soit, doivent conduire l’entreprise à s’interroger
sur sa maîtrise technique et opérationnelle des métiers qu’elle va exécuter,
des modes opératoires qu’elle va déployer, des processus qu’elle va mettre
en œuvre et des dangers auxquels elle va exposer ses équipes, ses actifs et
l’environnement dans lequel elle évolue.
139
Les risques industriels, dénomination commode pour exprimer la diversité

et la complexité des risques associés à tout système de production ou
de transformation, constituent en conséquence une classe de risques
opérationnels à part, qu’il convient de considérer avec précision, rigueur
et détermination, compte tenu des enjeux en présence. Et ce, tant pour le
salarié que pour le client.
À partir du moment où l’entreprise consomme ou transforme des matières

premières, ou qu’elle s’appuie sur des marchandises ou des composantes
pour en élaborer d’autres, le risque industriel apparaît en filigrane. Le
risque industriel existe dès le prototypage du produit, lors de sa pré-
industrialisation et, bien évidemment, lors de son industrialisation. Et ce,
quel que soit le client pour lequel le produit est élaboré : produits finis
vers les clients finaux, produits semi-finis s’inscrivant dans l’élaboration
d’un produit fini qui sera réalisé et/ou commercialisé par un tiers, clients
particuliers ou entreprises, systèmes simples (un stylo, un plat cuisiné) ou
complexes (un hélicoptère, un système lanceur de fusée, une machine-
outil numérique).
Essayons à présent d’en balayer les principaux enjeux.
Le risque industriel apparaît dès que l’entreprise met en oeuvre un

modèle de production ou de transformation, quelle qu’en soit la
complexité.
140
Chapitre 1
La problématique du risque industriel
Fabriquer une boîte en métal, un ordinateur, une machine à laver, une

navette spatiale, une voiture ou une fourchette revient fondamentalement
à la même chose : il s’agit d’assurer en constance la qualité et la sécurité
du produit, des salariés qui le produisent et de ses futurs utilisateurs, et
ce, lors de tous les cycles d’exploitation qui le concerneront : lors de sa
conception, de son élaboration, de sa production, de son transport, de
son stockage, de son utilisation puis de son recyclage (ou sa destruction)
à l’issue de sa durée de vie technique. Seuls le dimensionnement et la
complexité des tâches et des interactions à concevoir et accomplir pour
chacun de ces cycles, détermineront le niveau d’exposition aux risques – et
la complexité à les maîtriser tout au long du processus considéré – qui ne
manqueront pas de naître, lorsque l’entreprise réalisera son objet social.
La maîtrise du risque industriel traduit, pour l’essentiel, le niveau de

compréhension et de maîtrise désirée d’une direction d’entreprise de
l’exigence de cohérence à déployer entre des systèmes différenciés et
complémentaires qui vont alors se mettre en œuvre :
-- un système dédié à la R & D du produit, c’est-à-dire de sa conception,
son élaboration à son prototypage ;
-- un système dédié à la pré-industrialisation performante et optimisée
des procédés et processus permettant in fine de produire, en continuité
et en maîtrise qualitative et sécuritaire, le produit créé en évoluant du
prototype à la présérie (validation des options organisationnelles et
procédurales) ;
-- un système dédié à l’industrialisation performante et optimisée des
procédés et processus permettant in fine de produire, en constance et
141
en maîtrise qualitative et sécuritaire, le produit créé pour sa diffusion à

l’échelle souhaitée ;
-- un système dédié au pilotage et à la maîtrise des risques potentiellement
engendrés par l’intégralité des processus mis en oeuvre et par le « système
produit » lui-même, en tant que tels (risques directement liés au produit
intrinsèque).
Un contrôle de cohérence permanent est à rechercher entre chacun de ces

différents systèmes, afin d’assurer la maîtrise continue des risques tout
au long du processus. Cette exigence de cohérence s’inscrit tant dans la
concrétisation adaptée de la promesse du produit faite au client que dans
l’allocation optimale et cohérente des ressources humaines, matérielles et
financières pour chaque cycle de production concerné.
De même, l’appréhension du risque industriel doit être construite à partir

d’une lecture lucide et pragmatique des enjeux « facteurs humains »
associés, particulièrement critiques en milieu opérationnel : l’expertise
et les compétences techniques (risquant d’obérer l’humilité et la lucidité
des acteurs concernés), l’existence de « zones de confort » parfois trop
affirmées (adossées au profil des ingénieurs, techniciens et opérateurs
trop souvent pétris de certitudes et d’habitudes), et une propension trop
souvent limitée au pragmatisme (favorisant l’expression dogmatique trop
souvent présente à l’esprit technique).
La problématique associée à la délicate maîtrise du risque industriel

repose également sur la complexité, l’interaction et le dimensionnement
des enjeux à traiter. Concevoir, bâtir, produire et industrialiser la
production d’un système complexe (avion de ligne, paquebot, pont, site
industriel…) peut réellement conduire à des désastres industriels en cas
de sous-estimation des enjeux à traiter au titre des risques en présence.
De récents exemples ont encore démontré que les plus beaux projets sont,
eux aussi, trop souvent exposés à des risques industriels et opérationnels
très souvent mal identifiés ou quantifiés. Quel fut le coût du risque final
des retards et difficultés enregistrés par les grands programmes d’Airbus
pour l’A380 ? Quelles sont les hypothèses de travail de Boeing pour les
retards annoncés de son dernier-né ? Combien a réellement coûté à BP
l’explosion de la plateforme Deepwater Horizon dans le golfe du Mexique ?
Vingt milliards de dollars ? Quarante milliards de dollars ? Plus ? Moins ?
Tous ces cas sont-ils dus à une pénurie de ressources dédiées à la MAÎTRISE
des risques industriels dans le cadre des projets engagés ?
142
LA PROBLÉMATIQUE DU RISQUE INDUSTRIEL
L’enjeu des risques industriels se pose donc à plusieurs niveaux, qui tous
refléteront in fine la pertinence des réponses apportées par l’homme.
Essayons à présent d’explorer les démarches et outils à disposition, étant
bien entendu qu’aucune check-list ou inventaire à la Prévert ne saurait
présenter la myriade de sujets à traiter au titre des risques industriels.
L’enjeu initial de la maîtrise du risque industriel consiste pour l’essentiel à

déployer des modèles et des démarches méthodologiques suffisamment
éprouvés pour les identifier, les détecter, les comprendre puis les maîtriser.
Nous allons à présent parcourir un certain nombre de démarches
existantes, susceptibles d’éclairer la philosophie de la perception du
risque industriel en présence.
Là encore, aucune méthode ne doit prédominer dans la réflexion. Seul le

contexte opérationnel permettra de définir la démarche méthodologique
idéale à retenir.
Il existe de nombreuses démarches méthodologiques dédiées à la maîtrise

des risques industriels : laquelle correspond le mieux à votre organisation ?
143
Chapitre 2
Les différents modèles en présence
Lorsqu’on aborde la question de la maîtrise des risques industriels en

entreprise, il faut tout d’abord remarquer qu’il existe une multitude
de démarches méthodologiques en présence et que de nombreuses
entreprises développent leurs propres systèmes et référentiels de
pratiques au titre de la maîtrise desdits risques. Il n’existe pas de démarche
fondamentalement différenciante qui permettrait à chaque dirigeant
de s’approprier une méthode plutôt qu’une autre avec certitude. Tous
les systèmes présentent des avantages et des inconvénients, au même
titre d’ailleurs que les référentiels propres déployés par les entreprises
elles-mêmes.
La théorie du frottement devra fonctionner à plein régime lorsque l’enjeu

du risque industriel sera à considérer. L’utilisation de démarches ou
de conceptions différentes et complémentaires permettra, la plupart
du temps, d’identifier de nouvelles zones de risques ou de dangers
qui ne seraient pas forcément apparus spontanément. Nous invitons
tous nos lecteurs à toujours conserver esprit critique et prise de recul
avant d’engager une méthode plutôt qu’une autre, sauf si les exigences
réglementaires imposent certains référentiels par défaut.
Parcourons à présent les grandes méthodes en présence.
Analyse préliminaire des risques (méthode APR)

Démarche préliminaire à toute réflexion sur les risques industriels,
l’analyse préliminaire des risques consiste à évaluer les problèmes à
145
résoudre concernant la maîtrise des risques. Elle va globalement se

structurer autour de trois grandes phases distinctes :
-- l’identification des dangers à prendre en compte, de manière la plus
exhaustive possible ;
-- l’évaluation et la classification des risques associés aux dangers
identifiés ;
-- la proposition de mesures permettant de couvrir les risques.
La première étape a pour objectif essentiel d’identifier avec exhaustivité

les dangers en présence susceptibles d’impacter le système industriel
considéré. La notion de système repose sur différents vecteurs : ses
éléments constitutifs et leurs interactions (humains, matériels, techniques,
organisationnels), les conditions qui l’entourent dans son cycle de vie
(agressions extérieures, environnement externe), ainsi que les différentes
conditions de son exploitation, de sa maintenance, voire de la gestion de
sa fin de vie.
Cette identification exhaustive des dangers en présence pour chacun des

systèmes dans leur environnement constitue la clé de la réussite d’une
APR de qualité.
À l’issue de cette identification, chaque risque va être évalué, à l’appui

de deux critères essentiels : la gravité de l’impact du risque en cas de
survenance, puis la fréquence de l’occurrence de l’événement.
Lorsque tous les risques ont été évalués, les stratégies de couverture des
risques constituent la troisième et dernière phase de la démarche. Quatre
stratégies sont recherchées en démarche APR :
-- stratégie de prévention : diminution de la fréquence de l’événement ;
-- stratégie de protection : réduction de la gravité de l’événement ;
-- stratégie d’élimination : suppression de la possibilité de l’apparition de
l’événement ;
-- stratégie de transfert : mise en oeuvre d’une assurance en cas de
survenance de l’événement.
La démarche APR est souvent utilisée lorsque le projet ou le procédé

impliquent une exigence de sécurité importante, la mise en oeuvre d’un
146
LES DIFFÉRENTS MODÈLES EN PRÉSENCE
système complexe, ou la prise en compte de facteurs significatifs associés

à l’environnement du système. Elle repose pour l’essentiel sur la définition
précise des besoins en analyse des risques, la répartition des rôles relatifs
à l’enjeu de sécurité, et sur un système documentaire fourni détaillant
l’enjeu « risque » à considérer.
Fondamentalement, la méthode APR vise à détecter les situations

dangereuses susceptibles d’engendrer l’émergence du risque (présence
d’éléments dangereux associés à un événement particulier) et à
déterminer la valorisation individuelle des risques en présence à l’appui
de leur gravité et de leur fréquence potentielle d’apparition.
Les dangers en présence sont bien sûr de toute nature : dangers électriques,
mécaniques, chimiques, biologiques, de combustion, d’atmosphère,
etc. La liste des situations dangereuses susceptibles d’occasionner la
concrétisation du risque sont innombrables :
-- fuite ;
-- humidité ;
-- explosion ;
-- choc ;
-- oxydation ;
-- pression ;
-- feu ;
-- chaleur ;
-- toxicité ;
-- etc.
La méthode APR permet ainsi d’identifier et de mesurer les principaux

risques à considérer dans le cadre du processus ou du procédé industriel
à déployer, quel qu’il soit. De nombreux outils permettant de discriminer
chacune des séquences opérationnelles et les risques associés sont
déployés.
La méthode APR constitue un prérequis méthodologique essentiel dans

toute démarche de maîtrise des risques industriels.
147
Méthode HAZOP
La méthode HAZOP a été créée en 1965 en Angleterre par la société ICI. Elle
constitue depuis plus de quarante ans l’une des démarches référence en
matière de risques des installations industrielles. De nombreux secteurs
d’activité industriels se sont emparés, depuis, de cette démarche :
l’industrie nucléaire, les transports, mais aussi la sécurité alimentaire.
Conceptuellement, la méthode HAZOP « Hazard and Operability Studies »

s’appuie sur toute la philosophie de la sûreté de fonctionnement d’un
système industriel, l’objectif reposant sur une démarche d’amélioration
de la sécurité et des procédés d’un système industriel.
Sans en présenter les détails techniques, la méthode HAZOP consiste,

pour résumer, en un examen critique, formel et systématique des
procédés mis en œuvre et de la démarche intrinsèque de conception
d’une installation industrielle neuve ou existante. L’objectif prioritaire
consiste à évaluer le potentiel de danger lié à la mauvaise utilisation ou
au mauvais fonctionnement d’éléments d’équipements de l’infrastructure
industrielle, et en évaluer leurs effets sur l’ensemble du système industriel
en présence.
La méthode HAZOP s’appuie sur la définition précise de nombreux concepts

tels la notion de danger, de dommage, etc. Fondamentalement, le danger
peut porter atteinte aux personnes, aux biens ou à l’environnement. Il sera
par nature vérifiable et quantifiable, quelle que soit sa nature. Les notions
d’accident, d’événement non désiré, d’événement redouté font l’objet
d’une détermination rigoureuse.
Depuis le développement de la méthode HAZOP – et ses nombreuses

applications industrielles – un grand nombre de cadres réglementaires
sont venus s’appuyer et enrichir le rapport aux risques industriels sur
cette démarche. Notamment, et par exemple, les critères associés à la
philosophie des sites classés SEVESO s’appuient pour l’essentiel sur la
méthodologie et le retour d’expérience de la méthode HAZOP.
La méthode HAZOP est structurée autour de plusieurs notions critiques.

Relevons ici les principales dimensions de cette démarche, afin de vous
permettre d’en appréhender les enjeux essentiels :
-- Conceptuellement, la sécurité d’un processus industriel dépend de
l’interaction de trois facteurs critiques, qu’il conviendra de maîtriser
148
et contrôler en permanence, tout au long du cycle. Ces trois facteurs

critiques sont les suivants : le produit considéré, objet du cycle industriel ;
le procédé utilisé pour l’élaborer ; les facteurs humains en présence mis
en oeuvre pour son élaboration et/ou son usage (proximité, manutention,
etc.).
-- Toute étude HAZOP se fonde sur la définition et la délimitation des
systèmes en présence (à partir des flux de circulation des produits, détaillés
en séquences). Chaque système industriel va donc être décomposé en une
série de sous-systèmes, en interaction.
-- De nombreux mots-clés et paramètres sont utilisés lors de la qualification
des déviations d’usage, critérisant les écarts réalisés par rapport au
processus ou fonctionnement nominal à réaliser. Par nature, à l’appui de
ces mots-clés, seront ajoutés les paramètres susceptibles d’engendrer
une déviation du résultat final comparativement au résultat initialement
attendu. Cette déviation peut engendrer le risque (mot-clé + paramètre
= déviation).
-- Chaque déviation observée sera analysée en détail (par rapport
au résultat nominal attendu), afin de maîtriser au mieux les risques
susceptibles d’être occasionnés.
-- La probabilité d’occurrence et la gravité des événements seront
modélisés et scénarisés systématiquement, pour chaque événement,
dans chaque sous-système identifié.
-- La gravité de chaque événement sera critérisée. Par exemple, dans
le référentiel SEVESO II, la gravité d’un risque évolue sur une échelle
de cinq paliers en fonction de l’impact sur les facteurs humains : palier
« modéré « (pas de décès hors établissement, moins d’une personne
touchée de manière irréversible), palier « sérieux » (pas plus d’un décès),
palier « important « (de 1 à 10 décès), palier « catastrophique » (de 10 à
100 décès), ou enfin, palier « désastreux» (plus de 100 morts, plus de 1 000
personnes irréversiblement touchées).
-- Chaque situation de risque déclaré entraîne la mise en oeuvre de
barrières de sécurité déployant des procédés et modes opératoires
spécifiques, en fonction de la gravité de la situation : de la conception des
démarches d’audit de risque aux procédures d’évacuation et d’urgence
des sites, en fonction de la gravité des risques concrétisés ou anticipés.
La méthode HAZOP s’attache à la plus grande rigueur dans sa mise en

oeuvre opérationnelle. Elle constitue l’outil méthodologique le plus
souvent utilisé en industrie lourde.
149
La méthode HAZOP constitue un référentiel usuel en risques industriels.

Sa mise en oeuvre se fonde sur la décomposition du système industriel en
sous-systèmes pour lesquels les risques seront critérisés avec exhaustivité.
La méthode AMDEC
Cette méthode, extrêmement connue dans de nombreuses démarches
méthodologiques autres que celles associées aux risques, consiste en une
analyse des modes de défaillances des systèmes, de leurs effets et de leur
sensibiblité. La démarche AMDE autant que la démarche AMDEC intègrent
la mesure de la criticité des événements (AMDEC : Analyse des modes de
défaillance, de leurs effets et de leur criticité / AMDE : Analyses des Modes
de Défaillances et de leurs Effets).
Le principe de l’AMDEC repose sur une approche relativement simple dans

sa mise en oeuvre :
-- L’étape 1 consiste à décomposer le système considéré en une multitude
de composantes qui le constituent.
-- L’étape 2 vise à recenser l’intégralité des modes de défaillance, pour
chacun des composants identifiés lors de l’étape 1.
-- L’étape 3 consiste à identifier les effets et les conséquences des modes
de défaillance définis au préalable.
-- La dernière étape consiste enfin à traduire en termes de risques les
situations décrites précédemment.
-- En cas d’AMDEC, la critérisation de chacun des risques conclut la
démarche, à l’appui de la mesure de la criticité des enjeux et des risques
identifiés.
Prenons un exemple
Considérons l’élaboration d’un AMDEC à partir d’un objet basique que
chacun a logiquement sur son bureau : une lampe de bureau !
Si l’on analyse les différentes dimensions fonctionnelles d’une lampe

du bureau, nous pouvons considérer qu’une lampe de bureau a pour
principales fonctionnalités :
-- d’éclairer (fonction d’utilité F1) ;
150
-- de ne pas éclairer (fonction d’utilité F2) ;

-- de ne pas tomber… de tenir debout sur son pied ! (fonction d’utilité F3) ;
-- d’être esthétique… le cas échéant ! (fonction d’utilité F4) ;
-- de protéger par défaut son utilisateur des risques électriques associés à
son usage (fonction d’utilité F5).
Les différentes composantes d’une lampe de bureau, pour simplifier,

peuvent se détailler de la manière suivante : un pied de lampe, une douille,
une ampoule, un abat-jour, une fiche électrique, un conducteur électrique
et un interrupteur.
L’AMDEC de la lampe de bureau peut donc être présentée de la manière

suivante :
Composant pied :
Fonction concernée : F3, F4.
Mode de défaillance : le pied peut être cassé.
Effet : risque de chute de la lampe, risque de blessure lorsque la lampe
chute, perte d’esthétisme.
Détection : visible a priori.
Composant douille :
Fonction : F1.
Mode de défaillance : la douille peut être déformée, dégradée.
Effet : l’ampoule ne fonctionne plus.
Détection : impossibilité de mettre l’ampoule dans la douille.
Composant ampoule :
Fonction : F1, F5.
Mode de défaillance : ampoule cassée.
Effet : n’éclaire plus.
Détection : visible.
Etc.
Ainsi, le composant « interrupteur » pourra être bloqué, ne fonctionnera
plus à l’allumage ou à l’extinction, ou pourra être mal isolé, provoquant
des risques de court-circuit, d’électrisation, de perte de fonction d’utilité
d’éclairage, etc.
151
L’objectif d’un AMDEC constitue ensuite à critériser, pour chaque mode de

défaillance les enjeux de criticité relevés au titre, par exemple :
-- des enjeux sécuritaires (enjeux prioritaires : mise en danger de la sécurité
des personnes et des biens) ;
-- des enjeux esthétiques (dans le cas présent !) ;
-- des enjeux fonctionnels (pérennisation des fonctions d’utilité).
À l’issue de l’AMDEC, vous disposez ainsi d’une photo nominale des modes
de défaillances à considérer, de leurs impacts, et de la manière de les
critériser afin de prioriser leur traitement de la meilleure façon.
L’AMDEC constitue très souvent l’outil méthodologique de base en gestion

des risques ; la critérisation des impacts de chaque mode de défaillance,
par composante, demeure toujours riche de sens dans la réflexion et la
décision « risque » à prendre face à chaque enjeu.
L’utilisation des arbres décisionnels

Parmi les outils fréquemment utilisés en gestion des risques figure
l’utilisation de trois arbres différents : l’arbre de défaillances, l’arbre des
causes et l’arbre d’événements. Ces trois arbres sont similaires dans leur
présentation mais proposent des fonctionnalités distinctes.
L’arbre de défaillances est une méthode qui débute à partir de

l’événement final pour remonter vers les causes et les conditions ayant
permis sa survenance. Un arbre de défaillances vise à proposer une
représentation visuelle des différentes combinaisons susceptibles de
produire l’événement final.
L’arbre de défaillances repose donc sur la définition précise et avec grande

clarté de l’événement final à considérer. Par exemple, la collision de deux
voitures ou la collision n’impliquant qu’une voiture ne constitue pas le
même événement final. Ce point d’entrée – et la précision de sa définition
– sera essentiel dans l’élaboration d’un arbre de défaillances performant
et pertinent.
152
Bien définir l’événement final, point d’entrée et clé de la réussite d’un

arbre de défaillances.
À l’appui de cet événement final, source de l’arborescence, il reste à

détailler les séquences intermédiaires et les connexions logiques entre
chaque événement. Un système normalisé de représentation visuelle des
événements et des connecteurs existe.
Par exemple :
-- Rectangle : événement final, ou événement intermédiaire.
-- Rond : événement de base.
-- Rectangle surmonté d’un triangle : condition.
-- Losange : attente.
-- Connecteurs « et », connecteur « ou » sont différenciés.
Il existe un certain nombre de règles et principes à respecter lors de

l’utilisation d’un arbre de défaillances :
-- un seul connecteur par événement ;
-- assurer l’indépendance des branches entre elles ;
-- décrire des séquences d’événements réels (et non souhaités) ;
-- mutualiser les connaissances de plusieurs acteurs lors de l’élaboration
de l’arbre ;
-- ranger et trier les informations ;
-- séparer les fonctions d’animation et d’apport d’expertise lors de
l’élaboration de l’arbre ;
-- travailler en équipe ;
-- face à la complexité, progresser par palier à l’appui de coupe, c’est-à-dire
de regroupement d’événements permettant de définir un « événement
sommet » ; ne pas hésiter à séquencer au maximum l’arbre en « sous-
arbres », pour simplifier la lecture.
Exemple d’un arbre de défaillances simple : vous vous retrouvez face à

la porte de votre garage, dans l’impossibilité de l’ouvrir. Si vous souhaitez
153
décrire la situation à l’appui d’un arbre de défaillances, vous pourriez le

décrire ainsi :
Événement sommet : porte de garage fermée
Branche 1 : serrure fermée
Sous-branche 1 : non fonctionnement de la télécommande

Code erroné
Code bon non connu
Code bon oublié
Télécommande hors service
Télécommande dont les piles sont hors d’usage
Télécommande dégradée (choc)
Défaillance de réception du signal de la télécommande
Perturbations électromagnétiques ou électriques
Sous-branche 2 : non fonctionnement de la serrure

Absence de clé
Clé perdue
Clé laissée à la maison
Serrure obstruée
Serrure cassée
Branche 2 : Ouverture défaillante
Sous-branche 1 : non fonctionnement du moteur électrique d’ouverture

de la porte
Défaillance de l’alimentation électrique
Panne du moteur
Défaillance de la transmission
Sous-branche 2 : non fonctionnement du mécanisme d’ouverture

Porte coincée
Personne obstruant l’ouverture
Objet obstruant l’ouverture
L’arbre des causes est une méthode différente de l’arbre de défaillances.

Elle part d’un événement qui s’est produit et présente la combinaison
des facteurs ayant entraîné la concrétisation de l’action. En conséquence,
l’arbre des causes ne traduit qu’un seul scénario dans l’enchaînement des
154
actions. Contrairement à l’arbre de défaillances qui propose les différentes

possibilités de réalisation de l’événement final, l’arbre des causes ne
traduit qu’un seul scénario, car cette méthode s’attache à identifier avec
précision la causalité de l’événement ayant conduit à la concrétisation du
risque.
Le schéma sera structuré de la même manière (à partir du résultat final

du risque consacré), mais sa déclinaison en causalité sera unique, une
seule mécanique d’événements ayant produit le risque concrétisé. À la
différence de l’arbre de défaillances, un seul scénario effectivement réalisé
sera décrit en méthode d’arbre des causes.
Enfin, l’arbre d’événements part d’un événement et décrit les

conséquences que ce dernier peut engendrer. Par essence, l’arbre
d’événements se réalise donc à l’appui du raisonnement inverse des
précédents : il part de la cause pour aller vers les conséquences, alors que
les méthodes précédentes partent des conséquences pour identifier les
causes (ou la mécanique des causes unique).
Il existe trois outils d’arborescence puissants et complémentaires : l’arbre

de défaillances, l’arbre des causes et l’arbre d’événements.
À la différence des arbres de défaillances et de causes, l’arbre d’événements

part en sens inverse : il part de la cause pour aller vers les conséquences.
La base de la réflexion dans l’élaboration d’un arbre d’événements doit

pouvoir répondre à la question suivante : que se passe-t-il, si ?
Exemple : prenons la cause « feu dans une poubelle ».

Feu dans une poubelle :
Le feu est-il détecté ?

Si non => incendie
Si oui
ðL’acteur présent à proximité réagit-il correctement ?
l si non => incendie
l si oui => l’extincteur fonctionne-t-il ?
n si oui : feu éteint
n si non => incendie
155
L’utilité de ces trois méthodes d’arborescence repose fondamentalement

sur une combinaison analytique riche de sens. Partir des causes vers
les conséquences, ou cheminer à l’inverse permet de bien maîtriser
les différentes chaînes de causalité et définir au mieux les séquences
d’événements ou de causalité susceptibles d’engendrer un risque.
Les arbres de défaillances, de causes ou d’événements sont différents

dans leur conception mais complémentaires dans leur utilisation. Sachez
les manipuler lors de vos réflexions orientées « risques ».
La méthode MOSAR
La méthode MOSAR est également utilisée dans le cadre des installations
industrielles, ou dès lors que la complexité des installations et des
interactions entre les équipements, les machines, les produits et les stocks
apparaît significative.
MOSAR est l’acronyme de « Méthode Organisée Systémique d’Analyse des

Risques ». Cette démarche fait fondamentalement appel à la modélisation
systémique et s’articule autour de deux visions différentes mobilisées de
manière complémentaire :
-- La mise en oeuvre d’une vision macroscopique, destinée à réaliser une
analyse des risques de proximité (l’analyse des risques principaux).
-- La mise en oeuvre d’une vision microscopique, qui s’attache à une
analyse détaillée et complémentaire des dysfonctionnements techniques
et opérationnels, dédiée à une lecture de type « sûreté de fonctionnement ».
Le modèle conceptuel mis en oeuvre s’appelle le MADS, terminologie

décrivant une méthodologie de dysfonctionnement des systèmes,
également appelé « l’univers des dangers ». Cet univers des dangers,
modélisé conceptuellement par Jean-Louis Le Moigne, s’inscrit dans la
somme des interactions entre deux systèmes : un système appelé système
source engendrant la source du flux de danger, et un système cible, qui
subira les effets du flux de danger émis par le système source.
L’articulation de MADS dans la démarche systémique MOSAR s’appelle

la méthode MADS MOSAR, usuellement utilisée dans les approches de
gestion des risques industriels complexes.
156
Dans toute méthode MADS MOSAR, la modélisation du système en

présence s’articule autour de grandes étapes consécutives :
1. La décomposition du système industriel étudié en sous-systèmes.

Bien que non obligatoire, cette étape permet de simplifier la représentation
et la détermination des enjeux risques à considérer. Elle peut se réaliser de
multiples manières, en fonction du système considéré :
-- décomposition hiérarchique des sous-systèmes en présence, en
fonction notamment des relations entre chaque sous-système (par ordre
chronologique des séquences, par exemple) ;
-- décomposition topologique des sous-systèmes, en fonction de la
distribution dans l’espace des différents sous-sytèmes en présence
(localisation géographique séquençant les systèmes entre eux) ;
-- décomposition fonctionnelle des sous-systèmes, en fonction de leur
séquençage et de leurs interactions, sur la base d’une approche classique
par les processus.
2. Identification des sources de danger :
-- décomposition de chaque source de danger pour chaque sous-système
en présence ;
-- détermination des processus de danger en présence dans chaque
sous-système.
3. Identification des scénarios de dangers, pour chaque sous-système en
présence, à l’appui des méthodologies disponibles (AMDE, arborescences).
4. Évaluation des scénarios de danger, à l’appui de la critérisation gravité/
occurrence.
5. Détermination des moyens de protection et de prévention, à l’appui de
barrières technologiques (statique : un capot de protection), dynamique
(soupape de sécurité) ou de barrières d’utilisation (nécessitant une
intervention humaine : action manuelle, protection individuelle de l’acteur
sur site, etc.).
6. Identification des risques de dysfonctionnements opératoires ou
techniques (à l’appui également des démarches AMDEC, HAZOP).
Cette démarche permet de modéliser la multitude de risques techniques

susceptibles de générer des impacts significatifs en environnement
industriel. Nous invitons le lecteur curieux, de profil technique ou
ingénierie, à approfondir les dispositifs en détail, l’objet de notre ouvrage
157
se limitant à sensibiliser aux enjeux opérationnels de toutes les entreprises,

et pas uniquement ceux relatifs aux enjeux industriels.
Les méthodes MADS et MOSAR s’inscrivent dans une démarche structurée

de l’appréhension du risque industriel. Elles nécessitent une lecture
technique poussée des installations et des systèmes en présence et
s’appuient très souvent sur les compétences techniques et en ingénierie
de ses utilisateurs.
Des méthodes statistiques poussées

Au-delà des méthodes décrites, il existe également de nombreuses
démarches méthodologiques dont les fondamentaux se basent sur
les modèles statistiques d’occurrence des événements et les calculs
complexes de probabilité.
Nous citerons simplement pour mémoire les démarches suivantes,

susceptibles d’être un jour portées à votre intérêt :
-- les simulations dites de Monte-Carlo ;
-- le réseau de Petri (RdP).
Ces méthodes reposent sur des modélisations statistiques poussées

dans une démarche non plus qualitative, mais quantitative du risque.
Elles consistent, pour l’essentiel, à modéliser les comportements des
événements – et donc la probabilité d’occurrence des risques – à l’appui
de la mise en oeuvre de processus stochastiques.
Fondamentalement, l’appréhension des risques repose sur des enjeux

sécuritaires (visant à réduire la fréquence d’occurrence des événements
de risques), mais aussi sur des enjeux de disponibilités des outils et des
méthodes industrielles, appelant, quant à eux, une lecture plus fréquente
des événements. C’est plutôt dans ce contexte que les démarches
probabilistes trouvent tout leur sens.
Historiquement bâties sur la théorie du hasard et des jeux, les simulations

de Monte-Carlo reposent sur les lois de probabilité décrivant les fonctions
aléatoires d’événements et appuyées par les lois exponentielles, la théorie
158
de l’incertitude, etc. Il n’est pas dans notre volonté d’approfondir ces

démarches, trop mathématiques et conceptuelles à notre goût.
Néanmoins, vous pourrez peut-être être amené un jour à devoir utiliser les
théories statistiques portées par ces méthodes dans la modélisation de
vos risques. Si tel est le cas, et si vous n’êtes pas matheux, bon courage !
Comme vous l’avez vu, les méthodes et les référentiels ne manquent pas
si vous souhaitez un jour explorer les démarches de maîtrise des risques
industriels. Il vous appartiendra, par la suite, de déterminer la démarche
que sera la mieux à même de répondre à vos contraintes et à vos besoins.
159
Chapitre 3
Environnement, hygiène, sécurité
Un autre niveau de lecture et d’analyse du risque industriel consiste

à déployer une démarche destinée à détecter et respecter toutes les
exigences relatives aux contraintes d’environnement, d’hygiène et de
sécurité. L’objectif de cette démarche vise à considérer le risque industriel
à travers le prisme des enjeux réglementaires et sécuritaires existants, et
d’en déduire une politique de risques industriels répondant simplement
mais fondamentalement à l’exigence de pérennisation de l’acteur dans le
système, qu’il soit interne et externe, endogène ou exogène à l’entreprise,
à la lumière des enjeux réglementaires à respecter.
La démarche consiste donc à collecter puis compiler l’intégralité des

exigences réglementaires présentes au titre des quatre niveaux de lecture
à prendre en compte dans toute démarche industrielle :
-- La sécurité de l’homme dans le système entreprise : rédaction
et actualisation du Document Unique d’identification des risques
professionnels en présence, sécurisation des pratiques « métier » et des
personnels sur le lieu de travail, respect des obligations et des usages au
titre des obligations sécuritaires de l’employeur.
-- La préservation de l’environnement et la limitation de l’impact
environnemental des activités de l’entreprise : gestion traitement des
déchets, consommation responsable, maîtrise des enjeux de pollution
subie ou causée à l’environnement, bilan carbone, responsabilité sociale
et environnementale de l’entité, etc.
161
-- La mise en sécurité des actifs, des procédés, des méthodes et des

démarches opérationnelles et industrielles de l’entreprise.
-- La mise en sécurité des pratiques « métier ».
L’avantage de cette démarche réside pour l’essentiel d’appuyer toute

action sur la base du corpus légal applicable existant. L’entreprise
s’approprie le cadre réglementaire exigé et l’applique simplement, ni plus,
ni moins. Si la législation est laxiste sur certaines dimensions ou enjeux
de risques, l’entreprise décide – ou non – d’enrichir sa propre lecture de
l’exigence.
De nombreuses entreprises industrielles limitent ainsi leur lecture des

risques industriels à ceux identifiés par les instances au titre des enjeux et
obligations réglementaires, et se limitent à cette lecture. Cette démarche
constitue un bon début de prise de conscience, mais apparaît souvent trop
limitée à circonscrire la réalité des enjeux industriels et opérationnels à
conduire, au-delà des effets recherchés.
L’entreprise peut appréhender ses risques industriels à travers l’échelle

initiale des exigences réglementaires au titre des enjeux environnement,
hygiène et sécurité tels que précisés par les instances réglementaires en
présence. Cela peut constituer un bon point d’entrée de l’enjeu, mais il
apparaît souvent trop limité compte tenu du dimensionnement réel de la
problématique à considérer dans la réalité.
162
Chapitre 4
Protection des personnes et des biens
Avec humilité, lucidité et pragmatisme, il peut tomber sous le sens

de considérer que toute démarche de maîtrise des risques industriels
d’une entreprise s’articule autour de deux nécessités différentes et
complémentaires :
-- assurer la sécurité des personnes ;
-- assurer la sécurité des biens.
Ce double axe de questionnement permet de considérer le risque industriel

selon une approche relativement pragmatique : explorer les fragilités des
systèmes opérationnels industriels en présence, en fonction des acteurs et
des actifs qui les composent.
La démarche que nous proposons, complémentaire aux précédentes,

s’appuie sur un questionnement finalement assez simple, mais dont
l’exhaustivité permet d’identifier au mieux les principaux enjeux industriels
à couvrir.
Le risque industriel peut également être appréhendé à l’appui d’un double

questionnement simpliste mais perspicace : quelles sont les personnes
exposées ? Quels sont les actifs exposés ? Et, à quoi ?
163
Sécurité des personnes

Identifier et traiter le risque industriel à partir de ce premier axe consiste
pour l’essentiel à réaliser trois actions différentes et complémentaires :
1. Quelles les personnes susceptibles d’être exposées aux risques
industriels au sein d’un système industriel, quel qu’il soit ?
2. Quelles sont les activités desdites personnes concernées, susceptibles
d’engendrer la concrétisation éventuelle d’un risque industriel ?
3. Quels sont les risques industriels susceptibles de porter atteinte à ces
personnes ?
Chacune de ces questions doit être traitée pour chaque système industriel
mis en oeuvre. On entend par système industriel l’ensemble des actifs et
des activités déployés pour la réalisation d’une tâche ou d’un procédé
industriel.
La première étape consiste donc à identifier, de manière exhaustive,

l’intégralité des personnes physiques susceptibles d’être exposées
aux risques industriels. Cette phase se réalise par nature d’acteurs au
sein du système industriel. Cet inventaire des acteurs doit être réalisé
méthodiquement, sans exclusive ni omission. L’objectif ne consiste pas
à surreprésenter une typologie de personnes ou de fonctions, ni à en
omettre une.
Voici un exemple de type d’acteurs, par nature, pour une chaîne de

conditionnement, lors de la réalisation de cette phase d’inventaire :
-- techniciens opérateurs sur la chaîne de conditionnement proprement
dite (les salariés qui travaillent physiquement sur la chaîne de
conditionnement) ;
-- techniciens opérateurs des pupitres de pilotage et de commande des
équipements (les salariés qui travaillent physiquement à proximité de la
chaîne, sur les consoles de pilotage, de paramétrage) ;
-- techniciens opérateurs qui procèdent à l’approvisionnement amont
de la chaîne de conditionnement (sourcing de la chaîne considérée, à
alimentation manuelle ou automatique) ;
-- techniciens opérateurs qui procèdent à la gestion des éléments de sortie
de la chaîne de conditionnement (salariés figurant en aval de la chaîne :
colisage, palettisation, logistique par exemple) ;
164
PROTECTION DES PERSONNES ET DES BIENS
-- techniciens qualité qui procèdent à des prélèvements ou des actions de

contrôle sur la chaîne de conditionnement ;
-- visiteurs externes susceptibles de se trouver à proximité de la chaîne
de conditionnement (client, fournisseurs, médias, jeunes en formation,
etc.…) ;
-- encadrement des acteurs précédents susceptibles de réaliser des visites
de contrôle ou de pilotage ;
-- acteurs de maintenance ou d’entretien de la chaîne de conditionnement
(fabricant, mainteneur professionnel) ;
-- acteurs de maintenance des flux adossés à la chaîne de conditionnement
(énergie, climatisation, froid, électricité, etc.) ;
-- voisins dont la maison est située à moins de 100 m de la chaîne de
conditionnement ;
-- public passant à proximité de la chaîne de conditionnement (voirie) ;
-- etc.
Identifier chaque acteur susceptible d’être un jour exposé à un risque

industriel, et ce pour chacun des systèmes industriels présents au sein de
l’organisation.
165
À l’issue de cet inventaire des personnes physiques susceptibles d’être un

jour exposées en cas de survenance d’un risque industriel, il va ensuite
être nécessaire d’identifier les tâches élémentaires réalisées par chaque
personne sur ou à proximité du système industriel considéré.
Ainsi, il convient de décomposer l’intégralité des modes opératoires de

chaque acteur potentiellement exposé. Cette décomposition peut être
extrêmement complexe (multitude et complexité des actions réalisées par
la personne considérée) ou totalement restreinte (déplacement physique
uniquement à proximité de la chaîne de conditionnement). Par exemple,
dans le cas précédent :
Techniciens opérateurs réalisant l’approvisionnement de la chaîne de

conditionnement :
P1 : Chercher les caisses plastiques sur lesquelles sont positionnés les
produits finis destinés au conditionnement. Chaque caisse est déposée
sur des racks de stockage, situés à 5 m de la chaîne de conditionnement.
P2 : Prélever une caisse plastique et la positionner sur la table placée à
l’amorce de la chaîne.
P3 : Sortir les produits finis trois par trois et les installer sur le tapis roulant,
d’une manière précise (positionnement, espacement, etc.).
P4 : Lorsque la caisse est vide, dépose de la caisse sur un rack prévu à cet
effet, etc.
Au-delà de cet exemple trivial, il est important d’identifier les modes

opératoires réalisés par l’acteur au contact du système industriel considéré.
À l’issue de cette action de décomposition des tâches par acteur, la dernière

étape consiste à identifier les multiples risques susceptibles d’exposer le
salarié considéré. Dans le cas présent, les risques peuvent être identifiés
de la manière suivante, par processus, par exemple pour le processus P1
du cas volontairement trivial précédent :
Risques :
-- renversement du rack de stockage sur le salarié ;
-- renversement d’une caisse plastique à la sortie du rack de stockage,
blessant le salarié ;
-- erreur de manipulation lors de la saisie d’une caisse plastique,
engendrant une perte ou une dégradation des produits finis ;
166
-- erreur de manipulation lors de la saisie d’une étagère du rack de

stockage ;
-- chute d’une caisse plastique à la suite d’une mauvaise préhension ;
-- mauvais conditionnement unitaire du produit final occasionnant une
blessure à l’opérateur ;
-- défaut du produit final impactant le salarié (défaut intrinsèque du
produit fini) ;
-- défaut de la caisse plastique entraînant une blessure de l’opérateur ;
-- défaut du rack engendrant une blessure ;
-- perte de lumière, empêchant le salarié de poursuivre son action ;
-- inondation du site où se trouve le salarié lors du processus P1 ;
-- dégradation de l’environnement où se trouve le salarié lors du processus
P1 : fumée, incendie, défaillance électrique, etc. ;
-- chaleur ou froid excessif sur le site où se trouve le salarié lors du
processus P1 ;
-- etc.
L’identification des risques, par mode opératoire et par salarié, sera

donc relativement longue. Mais il sera utile à considérer, notamment
pour identifier les personnes susceptibles d’être un jour affectées par
l’émergence d’un risque industriel, et qui ne seraient pas identifiées
« spontanément » soit par leur caractère atypique, soit par leur petit
nombre (par exemple : salariés intérimaires ou sous-traitance procédant au
nettoyage d’une chaîne en dehors des heures habituelles d’intervention ;
mainteneur informatique réseau à proximité des équipements productifs ;
usagers à mobilité réduite ; personnels handicapés non prévus sur la
chaîne de production, etc.).
Identifier l’intégralité des acteurs présents à proximité de chaque

système industriel. Inventorier les modes opératoires réalisés et leurs
risques associés. Une grande vigilance est à observer notamment pour
les personnes présentant un profil atypique (présence d’un handicap,
difficulté de mobilité, corpulence, taille hors norme, etc.).
Classiquement, la lecture des risques relatifs à la sécurité des personnes

dans le cadre de leur activité professionnelle sera réalisée à l’appui de la
rédaction du Document Unique.
167
Document unique
Le DUER (Document Unique d’Évaluation des Risques) traduit dans la
législation française l’obligation faite à tout employeur d’évaluer les
risques pouvant nuire à la sécurité du travail du salarié. Ce document
structuré s’articule autour de plusieurs obligations :
-- lister et hiérarchiser les risques en présence pour le salarié ;
-- mettre en place des plans d’action visant, à travers différentes
préconisations, à réduire voire supprimer les risques identifiés ;
-- réaliser une réévaluation des risques en présence, a minima tous les ans.
L’absence de ce Document Unique peut être lourde de sens en cas de

contrôle de l’inspection du Travail. En cas de maladie professionnelle
ou d’accident du travail, la responsabilité civile de l’employeur peut être
engagée si la faute inexcusable est retenue.
Au-delà des dimensions réglementaires et obligatoires attachées à ce type

de document, il peut être judicieux de considérer le DU comme un vecteur
essentiel de la politique de mise en sécurité des salariés sur le lieu de
travail, au titre de la sécurité individuelle des personnes.
En effet, pour chaque poste de travail dans l’entreprise, l’employeur est

tenu d’identifier, à l’appui de ce Document Unique :
-- les dangers en présence ;
-- les risques en présence ;
-- les conséquences des risques identifiés, en cas de survenance ;
-- les causes de survenance des risques ;
-- l’estimation de la gravité des risques, en cas de survenance ;
-- l’estimation de la fréquence d’occurrence des enjeux en présence ;
-- les mesures de prévention déployées par l’employeur.
Pour chacun des postes de travail en présence dans l’entreprise, de

multiples risques sont susceptibles d’être identifiés. Par exemple, et pour
un acteur :
-- risque routier, risque lié à l’utilisation d’un téléphone portable : accident ;
168
-- pollution urbaine et gaz d’échappements ;

-- agressions physiques et verbales ;
-- station assise prolongée, contraintes de circulation du sang ;
-- chute de hauteur, chute de plain-pied (neige, verglas) ;
-- travail sur écran en permanence ;
-- gestes répétitifs lors de la frappe sur le clavier ;
-- manutention de dossiers pour consultation, mise à jour, archivage ;
-- pression des clients ;
-- bruit du téléphone ;
-- nuisances organisationnelles ;
-- risque incendie ;
-- travail en périodes de fortes chaleurs ;
-- harcèlement moral, harcèlement sexuel ;
-- bruit des moteurs, des équipements, des outils, des machines utilisées
ou à proximité ;
-- produits gras, salissants, odeurs incommodantes ;
-- lombalgies en cas d’efforts ;
-- projection de corps étrangers dans les yeux (chaîne de production) ;
-- port de charges (pièces détachées, outils, fournitures) ;
-- etc.
Face à ces différents risques typiques en fonction productive ou

administrative des Documents Uniques, les actions de préventions
suivantes peuvent être envisagées ou déployées, sous la responsabilité de
l’employeur :
-- respect de la réglementation des temps de conduite et des temps de
repos (avec archivage des disques de chrono-tachygraphe ou utilisation
d’outils numériques de collecte de données) ;
-- ergonomie du poste de conduite (siège adapté réglable, protection
éventuelle contre les agressions…) ;
-- entretien mécanique, pneumatique, électronique du véhicule ;
169
-- visites médicales périodiques, examens approfondis des parties

sensibles exposées (yeux) ;
-- comportement adapté aux agressions verbales (formation,
sensibilisation) ;
-- écran d’ordinateur de bonne qualité, antireflet, nettoyé régulièrement ;
-- organisation du temps de travail préservant les salariés ;
-- suppression du tabagisme passif (en cohérence avec la loi sur le tabac) ;
-- gestion des pauses et alternance des tâches (polyvalence des activités
pour réduire la redondance) ;
-- affichage de consignes concernant le harcèlement moral (formation,
sensibilisation) ;
-- rappeler les postures à adopter devant son écran ou sur son poste de
travail ;
-- protections individuelles de sécurité (gants, casques, masques,
chaussures, tenues, etc.) ;
-- aération et ventilation du local, chauffage et éclairage suffisants ;
-- produits dangereux étiquetés et stockés dans des endroits dédiés et
sécurisés le cas échéant ;
-- outils en bon état et adaptés à la tâche ; non détournement des usages
ou des utilisations ;
-- extincteur à proximité des postes sensibles et/ou des équipes ;
-- connaissance de la signalisation de sécurité et des symboles spécifiques
des produits sensibles ou dangereux ;
-- interdiction de boire, de manger et de fumer sur le lieu de travail ;
-- consignes de sécurité et procédures d’évacuation affichées ;
-- mise à la terre des appareils électriques, prises de courant protégées,
infrastructure respectant les normes sécuritaires ;
-- réduction du bruit à la source, port de protection individuelle ;
-- réseau électrique aux normes et régulièrement contrôlé ;
-- maîtrise des déchets, processus de traitement et de recyclage ;
-- évacuation adaptée des gaz, des fumées, des vapeurs, des flux risqués ;
-- etc.
170
Au-delà de la dimension réglementaire sous-jacente à la documentation

et au maintien des DUER, force est de constater que le Document Unique a
malheureusement été très souvent mal compris ou mal utilisé. Beaucoup
de dirigeants ont considéré cet exercice de style réglementaire comme
« l’exercice ultime du risque », car directement lié à la sécurité des salariés
sur le lieu de travail.
Une certaine « mécanisation » de la démarche a d’ailleurs été observée,

certains prestataires proposant des DUER clés en mains, pré-remplis !
Cela constitue une hérésie absolue, chaque poste de travail, chaque
environnement étant spécifique. Les DUER le seront également, par la
force des choses.
Or, la notion de risque en entreprise, et plus particulièrement des risques

opérationnels, s’inscrit dans un périmètre immensément plus vaste que
celui proposé par la lecture de l’exigence du Document Unique, auquel de
nombreuses entreprises se réfèrent comme stratégie unique de gestion
des risques.
Autant le Document Unique peut constituer une porte d’entrée opportune

pour aborder l’enjeu du risque et de la sécurité des personnes sur le lieu
de travail, autant cette démarche ne saurait, à elle seule, consolider la
pérennité d’une organisation. L’enjeu à considérer est bien plus vaste, à
commencer par la problématique portée des risques opérationnels.
Nous attirons donc votre attention sur le fait de ne pas limiter votre
réflexion sur les risques au prisme du Document Unique, bien au contraire.
Car, même si vous êtes peut-être en règle avec la législation du travail en
vigueur, le réveil pourrait être beaucoup plus rude que vous ne l’imaginiez !
Les risques associés à la sécurité des personnes ne se cantonneront pas

à l’inventaire parfois limité d’un Document Unique. Soyons-en tous bien
conscients.
Le Document Unique ne constitue pas la panacée de l’évaluation des

risques en entreprise. Bien que réglementaire, il constitue une porte
d’entrée pertinente à l’enjeu de la sécurisation des personnes sur le lieu
de travail, mais il ne saurait réduire l’exposition aux risques de l’entreprise
à des problématiques exclusivement orientées « facteurs humains ».
171
Élaborez avec la plus grande vigilance votre Document Unique. À l’opposé

des solutions toutes faites, l’identification des risques professionnels
résulte d’une lecture approfondie des modes opératoires des cycles
d’activité de l’organisation.
De la sécurité des biens

La seconde lecture à effectuer, complémentaire à la précédente, s’articule
autour de l’identification exhaustive des actifs présents au sein d’un
système industriel. De la même manière, il convient de procéder à une
démarche en trois étapes distinctes :
1. Identification de la liste des actifs en présence au titre du système
industriel considéré : équipements, machines, outils, consommables,
pièces, outils manuels, etc.
2. Détermination, par mode opératoire, de l’usage de chaque actif (quelle
machine est utilisée quand, et pourquoi).
3. Identification des processus industriels d’utilisation des actifs (séquence
des actions réalisées à l’appui de l’actif considéré) et des risques associés,
par actif.
De la même manière que pour la sécurité des personnes, la sécurité

des biens doit être maîtrisée dans le cadre du risque opérationnel en
identifiant, pour chaque actif, les risques susceptibles de remettre en cause
la pérennité de l’actif proprement dit. Cette remise en cause de l’intégrité
de l’actif se réalise bien évidemment à l’appui d’une classification efficace
des actifs, selon la démarche présentée précédemment.
Complémentaires aux démarches dédiées à la sécurité des personnes,

la mise en sécurité des biens – donc des actifs de l’entreprise – doit faire
partie intégrante de toute démarche de maîtrise des risques opérationnels
et, plus particulièrement, des risques industriels.
Ainsi, pour chaque actif (ou bien) déterminé, il y a lieu d’identifier les
risques susceptibles de remettre en cause l’utilisation normale du bien,
que cette cause soit endogène ou exogène à l’actif lui-même. Prenons
l’exemple d’une machine-outil :
-- détérioration de l’actif par cause externe : incendie ;
172
-- détérioration de l’actif par cause externe : inondation ;

-- détérioration de l’actif par cause externe : choc ;
-- détérioration de l’actif par cause externe : explosion ;
-- détérioration de l’actif par cause interne : dysfonctionnement interne
(corrosion, implosion) ;
-- détérioration de l’actif par cause externe : mauvaise manipulation par
l’opérateur ;
-- détérioration de l’actif par cause externe : défaut du produit (intégration,
séquence de production, etc.) ;
-- détérioration de l’actif suite à mauvaise opération ou cycle de
maintenance ;
-- détérioration de l’actif suite à absence de maintenance ;
-- détérioration de l’actif suite à obsolescence, usure ou casse d’un
composant contributif ;
-- détérioration de l’actif suite à un acte malveillant ;
-- détérioration de l’actif suite à un déficit de flux (huile, eau, air, carburant,
liquide spécifique) ;
-- détérioration de l’actif suite à un excès de flux non prévu (eau, matière
première, etc.).
Bref, l’identification des risques associés à un actif peut être extrêmement

longue. Ou alors, très simple, lorsqu’il s’agit d’un outil. Là encore, la
classification des actifs permettra de déterminer les biens pour lesquels
une lecture prioritaire et attentive sera nécessaire. La granularité de
l’identification des risques associés à un bien utilisé au sein d’un procédé
industriel résulte intimement de la criticité de l’actif lui-même.
Au final, la lecture « sécurité des personnes » puis « sécurité des biens »

permet une approche complémentaire de l’identification des risques
industriels, par systèmes industriels. Bien évidemment, il conviendra de
découper l’organisation en systèmes industriels distincts et cohérents,
puis d’affiner la lecture des procédés mis en oeuvre à l’appui des processus,
procédures et modes opératoires déployés.
Un travail de longue haleine, particulièrement délicat dans toute

organisation industrielle. Le risque industriel ne doit souffrir d’aucune
173
approximation ou omission, compte tenu des risques en présence lors

d’une activité de production ou de transformation, quelle qu’elle soit.
174
Chapitre 5
Risque environnemental
et risque image
Intimement lié aux enjeux industriels, le risque environnemental et

le risque image de l’organisation s’inscrivent en filigrane dans toute
perspective de maîtrise des enjeux industriels. Les derniers exemples
récents de catastrophes industrielles positivement ou négativement
gérées, rappellent à tous que l’entreprise, quelles que soient sa taille, son
activité ou son histoire, doit impérativement, et de plus en plus, maîtriser
son impact sur l’environnement et stabiliser au quotidien, au fil de l’eau,
son image institutionnelle.
La concrétisation d’un risque industriel, quel qu’il soit, expose d’autant

plus l’entreprise considérée à ces deux enjeux désormais majeurs pour
nos sociétés modernes.
Tout le monde se souvient de l’impact extrêmement négatif de l’explosion

de la plateforme Deepwater Horizon, dans le golfe du Mexique, pour le
Groupe BP, ses partenaires et ses sous-traitants concernés. Chacun d’entre
nous a en mémoire la tempête médiatique qui se déchaîna à l’encontre de
l’une des plus anciennes sociétés pétrolières du monde. Le coût du risque
de ce dommage majeur à l’environnement demeure encore incertain
(quarante milliards ? Cinquante milliards de dollars ?), et l’on ne mesure
plus la perte économique et financière du groupe lorsque cette plateforme
explosa.
Le dommage environnemental constitue désormais un risque majeur

que toute entreprise doit appréhender et maîtriser au mieux, et plus
particulièrement toutes les entreprises présentant des enjeux industriels
175
dans le cadre des cycles d’exploitation. Fabriquer, transformer, livrer,

stocker peut engendrer de sévères impacts à l’environnement. Il convient
dès lors, pour chaque entreprise concernée, de considérer le risque
environnemental à l’unisson du risque industriel.
Le risque environnemental est à considérer tout comme les dispositifs de

maîtrise des risques industriels, compte tenu de l’enjeu sociétal qui lui est
lié, désormais non négligeable.
Divers référentiels normatifs permettent aujourd’hui de maîtriser au

mieux les contextes et impacts environnementaux de l’entreprise au titre
de ces processus opérationnels. Cette démarche de maîtrise du risque
environnemental par rapport aux risques industriels doit être comprise
tant concernant les risques environnementaux causés que subis par
l’entreprise. Exemple : la pollution d’une rivière, suite au déversement
d’un déchet toxique émanant d’un processus industriel, constitue une
atteinte à l’environnement.
Mais la contamination de ses propres stocks de produits finis suite à un

dégagement chimique d’un hangar voisin au vôtre constitue également
une préoccupation environnementale à maîtriser.
Les normes ISO proposent dans le cadre de leurs dispositifs des standards
dédiés aux risques environnementaux. Sachez les adopter le cas échéant :
ils peuvent constituer une base pertinente de réflexion, notamment lors
de la phase des risques environnementaux en présence.
Afin de détecter au mieux les enjeux environnementaux, ne pas négliger

de consulter l’intégralité des éléments documentaires et réglementaires
mis à la disposition des entreprises par les instances officielles et des
collectivités locales et territoriales présentes : mairies, communauté
d’agglomération, syndicats des Eaux et Forêts, ministère de l’Écologie,
du Développement durable et de l’Énergie, directions spécialisées dans
l’environnement, écologistes, etc.
Le risque environnemental n’est pas à négliger, vous l’aurez compris. Autant

l’intégrer par défaut à toute réflexion relative aux risques industriels, par
souci d’efficacité et de pérennité.
176
RISQUE ENVIRONNEMENTAL ET RISQUE IMAGE
Du risque image
Lorsque l’entreprise met en oeuvre des processus industriels, le risque
image ou de réputation de l’organisation s’en trouve décuplé. Car la
sensibilité de la sphère publique (et de la collectivité en général) se
rapportant aux processus industriels susceptibles de créer des risques
pour les biens, les personnes et l’environnement, est particulièrement
avérée.
Bien évidemment, tout risque industriel nuisant à la santé ou à la salubrité

publique impactera de manière significative l’image de l’entreprise
responsable du dommage. Qu’il s’agisse d’une pollution environnementale
ou de la mise en danger de la vie d’autrui, la maîtrise de l’image s’appuie
notamment sur la maîtrise des processus industriels mis en oeuvre par
l’organisation.
Bien qu’intimement liée à la maîtrise des risques industriels, la question

de la maîtrise du risque d’image relève d’une classe de risques particulière,
que nous vous invitons à traiter de manière dédiée. Nous invitons le lecteur
curieux à se référer aux publications relatives à cet enjeu d’importance,
mais que nous ne saurions considérer comme un risque opérationnel à
part entière.
L’image et/ou la réputation de l’organisation peut être significativement

impactée en cas de risque industriel concrétisé. Toutefois, il s’agit d’une
classe de risques particulière, qu’il convient de traiter de manière dédiée.
177
À retenir
• Le risque industriel apparaît dès que l’entreprise met en oeuvre
un modèle de production ou de transformation, quelle qu’en soit la
complexité.
• Il existe de nombreuses démarches méthodologiques dédiées à la

maîtrise des risques industriels : lequel correspond le mieux à votre
organisation ?
• La méthode APR constitue un prérequis méthodologique essentiel

dans toute démarche de maîtrise des risques industriels.
• La méthode HAZOP constitue un référentiel usuel en risques

industriels. Sa mise en oeuvre se fonde sur la décomposition du système
industriel en sous-systèmes.
• L’AMDEC constitue très souvent l’outil méthodologique essentiel en

gestion des risques.
• Il existe trois outils d’arborescence puissants et complémentaires :

l’arbre de défaillances, l’arbre des causes et l’arbre d’événements. À la
différence des arbres de défaillances et de causes, l’arbre d’événements
part en sens inverse : il débute de la cause pour aller vers les
conséquences.
• L’entreprise peut appréhender ses risques industriels à travers

le prisme initial des exigences réglementaires au titre des enjeux
Environnement, Hygiène, Sécurité. Cela peut constituer un bon point
d’entrée de l’enjeu, mais il apparaît souvent trop limité.
• Le risque industriel peut être appréhendé à l’appui d’un double

questionnement simpliste mais perspicace : quelles sont les personnes
exposées ? Quels sont les actifs exposés ? Et, à quoi ?
• Identifier l’intégralité des acteurs présents à proximité de chaque

système industriel. Inventorier les modes opératoires réalisés et leurs
risques associés.
178
RISQUE ENVIRONNEMENTAL ET RISQUE IMAGE
• Le Document Unique ne constitue pas la panacée de l’évaluation des

risques en entreprise. Il ne saurait réduire l’exposition aux risques de
l’entreprise à des problématiques exclusivement orientées « facteurs
humains » et sécurité physique des acteurs.
• Élaborez avec la plus grande vigilance votre Document Unique.

À l’opposé des solutions toutes faites, l’identification des risques
professionnels résulte d’une lecture fine des modes opératoires des
cycles d’activité de l’organisation.
• Complémentaire aux démarches dédiées à la sécurité des personnes,

la mise en sécurité des biens doit faire partie intégrante de toute
démarche de maîtrise des risques industriels.
• Le risque environnemental est à considérer en même temps que les

dispositifs de maîtrise des risques industriels, compte tenu de l’enjeu
sociétal lié, désormais non négligeable.
• L’image et/ou la réputation de l’organisation peut être

significativement impactée en cas de risque industriel concrétisé.
Toutefois, il s’agit d’une classe de risques particulière, qu’il convient de
traiter de manière dédiée.
179
Partie 4
RISQUES JURIDIQUES,
INFORMATIQUES, SOCIAUX :
DES ENJEUX OPÉRATIONNELS
CRITIQUES À NE PAS NÉGLIGER
Introduction
« On ne veut pas, c’est le motif, on ne peut pas, c’est le prétexte. »

Sénèque
Nous pourrions limiter l’appréhension des risques opérationnels aux

enjeux définis précédemment, en s’attachant à une définition restreinte de
la problématique. Ainsi, la réflexion sur les risques opérationnels pourrait
essentiellement se concentrer sur l’impérieuse nécessité de sécuriser les
personnes et les biens dans le cadre de la réalisation de l’objet social de
l’organisation.
Cette conception limitative de la notion de risques opérationnels pourrait

donc nous conduire à dédier toute action de maîtrise desdits risques aux
menaces associées aux cycles d’exploitation de l’entreprise, avec impact
direct ou indirect pour le client, dans une réflexion purement sécuritaire
des personnes et des biens. Une démarche de cette nature conduit à
considérer les risques opérationnels uniquement sous le prisme des
enjeux associés, de près ou de loin, et pour simplifier, aux problématiques
EHS (Environnement, Hygiène, Sécurité) des acteurs et des actifs de
l’entreprise.
Cette considération est tout à fait légitime. Elle peut prendre ainsi tout
son sens lorsqu’on considère, par exemple, une entreprise dédiée à
la transformation ou à la production d’un produit ou d’un bien. Toute
activité industrielle peut, légitimement, restreindre le spectre des risques
opérationnels aux problématiques industrielles, éventuellement élargies
aux questions environnementales. Mettre en oeuvre des processus
183
industriels engendre tellement de risques quotidiens que réduire les

risques opérationnels aux enjeux d’exploitation au jour le jour peut se
justifier pleinement.
Or, cette lecture peut s’avérer parfois contre-productive car il existe

trois grands thèmes d’intérêt qu’il convient de ne pas négliger. Bien au
contraire. Et même s’ils n’apparaissent pas directement liés aux questions
de sécurité des personnes et des biens. Quoi que...
Quelle que soit son activité, toute organisation va mobiliser une multitude
de ressources variées, et nourrir ainsi, au cours de ses cycles d’exploitation,
de très nombreux risques susceptibles de remettre en cause sa pérennité.
Et ce, dans le cadre de ses activités opérationnelles, même si celles-ci ne
concernent pas directement une problématique client immédiate.
Il s’agit de trois familles de risques que nous vous proposons de considérer

comme faisant partie intégrante des risques opérationnels, compte tenu
de leur criticité, mais aussi de leur récurrence. Car elles concernent toutes
les entreprises et présentent une véritable exposition opérationnelle que
nous vous invitons à explorer maintenant.
Les trois enjeux que nous vous conseillons de considérer de manière

complémentaire à toute démarche dédiée aux risques opérationnels
concernent les périmètres suivants :
-- les risques juridiques ;
-- les risques informatiques ;
-- les risques sociaux et psychosociaux, que nous considérerons sous le
terme synthétique de « facteurs humains ».
Pourquoi considérer ces trois enjeux comme intimement liés à la

problématique des risques opérationnels ?
Reprenons notre définition d’un risque opérationnel, énoncée en

partie 2 de cet ouvrage :
Un risque opérationnel est un risque susceptible d’engendrer un
dommage, une perte ou un coût pour l’organisation lors de la réalisation
de ses cycles d’exploitation, de manière directe ou indirecte, subie ou
causée, à court ou long terme, ou dont le client ressentira les effets
induits à plus ou moins longue échéance.
184
INTRODUCTION
Force est de constater que nos trois enjeux répondent tous positivement, et
potentiellement, à cette définition. Ainsi, et par exemple, l’indisponibilité
temporaire d’un serveur hébergeant un Intranet dans lequel sont logées,
par exemple, des procédures opérationnelles ou des connaissances,
peut rendre impossible la capacité à répondre à une sollicitation client.
Également, et toujours par l’exemple, le débrayage d’une plateforme
téléphonique réalisant les activités de service après-vente auprès de la
clientèle peut durement impacter l’image d’une organisation. Enfin, la
mise en cause de la responsabilité pénale d’un dirigeant peut, là encore,
dégrader significativement la confiance d’un client envers l’entreprise.
Autant d’enjeux diversifiés susceptibles d’engendrer un dommage ou une
perte à l’entreprise , même si leur concrétisation n’est pas totalement
intégrée à l’un des cycles d’exploitation de la société.
La notion de risque opérationnel consolide ainsi la diversité de sa texture.

Notre inquiétude initiale semble se confirmer : tous les risques sont
des risques opérationnels en puissance ! Néanmoins, nous limiterons
notre propos à ces trois familles d’enjeux, directement liées aux cycles
d’exploitation de l’organisation et qu’il conviendra de ne pas négliger.
Les risques informatiques, les risques juridiques et les risques associés aux
facteurs humains sont à considérer comme partie prenante des risques
opérationnels de l’entreprise. Donc, comme des risques opérationnels à
part entière.
Explorons maintenant chacun de ces trois périmètres opérationnels riches

de sens pour les entreprises.
185
Chapitre 1
Risques juridiques
La pénalisation croissante du monde des affaires, l’émergence de plus

en plus marquée de litiges juridiques d’importance engageant des
multinationales et la complexité accrue du paysage juridique et judiciaire
provoque pour l’entreprise une exposition de plus en plus importante à
une multitude de risques juridiques.
Ces risques juridiques sont à considérer aujourd’hui comme de véritables

risques opérationnels, car ils peuvent mettre à mal l’organisation, de
manière directe ou indirecte, compte tenu de leur diversité, de leur
187
complexité et de leur caractère intrinsèquement considéré comme « non

opérationnel » pour la plupart des acteurs d’entreprise.
Pour beaucoup en effet, la question juridique ou la question de droit fait

partie du domaine de jeu, du terrain dédié à certains experts, avocats,
conseils et autres spécialistes du droit, que le dirigeant ou le cadre
d’entreprise souhaite éviter au maximum. Compte tenu de la difficulté
associée à la maîtrise des lois, des décrets et autres règlements en
présence, l’acteur d’entreprise souhaite, la plupart du temps, sous-
traiter cette question du respect du droit et orienter son temps et ses
préoccupations vers d’autres sujets.
Or, la question du risque juridique se pose désormais avec la plus grande

vigilance, compte tenu justement du contexte dans lequel nous évoluons.
Plus que jamais, la question et la maîtrise du cadre juridique des activités
de l’entreprise, les moyens de contractualiser les relations professionnelles
de la meilleure manière et l’obligation de sécuriser juridiquement actions,
relations et comportements individuels, s’impose à tous et à chacun.
Il nous semble ainsi primordial de ne pas négliger cette thématique

susceptible d’engendrer une multitude de risques plus opérationnels les
uns que les autres, comme nous le verrons ci-après.
De la notion de risque juridique

La notion de risque juridique peut apparaître assez floue au non initié.
Fondamentalement, un risque juridique constitue un risque susceptible
d’impacter financièrement l’entreprise, directement ou non, à la suite
de l’utilisation, l’application ou l’adoption inadaptée d’un ou plusieurs
éléments contractuels ou comportementaux susceptibles d’être régis par
la doctrine juridique et/ou les us et coutumes en vigueur.
La notion de risque juridique peut donc être assez souvent associée à la

problématique de la conformité des activités de l’organisation et de ses
acteurs. La question posée face au risque juridique consiste à s’interroger
simplement : avons-nous le droit de faire ou d’écrire telle ou telle action ?
La loi nous y autorise-t-elle ?
188
RISQUES JURIDIQUES
Le risque juridique existe à partir du moment ou une action, un écrit et/

ou un comportement apparaît inadapté à la loi ou aux usages sociétaux
en vigueur.
Cette notion du risque juridique introduit donc une multitude de risques

dont le périmètre est extrêmement vaste. Cette boîte de Pandore du risque
constitue donc un enjeu totalement opérationnel à ne pas négliger, même
si sa relation avec les cycles d’exploitation de l’entreprise peut sembler, à
première vue, assez éloignée des centres d’intérêt essentiels portés par les
Du droit des contrats

La première démarche que nous vous invitons à considérer dans toute
réflexion associée au risque juridique consiste, une nouvelle fois, à mesurer
de manière pragmatique l’enjeu. Comment appréhender de la manière la
plus pertinente la problématique en question ?
Tout simplement, en s’interrogeant sur les deux vecteurs factuels dont

nous disposerons tout au long de notre questionnement : les écrits et les
textes disponibles.
L’un des premiers axes de travail à considérer lorsqu’on souhaite traiter

lucidement la question du risque juridique en tant que risque opérationnel
majeur pour l’entreprise consiste, une nouvelle fois, à réaliser un inventaire.
De la même manière que pour l’identification des actifs (cf. partie 2), nous
vous invitons à réaliser un véritable droit d’inventaire, afin de cerner et
d’identifier au mieux les problématiques à considérer.
Logiquement, et cela constitue l’étape essentielle à engager, l’entreprise

a contractualisé avec beaucoup de monde ! À partir du moment où
l’entreprise débute son activité, son dirigeant, ses cadres, ses acteurs
opérationnels vont passer leur temps à signer des documents. Il apparaît
donc judicieux de balayer l’intégralité des relations contractuelles entre
l’entreprise et le reste du monde, et d’analyser ce qui a été signé !
189
Parmi les principaux points d’intérêt que nous vous invitons à identifier et
analyser, voici la liste des sujets susceptibles d’attirer votre attention au
titre des risques opérationnels :
-- Qualité et intégrité des contrats commerciaux : les contrats que vous
signez, que vous avez signés ou que vous signerez avec vos clients sont-
ils « blindés »? Comportent-ils les clauses essentielles destinées à vous
protéger en cas de difficulté, de désaccord, de conflit ou de litige futur ? Les
conditions générales de vente ou de location intégrées dans vos contrats
sont-elles éligibles ? Toujours d’actualité ? Parmi les points d’intérêt, ne
pas négliger :
• l’existence et la capacité de mise en oeuvre des clauses de réserve de
propriété,
• l’existence et la capacité de mise en oeuvre des pénalités éventuelles,
• l’existence et la capacité de mise en oeuvre des clauses de résiliation
anticipée.
-- Qualité et intégrité des supports et contenus commerciaux, de toute

nature et de tous vecteurs : les documents que vous remettez au client
sont-ils solides? Légitimes ? En accord avec le droit applicable ? Vérifiez la
cohérence et l’exactitude de votre système documentaire à destination de
vos clients, et notamment :
• la qualité et la validité des supports de vente (flyers, plaquette,
affichage…),
• la qualité et l’intégrité des supports dédiés à l’exécution de la vente
(bon de commande, bon de livraison, rapport d’inspection, facture),
• la qualité et l’intégrité des contenus commerciaux transmis
aux clients ou aux prospects (proposition commerciale, devis,
courrier d’accompagnement, communication tous canaux). Soyez
particulièrement vigilant en cas d’usage industrialisé des outils et
contenus dématérialisés (newsletters, site Web, messagerie Twitter ou
Facebook, forum, chat, etc.).
-- Qualité et intégrité des contrats fournisseurs : en tant que client,

vérifiez que les clauses que vous vous apprêtez à accepter dans vos
contrats fournisseurs sont éligibles. Certaines clauses sont-elles abusives ?
L’équilibre des parties est-il respecté ? Notamment, interrogez-vous sur :
• le lieu du tribunal susceptible d’être engagé en cas de litige (frais de
représentation, de déplacement géographique, de connaissance des
parties en présence),
190
RISQUES JURIDIQUES
• les clauses de résiliation, de reconduction éventuelle,

• les moyens et modes de paiement (respect de la LME - Loi de
modernisation de l’économie - ?).
-- Qualité et intégrité des contrats de franchise : avant de vous engager

à accepter un contrat de franchise vérifiez impérativement la portée des
engagements pris, notamment :
• prix et obligations relatives à l’usage de la franchise,
• montant et obligations associées aux redevances à reverser,
• obligations relatives aux achats (via centrale, via maison-mère, etc.).
-- Qualité et intégrité des contrats distributeurs : toujours vérifier les

obligations mises à la charge du distributeur en charge de la diffusion de
vos produits ou services. Les obligations et pénalités éventuelles en cas
de manquement sont-elles bien définies ? Nous attirons particulièrement
votre vigilance sur les points juridiques suivants :
• existence ou non de clauses de droit de suite, permettant de vérifier
les moyens et pratiques mis en oeuvre par le distributeur,
• clauses de « retour arrière », conditions de sortie de la relation,
• contraintes logistiques ou opérationnelles associées aux contrats
distributeurs.
--Qualité et intégrité des contrats de prestations critiques : lorsque

vous avez externalisé tout ou partie d’un processus opérationnel,
quel qu’il soit, toujours vérifier votre capacité à définir, mesurer et
piloter l’exigence souhaitée auprès de votre partenaire, notamment :
• existence ou non de clauses de droit de suite, vous autorisant à
contrôler in situ les méthodes et moyens mis en oeuvre par le prestataire
sous-traitant,
• conditions de mise en oeuvre de clause de « retour arrière », en cas
d’insatisfaction avérée,
• capacité de pérennisation de la connaissance et des actifs portés par
les partenaires sous-traitants.
-- Qualité et intégrité des contrats d’assurance : outils de réduction

des risques via stratégie de transfert, les contrats d’assurance constituent
191
souvent une réponse adaptée aux enjeux à couvrir. Néanmoins, interrogez-

vous sur l’opportunité et la qualité des contrats d’assurance proposés ou
contractualisés, car ils sont souvent peu adaptés :
• qualité des clauses associées aux enjeux de la responsabilité civile de
l’organisation,
• qualité des clauses associées aux enjeux de la responsabilité pénale
du dirigeant et de l’organisation,
• qualité des clauses de garantie des flottes automobiles,
• qualité des polices dédiées aux pertes d’exploitation,
• qualité des polices couvrant les actifs physiques de l’entreprise
(équipements, matériels),
• qualité des contrats d’assurance couvrant les locaux (toute nature),
• qualité des clauses associées aux enjeux de la responsabilité
professionnelle de l’organisation.
-- Qualité et intégrité des contrats de baux : avez-vous connaissance de

la qualité et des exigences associées aux contrats relatifs aux immeubles
dans lesquels tout ou partie de votre entreprise est logée ? Les clauses
d’un contrat de bail, quel qu’il soit, doivent être maîtrisées au mieux au
titre des risques juridiques, et surtout:
• clauses de résiliation anticipées (conditions, délais incompressibles),
• clauses d’accès à la propriété,
• clause de responsabilité et d’obligation (cohérence de l’objet social
par rapport à l’objet des locaux),
• clause de renouvellement, d’indexation des loyers et des charges,
• clauses associées aux responsabilités propres du propriétaire et du
locataire,
• clauses de sous-location (en cas de cascade juridique de plusieurs
personnes morales).
Enfin, et au-delà des contrats signés avec les tiers, quels qu’ils soient, nous
vous invitons à analyser avec précision les enjeux contractuels associés
aux salariés, à l’appui des obligations du droit du travail. Notamment,
nous vous conseillons de bien explorer les risques juridiques éventuels
192
RISQUES JURIDIQUES
associés aux problématiques suivantes, compte tenu de la complexité du

droit du travail :
-- Qualité et intégrité des contrats de travail :
• nature des contrats et respect des obligations associées : contrat à
durée indéterminée, à durée déterminée, contrat d’apprentissage,
contrat d’intérim, stagiaires,
• respect des obligations du droit du travail et du Code du travail,
• respect des obligations associées à des clauses professionnelles ou
conventionnelles spécifiques (spécificités sectorielles, représentatives,
etc.),
• respect des clauses contractuelles particulières avec le salarié : clause
de non-concurrence, clause de mobilité, clause de loyauté, propriété
intellectuelle,
• clauses de période d’essai, de rupture contractuelle (conditions de
mise en oeuvre),
• formalisme et mentions obligatoires au titre du droit du travail.
Également, ne pas oublier la spécificité des contrats que vous aurez

certainement à mener avec les tiers critiques à l’entreprise, par exemple :
-- Qualité et intégrité des contrats associés aux dispositifs de

financement de l’entreprise :
• nature et contenu des clauses associées aux outils de financement :
contrat de prêt, ligne de découvert, contrat d’affacturage, contrat de
crédit-bail, contrat de leasing, contrat de location financière, contrat de
cession de créances, etc.,
• conditions de résiliation anticipée (obligation et délais d’information,
motivation des décisions, mécanismes de médiation éventuelle),
• conditions et moyens techniques déployés (outils et moyens de
paiement, outils de pilotage et de suivi de la relation bancaire…).
• Qualité et intégrité des contrats associés aux investisseurs :

• nature, contenu et engagements associés aux outils de prise de
capital dans l’entreprise,
• obligations associées aux dispositifs de financement : comptes
courants, obligations, capital social,
193
• obligations associées aux dispositifs d’entrée, de maintien et/ou

de sortie du capital de l’entreprise : délais, détention minimale ou
maximale, droit de vote, politique de distribution des dividendes,
règles de sortie du capital, droit de préemption, orientation stratégique
du capital, etc.,
• qualité et contenu des pactes d’actionnaires,
• mécanismes associés à une éventuelle ouverture du capital social aux
marchés financiers,
• etc.
Nous vous conseillons en conséquence d’identifier de manière exhaustive

les contrats en présence dans votre structure opérationnelle, d’identifier
les principaux risques juridiques associés au contenu contractuel desdits
contrats, afin de maîtriser au mieux cet enjeu opérationnel de plus en plus
significatif.
Dernier point à ne pas négliger dans toute démarche d’analyse du risque

juridique de l’entreprise : la validité du formalisme et la légitimité des
acteurs à signer les documents quels qu’ils soient. Nous vous rappelons
que tout document juridique doit, dans la plupart des cas, respecter des
règles de formalisme et de contenu :
-- formalisme et mentions obligatoires existantes ;
-- formalisme et portée des actes mentionnés (durée, dimension,
cohérence) ;
-- qualité et formalisme des garanties et sûretés mises en oeuvre ;
-- légitimité du signataire (la personne qui signe a-t-elle bien délégation et
qualité pour le faire ?) ;
-- formalisme et éligibilité des délégations de pouvoirs ;
-- véracité des signatures (contrôle des signataires, usurpation d’identité,
absence de délégation, etc.).
Toujours vérifier tant le formalisme et la qualité du cadre contractuel ou

documentaire que la légitimité du signataire : le document sera-t-il in fine
éligible et/ou légitime ?
La judiciarisation accrue du contexte économique doit engager l’entreprise

dans une maîtrise fine de ses relations contractuelles, quelle que soit la
partie considérée en tant que tiers signataire.
194
RISQUES JURIDIQUES
Procédez à l’inventaire des contrats en présence ou à venir dans

l’entreprise, quels que soient leurs natures. Identifiez, pour chacun
d’eux, les risques juridiques susceptibles de fragiliser votre structure ou
votre relation au tiers, qu’il soit client, salarié, fournisseur, partenaire
commercial, propriétaire des locaux, investisseur, assureur, stagiaire,
financeur ou sous-traitant.
Conformité
En parallèle d’une approche purement contractuelle, nous considérons
opportun de traiter la question du risque juridique sous l’angle de la
conformité. Cette réflexion relative à cet enjeu va se révéler totalement
complémentaire de la démarche précédente, et elle sera très souvent
riche de sens, car elle va utilement mêler droits et obligations juridiques
avec l’approche processus que nous décrivions précédemment.
La lecture des risques juridiques à travers le prisme de la conformité

consiste à se questionner une nouvelle fois de manière pragmatique mais
lucide : les processus opérationnels mis en oeuvre par la structure sont-ils
en accord avec la loi au sens large ?
À partir de ce questionnement, une multitude de risques juridiques

apparaît à l’appui des nombreux textes, règlements, droits et obligations
qu’il convient de respecter afin d’être effectivement en conformité avec les
textes de loi, quels qu’ils soient.
Tout d’abord, rappelons un adage célèbre qui traduit bien la logique de

notre démarche dans cette seconde approche du risque juridique : « Nul
n’est censé ignorer la loi ».
Cela signifie donc que chaque dirigeant, chaque cadre responsable,

chaque salarié, chaque partenaire d’entreprise doit être à même :
-- d’identifier les textes de lois qui s’appliquent à son ou ses activités ;
-- de les connaître, de les comprendre et de les maîtriser ;
-- de contrôler que ses pratiques correspondent bien à l’exigence exprimée.
Bien évidemment, certains risques juridiques tomberont sous le sens et

feront par nature appel au bon sens. Le vol, la fraude, le détournement
195
d’actifs, autant de risques faciles à identifier et déterminer pour tout un

chacun.
Par contre, et dans certains cas, l’identification du risque juridique né

d’une non-conformité avec la loi peut s’avérer beaucoup plus complexe.
Soit parce que l’ensemble des textes parfois en contradiction rend illisible
la bonne compréhension « de ce qu’il faut faire », soit parce que la source
du droit peut être sujette à interprétation, rendant opaque le choix de la
bonne pratique à appliquer in fine.
Traiter le risque juridique à partir de la conformité revient à questionner

tout processus opérationnel de l’entreprise à travers le prisme des textes
de lois en vigueur : le processus X est-il en cohérence et en conformité avec
l’exigence de la loi ?
Toute approche de conformité juridique s’amorce en conséquence avec,

une nouvelle fois, un droit d’inventaire. Cet inventaire va s’articuler selon
deux axes :
-- Quels sont les textes, règlements, décrets, usages et coutumes auxquels
l’entreprise est astreinte ?
-- Quels sont les processus de l’entreprise qui doivent par essence les
respecter, étant exposés à leurs obligations ou contraintes ?
À l’appui de ce double questionnement, le risque juridique peut être

appréhendé de manière plus systématique.
Il serait inutile, voire inopportun de rappeler ici la liste presque illimitée

des textes, droits et obligations imposés aux entreprises dans l’exercice
de leurs activités. La multitude des textes et règlements en vigueur rend
la démarche totalement stérile, compte tenu de leurs applications infinies
et la nécessaire contextualisation de l’enjeu à l’entreprise, son activité et
ses métiers.
Mentionnons simplement ici quelques règles et partages de bonnes

pratiques dans la réalisation de ce droit d’inventaire des textes applicables
en vue de réduire le risque juridique en entreprise :
-- Toujours utiliser si possible une approche dite « en entonnoir » :
commencer par les textes les plus génériques, puis évoluer vers les textes
les plus spécialisés. Par exemple : débuter votre réflexion avec le Code de
196
RISQUES JURIDIQUES
la consommation, avant d’identifier d’éventuelles limitations spécifiques

au secteur ou au produit que vous vous apprêtez à commercialiser.
-- Mettre en oeuvre une démarche descendante du « macro vers
le micro » : débuter l’identification des obligations à partir des
textes internationaux, puis européens, et enfin nationaux. Les enjeux
supranationaux ont certainement orienté au préalable le risque juridique
applicable à votre échelle.
-- Toujours se faire accompagner par un conseil expert du sujet
juridique que vous souhaitez aborder. La complexité du droit, les
nombreux textes auxquels vous serez confronté rend aujourd’hui
totalement illusoire de considérer que vous pouvez, vous ou votre
responsable juridique en autonomie, être capable de traiter en profondeur
un sujet de droit avec acuité et efficacité. S’appuyer sur l’expert « métier »
de la question juridique que vous souhaitez engager aidera de manière
très précieuse l’appréhension des enjeux juridiques en souffrance.
Parmi les principales sources de risques juridiques que nous vous invitons
à aborder dans votre démarche de contrôle de conformité des activités
de votre organisation avec les lois en vigueur, il nous apparaît opportun
de focaliser votre attention sur les thématiques suivantes, de plus en plus
prégnantes lorsqu’on aborde les questions du risque juridique :
-- Droit du consommateur : le Code de la consommation est essentiel à
maîtriser en cas d’interaction avec les particuliers.
-- Droit Commercial : le Code de commerce est essentiel à maîtriser.
-- Droit de la concurrence.
-- Code de la propriété intellectuelle (marques, licences, brevets, noms).
-- Code monétaire et financier (pour les établissements éligibles).
-- Obligations associées à la CNIL (Commission Nationale Informatique et
des Libertés).
-- Code du travail.
-- Code des marchés publics.
-- Droit pénal des affaires.
-- Droit des marques.
-- Législation comptable et financière.
-- Législation fiscale et sociale.
197
-- Législation associée aux paiements sur Internet.

-- Existence de clauses léonines dans le corps des conditions de ventes.
-- Législation associée à la gestion des données (CNIL), etc.
Bien évidemment, cet inventaire des textes et sources éligibles s’appuie

sur les référentiels européens ou internationaux en présence. Pour rappel,
le site interne www.legifrance.fr permet à chacun d’identifier la source
du texte juridique en vigueur. Ce référentiel sera ensuite à compléter
par les textes et obligations spécifiques afférents au métier exercé
dans l’entreprise. Nous vous invitons à vous rapprocher des instances
consultatives ou décisionnelles de vos activités pour identifier les sources
critiques d’informations juridiques à considérer : syndicats professionnels,
fédérations professionnelles, instances représentatives des secteurs
d’activité ou des métiers, chambre de métiers, chambre de commerce et
d’industrie, associations, etc.
La difficulté ne résidera pas dans l’identification des sources de lois, mais

leur discrimination cohérente pour vos activités éligibles !
En parallèle de ce travail d’inventaire des cadres réglementaires et

juridiques en vigueur, il va être nécessaire d’identifier les processus de
l’entreprise. À l’appui d’une approche processus, vous serez à même
d’identifier si votre activité est exposée ou non aux risques juridiques.
Ainsi, et par exemple :

-- processus achats ;
-- processus vente ;
-- processus production ;
-- processus stockage ;
-- processus distribution ;
-- processus recouvrement ;
-- processus recrutement ;
-- processus formation ;
-- processus paie ;
-- processus R & D ;
-- processus paiement ;
-- etc.
198
RISQUES JURIDIQUES
Pour chacun des processus de l’entreprise, il reste à identifier les textes

éligibles et applicables, puis de vérifier la conformité des pratiques aux
textes. Très souvent, un grand nombre de textes impactera un simple
processus opérationnel : droit du travail, CNIL, droit pénal, etc.
À l’appui d’une démarche par processus, identifiez les textes et règlements

applicables. Très souvent, une multitude de sources sera à considérer pour
un seul processus opérationnel au titre des risques juridiques.
Pré-contentieux et contentieux
Parmi les risques juridiques à ne pas négliger, il existe une problématique
directement liée aux activités opérationnelles de l’organisation, et donc à
son cycle d’exploitation.
Vous avez produit, vous avez livré, vous avez facturé et le client ne paye
pas ! Voilà un risque juridique à considérer avec la plus grande pertinence,
compte tenu de ses impacts ! Comment maîtriser au mieux la mécanique
juridique permettant à l’entreprise de se faire payer ? Explorons à présent
cet enjeu juridique majeur, commercial et financier.
Nous invitons le lecteur curieux à se référer à l’ouvrage que nous avons

consacré à la problématique de la maîtrise du risque crédit client7.
Sans rappeler les fondamentaux de la prise de risque et de la gestion du

risque client, il est judicieux de rappeler que parmi les risques juridiques à
ne pas négliger, résident les risques directement liés à la contractualisation
client.
La maîtrise du risque juridique associé au client repose pour l’essentiel sur

l’intégralité des leviers amont et aval de l’action de vente. Il convient ainsi
de ne pas oublier l’importance :
-- des conditions générales de vente ou de location transmises au client
(traçabilité, qualité des CGV) ;
-- des conditions, modes, délais et moyens de paiement consentis au
client ;
7. Cf. La gestion du risque crédit client, GERESO Édition, Le Mans, 2010, du même auteur.
199
-- de la robustesse des actions de relance amiables, des argumentaires et

des méthodes ;
-- de la rigueur des actions de relance pré-contentieuses ;
-- de l’efficacité des actions contentieuses mises en oeuvre et de leur
cohérence ;
-- des mécanismes de détection des défaillances judiciaires (risque de
forclusion).
Les risques juridiques associés au recouvrement des créances client

sont nombreux, compte tenu de la diversité des cas potentiels à traiter :
mauvaise foi client, litige commercial ou technique, fragilité du processus
d’identification ou de prise de risque client, défaillance financière du
débiteur, situation d’insolvabilité organisée, défaut de pilotage des encours
clients, comportements commerciaux inadaptés, maîtrise imparfaite de
la relation client, conditions contractuelles incomplètes ou inadaptées,
défaillances des prestations, du produit ou des services rendus, etc.
Il importe de maîtriser au mieux la relation juridique avec le client, afin

de limiter au maximum les risques juridiques sous-jacents, extrêmement
nombreux au demeurant. Ne négligez pas les risques juridiques associés
au chiffre d’affaires non encaissé, compte tenu du coût du risque induit en
pareille situation.
Faire du chiffre d’affaires, c’est bien. Faire du chiffre d’affaires encaissé,

c’est mieux. Faire du chiffre d’affaires encaissé et rentable, c’est encore
mieux.
Les risques juridiques associés au client ne sont donc pas à négliger,

bien au contraire Ils constituent une famille de risques particuliers à
appréhender et maîtriser au mieux.
Du droit pénal
Autre point de sensibilité sur lequel nous désirons attirer votre attention
au titre des risques juridiques de l’organisation : la problématique du
risque pénal du dirigeant. Le risque pénal constitue une réalité que chaque
dirigeant, chaque mandataire social, chaque cadre en responsabilité doit
appréhender au mieux. Voire, chaque salarié.
200
RISQUES JURIDIQUES
Pas une semaine, pas un mois ne se passe sans qu’un dirigeant ne soit
placé sous les feux des projecteurs médiatiques à la suite d’une erreur ou
d’une malversation engageant sa responsabilité pénale. Et ce, au-delà de
l’affaire des prothèses PIP en gel de silicone !
Très récemment, les cas se sont multipliés, tant au titre de l’escroquerie que
de manipulation financières des cours de Bourse, de tromperie aggravée
sur la marchandise ou de défaillance d’obligation sécuritaire. Chaque jour
ou presque, la responsabilité pénale du dirigeant d’entreprise peut être
engagée. Les cas se multiplient, sans que les dirigeants, les créateurs ou
les repreneurs d’entreprise cernent avec précision les enjeux judiciaires et
juridiques encourus.
Quels sont donc les principaux risques pénaux auxquels le dirigeant, le

mandataire ou le cadre responsabilisé est susceptible de se retrouver
un jour confronté ? Il faut tout d’abord démystifier la problématique, en
rappelant à chacun quelques notions essentielles.
Précisons tout d’abord que la responsabilité pénale est engagée

lorsqu’une personne porte atteinte à l’intérêt public. L’acte pénal engage
donc la responsabilité de l’individu (et/ou de la personne morale, le cas
échéant) vis-à-vis de la collectivité. Cette responsabilité peut entraîner
une amende, voire une peine d’emprisonnement, ferme ou avec sursis.
Sans déployer une approche académique de la responsabilité pénale ni du

droit pénal des affaires en général, il nous apparaît toutefois approprié de
rappeler ici quelques fondamentaux relatifs au risque pénal, car un certain
nombre de grands principes participe à la critérisation de la responsabilité
pénale.
Ainsi, et pour ne citer que les principales notions primordiales à connaître,

notons au préalable les points suivants :
-- Une infraction pénale n’existe que s’il existe un texte de loi, c’est-à-
dire une qualification juridique de l’infraction. Sans texte, il n’y a pas
d’infraction.
-- Il n’existera aucune rétroactivité de la loi pénale. Une infraction non
qualifiée ne pourra pas être requalifiée a posteriori de l’existence nouvelle
d’un nouveau texte.
201
-- Il existe par défaut une application stricte de la loi pénale. En

conséquence, il n’y a ni interprétation possible de la loi, ni jurisprudence
au titre du droit pénal.
-- Un principe fondamental gouverne le droit pénal : celui de l’opportunité
des poursuites. Le juge qualifie l’opportunité à poursuivre la personne
physique ou morale au préalable de toute démarche judiciaire (aucune
poursuite n’est réalisée de manière systématique).
-- Toute infraction pénale engage automatiquement la responsabilité
civile de son auteur.
Au titre du droit pénal, nous rappelons que trois dimensions critiques

constituent l’infraction, quelle qu’elle soit : l’existence d’un élément
légal (un texte sanctionnant l’infraction existe), l’existence d’un élément
matériel (il existe un fait délictueux, par action positive ou par abstention),
et l’existence d’un élément moral (la connaissance ou la volonté de
commettre l’infraction existe pour l’auteur).
En droit pénal, trois catégories d’infractions existent : les crimes, jugés en

cour d’assises ; les délits, jugés au tribunal correctionnel ; les contraventions,
jugées devant le tribunal de police. Les dates de prescriptions varient en
fonction de la nature de l’infraction (dix ans pour les crimes, trois ans pour
les délits, une année pour les contraventions).
Depuis l’avènement de la loi dite Perben en 2006 et les évolutions récentes

en matière de récidive, la responsabilité de la personne morale peut être
recherchée pour toutes les infractions existantes en droit pénal, même si
elle n’existe pas de manière dédiée en droit pénal des affaires. La personne
morale peut voir sa responsabilité engagée comme auteur, coauteur ou
complice de l’infraction.
La responsabilité pénale de la personne morale peut être engagée à partir

du moment où certains critères ou conditions sont respectés :
-- l’acte délictueux doit être commis par un organe de direction de la
personne morale (conseil d’administration, représentant légal, mandataire
social, représentant de fait, mais aussi tout délégataire de pouvoir) ;
-- l’acte délictueux doit avoir été commis pour le compte de la personne
morale ;
-- l’acte doit avoir été commis de manière intentionnelle.
202
RISQUES JURIDIQUES
En cas de culpabilité, les sanctions pénales à l’encontre de la personne

morale peuvent être pécuniaires (cinq fois le montant des sanctions
prévues pour la personne physique) mais aussi administratives (dissolution
de la personne morale, restriction d’activité, fermeture de site, placement
sous surveillance, exclusion des marchés publics, interdiction d’accès à
l’épargne, affichage et diffusion de la condamnation, sanction de la CNIL,
du syndicat professionnel de rattachement, etc.).
Lorsqu’on aborde la question du risque pénal en entreprise, la question

principale demeure : quelles sont les infractions les plus « courantes », si
l’on souhaite l’exprimer ainsi ?
Voici les principales infractions sur lesquelles nous attirons la plus grande
attention de nos lecteurs dans leur réflexion relative aux risques pénaux
en entreprise, compte tenu de la sensibilité des enjeux concernés :
-- abus de confiance (ou recel d’abus de confiance) ;
-- infraction à la législation de la CNIL (êtes-vous sûr de vos traitements
informatiques ? De vos pratiques en matière de données personnelles ?
Avez-vous bien déclaré à la CNIL ce que vous devez ?) ;
-- contrefaçon de logiciels (vos salariés n’ont-ils pas installé, à votre insu,
des applications piratées ou d’objet illégal ou illicite ?) ;
-- pratique de taux usuraires (vos conditions et délais de paiement sont-ils
légaux ?) ;
-- banqueroute ;
-- financement du terrorisme (êtes-vous certain de bien connaître vos
clients ? Vos prospects ? Ce qu’ils vous achètent est-il cohérent avec leur
objet social ? Par exemple, un accord de paiement comptant ou en avance,
sans négociation, en espèces, doit engager le questionnement) ;
-- faux en écriture (quid de vos états financiers ? Reflètent-ils effectivement
une image sincère et fidèle, sans omission ni altération ?) ;
-- délit d’escroquerie ;
-- complicité de banqueroute ;
-- entente illicite (vos pratiques commerciales, vos relations avec certains
concurrents ne faussent-elles pas les règles de la concurrence ?) ;
-- atteinte à la vie privée (quid des données privées de vos salariés ? De vos
clients ?) ;
203
-- atteinte à l’intégrité physique d’autrui (la sécurité des personnes est-elle

bien assurée ?) ;
-- recel d’abus de biens sociaux ;
-- abus de biens sociaux ;
-- usurpation d’identité ;
-- usurpation de qualité (de signataire) ;
-- fausse évaluation des apports en société ;
-- non-respect des délais de convocation aux assemblées générales ;
-- travail dissimulé (salariat déguisé, travail illégal ou non déclaré) ;
-- non vérification de la situation fiscale ou sociale des sous-traitants ;
-- délit d’entrave (envers les instances représentatives du personnel) ;
-- défaut de formation des salariés à la sécurité ;
-- non-conformité des matériels en matière de sécurité (mise en danger) ;
-- délit de marchandage ;
-- prêt illicite de main-d’œuvre ;
-- infraction à la durée du travail ;
-- accident du travail, maladies professionnelles ;
-- discrimination ;
-- harcèlement moral ;
-- harcèlement sexuel ;
-- restriction de la liberté des salariés (contrôle de présence, traçabilité
des mouvements, GPS) ;
-- responsabilité associée aux pratiques illicites des sous-traitants ;
-- etc.
Comme vous pouvez le constater, la liste des risques pénaux susceptibles

d’engager la responsabilité pénale du dirigeant et/ou de la personne
morale concernée n’est pas limitée, bien au contraire. Le questionnement
se pose dès la réalisation d’actions parfois a priori anodines mais lourdes
de sens d’un point de vue pénal en cas de qualification effective de la
responsabilité.
204
RISQUES JURIDIQUES
Ainsi, comment considérer l’utilisation ponctuelle d’une machine à

affranchir de l’entreprise pour envoyer des courriers personnels ? A priori,
rien de bien méchant Dans la réalité, il s’agit peut-être… d’un délit pénal !
La plus grande vigilance s’impose donc à tous, afin de limiter au mieux
les enjeux pénaux susceptibles de déstabiliser en profondeur l’entreprise.
Le risque pénal ne se limite pas à quelques cas d’entente illicite médiatisés

(téléphonie en France, par exemple), ni à quelques dirigeants peu
scrupuleux. La plus grande vigilance s’impose, notamment dans le cadre
des enjeux associés au droit du travail (travail dissimulé, sécurité des
salariés) ou à l’usage des actifs de l’entreprise.
TPE, PME, ETI, tout le monde est concerné par le risque pénal ! Un enjeu
à ne pas négliger, donc, dans l’appréhension des risques juridiques de
l’entreprise
Les risques pénaux ne sont ni marginaux, ni anodins. Ils concernent

potentiellement toutes les entreprises. Il convient de les identifier au
mieux, afin d’éviter la concrétisation d’un risque juridique majeur pour le
dirigeant, puis pour l’entreprise tout entière.
205
Chapitre 2
Risques informatiques
Depuis ces trente dernières années, la révolution numérique est en

marche, et la prédiction de Steve Jobs, fondateur d’Apple, s’est largement
accomplie. En 2013, il y a un ordinateur présent – ou presque – sur chaque
bureau, dans chaque foyer, dans chaque chambre d’adolescent. Nous
serions presque tentés d’écrire qu’il y a plus d’écrans de toute nature que
d’individus dans le monde développé. Même si la fracture numérique
demeure encore présente dans de nombreuses parties du monde,
l’informatique a révolutionné en l’espace de quelques décennies notre
rapport au monde, à la connaissance et à l’information.
207
La révolution informatique accélère en continu, de manière exponentielle,

reléguant les prouesses techniques d’hier à un lointain souvenir. Quel
étudiant sait que la calculatrice ou le dernier téléphone portable qu’il
utilise au quotidien pour surfer sur Internet ou positionner ses états d’âme
sur les réseaux sociaux dispose de plus de puissance de calcul que les
ordinateurs qui ont permis à l’Homme d’envoyer l’Humanité sur la Lune il
y a quarante ans ?
Technologie, innovation et informatique ont ainsi fait évoluer, au fil

des ans, les anciens lecteurs préhistoriques de bandes magnétiques et
autres terminaux immenses en une multitude d’écrans, de tablettes, de
Smartphones toujours plus connectés, toujours plus puissants, toujours
plus agiles, toujours plus fonctionnels et conviviaux, et qui échangent sans
arrêt et en temps réel des informations, des décisions, des données, des
contenus sonores ou visuels, mais aussi des émotions.
Monde virtuel, lien social, évolution contrastée des contenus et des

supports, évolution des métiers et des pratiques professionnelles,
création d’une multitude de nouvelles fonctions dans l’entreprise,
qualité intrinsèque des contenus indépendamment proportionnelle à
la puissance des outils déployés, tout cela est aujourd’hui une réalité.
Cette réalité se concrétise à l’appui d’une Toile désormais mondialisée et
hyper connectée, et grâce à des technologies toujours plus innovatrices et
toujours plus puissantes.
Force est de constater que l’informatique au sens large est devenue

désormais critique pour toutes les entreprises, et ce, quel que soit le
secteur d’activité concerné. Existe-t-il un salarié d’une société qui n’utilise
pas un système de messagerie par e-mail ou Internet au quotidien ? Existe-
t-il encore une TPE qui ne dispose pas d’un site Web, qu’il soit vitrine ou
marchand ? Quel acteur d’entreprise n’est-il pas encore absorbé par les
derniers messages reçus directement dans sa poche, où qu’il se situe et
quelle qu’en soit la nature ou l’importance ?
Bref, l’informatique fait désormais partie de notre vie courante de

dirigeant, de créateur, de salarié, d’entrepreneur, au quotidien. Il serait
inconcevable de ne pas considérer les multiples risques associés à
l’univers informatique, de toutes natures et variés, dans une lecture
méthodologique des risques opérationnels de l’entreprise. Car même si
l’objet social de l’organisation n’est pas le développement informatique
de solutions, ni la tierce maintenance applicative (TMA), ni la conception,
208
RISQUES INFORMATIQUES
la maintenance ou le déploiement d’outils et d’infrastructures, il apparaît

évident aujourd’hui que l’outil informatique, ses contenus, ses structures,
ses données, ses applications et ses infrastructures font désormais partie
des risques opérationnels majeurs pour chaque organisation.
Voilà pourquoi nous considérons les risques informatiques comme des

risques opérationnels à part entière, plus précisément comme une classe
de risques opérationnels à considérer de manière dédiée. Et ce, au même
titre que les risques juridiques abordés précédemment. Si certaines
entreprises font, volontairement ou non, l’impasse sur les risques
juridiques, peu d’entre elles délaissent les risques informatiques.
Les risques informatiques représentent aujourd’hui une classe de risques

opérationnels à part entière. Certaines entreprises négligent leurs risques
juridiques, peu mettent de côté leurs risques informatiques.
La question du risque informatique peut apparaître pour beaucoup

de dirigeants comme une thématique comparable à celle des risques
juridiques, même si ce sujet sera plus traité que celui des risques juridiques.
C’est-à-dire, un enjeu dédié pour les spécialistes, une thématique à
réserver aux experts, et un point d’intérêt opérationnel parfois limité, au-
delà des questions de coûts d’exploitation et/ou d’investissements. Or,
rien n’est plus dangereux, car les risques informatiques font désormais
partie du domaine des possibles que chaque dirigeant doit identifier,
comprendre et maîtriser au mieux, et ce, à de multiples points de vue, et
pour de multiples raisons.
Qu’il s’agisse de la définition d’une stratégie informatique, de la sélection

d’un projet de développement, du choix d’un langage de développement
ou d’une technologie, ou encore des arbitrages techniques à réaliser
par rapport au dimensionnement des dispositifs de sauvegarde et de
continuité, l’informatique doit être considérée avec la plus grande acuité,
ainsi que ses risques associés.
Car, et vous l’aurez immédiatement compris, les risques informatiques

sont à considérer avec méthode mais ils ne doivent pas être cantonnés
aux seules directions des systèmes d’information ou aux acteurs en charge
de la sécurité informatique. Bien au contraire…
Interrogeons-nous simplement : comment appréhender au mieux ce risque

technique ou technologique, vecteur d’innovation, de différenciation,
209
de valeurs mais aussi de risques majeurs, afin de renforcer la pérennité

opérationnelle de l’organisation ?
Face aux risques informatiques, certains considèrent que la fiabilité des

matériels, des applications, des bases de données et des infrastructures
est telle aujourd’hui qu’elle atteint, malgré les menaces et les virus, un
niveau de complexité et de qualité si développé qu’il suffit de confier son
informatique à un tiers et ne plus se préoccuper de l’enjeu.
D’autres, au contraire, ont une approche anxiogène de l’outil informatique

par nature et l’appréhenderont avec beaucoup – trop ? – de rigueur et
d’engagement. Comme d’habitude, et par expérience, seul le pragmatisme
peut s’inscrire dans une démarche efficace de traitement des risques
informatiques. Externalisation, sous-traitance, internalisation de la
compétence et des outils, toutes les positions peuvent être légitimes, à
condition qu’elles soient en cohérence avec la volonté et le positionnement
stratégique de l’entreprise.
Face aux risques informatiques, une approche dogmatique des enjeux

ne saurait suffire. Plus que jamais dans le contexte informatique, il faut
lutter en permanence contre les querelles de chapelle et les appréciations
rapides même si, comme l’exprime avec justesse Stuart Chase dans un tout
autre contexte, « pour celui qui croit, la preuve n’est pas nécessaire, pour
celui qui ne croit pas, la preuve n’est pas possible. » La compréhension des
risques informatiques s’inscrit parfaitement dans cette difficulté.
De l’utilisation de listes (ou de check-lists)

Afin de déterminer puis maîtriser les risques informatiques au sein de
l’entreprise, compte tenu du dimensionnement des risques individuels
à considérer, multiples et variés, nous vous invitons à utiliser par défaut
différentes listes d’items, qui, en fonction de leurs structures, seront
adaptées aux enjeux en présence.
Toute la difficulté en matière de risques informatiques consiste à ne

pas s’enfermer dans des référentiels ou des listes prédéfinies, mais bien
confronter les démarches, les méthodes et les approches afin d’enrichir la
lecture des enjeux en présence en s’appuyant notamment sur la création
de valeurs grâce aux frottements entre les différentes méthodes.
210
ITIL, COBIT, ISO, PCI DSS, normes sécuritaires internationales,

mécanismes de cryptage et de sécurisation des données, des accès et des
infrastructures, sont autant de dispositifs et de démarches susceptibles de
répondre à l’enjeu. Toutefois, et au-delà des outils et démarches normées
existantes, nous vous invitons à vous adosser sur plusieurs méthodes, afin
de véritablement maîtriser les risques informatiques en présence.
Ne pas se limiter à l’adoption d’un référentiel normatif ou

méthodologique unique. Confrontez les démarches d’identification des
risques informatiques entre elles, et bâtissez vos propres approches
méthodologiques, en favorisant leurs interactions. Attention à une lecture
trop dogmatique de l’enjeu des risques informatiques.
Bien évidemment, nous ne saurions vous recommander une démarche

plutôt qu’une autre dans votre réflexion sur les risques informatiques.
Néanmoins, voici différentes approches qui, au-delà des référentiels
existants, nous apparaissent riches de sens et adaptées aux risques.
Une première analyse des risques informatiques consiste à sérier les

enjeux informatiques par nature d’actifs, puis de hiérarchiser les enjeux
par classification des actifs en présence. Ainsi, par exemple, une première
démarche peut s’articuler de la manière suivante :
-- Sécurisation et pérennisation des actifs matériels (physiques) :
• risque de remise en cause de la disponibilité des infrastructures
(réseaux, connexions, architecture physique portant les flux de données
en présence),
• risque de remise en cause de la disponibilité des infrastructures
(énergie, eau, climatisation, chauffage, électricité, ventilation, etc.),
• risque de remise en cause de la disponibilité des matériels
réseaux (switch, routeurs, baies de brassage, équipements dédiés à
l’infrastructure réseau…),
• risque de remise en cause de la disponibilité des matériels partagés
(serveurs, racks, postes de pilotage des réseaux et des ressources),
• risque de remise en cause des matériels fixes de travail d’exploitation
métier (postes de travail, unités centrales, écrans),
• risque de remise en cause de la disponibilité des matériels
périphériques (imprimantes, webcam, souris, clés USB, périphériques
divers),
211
• risque de remise en cause de la disponibilité des matériels mobiles

(ordinateurs portables, lecteurs autonomes, tablettes tactiles,
Smartphones, etc.),
• risque de remise en cause des matériels de sauvegarde physique des
données (serveurs, disques durs externes, dispositifs de sauvegarde
physique de toute nature, clés USB, etc.).
-- Sécurisation et pérennisation des actifs immatériels (logiciels) :

• remise en cause de la disponibilité des logiciels métiers (applications
acquises),
• remise en cause de la disponibilité des logiciels bureautiques (outils
bureautiques),
• remise en cause de la disponibilité des logiciels propres (applications
développées, interfaces métiers, adaptation de logiciels, création de
bases de données spécifiques, création et maintenance des routines
de traitement des données, batch, requêtes, outils de requête, outils
dédiés à la Business Intelligence (BI), applications de reporting),
• remise en cause de la disponibilité des environnements réseaux (site
Web, Internet, Intranet, portails, profils sur les réseaux sociaux, forum,
etc.).
-- Sécurisation et pérennisation des données :

• risque de remise en cause de la disponibilité des données,
• risque de remise en cause de l’intégrité des données,
• risque de remise en cause de l’exhaustivité des données,
• risque de remise en cause de la traçabilité des données,
• risque de remise en cause de la confidentialité des données.
-- Sécurisation et pérennité des savoirs informatiques :

• risque de perte de connaissances sur le périmètre informatique,
• risque de perte de compétences sur le périmètre informatique,
• risque de perte de connaissances sur les activités externalisées (tierce
maintenance applicative, tierce recette applicative, développement
pour compte, gestion pour compte, etc.).
212
Bien évidemment, la notion de disponibilité des matériels physiques,

logiques ou des données doit se comprendre de manière élargie. Lorsque
la question de la disponibilité se pose, le questionnement structurel des
éléments concernés est également à poser de manière systématique, et
ce, quel que soit l’élément physique ou logique :
-- exhaustivité des éléments concernés ;
-- non altération des éléments concernés ;
-- non dégradation des éléments concernés ;
-- maintien de la confidentialité des éléments (si adapté : données, par
exemple) ;
-- absence de violation d’intégrité ;
-- traçabilité et détection des intrusions, vols ou détérioration des actifs.
Ce type d’approche peut ensuite se décliner à l’infini, à l’appui de

l’identification des menaces susceptibles de provoquer les risques
proposés. Elle se structure fondamentalement sur la classification
des actifs informatiques de l’entreprise, leur discrimination et leur
critérisation en fonction de leur criticité et de leur sensibilité. Ne pas
oublier, comme précisé ci-dessus, que chaque élément d’actif, physique
ou logique, matériel, application ou donnée, doit être questionné sur
la problématique complémentaire des enjeux de confidentialité, de
disponibilité, de traçabilité, d’intégrité et d’exhaustivité des éléments.
Cette première approche permet à chaque entreprise d’amorcer une

véritable démarche d’identification des risques informatiques dans
l’entreprise, de manière relativement simple et efficace. Nous reviendrons
par la suite sur les stratégies de couverture des risques à envisager.
Une seconde approche, plus pragmatique et moins orientée « actifs »,

consiste à balayer un certain nombre d’items susceptibles de remettre
en cause la pérennité informatique de l’entreprise. Pour ce faire, il existe
de multiples check-lists disponibles ou que l’entreprise peut élaborer à sa
guise, afin de déployer l’approche la plus exhaustive possible des enjeux
en présence.
Parmi des exemples de listes, nous vous soumettons les différentes

démarches méthodologiques suivantes. Bien évidemment, il n’existe
pas de méthode magique, ni de référentiel à privilégier par rapport à
213
d’autres. Il existe simplement des démarches d’inventaires susceptibles

de plus retenir votre attention, ou qui seront plus adaptés à votre contexte
d’entreprise dans votre réflexion sur les risques informatiques en présence.
Ainsi, et par exemple, voici quelques check-lists que nous vous conseillons
de parcourir et de vous approprier, voire de les adapter à vos propres
enjeux.
Approche générale
Une première lecture de check-list dédiée aux risques informatiques,
que nous définissons comme « approche générale », s’articule autour
de grands thèmes fonctionnels ou organisationnels à considérer dans
l’identification des risques informatiques présents dans l’entreprise. Cette
check-list s’articule autour des axes suivants :
-- Risques associés à la qualité de la stratégie informatique de
l’entreprise : définition, cohérence et suivi de la définition et du pilotage
budgétaire de la stratégie informatique ; adéquation des ressources
aux objectifs ; mécanismes de sélection et de pilotage des prestataires
extérieurs ; existence de solutions de substitution en cas de défaillance
d’acteurs critiques ; qualité et adaptation des dispositifs de pilotage et de
gouvernance de l’informatique d’entreprise (infrastructure, actifs, outils,
couverture applicative, etc.).
-- Risques associés au pilotage et au suivi de l’exploitation courante
des outils, données, applications et moyens informatiques : existence
et fiabilité des outils de pilotage de l’exploitation informatique, gestion des
parcs matériels et logiciels, pilotage et suivi des incidents d’exploitation
et des indisponibilités, suivi et pilotage des procédures d’exploitation
informatique, contrôle de cohérence entre les besoins utilisateurs
(internes et externes) et les réalisations des systèmes d’information.
-- Risques associés à la sécurisation des procédés, des applications
et des actifs informatiques : existence et qualité des plans de continuité
d’exploitation, séparation des fonctions développement et exploitation,
qualité des démarches méthodologiques « mode projet », sécurisation
des données et des informations structurantes, déploiement de tests de
sécurité et de vulnérabilité des actifs matériels et immatériels, mécanismes
de gestion des authentifications, des accès, des habilitations, des mots de
passe, maîtrise des données…
214
-- Risques associés à la vulnérabilité des systèmes informatiques :

étude de vulnérabilité des systèmes, sécurité physique et logique des
accès aux ressources matérielles et logicielles, stockage des données et
des matériels, tests sur intrusion physique ou logique, plan de continuité.
-- Risques associés aux données et aux systèmes en cas de nécessité de
restauration des applications, des données ou des actifs de substitution :
cohérence et enjeux des plans de secours, qualité des plans de reprise
d’activité, gestion des connaissances et des compétences critiques,
gestion documentaire des connaissances et des procédures, etc.
-- Risques associés à la sécurité logique des systèmes et des données :
fiabilisation et gestion des mots de passe, mécanismes de traçabilité en
cas d’intrusion dans les systèmes, vols, détournement ou altération des
données, suivi des accès aux ressources sensibles, virus, bombes logiques,
piratage des données.
-- Risques associés à la qualité de la couverture applicative : incohérence
des outils et applications déployées avec les besoins « métier », capacité
évolutive insuffisante des outils, langage de développement mal
sélectionné, blocage de l’évolution des outils ou des systèmes.
Cette première check-list orientée « métier » permet d’affiner les principaux

périmètres à considérer compte tenu de la diversité des enjeux à traiter au
titre des risques informatiques. Elle permet notamment de ne pas oublier
qu’au-delà des outils, des moyens et des démarches méthodologiques,
l’informatique d’entreprise doit s’inscrire en cohérence avec la stratégie de
l’entreprise en une déclinaison pilotée et définie d’une véritable stratégie
informatique.
Approche par les menaces en présence

Une seconde approche des risques informatiques peut s’articuler à la
lumière d’un certain nombre de thématiques consolidées à partir de la
nature des menaces en présence susceptibles d’engendrer la concrétisation
des risques informatiques. Cette seconde liste s’articule autour de dix-huit
points d’ancrage différents, proposés ci-dessous :
1. Accident physique sur les matériels : dégradation, altération ou
indisponibilité d’un actif matériel physique informatique, quelle que
soit sa nature (serveurs, PC, portables, routeurs, baies de brassage,
215
switch, lignes physiques réseaux, racks matériel, alimentation électrique,

climatiseur, etc.).
2. Accident physique logiciel : dégradation, altération ou indisponibilité
d’une application, d’un logiciel ou d’un traitement logique, quelles que
soient la nature et la cause du problème (attaque virale, bug informatique,
erreur de programmation, régression de développement etc.).
3. Action de malveillance physique : dégradation, altération ou
indisponibilité d’un actif physique de l’entreprise suite à choc, malveillance,
destruction totale ou partielle, attaque extérieure, événement externe
(inondation, incendie, écrasement, accident, événement climatique).
4. Panne des systèmes d’information : indisponibilité des systèmes
utilisés suite à la défaillance volontaire ou involontaire d’un composant du
processus informatique : défaillance technique d’un composant, rupture
de réseau, attaque virale, etc.
5. Carence du personnel : altération des systèmes et/ou du service
suite à l’indisponibilité de connaissances ou de compétences au sein
des équipes informatiques (absence, maladie, compétences absentes
suite à démission ou départ en retraite, non remplacement, difficulté de
recrutement, surcharge de travail des équipes opérationnelles, déficit de
maîtrise du mode projet).
6. Carence des prestataires : altération des systèmes et/ou du service
suite à l’indisponibilité de connaissances ou de compétences au sein des
équipes de prestataires (absence, maladie, compétences insuffisantes
ou absentes, surcharge de travail, mauvaise gestion ou organisation des
ressources, défaillance du mode projet).
7. Interruption des réseaux : indisponibilité ou altération des capacités
informatiques suite à une rupture temporaire ou permanente des réseaux
informatiques : coupure de lignes, surcharge de lignes, perte de réseaux de
données, défaillance matérielle, électrique, de télécommunication.
8. Erreur de saisie : altération ou dégradation des données, traitements
ou services suite à une erreur humaine ou manuelle de saisie de données
ou d’actions au sein des systèmes d’information : erreur humaine, action
erronée, traitement incohérent des protocoles, modes opératoires
défaillants, erreur de saisie ou de paramétrage, etc.
9. Erreur de transmission : altération ou dégradation de données ou
de traitement suite à erreur humaine ou matérielle dans l’action de
transmission de l’information (information tronquée, partielle, erronée,
dégradée), à la suite d’une défaillance matérielle, humaine ou de réseau.
216
10. Erreur d’exploitation : altération ou dégradation de données ou de

traitement suite à une erreur d’exploitation : erreur humaine ou matérielle
dans la mise en oeuvre d’un traitement (batch, routines), oubli, omission,
manquement, défaillance d’un mode opératoire, surcharge de travail.
11. Erreur de conception ou de développement : altération ou dégradation
de données ou de traitement suite à une erreur de conception de
l’application ou des traitements à réaliser : mauvais cahier des charges,
phase de recettage incomplète, acceptation incohérente de livrables,
erreur humaine, déficit de pilotage du mode projet, détectabilité de
l’erreur à forte latence, régression, effet de bord de développements
complémentaires.
12. Vice caché dans une application : altération ou dégradation de données
ou de traitement suite à la mise en lumière d’un vice caché applicatif :
effet de bord non détecté, erreur de programmation aléatoire, cahier des
charges incomplet, recettage insuffisant.
13. Détournement de fonds : utilisation frauduleuse des outils, démarches
ou modes opératoires informatiques pour détourner des actifs financiers
de l’entreprise : virement non détecté, détournement d’objet de
flux, modification d’objet de paiement, création de comptes virtuels,
escroquerie, défaillance technique, erreur de saisie, modes opératoires
non sécurisés, dispositifs de contrôle et de suivi inadaptés, mécanismes
de détection des risques insuffisant.
14. Détournement de biens : vol, détournement ou altération d’un actif
de l’entreprise pour usage personnel ou détourné, quelle qu’en soit la
nature : matériel, logiciel, donnée, donnée personnelle, donnée bancaire,
flux monétaire, etc.
15. Copie illicite d’application ou de données : réalisation frauduleuse de
copies de données, de développement ou d’application, permettant à
son usager d’obtenir un avantage concurrentiel ou illégal : détournement
de bases de données client (contacts, historique de relation, conditions
financières), de programmes (R&D, lignes de codes, structuration de
données ou d’application), d’application (copie illicite d’applicatifs
métiers, de bases de données, de référentiels, d’outils de travail).
16. Détournement d’information : copie ou détournement d’informations
via piratage de flux, de base de données, d’interception de flux de données
lors de transferts d’informations ou de fichiers, intrusion dans les systèmes
informatiques de l’entreprise.
17. Sabotage immatériel : attaques virales contre l’entreprise via virus,
trojan, programmes malveillants, attaque bloquante des réseaux,
217
saturation des infrastructures logiques et physiques, destruction de

données, altération d’applications, vol de données, altération des actifs
de toute nature, indisponibilité de services (client, Internet, Intranet,
données, applications…).
18. Attaque logique réseau : attaque virale ou applicative contre
l’infrastructure réseau de l’entreprise, engendrant la saturation ou
l’indisponibilité des services et des infrastructures, détournement de
contenus, deny of service, contenus illicites ou erronés en substitution
(détournement de pages Web, de profils sur réseaux sociaux),
error type 404, etc.
Cette seconde check-list, orientée menaces, permet à l’entreprise
d’articuler et prioriser sa réflexion sur les grands types de menaces
susceptibles d’impacter l’entreprise à travers ses dispositifs informatiques
en présence. Elle présente comme vertu essentielle d’être intelligible par
tous et de couvrir la majeure partie des risques informatiques susceptibles
d’impacter l’opérationnalité de l’entreprise.
L’approche synthétique
Une troisième check-list, complémentaire de la précédente, permet
d’identifier les principaux risques informatiques à considérer
prioritairement dans l’entreprise. Cette troisième liste s’articule autour
de 27 points d’intérêt, là encore totalement compréhensibles pour le
néophyte :
1. Départ ou disparition de personnel stratégique (gestion de la
connaissance/compétence).
2. Arrêt de maintenance des logiciels, par disparition de la SSII, du
fournisseur, des sources.
3. Blocage des centres informatiques, des locaux sensibles hébergeant les
équipements.
4. Dégâts des eaux ou autres liquides.
5. Accident naturel (tremblement de terre, inondation, ouragan,
tempête…).
6. Vandalisme sur équipement sans intrusion.
7. Vandalisme sur équipement avec intrusion dans les locaux de
l’entreprise.
218
8. Vol d’équipement sans intrusion.

9. Vol d’équipement avec intrusion dans les locaux de l’entreprise.
10. Vol d’informations (sensibles ou non).
11. Vol d’informations et diffusion au public des informations volées.
12. Destruction volontaire d’informations.
13. Modification volontaire d’informations.
14. Altération volontaire d’informations.
15. Intrusion dans les systèmes informatiques de l’entreprise (détection ?).
16. Perturbation des services rendus (indisponibilité, régression, perte de
fonctionnalités).
17. Détournement d’un site, d’un service vendu (site Web, contacts
e-mails…).
18. Écoute d’informations sur le réseau (intrusion réseau interne).
19. Altération accidentelle des données par l’exploitation (perte ou
dégradation de données).
20. Abus de pouvoir par une maintenance externe (TMA, mainteneur
outrepassant ses droits).
21. Dysfonctionnement d’un matériel (panne physique).
22. Dysfonctionnement d’un logiciel (panne logique).
23. Dysfonctionnement d’un service externe (perte de compétence d’un
tiers).
24. Divulgation de données confidentielles.
25. Erreur de saisie (erreur manuelle, création d’anomalie commerciale,
comptable…).
26. Absence de données critiques (perte de données sensibles particuliers,
CNIL…).
27. Virus informatique (attaque virale).
Cette démarche, là encore accessible, permet à chaque acteur d’entreprise

de prendre la mesure des risques informatiques majeurs qu’il convient
de considérer en priorité, dans toute démarche de mise en oeuvre
d’une politique appropriée de maîtrise des risques opérationnels et
informatiques.
219
Là encore, aucune check-list ne sera à privilégier ou prioriser par rapport

à l’autre. Seule la prise en compte du contexte de l’organisation sera à
même de déterminer la démarche méthodologique à initier : objet social,
dimensionnement, structuration, organisation interne, etc.
L’approche informatique
Dernière démarche méthodologique que nous vous soumettons à la

réflexion, l’approche informatique s’attache à balayer dans les grandes
lignes la majeure partie des enjeux à considérer à partir du moment où l’on
aborde la question opérationnelle de maîtrise des risques informatiques.
Bien évidemment, cette liste peut apparaître un peu trop exhaustive et

non adaptée pour la plupart des TPE et PME qui décideront d’appréhender
l’enjeu des risques informatiques de manière structurée. Néanmoins,
nous considérons que cet inventaire à la Prévert a pour vertu d’illustrer
au mieux la diversité et la multitude des thèmes à envisager lorsqu’on
questionne son rapport aux risques informatiques. Risque opérationnel
critique, le risque informatique en entreprise mérite bien un inventaire
structuré !
Voici la centaine de points d’intérêt prioritaires que vous pourrez être un

jour amené à parcourir dans votre réflexion informatique d’entreprise :
1. Organigrammes hiérarchiques et fonctionnels.
2. Existence d’un comité sécurité.
3. Suivi régulier de la mise en oeuvre de la sécurité.
4. Étude de vulnérabilité de l’entreprise.
5. Existence d’un responsable de la sécurité des systèmes d’information.
6. Existence d’un plan de continuité des activités de l’entreprise.
7. Couverture de la micro-informatique par le plan de continuité des
activités de l’entreprise.
8. Existence d’un comité des systèmes d’information.
9. Existence d’un schéma directeur des systèmes d’information.
10. Suivi du schéma directeur des systèmes d’information.
220
11. Élaboration et suivi du budget informatique.

12. Existence de tableaux de bord de gestion de la fonction informatique.
13. Désignation de propriétaires des informations.
14. Analyse spécifique des comptes sensibles.
15. Classification des informations selon les risques.
16. Étude des contrôles automatisés et des contrôles utilisateurs lors de la
conception des applications.
17. Formalisation des délégations de signature.
18. Normes de contrôle des traitements d’informations stratégiques.
19. Archivage et sécurité des documents originaux.
20. Audit de sécurité des systèmes d’information.
21. Déclaration des fichiers nominatifs.
22. Protection des données nominatives informatisées ou non.
23. Respect de la réglementation sur les moyens de chiffrement.
24. Respect des lois sur la protection des logiciels.
25. Respect des lois sur la fraude informatique.
26. Étude sur le respect des exigences légales et réglementaires.
27. Climat social correct.
28. Éthique et déontologie dans le règlement intérieur.
29. Définition des responsabilités par le règlement intérieur.
30. Sensibilisation du personnel à la sécurité micro-informatique.
31. Étude sur la sécurité extérieure des locaux informatiques.
32. Protection périphérique.
33. Étude sur la sécurité interne des installations.
34. Gestion de parc.
35. Contrôle d’accès aux salles informatiques.
36. Contrôle centralisé d’accès aux locaux.
37. Contrôle d’accès physique aux serveurs (exemple : 302-A).
38. Stockage sécurisé des petits matériels.
221
39. Étude des facteurs de pollution.

40. Consignes de sécurité.
41. Étude spécifique incendie et compartimentage des locaux.
42. Détection et extinction automatique dans les bâtiments et locaux
attenant aux locaux informatiques.
43. Détection et extinction automatique dans les salles informatiques.
44. Exercices de lutte contre l’incendie.
45. Études spécifiques dégâts des eaux.
46. Évacuation de l’eau.
47. Environnement technique (électricité, climatisation).
48. Choix sécuritaire des configurations.
49. Études préliminaires (impact après sinistre).
50. Étude de la solution de back up (moyens de secours).
51. Existence d’un plan de secours.
52. Mise à jour régulière du plan de secours.
53. Existence d’une solution de back up.
54.Choix sécuritaire des liaisons de télécommunication de secours.
55. Tests de la solution de back up.
56. Organisation d’un back up des compétences (risque d’expertise).
57. Existence d’une solution de back up en temps réel.
58. Choix des équipements micro-informatiques.
59. Moyens de sauvegarde.
60. Moyens de lutte antivirus.
61. Cohérence des systèmes répartis.
62. Système cohérent et centralisé de contrôle des accès logiques.
63. Suivi des accès aux ressources sensibles (log).
64. Identification et authentification de chaque utilisateur.
65. Suivi des tentatives de connexions infructueuses.
66. Mise à jour des droits et des habilitations lors d’un mouvement de
personnel.
222
67. Étude préalable de la sécurité physique du réseau.

68. Étude préalable de la sécurité logique des réseaux.
69. Utilisation de protocoles sécuritaires normalisés dans les échanges
interentreprises.
70. Sécurité spécifique des transmissions sensibles dans les échanges
internes de l’entreprise.
71. Privilège et contrôle d’accès aux fonctions de communication.
72. Sécurisation des connexions externes aux serveurs de l’entreprise.
73. Sécurité des accès externes des postes de travail et/ou des réseaux
locaux.
74. Séparation des fonctions exploitation/administration.
75. Structure d’administration des bases de données.
76. Formalisation des procédures d’archivage.
77. Existence d’une fonction de gestion des supports archivés.
78. Stockage sécurisé des supports informatiques.
79. Stockage sécurisé des supports originaux et licences des logiciels.
80. Procédures de transfert sécurisé des supports informatiques.
81. Procédures de sortie d’informations sensibles de l’entreprise.
82. Plan de sauvegarde/restauration des données (utilisateur et
techniques).
83. Test régulier de restauration des sauvegardes.
84. Sauvegarde régulière des serveurs.
85. Séparation des fonctions développement et exploitation.
86. Moyens de lutte contre les sabotages immatériels.
87. Règles de journalisation des accès aux réseaux locaux.
88. Procédures de lutte antivirus.
89. Suivi des incidents d’exploitation.
90. Suivi des prestations de sous-traitance.
91. Procédures de recette avant mise en exploitation.
92. Définition d’un dossier de recette utilisateur pour chaque projet.
223
93. Prise en compte de la sécurité dans la méthode de conduite de projet.

94. Prise en compte de la piste d’audit dans la méthode de conduite de
projet.
95. Normalisation des contrôles programmés.
96. Documentation des applications.
97. Sécurisation des programmes sources.
98. Formalisation des relations avec les fournisseurs de logiciels.
99. Choix des fournisseurs de progiciels.
À l’issue de ces différents contenus, nous invitons nos lecteurs à parcourir

ces différentes démarches méthodologiques et autres check-lists, puis
les confronter à d’autres référentiels méthodologiques ou normatifs
existants : ITIL, COBIT, ISO, etc.
L’objectif consiste, pour chacun d’entre vous, de construire puis utiliser

une démarche adaptée à vos besoins, permettant de maîtriser au mieux
les risques informatiques. Vous l’aurez compris, je ne plaide pas pour
l’utilisation d’une démarche plutôt qu’une autre, pour une check-list plutôt
qu’une autre ou pour un référentiel normatif plutôt qu’un autre. Toutes
les approches sont intéressantes, légitimes, positives et potentiellement
riches de sens et d’impacts pour votre organisation.
Une seule priorité : réduire en permanence le coût du risque associé aux

enjeux opérationnels majeurs que représente l’informatique d’entreprise.
À vous de déterminer, individuellement, l’approche qui vous correspond le
mieux, et qui répond le mieux, surtout, aux besoins de votre organisation.
Quels que soient les référentiels ou démarches méthodologiques utilisés,

un seul objectif doit vous guider en permanence : réduire le coût du risque
informatique pour votre organisation. Adopter méthodes et stratégies
de couverture des risques en cohérence avec vos objectifs stratégiques
d’entreprise.
224
Du risque projet
Alors que vous explorez les risques informatiques dans le cadre de votre
réflexion sur les risques opérationnels de l’entreprise, il me semble
opportun de vous soumettre une dernière approche susceptible d’apporter
du sens et de la valeur à votre action.
Comme vous le savez certainement, la majeure partie des risques

informatiques est issue d’une défaillance du mode projet dans
l’organisation. En effet, combien d’entreprises ont-elles déjà passé
par pertes et profits des montants exorbitants de temps et d’argent en
développements informatiques qui, au final, s’avéraient inadaptés aux
besoins initiaux ?
Combien d’entre nous ont été engagés dans des modes projet coûteux et
consommateurs de temps et d’énergie, parfois, en pure perte ?
La majeure partie des risques informatiques provient d’une maîtrise

inadaptée du mode projet informatique : besoins mal qualifiés, démarche
projet défaillante, défaut de cohérence entre objectifs, besoins et
livrables, déficit de compétences, erreurs techniques, fonctionnelles ou
organisationnelles, etc. Au final, le principal risque informatique, c’est
peut-être le projet informatique en lui-même, quel qu’il soit !
La question méritant d’être posée, à la lumière de mon expérience

personnelle, je vous propose de vous approprier, dans le cadre de la
maîtrise des risques informatiques de votre entreprise, une démarche
méthodologique destinée à réduire les risques projet de l’entreprise, de
manière plus particulièrement dédiée à la mécanique du mode projet
informatique.
Un projet constitue un objet organisationnel bien particulier. Et la mise

en oeuvre d’un projet informatique expose l’organisation à de nombreux
risques informatiques qu’il convient de maîtriser au mieux.
Parmi les risques à considérer dans le cadre d’un mode projet informatique,
il peut être utile de se questionner sur les points suivants :
1. Modèle de données incohérent pour comptabilité avec autres modèles.
2. Modèle de données non évolutif.
225
3. Non-conformité aux règles internes (charte informatique, stratégie de

l’entreprise, instructions…).
4. Non-conformité aux règles externes (lois et réglementation en vigueur).
5. Non prise de connaissance exhaustive des normes internes à respecter.
6. Non prise de connaissance exhaustive des normes externes à respecter.
7. Absence de mécanisme de veille réglementaire externe.
8. Absence de mécanisme de veille réglementaire interne.
9. Absence de cohérence avec le schéma directeur du SI.
10. Absence de cohérence avec la politique de sécurité du SI de l’entreprise.
11. Méconnaissance des règles de la politique de sécurité de l’entreprise.
12. Mauvaise interprétation des règles de la politique de sécurité de
l’entreprise.
13. Action de malveillance sur données détenues par l’entreprise.
14. Action de malveillance sur les applications utilisées, installation
d’applications illicites.
15. Action de malveillance sur matériels (détérioration ou vol
d’équipements informatiques).
16. Mise en production d’une application nouvelle non pertinente
(couverture applicative inadaptée).
17. Mise en production d’une application défectueuse (régression
applicative, bugs non corrigés).
18. Mise en production d’une application instable (régression de l’existant).
19. Oubli de traitement des non-conformités rencontrées en phase
recettage d’une nouvelle application.
20. Absence de plan de formation lors du déploiement d’une nouvelle
application (accompagnement).
21. Qualité perfectible du plan de formation lors du déploiement d’une
nouvelle application (perte de valeur).
22. Plan de déploiement non réalisable (par manque de ressources
humaines ou matérielles).
23. Non-respect des délais par les partenaires internes à l’entreprise
(service informatique).
226
24. Obsolescence des outils en cours impactant la bonne réalisation des

activités (capacité, temps de réponse).
25. Méconnaissance des normes et des standards exigibles (règlement en
ligne, sécurisation des paiements).
26. Non-respect des normes et des standards exigibles (sécurisation des
transactions EDI, contraintes CNIL…).
27. Non application effective des normes et des standards exigibles (mise
en oeuvre incomplète).
28. Non prise en compte de l’évolutivité des normes et des standards
exigibles (système figé non évolutif).
29. Absence de gestion du parc matériel (incohérence, performances
dégradées).
30. Mauvaise gestion du parc matériel (identification, localisation, perte
des actifs mis en oeuvre).
31. Absence de maintenance du parc matériel (panne, indisponibilité,
helpdesk saturé).
32. Mauvaise gestion de la maintenance associée au parc matériel.
33. Incompatibilité des configurations (hétérogénéité des environnements
logiques).
34. Incompatibilité des modèles de données (limitation de développements
nouveaux).
35. Dégradation de performance par suite d’une mauvaise utilisation
(défaut de formation).
36. Pertes de données.
37. Pertes d’accès.
38. Non-respect des procédures ou des modes opératoires.
39. Évolution des procédures associées non prises en compte, évolution
organisationnelle incohérente.
40. Méconnaissance des évolutions de procédures associées (diffusion,
formation, suivi).
41. Absence de visibilité sur la traçabilité des évolutions de procédures
réalisées (formalisation).
42. Absence de visibilité sur la traçabilité des évolutions logicielles
réalisées (gestion de la connaissance).
227
43. Absence de visibilité sur la traçabilité des évolutions matérielles

réalisées.
44. Documentation non réalisée (gestion de la connaissance).
45. Documentation incomplète (qualité de la documentation produite).
46. Documentation présentant des erreurs (gestion de la connaissance).
47. Documentation potentiellement indisponible (absence de back up,
disque local non sauvegardé).
48. Dégradation des performances des prestataires internes.
49. Dégradation des performances des prestataires externes (TMA,
maintenance parc matériel).
50. Non-conformités fonctionnelles trop importantes (perte de
compétitivité, de productivité).
51. Non-conformités techniques trop importantes.
52. Délai lors du déploiement de la solution (gestion des délais de livraison,
de mise en production).
53. Rejet par l’utilisateur de l’outil ou de la solution mise en oeuvre (projet
final inadapté).
54. Régression de la performance suite à mise en oeuvre de la solution.
55. Performance de la solution inférieure aux attentes du cahier des
charges initialement produit.
56. Mise en production de la solution avec existence d’anomalies majeures
récurrentes.
57. Problème d’intégrité des données émises/données reçues.
58. Problème de traçabilité des données émises/données reçues.
59. Problème de confidentialité des données émises/données reçues.
60. Délai de mise à disposition des données pour analyse, traitement,
exploitation (lenteur, fiabilité).
61. Défaillance majeure d’un processus impacté par la solution déployée.
62. Défaillance majeure d’outils/système impactés par la solution
déployée.
63. Non détection d’anomalie ou d’incident post-déploiement.
64. Non traitement d’anomalie ou d’incident post-déploiement.
228
65. Gestion de la communication utilisateurs défaillante suite à incident.

66. Non-respect des procédures mises en place.
67. Défaillance des procédures mises en place.
68. Données transmises au client : erronées, indisponibles, non intègres,
inexactes.
69. Données créées pour exploitation : erronées, indisponibles, non
intègres, inexactes.
70. Mauvaise définition des spécifications souhaitées pour la solution
envisagée.
71. Absence d’outil de pilotage de fiabilité de la solution nouvellement
mise en place.
72. Absence d’outil de pilotage de disponibilité de la solution nouvellement
mise en place.
73. Absence d’outil de pilotage d’activité de la solution nouvellement mise
en place.
74. Absence d’outil de mesure d’activité de la solution nouvellement mise
en place.
75. Absence d’outil de mesure de la qualité des données émises/reçues/
transmises.
76. Absence d’outil de mesure de la productivité de la solution déployée.
77. Prise en compte des interactions avec les autres systèmes
potentiellement impactés.
78. Prise en compte des interactions avec les processus métiers impactés.
Au final, cette liste vous permettra de mieux identifier les principaux

risques informatiques à ne pas oublier lors de tout amorçage d’un projet
informatique dans l’entreprise. C’est, du moins, ce que nous espérons !
Ne pas oublier d’identifier et de maîtriser les risques directement ou

indirectement liés à la mise en oeuvre d’un mode projet informatique
dans l’entreprise. Il peut engendrer de multiples risques à ne pas négliger.
Vous l’aurez compris, les risques informatiques constituent une famille de

risques opérationnels à part, mais qu’il convient de maîtriser au mieux,
229
compte tenu de leur permanence et de leur prégnance sur les activités

opérationnelles de toute entreprise.
Même si vos activités ne sont pas liées aux métiers de l’informatique, ne

pas négliger l’importance de l’outil informatique dans le cadre de votre
lecture des risques opérationnels de l’organisation. La plupart des cycles
d’exploitation, pour ne pas dire l’intégralité des cycles d’activités et des
processus opérationnels de la majeure partie des organisations repose
sur la qualité, la fiabilité et la sécurité des transferts d’information et de
données, donc sur la qualité et la robustesse des outils, applications et
traitements mis en oeuvre via l’informatisation des modes opératoires.
Qu’il s’agisse de flux, de stocks, de procédés, de modes opératoires, de

processus ou d’opérations physiques, l’informatique contribue de manière
essentielle à la structuration et à l’élaboration de la chaîne de valeurs
que chaque entreprise délivre à son client. C’est un risque opérationnel
essentiel à ne pas sous-estimer, encore moins à négliger. Et cela est vrai
tant pour la TPE que pour la multinationale !
Le risque informatique constitue, avec une très grande lucidité, l’un des
risques opérationnels majeurs que l’entreprise doit maîtriser au mieux,
mais pas à n’importe quel prix. La maîtrise du coût du risque informatique
doit engager une réflexion approfondie relative aux coûts d’opportunité
(à faire ou à ne pas faire), et à la meilleure stratégie à adopter pour
l’organisation.
Cette réflexion lucide sur le coût du risque informatique dans l’entreprise

s’impose, afin de ne pas tomber dans le syndrome de la surqualité ou le
déploiement de solutions maximalistes de sur-sécurité, trop souvent
contre-productives pour l’organisation.
Plus que jamais, la gestion de la rareté des ressources (et donc des moyens
de couverture des risques à déployer) s’impose dans toute démarche
structurée de maîtrise des risques informatiques.
Néanmoins, sachez adopter une démarche offensive vis-à-vis de ce risque

opérationnel d’importance. Ne subissez pas votre informatique, vos
infrastructures, l’indisponibilité de vos données ou de vos traitements.
Prenez l’enjeu informatique dans sa globalité, avec humilité, lucidité et
pragmatisme, et investissez dans la maîtrise des risques informatiques !
Vos risques opérationnels vous remercieront !
230
Chapitre 3
Facteurs Humains
« Par nature, les hommes sont tous semblables,

en pratique, ils sont très différents. »
Confucius
Cette citation de Confucius traduit à mon sens, et de la meilleure manière,

l’enjeu opérationnel que nous abordons à présent. Pourquoi considérer
les facteurs humains et leurs risques associés comme des risques
opérationnels ? Tout simplement parce qu’ils constituent l’essence
même de toute organisation, la base de toute création de valeur et de
pérennité d’un projet d’entreprise. La mise en œuvre d’une organisation
à but professionnel, quelle qu’elle soit, s’appuie avant tout sur ses
composantes humaines, sur leurs connaissances, sur leurs compétences,
et sur leurs talents. La MAÎTRISE des risques relatifs aux enjeux sociaux et
psychosociaux des organisations s’impose comme l’un des risques source
majeur de tout risque opérationnel.
Ainsi, il semble essentiel de considérer les risques « facteurs humains »

comme des risques opérationnels à part entière, et de manière dédiée.
Abordons en conséquence cet enjeu dans cette double perspective : un
élément contributif majeur de tous les risques opérationnels en présence,
et une classe de risques opérationnels spécifique.
231
Il n’est de risques que d’hommes

Quel que soit le projet d’entreprise, le dimensionnement des espérances
portées par l’entrepreneur, le créateur ou le repreneur, l’historique,
l’activité ou la taille de l’organisation, force est de constater que les
facteurs humains représentent le mât d’artimon, la clé de voûte de toute
organisation. Au-delà de l’énoncé de cette banalité, il apparaît primordial
de rappeler à chacun que derrière chaque risque, pour ne pas dire à la
source de chaque risque, il y a un homme, ou presque.
Même si une inondation, un tremblement de terre ou une explosion sont

le fait d’éléments ou d’événements qui nous échappent encore la plupart
du temps (et heureusement !), la majeure partie des risques concrétisés
en entreprise est l’expression, à un moment ou à un autre, de l’action, de
la réflexion, de l’absence ou de la démarche volontaire ou non d’un acteur
interne ou externe à l’organisation.
Nous avons écrit, dans un précédent ouvrage, « qu’il n’est de risques que
d’hommes. » Plus que jamais, et à la lumière de notre expérience du risque
en entreprise, cette maxime semble se révéler plus vraie que jamais,
traduisant effectivement la réalité du risque en entreprise.
Du dirigeant à l’actionnaire, du partenaire bancaire au fournisseur,

de l’agent d’accueil au directeur financier, du gérant au salarié, du
responsable de service au stagiaire, chacun d’entre nous va contribuer à la
construction du risque dans l’organisation, à son émergence, à sa maîtrise
et/ou à son coût induit en cas de survenance.
Nous sommes tous les acteurs du risque de nos entreprises. Nos activités
opérationnelles, au quotidien, nourrissent notre fabrique des risques.
Chaque jour, la moindre de nos actions, de nos décisions, de nos réflexions
engendre la potentialité future de la concrétisation d’un risque. Nous
devons tous en être conscients et nous interroger au quotidien, à travers
les actions que nous entreprenons, à l’impact de nos décisions et leur
traduction en termes de risques.
Que se passera-t-il si je décide de ne pas suivre la procédure 212 ? Quel

sera l’impact du lancement du produit Y sur le marché Z ? Devons-nous
racheter ce concurrent ? Faut-il implanter un magasin à cet endroit plutôt
qu’un autre ?
232
FACTEURS HUMAINS
Toutes les décisions quotidiennes d’entreprise créent, évitent ou réduisent

des risques.
Et nous devons prendre des risques, au quotidien, tous les matins. Et ce

pour une raison simple : sans prise de risque, il n’y a pas – ou il n’y aura
pas – de création de valeur.
Le questionnement au risque doit être intégré comme une démarche
volontariste et positive de la création de valeur. Les dirigeants, les
entrepreneurs, les créateurs, les responsables passent leurs journées à
prendre des risques, avec humilité, lucidité et pragmatisme. Soyons-en
tous bien conscients.
Sans prise de risque, il n’y a pas d’entreprise qui réussit. Mais toute prise
de risque doit être réalisée en conscience, avec humilité et pragmatisme, à
la lumière des enjeux pris et de leurs conséquences éventuelles.
Sans prise de risque, il n’y a pas de création de valeur. L’entreprise, c’est

la prise de risque permanente, mais dont les tenants et les aboutissants
doivent être, si possible, compris et maîtrisés.
Ainsi, et individuellement, nous exposons l’entreprise au risque. Et nous

avons tous un profil risque particulier. Compte tenu de notre éducation,
de notre parcours individuel, de notre formation, de notre expérience, de
nos schémas de pensées, de nos cadres de référence, notre rapport au
risque va se forger en permanence, en quotidien. Et ainsi, orienter notre
appétence – ou notre rejet – de manière plus ou moins marquée, face au
risque.
Chacun d’entre nous présente un profil risque individuel, spécifique et

particulier. Il est le fruit de notre parcours personnel et professionnel,
de notre vécu, de notre personnalité, de notre expérience individuelle et
collective des risques. L’appétence ou le rejet du risque conditionnera ainsi,
à des degrés divers, chaque acteur d’entreprise et chaque comportement
individuel face aux risques qui se présenteront, quels qu’ils soient.
Interrogez-vous brièvement sur le « profil risque » de votre collègue, de

votre pair, de votre adjoint, de votre responsable. Est-il/elle « risque
adverse » ? Ou plutôt preneur de risques ? Se questionner permet ainsi
de mesurer l’importance du profil risque de chacun, et la manière dont
ce profil influe – ou peut influer – le comportement individuel, la prise de
233
décision ou l’action au quotidien dans l’entreprise lorsqu’on est confronté

au risque.
Voilà pourquoi il nous apparaît essentiel de ne pas négliger l’appréhension

des facteurs humains lorsqu’on traite des risques opérationnels en
entreprise. Car les risques « facteurs humains », qui vont s’articuler
entre risques sociaux et psychosociaux, seront à la racine de chaque
concrétisation potentielle des risques opérationnels que nous avons
déjà parcourus. Et ils constitueront également une classe de risques
opérationnels à part entière, à traiter et considérer comme telle, compte
tenu de son incidence sur la qualité, la performance et la pérennité des
cycles d’exploitation de l’entreprise.
Le choix d’une infrastructure technique, organisationnelle et/ou de

solutions sécuritaires pour un site ne serait-il pas conditionné, avant toute
autre chose, par le profil risque du responsable des moyens généraux qui
en a la charge ? La décision de lancer – ou de ne pas lancer le produit X ne
serait-elle pas influencée par la « culture risque » de l’équipe qui prendra
la décision ultime ? Quel est l’empreinte « risque » du responsable en
charge d’une décision ? Comment expliquer la mise en oeuvre d’un mode
opératoire sans points de contrôle, si ce n’est à travers le prisme du profil
risque du décideur ? Quelle est l’expérience du risque de l’acteur en charge
du dispositif ?
Ainsi, au fil de l’eau, vous allez peu à peu intégrer la perception du risque
et le profil risque des acteurs qui vous entourent dans votre rapport au
risque et à la manière dont les décisions seront prises. Vous serez surpris
de l’impact que cette réflexion peut engager si vous l’exposez lors d’un
échange. Une lecture lucide, franche et pragmatique permettra très
souvent d’amender ou de relativiser une position ou une prise de décision,
à la lumière des motivations « risques » des parties prenantes.
Prenons un exemple.
Vous lancez un projet et constituez ainsi une équipe projet. Si tous les
membres de cette équipe présentent le même profil risque (même
formation, parcours professionnel similaire, personnalités proches), face
à une situation donnée, vous obtiendrez logiquement la même réponse
collégiale, la même solution à mettre en place. Or, votre valeur ajoutée
viendra de la confrontation des points de vue et des idées différentes
pour traiter le problème ou l’incident, à l’appui d’un rapport au risque
234
FACTEURS HUMAINS
différencié. Combien d’équipes projet sont-elles en échec à cause de la

non détermination appropriée des d’un manque de diversité dans les
profils risques de leurs acteurs ? La mesure d’un coût d’opportunité à faire
– ou à ne pas faire – une action, est très souvent enrichie par l’apport de
profils risques en contradiction, qui nourriront la réflexion collective.
Attirons, d’ores et déjà, l’importance du profil risque de chaque acteur

d’entreprise, afin d’en mesurer l’impact dans le cadre de la réalisation
des processus opérationnels. En conséquence, abordons les principaux
risques associés aux facteurs humains, c’est-à-dire à l’interaction de
l’homme et du système organisationnel dans lequel il évolue, car elle sera
très souvent source de risques multiples, et majeurs.
Nous distinguerons en conséquence deux grandes natures de risques

associés aux facteurs humains dans l’entreprise : d’une part, les risques
sociaux, et d’autre part, les risques psychosociaux. Ces deux catégories
nourrissent l’enjeu du risque « facteurs humains » dans l’entreprise,
constituant ainsi un périmètre de risques opérationnels critiques pour
toutes les organisations, quelles qu’elles soient.
Risques sociaux
Par expérience, et afin d’assurer une articulation pertinente et simplifiée
des enjeux associés aux facteurs humains, les risques sociaux de
l’entreprise peuvent être, selon nous, considérés à travers le prisme de
trois grandes dimensions.
Ces trois grands axes de réflexion au titre des risques sociaux dans
l’entreprise s’avèrent fondamentalement complémentaires, distincts mais
profondément interconnectés. Nous vous proposons de considérer l’enjeu
social dans l’entreprise autour des dimensions suivantes :
-- Les risques liés, directement ou indirectement, à la qualité et à la
sérénité du climat social dans l’entreprise, permettant à chacun, dans son
rôle, d’exercer ses activités dans les meilleures conditions d’interaction,
de compréhension et de vision partagée. Ces risques seront in fine
fondamentalement conditionnés à la capacité de l’équipe dirigeante (et
ses relais opérationnels) de créer et/ou maintenir les conditions propices
à l’émergence d’un climat social serein.
235
-- Les risques liés au turn-over des équipes constitutives de l’entreprise, et

notamment l’enjeu critique de la perte de compétences non anticipée et/ou
non préparée. Au-delà des risques associés à la gestion des connaissances
(qui constitue dans notre démarche une classe de risques à considérer à
part entière), l’instabilité des ressources de l’organisation engendre une
multitude de risques opérationnels indirects (notamment en cas de perte
de compétences critiques).
-- Les risques liés à l’application du droit social dans l’entreprise, compte
tenu de la complexité, de la densité et de l’évolutivité des règles légales et
sociales encadrant les relations de travail au sein de l’organisation. De nos
jours, les règles sociales et légales à respecter dans le cadre du rapport au
travail apparaissent d’une complexité telle que de multiples risques liés
sont à identifier, comprendre et maîtriser au mieux.
Ces trois dimensions, fortement liées, permettent de mettre en perspective

cette notion de risques sociaux dont le périmètre peut apparaître assez
flou car l’appréhension des risques liés à l’individu, acteur critique dans
la création de valeur produite par l’entreprise, demeure complexe et
sensible, compte tenu de la difficulté à traiter le « facteur humain »
dans l’organisation. L’homme constitue le vecteur critique de stabilité
et de développement des connaissances, des compétences, et la bonne
adéquation entre les talents mis en oeuvre et les besoins réels ou
potentiels, immédiats ou à venir, de l’entreprise.
Mais cette contribution critique à la valeur ne peut se réaliser complètement

et de manière pérenne que dans un cadre d’action serein (la qualité du
climat social), où les acteurs contributifs, quels qu’ils soient, se projettent
en toute confiance, quelle que soit la durée de la présence minimale
requise (la maîtrise du turn-over), et où les conditions d’exécution des
activités résultent d’une lecture appropriée des obligations légales et en
cohérence acceptée par tous avec les enjeux de l’organisation (conformité
au droit social et du travail).
Maîtriser les risques sociaux résulte pour l’essentiel de la qualité du climat

social, de la maîtrise du turn-over et des compétences et de la mise en
adéquation des conditions d’exécution des métiers et des fonctions avec
les obligations légales et réglementaires en présence.
236
FACTEURS HUMAINS
Du climat social
Le premier risque susceptible de fragiliser l’entreprise au titre de ses
risques sociaux en présence est donc lié à la qualité du climat social dans
l’entreprise. La qualité du climat social résulte fondamentalement de
la capacité de l’équipe de direction, tant au sein de ses instances qu’au
sein de l’entreprise, quel que soit le niveau hiérarchique ou opérationnel
considéré, à assurer aux acteurs de l’entreprise un environnement humain
propice à la réalisation sereine des activités.
Cette réalisation au quotidien va permettre à chacun, quelle que soit sa

fonction, de mener à bien les tâches, actions et missions confiées de la
meilleure manière avec efficacité, pragmatisme et pertinence, et assurer
ainsi le meilleur niveau de contribution à la chaîne de valeur globale de
l’entreprise.
De la qualité du climat social va découler la qualité des interactions entre

les collaborateurs, au sein des équipes, entre les équipes, dans le cadre des
échanges hiérarchiques ou fonctionnels, et permettre ainsi une véritable
sérénité des actions et des comportements au sein de l’organisation.
Bien évidemment, nul angélisme n’est approprié lorsqu’on aborde les

enjeux sociaux dans l’entreprise. Il y aura toujours, en permanence, des
désaccords, des contradictions, la gestion de situations ou de positions
incohérentes, incomprises, nourrissant frustration, rancune ou aigreur
potentielle. Telle est la réalité de tout groupe humain, et nul ne peut
changer la nature humaine.
Par contre, la qualité du climat social sera à même de permettre et de

favoriser la libération de la parole et la confrontation positive, source
de valeur. Autant le conflit pour le conflit, pour l’influence, le pouvoir ou
l’expression de la volonté sont stériles, autant l’échange, le partage et la
confrontation bienveillante des idées et des points de vue seront riches
de sens pour l’organisation. Il apparaît, en conséquence, essentiel de tout
faire pour que le climat social de l’organisation soit apaisé.
237
Concrètement, les risques associés au climat social sont assez simples à

détecter lorsqu’ils se concrétisent. Ainsi, parmi ces principaux risques, on
remarquera aisément :
- les risques de voir émerger, puis perdurer, un mouvement social, partiel
ou total, perturbant un ou plusieurs processus opérationnels, de manière
temporaire, permanente ou diluée ;
- les risques de voir émerger, puis perdurer, une grève, partielle ou totale,
susceptible de bloquer ou paralyser entièrement un cycle d’exploitation,
un site, une activité ;
- les risques de voir émerger, puis perdurer, des actions de débrayage
d’activité, perturbant la réalisation de certains modes opératoires (perte
d’efficacité, sous-performance, baisse qualitative et/ou quantitative
des activités, impact sur les autres dimensions opérationnelles de
l’entreprise) ;
-- les risques de voir émerger, puis perdurer, toute action de salariés
détériorant l’activité, les pratiques ou les actifs de l’organisation (blocage
ou détérioration volontaire ou involontaire des actifs par négligence ou
malveillance, altération des équipements ou des matériels, dégradation
des stocks de matière première par grève du zèle, production d’incidents
ou d’insatisfactions clients, quels qu’ils soient…).
Fondamentalement, les risques sociaux vont donc impacter le client,

directement ou indirectement, à cause d’un climat social dont les
conditions de réalisation apparaissent heurtées ou dégradées. Le climat
social de toute organisation constitue le risque social prioritaire à
considérer. La maîtrise de la qualité de climat social nécessite donc :
-- une lecture lucide de la part de l’équipe de direction et d’encadrement ;
-- une démarche volontariste, cohérente et affirmée de l’équipe dirigeante
dans sa stratégie d’élaboration, d’animation et de maintien de la qualité
espérée du climat social dans l’organisation ;
-- une méthode et des outils de détectabilité de signes précurseurs
permettant d’identifier d’éventuelles dégradations futures dudit climat
social.
Le rôle de l’encadrement – et de ses relais de communication et de

direction – s’avère primordial dans la qualité effective du climat social
déployé dans l’entreprise.
238
FACTEURS HUMAINS
La qualité du climat social de l’entreprise constitue l’enjeu majeur des

risques sociaux. Elle repose sur la capacité de l’équipe de direction et
d’encadrement à définir et animer le climat social recherché, à l’appui
d’une démarche cohérente et volontariste d’animation et de détection des
signes précurseurs d’éventuelles dégradations.
Au-delà des risques sociaux décrits précédemment, d’autres situations à

risque sont susceptibles d’émerger dans l’organisation et seront sources de
risques opérationnels potentiellement significatifs, notamment à l’appui
de l’existence de conflits latents. Ces conflits latents entre personnes ou
équipes, individualisés ou collectifs, peuvent apparaître à tout moment et
à tous les échelons de l’entreprise, sans restriction :
-- au sein de la gouvernance de l’entreprise (conflit entre actionnaires, au
sein du conseil d’administration) ;
-- au sein des instances de direction de l’entreprise (comité exécutif,
comité de direction, comité fonctionnel) ;
-- au sein des directions opérationnelles de la société ;
-- entre la direction de l’entreprise et les salariés ;
-- entre la direction de l’entreprise et les membres des instances
représentatives (instances et représentations syndicales, comités
d’établissement, délégations du personnel…) ;
-- entre les responsables de services, de département et collaborateurs
[interactions dégradées entre (N-1) et (N-2)] ;
-- entre les collaborateurs, les salariés, les services, les filiales, les entités
opérationnelles différentes ou identiques.
La qualité du climat social demeure notamment intimement liée à la

qualité des échanges au sein des instances représentatives du personnel
et à la qualité des échanges lors des réunions entre direction d’entreprise
et représentants des salariés, syndiqués ou non.
L’enjeu prioritaire pour toute organisation consiste donc à maintenir une

véritable paix sociale, solide et durable, et assurer le fonctionnement
permanent et serein de l’entreprise, dans une démarche pérenne d’écoute,
de respect et de compréhension mutuelle, malgré l’antinomie potentielle
des objectifs recherchés et des contraintes subies.
239
La maîtrise du climat social et de ses risques associés, principaux enjeux

des risques sociaux, passe en conséquence par plusieurs fondamentaux
managériaux que nous estimons judicieux de rappeler ici, afin de maîtriser
au mieux ce risque social critique pour toute organisation :
-- existence, qualité et fréquence effective des mécanismes de
communication interne, ascendants et descendants ;
-- écoute et pilotage effectif de la « satisfaction salariés » ;
-- partage d’une vision, de valeurs et d’objectifs collectifs reconnus par
tous et source de fédération, de motivation et d’engagement individuel et
collectif ;
-- renforcement de certaines notions essentielles dont la compréhension
et l’adhésion doivent être non négociables au sein de l’organisation,
quelle qu’elle soit et quels que soient ses enjeux ou ses objectifs : intégrité,
exemplarité, respect de l’autre et rapport à l’exigence.
À l’appui de ces quelques leviers, la qualité du climat et ses risques associés

doit être plus simplement définie et maîtrisée, en constance.
Chaque dirigeant, chaque responsable d’encadrement doit se questionner

au quotidien sur la qualité du climat social au sein de son organisation, de
son équipe, et demeurer à l’écoute permanente de la détection de signaux
précurseurs de risque de dégradation, afin de pouvoir réagir de manière
appropriée.
Le risque du turn-over
Le risque social lié au turn-over des collaborateurs, c’est-à-dire à la
rotation des équipes constitutives des entreprises par suite de départ
non souhaité ou non anticipé d’un collaborateur, constitue le second
risque social sur lequel nous souhaitons attirer votre attention. En effet,
la maîtrise des connaissances, des compétences et des talents constitue le
levier critique de la pérennité de l’entreprise. Une entreprise n’existe que
grâce à la valeur créée par chacun de ses maillons. Si l’un des maillons de
la chaîne disparaît, de manière non détectée ou non anticipée, la structure
de la chaîne de valeur peut être significativement impactée et déstabiliser
en profondeur l’organisation.
La perte d’un homme-clé, d’une compétence critique non prévue est

source de risque majeur pour l’entreprise. Il convient donc de maîtriser
240
FACTEURS HUMAINS
au mieux ses causes profondes, en commençant par les identifier et les

comprendre de manière lucide et pragmatique.
Le risque de turn-over doit être apprécié à plusieurs niveaux :

-- turn-over des équipes opérationnelles, c’est-à-dire des acteurs
opérationnels en charge de tout ou partie d’un processus contributif aux
différents cycles de l’entreprise : production, commercialisation, fonctions
supports, dispositifs de contrôle, etc. ;
-- turn-over des équipes d’encadrement (middle management), qui
animent les équipes opérationnelles et qui sont très souvent exposées
au double feu des tensions et des critiques, tant de la part des équipes
qu’elles encadrent que de leur propre hiérarchie ;
-- turn-over des équipes de direction (comité de direction, comité
exécutif), dont l’engagement et la criticité d’action et de réflexion rendent
particulièrement sensible tout départ subi ou non maîtrisé.
Nous vous invitons à engager la réflexion sur le risque de turn-over à

l’appui de cette segmentation non pour des raisons de hiérarchie, mais
pour des raisons d’homogénéité des enjeux à maîtriser.
Subir le départ inopiné d’un cadre dirigeant, d’un encadrant critique ou

d’un acteur opérationnel clé ne se traitera pas de la même manière, car les
risques associés seront souvent différents.
Le risque de turn-over engendre potentiellement l’émergence des fragilités

suivantes :
-- perte de connaissances sensibles ou critiques détenues par le salarié (à
appréhender par niveau précédent), et dont la capitalisation du savoir est
impossible, non réalisée ou non actualisée ;
-- perte de compétences directement détenues par le salarié en partance,
et dont le contenu sera difficilement capitalisable par l’entreprise, au-
delà de la documentation de pratiques opérationnelles ou de retour
d’expérience ;
-- risque de désorganisation de l’entreprise, avant, pendant ou après
le départ du collaborateur (départ collectif d’un département, d’une
équipe commerciale, d’une équipe opérationnelle, impacts de dommages
collatéraux en cas de démissions mal gérées en interne…) ;
241
-- incapacité ou difficulté à recruter ou remplacer en interne le profil en

partance le cas échéant (pénurie de compétences identiques sur le marché
du travail, cherté du profil ou du recrutement à engager…) ;
-- perte d’un « homme clé », dont le départ impacte lourdement et/
ou durablement l’entreprise (acteur commercial essentiel majeur
représentant plus de x % du chiffre d’affaires, renom ou réputation du
collaborateur qui quitte l’organisation, rareté du profil, collaborateur
parti à la concurrence, perte d’une compétence technique essentielle,
perte de réseaux ou de carnets d’adresses, impacts sur les autres salariés,
démotivation, désengagement, multiplication de l’exemple…).
Fondamentalement, et malgré les risques directs ou indirects liés au turn-

over, nous sommes personnellement intimement convaincus de l’intérêt
de la rotation des équipes, des emplois et des compétences au sein des
organisations. Donc, de l’acceptation, voire l’encouragement de turn-over
au sein des organisations.
En effet, autant l’incapacité à détecter le départ impromptu d’un

collaborateur critique peut refléter l’inconsistance des dispositifs de
gestion des compétences et des talents dans l’entreprise, autant le départ
de collaborateurs ou d’équipes non dédiées ad vitam aeternam m’apparaît
nécessaire, voire bénéfique.
Apporter en permanence « du sang neuf » dans l’entreprise, gérer le plus

finement possible l’équilibre subtil entre expérience et vision nouvelle,
apport renouvelé de compétences et maturité des connaissances, profils
« juniors » et « seniors » constituent des vecteurs essentiels de création de
richesse pour les entreprises.
Certes, le turn-over constitue un risque social majeur à maîtriser dans

l’organisation. Nous en avons parcouru les principaux impacts ci-dessus.
Toutefois, le risque semble plus concentré sur l’enjeu de la détection
des signes précurseurs permettant d’identifier les futurs partants (et de
préparer et organiser leur départ et leur remplacement), que le risque
lui-même.
De nombreuses grandes entreprises bâtissent leur politique de gestion des

compétences sur un modèle de rotation quasi permanente des équipes, et
ce de manière très structurée (trois ou quatre années maximum dans un
poste, changement d’affectation, de poste, de métier ou de société tous les
242
FACTEURS HUMAINS
trois ou quatre ans…), partant du principe qu’au-delà d’un certain temps,

tout collaborateur intègre une certaine « routine », consciemment ou non,
et perd ainsi sa capacité d’innovation, de motivation voire de remise en
cause individuelle ou d’engagement personnel.
Dans cette démarche, la stagnation est synonyme de régression, et il

n’existe pas de bonnes habitudes, seulement des mauvaises habitudes
qui sclérosent l’individu dans une zone de confort marquée, annihilant à
terme prise de risque, ouverture d’esprit et innovation psychologique. Le
collaborateur doit évoluer, et l’entreprise avec, en permanence. D’où une
mobilité provoquée et voulue, de manière permanente et culturelle.
Cette stratégie de « mise sous tension permanente » de l’organisation

et de ses équipes, à l’appui d’un turn-over assumé voire affirmé,
potentiellement positif et source d’agilité, peut toutefois entraîner la mise
en oeuvre systématique de stratégies « court terme » (les salariés n’étant
pas « engagés » plus de quelques années sur une mission particulière),
engendrant in fine des prises de décision « long terme » sur des résultats
essentiellement « court terme ».
D’autres entreprises, au contraire, veillent à la stabilité et au maintien

absolu des compétences en interne, chaque départ ou démission d’un
collaborateur étant vécu individuellement par le dirigeant ou l’encadrant
comme une trahison, un abandon illégitime et, dans tous les cas, une
perte sensible pour l’entreprise. Ce type de stratégie provoque parfois
des prises de décisions contestables, voire totalement aberrantes (niveau
de rémunération ou de prime incohérent pour conserver à tout prix le
collaborateur qui finira par partir, réorganisation critiquable, décision
d’affectation perfectible, etc.).
Entre ces deux stratégies à l’opposé l’une de l’autre, il nous semble qu’il
appartient ensuite à chaque lecteur de définir sa propre vision de la
gestion des équipes et des compétences au sein de l’entreprise. Le turn-
over apparaît, selon nous, tout à fait sain, pour ne pas dire essentiel, au
minimum souhaitable. Il est cependant nécessaire de bien comprendre
et d’anticiper si possible les motifs du départ du collaborateur (évolution
bloquée, volonté de changement, offre concurrente alléchante, conflits
individuels…), en fonction des enjeux, et surtout de préparer de la
meilleure manière, dans la mesure du possible, son départ (grâce à une
gestion efficace des connaissances).
243
Car, au-delà des attitudes essentielles à adopter (écoute, compréhension,

communication) et des pratiques ou décisions légitimes à mettre en
oeuvre le cas échéant (renégociations, évolutions fonctionnelles ou
organisationnelles…), il apparaît totalement contre-productif à long terme
de tout faire pour conserver un salarié désireux de quitter l’entreprise. Nul
n’est irremplaçable…
L’identification et la compréhension du risque de turn-over – et de ses

impacts pour la société –doivent être également sources de réflexion
profonde de l’entreprise dans sa gestion des équipes et des compétences.
Au-delà des motivations objectives et subjectives de chaque départ non
voulu, le turn-over « subi » résulte souvent de la concrétisation inadaptée
de politiques internes non partagées de l’entreprise, ou de « sondes de
détection » non mises en œuvre. Notamment :
-- contenu, cohérence et performance de la politique de recrutement
(adéquation besoins/compétences recherchés, canaux et modes de
recrutement, politique salariale et sociale cohérente avec le marché) ;
-- contenu, cohérence et performance de la politique de formation
(adéquation besoins/plan de formation, cohérence de la stratégie retenue,
mise en oeuvre des solutions de formation appropriées : e-learning,
présentiel, formation inter ou intra-entreprises…) ;
-- contenu, cohérence et qualité de la politique de gestion des emplois et
des compétences (parcours d’évolution individuelle des salariés, écoute
des besoins et des facteurs de motivation, vecteurs et contenus des
communications internes…).
Enfin, dans la réflexion sur le risque de turn-over et de ses risques associés,

il existe un risque « naturel » et subi à ne pas négliger : l’incidence de la
pyramide des âges de l’entreprise et ses composantes. L’anticipation des
départs à la retraite, les flux massifs de départs dus au « papy boom »
constituent autant de sources de risques potentiels que l’entreprise
doit identifier, comprendre et maîtriser dans le cadre de sa gestion
prévisionnelle et proactive des emplois et des compétences.
Une démarche proactive ainsi que la mise en œuvre appropriée d’une

stratégie de recrutement et de gestion des départs, doivent permettre à
l’entreprise de faire face, avec sérénité, aux risques de turn-over « naturel »,
à ne pas négliger toutefois.
244
FACTEURS HUMAINS
Risque social majeur, le départ des connaissances et des compétences

doit être maîtrisé et non subi, à l’appui de dispositifs de détection et
d’animation adéquats. L’enjeu de la détection du risque de turn-over
prévaut largement sur celui du départ lui-même et de ses effets.
Le turn-over est bénéfique pour l’organisation, même s’il provoque parfois

l’émergence de risques induits. Détection et anticipation participent
structurellement à sa maîtrise appropriée.
Le risque social à travers le respect des obligations sociales

et légales
Dernier volet des risques sociaux qui nous apparaît essentiel pour chaque
entreprise, le dirigeant doit être extrêmement vigilant à l’égard des
risques sociaux « techniques », liés pour l’essentiel au respect des droits et
obligations sociales de l’entreprise vis-à-vis de ses salariés.
La complexité du droit et de la législation du travail ainsi que

l’interprétation des textes et règlements en vigueur à l’appui de cas de
jurisprudence toujours plus complexes à décrypter, appellent de nos
jours à une réelle maîtrise technique s’agissant des relations dans le
cadre du travail, des rapports humains dans l’entreprise et des relations
entre l’équipe dirigeante et les salariés, cette troisième famille de risques
sociaux relevant, désormais, de l’expertise.
Parmi les principaux risques sociaux techniques à identifier et maîtriser

au titre de la législation du travail et des textes associés, et bien que notre
lecture juridique des enjeux demeure limitée, nous attirons votre attention
sur les risques suivants :
-- Respect des obligations de déclaration, de cotisation et de reversement
aux différents organismes paritaires collecteurs : Sécurité sociale, URSSAF,
caisses cadres, caisse de retraite, mutuelles, complémentaires santé,
organisations sociales, etc. ; cohérence et fiabilité des calculs et des
montants versés par le salarié et l’employeur. D’expérience, de nombreuses
entreprises et, indirectement, de nombreux salariés ne déclarent pas ou
ne cotisent pas les montants effectivement nécessaires. La complexité des
calculs sociaux est telle que la seule manière de limiter ce premier risque
technique consiste à se faire accompagner par défaut, d’experts en droit
social. La fonction paie, par exemple, relève désormais, et de plus en plus,
de l’expertise de quelques acteurs susceptibles de décrypter réellement et
245
avec acuité la cohérence des éléments chiffrés des différentes natures de

charges sociales à verser de la part des salariés et des entreprises.
-- Respect des obligations sociales de tout employeur vis-à-vis de ses
salariés : droit à la formation (notamment DIF), règles sur la représentation
du personnel et des organes représentatifs (attention aux effets de
seuil : seuil des 20 salariés = existence d’un règlement intérieur ; seuil
des 50 salariés = mise en place d’un comité d’entreprise…), obligations
associées à la médecine du travail, obligations liées aux contraintes de
type Environnement, Hygiène, Sécurité… Là encore, la densité du Code
du travail impose une lecture approfondie des obligations, tant au titre
des dispositifs à déployer que du formalisme à respecter dans la mise
en oeuvre des actions (délais de convocation des instances, délais de
carence, dimension consultative ou non des instances, composantes de la
représentativité syndicale). L’avis d’experts en droit social peut, là aussi,
s’imposer.
-- Contenu, intégrité et formalisme du processus de la paie des salariés
(complexe) : un spécialiste paie n’est pas de trop à la lumière de la
complexité française d’un bulletin de salaire ! Nous ne saurions que trop
vous conseiller d’appeler un expert en la matière, compte tenu de la
complexité du système français eu égard à la rédaction et aux calculs des
différents postes d’une fiche de paie. Complexité, quand tu nous tiens !
Et toutes ces complications entraînent, malheureusement, le risque de se
tromper et de devoir un jour payer des pénalités !
-- Respect des règles en vigueur du formalisme et des pratiques de l’entrée
en relation contractuelle avec un salarié : formalisme et mise en oeuvre
du contrat de travail à durée indéterminée ; formalisme et mise en oeuvre
des contrats à durée déterminée, des missions d’intérim, des stages, des
contrats d’apprentissage, des contrats en alternance, vigilance particulière
à apporter aux thématiques de la durée du travail, aux périodes d’essai,
aux modes et procédures des ruptures des contrats ; cohérence, équité et
validité des traitements apportés aux conditions salariales : avantages en
nature, éléments variables de rémunération individuels ou collectifs, etc.,
principe permanent et démontré de l’égalité de traitement, de droit et de
chance (recrutement, évolution de carrière, rémunération).
-- Respect des règles administratives en vigueur relatives à la mise en
oeuvre des décisions managériales délicates en contexte sensible :
chômage partiel, chômage technique, plan social, licenciement
économique, rupture conventionnelle, mise en oeuvre des politiques de
recrutement des stagiaires et des intérimaires, etc.
246
FACTEURS HUMAINS
Ces différents risques sociaux, purement techniques et appelant à

l’exemplarité des comportements et des pratiques dans le cadre des
relations entre le salarié et son employeur peuvent représenter un coût
du risque non négligeable pour l’organisation, et notamment engendrer
de multiples risques indirects : impact image, dégradation des conditions
de réalisation des cycles opérationnels, dégradation ou altération de la
qualité du climat social (cf. précédent), etc.
Nous invitons chaque dirigeant responsable à une lecture acérée des

conditions techniques de mise en oeuvre des activités des salariés à la
lumière des obligations que le droit du travail impose. Là encore, cet enjeu
direct, concernant les ressources vives de l’entreprise, doit également
être appréhendé dans le cadre de la maîtrise des activités externalisées.
Le non-respect des obligations minimales ou le travail dissimulé pratiqué
par un sous-traitant peut appeler la responsabilité directe de l’entreprise.
Les enjeux financiers et pénaux n’étant pas négligeables, ce risque social
indirect doit être apprécié de la meilleure manière.
Respecter les obligations de la législation du travail s’impose, à l’appui

de l’expertise souvent nécessaire d’acteurs spécialisés des domaines
considérés (droit du travail, paie, droit social, etc.). Ne pas oublier les
pratiques de vos sous-traitants et autres partenaires, vous pourriez être
tenu pour responsable de leurs agissements indélicats !
Qu’il s’agisse de la qualité du climat social, du niveau de turn-over de

l’entreprise ou de risques sociaux techniques décrits ci-dessus, n’oublions
pas l’essentiel… la COMMUNICATION au sein de l’entreprise.
Communiquer, encore et toujours

Les récentes affaires de séquestration de cadres ou de dirigeants, les
cas de suicide de salariés sur leurs lieux de travail, les situations de
dégradation des sites de travail par les salariés ou de blocage de sites de
production ou de stockage, témoignent de la grande sensibilité des enjeux
liés à la gestion du risque social dans l’entreprise, aggravée par un climat
économique détérioré.
Continental, Molex, Goodyear, Arcelor Mittal, Virgin, PSA, Renault, Orange,

La Poste, Michelin, Fralib, mais aussi la PME du coin, la TPE bretonne, le
restaurant du quartier… autant de situations différentes, mais autant
de risques sociaux variés et de stratégies de gestion sociale à considérer
247
avec la plus grande acuité. Car au-delà du dimensionnement ou de la

complexité des situations et des enjeux à gérer, tous particuliers, le risque
social provoque immanquablement émotion, passion, et ouverture de la
boîte de Pandore des risques, directement ou indirectement.
La clé de la maîtrise du risque social réside, pour l’essentiel, dans la

capacité de la direction de l’entreprise à écouter ses partenaires, expliquer
et fédérer si possible autour de décisions difficiles, mais, plus que tout,
à COMMUNIQUER, encore et toujours. Et gérer les conflits avec la plus
grande finesse, dans l’intérêt de tous.
80 % des situations de crise rencontrées seront dues à des problèmes de

communication, particulièrement sensibles en situation de risque social,
quel qu’il soit. On ne le dira jamais assez : la clé de la maîtrise des risques
sociaux reste – et restera – la communication et le respect mutuel des uns
et des autres ainsi que de la parole donnée…
La qualité du climat social, une gestion appropriée du turn-over et une

parfaite maîtrise du droit social ne doivent pas masquer l’essentiel pour la
maîtrise du risque social : la qualité de communication et des échanges au
sein de l’organisation, fondés sur la franchise, la transparence, la sincérité
et le respect.
Risques psychosociaux
Risque social à part entière, le risque psychosocial relève, quant à lui, de
l’individu lui-même, quels que soient son rôle, sa fonction, son métier ou
son positionnement dans l’entreprise. Les risques psychosociaux doivent
être compris et anticipés sans a priori, et à tous les échelons de l’entreprise,
sans exception.
Chaque collaborateur peut, potentiellement, être exposé un jour à

l’émergence d’un risque psychosocial le concernant ou concernant un
collègue, un collaborateur, un responsable. Et ce, quel que soit son profil
personnel, son parcours professionnel, son contexte familial, sa fragilité
ou solidité psychologique… de manière subie ou causée.
Même si les grandes entreprises, les grandes enseignes ou les organisations

à forte notoriété occupent le devant de la scène lorsque des situations de
248
FACTEURS HUMAINS
concrétisation de risques psychosociaux, l’enjeu du risque se pose pour

chaque entreprise, de la TPE à la multinationale, tous secteurs d’activité
confondus.
Il n’y a pas d’exclusive ni de dimensionnement face au risque

psychosocial. Tout le monde est concerné. Vous êtes peut-être vous-
même, ami lecteur directement ou indirectement concerné. Alors, de
quoi parle-t-on exactement, lorsqu’on aborde les risques psychosociaux
dans l’entreprise ? Et pourquoi sont-ils à considérer comme des risques
opérationnels majeurs ?
Les principaux risques psychosociaux en présence dans l’entreprise sont

pour l’essentiel les suivants :
-- Le stress ou toute forme de mal-être ou de souffrance du collaborateur,
de l’encadrant, exprimé de manière explicite ou implicite ; le salarié,
le responsable d’équipe stressé est en profond mal-être, au quotidien,
dans l’entreprise. Éloigné du stress positif source de création de valeur,
d’émulation et de stimulation, le stress engendre mal-être, baisse de
performance, désocialisation, et peut impacter la santé physique et/ou
mentale de l’acteur.
-- Les risques ou les conduites suicidaires des salariés, des encadrants
et/ou des dirigeants de l’entreprise, susceptibles d’altérer leur intégrité
physique sur le lieu de travail ou non ; le cas du suicide constitue le risque
psychosocial critique à maîtriser impérativement dans l’entreprise.
-- Toute forme d’agression, physique ou verbale, entre collaborateurs,
entre collaborateurs et responsables, vis-à-vis de clients, de prospects, de
fournisseurs, de partenaires bancaires…
-- Le risque de hold-up, d’enlèvement, de séquestration et/ou d’assassinat
de collaborateurs ou d’encadrants, quels que soient son site d’activité, sa
fonction, son métier, ou lors d’un déplacement professionnel (également
un risque opérationnel).
-- Toute forme de harcèlement moral, désormais qualifié en droit français
(avec facteur aggravant d’abus de position dominante, hiérarchique ou
d’abus de faiblesse).
-- Toute forme de harcèlement sexuel (avec facteur aggravant d’abus de
position dominante, hiérarchique ou abus de faiblesse).
-- Risques liés à l’émergence de conflits professionnels ou privés entre
collaborateurs (adultère, divorce, conflits de voisinage pouvant se reporter
sur le lieu de travail, difficultés sociales…).
249
-- Risques liés à la pratique de conduites addictives : tabac, alcool,

psychotropes, neuroleptiques, médicamentation inappropriée, drogues,
cannabis, substances interdites de toute nature ou surconsommation
de produits sur le lieu de travail ; ils peuvent remettre en cause la santé
physique et/ou mentale des acteurs, et sont à rechercher dans tous les
échelons de l’organisation.
-- Effets psychologiques, directs ou indirects de tout événement
pouvant fragiliser les salariés les plus fragiles : annonce d’un plan social,
licenciement, fermeture de site, délocalisation, externalisation de
processus, mutualisation de ressources, réorganisation… ainsi que tous
les risques sociaux et psychosociaux que de telles situations de crises,
notamment en contexte d’incertitude économique marquée, peuvent
engendrer (grève, séquestration, occupation des sites, suicides, etc.).
De natures variées, les risques psychosociaux sont parfois difficiles à

identifier et à appréhender pour le dirigeant ou l’encadrant, compte tenu
de la difficulté à connaître la situation réelle ou supposée des équipes, de
leur état d’esprit, de leurs ressorts internes, voire de leur psyché.
Les causes de l’émergence de risques sociaux ou psychosociaux sont

innombrables ; il serait illusoire de prétendre les exposer ici. Leurs
conséquences, par contre, sont critiques pour l’entreprise : remise en cause
de l’intégrité physique ou morale des collaborateurs, perte de motivation,
d’engagement, de créativité, d’efficacité des équipes, climat délétère dans
l’entreprise, rumeurs, bruits de couloirs, détérioration de l’image interne
ou externe de l’entreprise…
Face aux risques sociaux et psychosociaux, pas de miracle. Il faut, encore

et toujours :
-- communiquer, échanger avec les salariés et les encadrants ;
-- écouter les plaintes, les réclamations, les sources d’inquiétude ou de
préoccupation ;
-- comprendre les leviers d’événements engendrant ces situations
(naissance de la rumeur, origine des nuisances, sources de la souffrance
réelle ou supposée…) ;
-- accompagner, décider, expliquer et obtenir l’adhésion (notamment en
cas de décision difficile à prendre) ;
250
-- Risques liés à la pratique de conduites addictives : tabac, alcool,

psychotropes, neuroleptiques, médicamentation inappropriée, drogues,
cannabis, substances interdites de toute nature ou surconsommation
de produits sur le lieu de travail ; ils peuvent remettre en cause la santé
physique et/ou mentale des acteurs, et sont à rechercher dans tous les
échelons de l’organisation.
-- Effets psychologiques, directs ou indirects de tout événement
pouvant fragiliser les salariés les plus fragiles : annonce d’un plan social,
licenciement, fermeture de site, délocalisation, externalisation de
processus, mutualisation de ressources, réorganisation… ainsi que tous
les risques sociaux et psychosociaux que de telles situations de crises,
notamment en contexte d’incertitude économique marquée, peuvent
engendrer (grève, séquestration, occupation des sites, suicides, etc.).
De natures variées, les risques psychosociaux sont parfois difficiles à

identifier et à appréhender pour le dirigeant ou l’encadrant, compte tenu
de la difficulté à connaître la situation réelle ou supposée des équipes, de
leur état d’esprit, de leurs ressorts internes, voire de leur psyché.
Les causes de l’émergence de risques sociaux ou psychosociaux sont

innombrables ; il serait illusoire de prétendre les exposer ici. Leurs
conséquences, par contre, sont critiques pour l’entreprise : remise en cause
de l’intégrité physique ou morale des collaborateurs, perte de motivation,
d’engagement, de créativité, d’efficacité des équipes, climat délétère dans
l’entreprise, rumeurs, bruits de couloirs, détérioration de l’image interne
ou externe de l’entreprise…
Face aux risques sociaux et psychosociaux, pas de miracle. Il faut, encore

et toujours :
-- communiquer, échanger avec les salariés et les encadrants ;
-- écouter les plaintes, les réclamations, les sources d’inquiétude ou de
préoccupation ;
-- comprendre les leviers d’événements engendrant ces situations
(naissance de la rumeur, origine des nuisances, sources de la souffrance
réelle ou supposée…) ;
-- accompagner, décider, expliquer et obtenir l’adhésion (notamment en
cas de décision difficile à prendre) ;
250
FACTEURS HUMAINS
-- agir (ne pas laisser s’installer une rumeur, une situation conflictuelle
lourde ; communiquer de manière proactive face à une décision ou un
événement à venir, en s’appuyant sur des relais internes…) ;
-- ne jamais accepter une situation intolérable : toute forme de
discrimination, de harcèlement, de racisme, de violence physique
ou verbale, d’agressivité, etc. Ne jamais légitimer l’inacceptable…
et, si possible, toujours anticiper les événements : un dirigeant ou un
encadrant découvrant un beau matin, par surprise, un mouvement
social, un débrayage, une plainte pour harcèlement ou un suicide, est
fondamentalement un mauvais cadre.
Chaque cadre responsable maintenir et déployer en permanence ses

antennes pour « humer » l’air ambiant et identifier toute source de risque
social ou psychosocial émergent. C’est une mission et un devoir vital de
tout acteur responsable d’entreprise, quel qu’il soit.
Enfin, afin de dédramatiser cette partie du livre et relativiser l’enjeu des

risques psychosociaux dans le cadre de cette réflexion sur les risques
opérationnels particuliers, je vous laisse méditer une autre stratégie de
gestion des risques sociaux et psychosociaux, propres aux Shadoks et
à l’humour dévastateur de Rouxel, qui définissait sa propre vision de la
gestion des ressources humaines : « Pour qu’il y ait le moins de mécontents
possible, il faut toujours taper sur les mêmes ! »
Anticiper et faire face

Afin de maîtriser au mieux l’émergence de risques sociaux et psychosociaux
dans l’entreprise, et au-delà des outils appropriés de veille et de contrôle
de la bonne application par de la réglementation sociale, l’organisation
doit impérativement mettre en oeuvre toute une batterie d’outils et de
démarches susceptibles de cultiver et d’améliorer sa compréhension et
sa connaissance du facteur humain et de l’existant social qu’elle met en
oeuvre :
-- Définition, existence et mise en place effective de mécanismes
d’échanges entre direction, encadrement et salariés :
• échanges formels permettant de communiquer et de véhiculer la
vision, la situation, le devenir et les enjeux de l’entreprise (« donner
du sens » aux réalisations et aux missions) : réunions plénières,
251
séminaires annuels, sessions de fédération, de motivation, de partage

et d’échanges autour de l’entreprise,
• échanges formels lors des entretiens annuels d’évaluation (essentiel),
• échanges informels entre salariés, encadrement et direction
d’entreprise : pots de départ ou d’arrivée, naissance, événements
festifs, formations,
• échanges fréquents et respectueux avec les instances représentatives
(CE, délégués du personnel, CHSCT),
• remontées formelles et informelles des missions d’audit interne,
d’audit externe, d’audit qualité, etc. « Savoir humer l’air ambiant » et
utiliser les canaux alternatifs (« radio moquette », bruits de couloirs,
rumeurs internes ou externes…),
• développement des activités festives, sources d’informations
essentielles.
-- Mise en oeuvre de démarche d’écoute structurée des salariés, des
clients, des fournisseurs, des partenaires :
• enquête salariés formalisée (si possible tous les deux ou trois ans),
• enquête qualité clients (toujours riche d’enseignement sur l’image
et l’expérience des clients avec l’entreprise et ses acteurs, si possible
annuellement).
-- Développement des outils de communication internes appropriés à la
taille de l’entreprise :
• lettre interne mensuelle, gazette de l’entreprise, forum de discussions
contrôlé,
• news postées sur l’intranet de l’entreprise (faits marquants,
annonces…),
• formation interne, séminaires, sessions de réflexion et de motivation,
groupes d’échanges.
-- Développer les synergies et les interactions entre départements,
entre unités, entre services, de manière transversale : groupes de travail
transversaux, approche projet, mise en place de missions thématiques…
Fondamentalement, l’équipe d’encadrement doit canaliser les sources de

risques sociaux ou psychosociaux en développant une véritable vision de
l’entreprise à moyen terme et en fédérant les collaborateurs autour de cette
252
FACTEURS HUMAINS
vision partagée (matérialisée en objectifs ou indicateurs d’alignement)

autour desquels les équipes se retrouveront et se mobiliseront.
L’écoute, la compréhension et le respect mutuel des uns et des autres

constituent l’essence même de la relation humaine dans l’entreprise,
même si elle fait si souvent défaut ! Car là consiste l’essentiel vecteur
d’adhésion de fédération et de motivation des équipes autour du projet
d’entreprise.
Il appartiendra ensuite au dirigeant soucieux de maîtriser les risques

sociaux et psychosociaux de l’organisation de gérer au quotidien, et au
mieux, les compétences, les conflits, les susceptibilités, les ambitions,
les motivations, les inquiétudes des uns et des autres… avec le meilleur
talent. Vaste programme, mais essentiel à la pérennité de l’entreprise !
L’enjeu de la qualité du facteur humain sera notamment critique en mode

création. Les entrepreneurs et/ou repreneurs d’entreprise doivent être
particulièrement vigilants à assurer que leur équipe projet s’articule bien
à l’appui des compétences et des connaissances nécessaires.
La maîtrise du risque social et psychosocial en entreprise peut être résumée

ainsi par les mots suivants : humilité, lucidité, écoute, pragmatisme,
ambition, réalisme, exigence.
L’émergence des risques sociaux ou psychosociaux traduit la qualité de

l’encadrement de l’organisation et sa capacité à organiser et pérenniser
son action à l’appui de dispositifs fiables de détection d’éventuels signes
précurseurs significatifs relatifs à sa ressource critique : l’homme.
Comment les facteurs humains alimentent

les risques opérationnels de l’entreprise
Comme nous le précisions au début de ce chapitre, les risques sociaux
et psychosociaux constituent des classes de risques opérationnels à part
entière, qu’il convient de traiter et considérer au mieux, compte tenu de
l’impact de leurs risques induits.
Une autre démarche dans l’appréhension des risques sociaux et

psychosociaux, complémentaire de la précédente, consiste à s’interroger
253
à la lumière des risques opérationnels précédents, hors enjeux « facteurs

humains », sur la pérennité des dispositifs. Que se passerait-il si un acteur
X ou Y, venait à agir ou réagir de manière inadaptée au sein d’un processus
opérationnel ?
Dans cette démarche, nous reprenons l’intégralité des cycles d’exploitation

et des processus opérationnels pré-identifiés au préalable, et nous nous
interrogeons simplement sur l’impact que les facteurs humains pourraient
avoir sur la stabilité, l’efficacité ou la pérennité dudit dispositif.
Prenons un exemple : une chaîne de montage dans une usine.
Le point d’entrée de la réflexion consiste à se poser la question suivante :

-- Que se passe-t-il si l’acteur X ou Y n’est pas présent à son poste ?
1. Que se passe-t-il si l’acteur X ou Y réalise de mauvaise manière le mode
opératoire qui lui est confié ?
2. Que se passe-t-il si l’acteur X ou Y débraye ? S’il se met en grève ?
3. Que se passe-t-il si l’acteur X ou Y dégrade son outil de travail ?
(comment pourrait-il le faire ? Comment l’en empêcher ? Comment y
remédier, etc. ?).
-- Que se passe-t-il si l’acteur X ou Y est malade ? Stressé ? Déprimé ?
Quelles en seraient les causes professionnelles ?
-- Etc.
Cette interrogation permet d’identifier, indirectement, les conséquences

que les facteurs humains pourraient engendrer sur l’organisation, ces
processus, ses activités, sa pérennité. Cette lecture permet aussi de mettre
en perspective la capacité d’impact de l’acteur (et donc l’importance du
processus, du sous-processus ou du mode opératoire qu’il anime), avec
beaucoup de lucidité. Et préparer, en conséquence, et de la meilleure
manière possible, les solutions et stratégies de couverture des risques
ainsi identifiés.
Questionnez l’importance de l’acteur au sein du système. Que se passerait-

il si ? Cette interrogation permet souvent d’identifier des risques et des
enjeux insoupçonnés !
La gestion des risques sociaux et psychosociaux doit fondamentalement

s’inscrire dans une démarche humaniste, altruiste et empathique du
254
FACTEURS HUMAINS
rapport à l’autre dans le cadre professionnel. Même si cette vision peut

sembler être une utopie ou un voeu pieux, il apparaît néanmoins que la
majeure partie des risques psychosociaux voire sociaux serait amenée
à disparaître (ou tout au moins, à être significativement réduite) si cette
ambition trouvait plus écho dans les organisations
Plus que jamais, et pour longtemps encore, il n’est de risques que

d’hommes.
Communication, fédération, animation

Afin de maîtriser au mieux les facteurs humains au sein de l’organisation,
toute entreprise doit pouvoir s’appuyer sur trois leviers complémentaires
et essentiels.
Le premier levier permettant de réduire les risques sociaux et psychosociaux

relève du vecteur de la communication. Plus la communication existe
dans l’entreprise, plus la parole est libérée, plus les avis circulent au sein
des dispositifs de pilotage et d’animation et plus le risque psychosocial
s’éloigne.
Nous sommes intimement convaincus que de très nombreuses situations

de tension sont uniquement liées à des incompréhensions, à des non-
dits, à des interprétations, bref, à des dimensions de communication
inexistantes, inabouties ou insuffisantes, d’un point de vue qualitatif ou
quantitatif.
Le principal objectif d’une direction d’entreprise consistera toujours

à maintenir et autoriser la parole et l’échange, au sein d’interactions
franches et honnêtes entre chacun. De la communication individuelle et
collective résultera la capacité de l’entreprise à mettre en place un modèle
organisationnel pérenne, appuyé par des pratiques acceptées et favorisées
de communication réussie.
Le second levier à promouvoir en constance au sein de l’organisation,

afin de réduire les risques sociaux et psychosociaux, consiste à favoriser
la fédération des acteurs autour d’objectifs communs et partagés. Quel
que soit son rôle, chaque salarié doit être impliqué dans la vision que la
255
direction de l’entreprise souhaite déployer, à l’appui de valeurs partagées

et d’objectifs riches de sens.
Chaque salarié doit pouvoir s’inscrire dans une perspective dynamique

d’objectifs et de réalisations ambitieuses mais réalistes, dans lesquels il
pourra trouver sens, s’engager et se reconnaître. Fédérer équipe constitue
le meilleur rempart à opposer aux risques sociaux et psychosociaux. Si
l’individu sait pourquoi il travaille, dans quels buts, et qu’il les partage, la
moitié du chemin est faite…
Le troisième levier à mobiliser dans la lutte contre les risques sociaux

et psychosociaux relève de l’efficacité des dispositifs d’animation,
permettant de faire vivre au quotidien, le sens donné et les démarches
opérationnelles initiées. L’animation passe bien sûr par la mise en oeuvre
de dispositifs pertinents et adaptés, permettant de véhiculer les messages
essentiels à chacun.
Une animation perfectible des dispositifs de communication, par exemple,

peut remettre en cause la sérénité des équipes et engendrer l’émergence
de risques psychosociaux ou sociaux futurs. Rumeurs, non-dits, autant
d’enjeux susceptibles de provoquer des situations de fragilité sociale
interne.
À l’appui de ces trois leviers, les risques sociaux et psychosociaux seront

maîtrisés au mieux, sous réserve de la pertinence, de la qualité et du
charisme des acteurs qui les utiliseront !
La réduction des risques sociaux et psychosociaux s’articule à l’appui de

trois leviers critiques : communication, fédération et animation.
Risques opérationnels à part entière, les risques sociaux et psychosociaux

constituent des enjeux critiques que nous vous invitons à considérer par
défaut lors de la mise en oeuvre de toute démarche dédiée aux risques
opérationnels. Il n’est de risques que d’hommes. Peut-être qu’en fait, il
n’est de risques opérationnels que d’hommes, finalement.
256
FACTEURS HUMAINS
257
À retenir
• Les risques informatiques, les risques juridiques et les risques
associés aux facteurs humains sont à considérer comme partie prenante
des risques opérationnels de l’entreprise. Donc, comme des risques
opérationnels à part entière.
• Le risque juridique existe à partir du moment ou une action, un

écrit et/ou un comportement apparaît inadapté à la loi ou aux usages
sociétaux en vigueur.
• Toujours vérifier tant le formalisme et la qualité du cadre contractuel

ou documentaire que la légitimité du signataire : le document sera-t-il
in fine éligible et/ou légitime ?
• Procédez à l’inventaire des contrats en présence ou à venir dans

l’entreprise, quelles que soient leurs natures. Identifiez, pour chacun
d’eux, les risques juridiques susceptibles de fragiliser votre structure ou
votre relation au tiers, quels qu’ils soient.
• À l’appui d’une démarche par processus, identifiez les textes et

règlements applicables. Très souvent, une multitude de sources sera
à considérer pour un seul processus opérationnel au titre des risques
juridiques.
• Les risques pénaux ne sont ni marginaux, ni anodins. Ils concernent

potentiellement toutes les entreprises.
• Les risques informatiques font partie d’une classe de risques

opérationnels à part entière. Certaines entreprises négligent leurs
risques juridiques, peu mettent de côté leurs risques informatiques.
• Confrontez les démarches d’identification des risques informatiques

entre elles, et bâtissez vos propres approches méthodologiques, en
favorisant l’interaction entre les approches.
• La majeure partie des risques informatiques provient d’une maîtrise

inadaptée du mode projet informatique.
258
FACTEURS HUMAINS
• Chacun d’entre nous présente un profil risque individuel spécifique. Il

est le fruit de notre parcours personnel et professionnel, de notre vécu,
de notre personnalité, de notre expérience individuelle et collective des
risques.
• Maîtriser les risques sociaux résulte pour l’essentiel de la qualité du

climat social, de la maîtrise du turn-over ainsi que des compétences et
de l’adéquation adaptée des conditions d’exécution des métiers et des
fonctions avec les obligations légales et réglementaires en présence.
• Le turn-over est bénéfique pour l’organisation, même s’il provoque

parfois l’émergence de risques induits. Détection et anticipation
participent structurellement à sa maîtrise appropriée.
• L’émergence des risques sociaux ou psychosociaux traduit la

qualité de l’encadrement de l’organisation et sa capacité à organiser
et pérenniser son action à l’appui de dispositifs efficaces de détection
d’éventuels signes précurseurs significatifs relatifs à sa ressource
critique : l’homme.
• La réduction des risques sociaux et psychosociaux s’articule à l’appui

de trois leviers critiques : communication, fédération et animation.
259
Conclusion
Alors que je rédige cette conclusion, mon questionnement se poursuit,

de manière toujours plus prégnante. Ai-je tout dit ? Certainement pas.
N’aurais-je pas oublié une famille ou un volet de risques opérationnels
critique ? Peut-être, après tout Pourquoi ai-je délibérément exclu les enjeux
de risque image ou de gestion de la connaissance, à la problématique des
risques opérationnels ? Parce que…
À propos, la définition proposée des risques opérationnels fait-elle

réellement sens ?
Face à toutes ces questions, je réalise que je ne sais pas y répondre avec
certitude. Voilà qui est gênant, alors qu’il est temps de conclure mon écrit !
Bref, la question soulevée dans ce nouvel opus en engendre beaucoup

d’autres et me laisse un vrai sentiment d’inachevé.
C’est peut-être cela, en fait, la meilleure définition des risques opérationnels

dans l’entreprise, après tout !
Les risques opérationnels apparaîtront toujours pour ce qu’ils sont

intimement : des éléments au final difficiles à cerner, à définir ou à
identifier avec certitude. Des enjeux complexes à maîtriser, au-delà de
problématiques techniques ou opérationnelles usuelles. Une thématique
toujours mouvante, susceptible d’être contextualisée, remise en cause,
adaptée à l’infini.
Une seule constante, par contre : les risques opérationnels sont d’immenses
contributeurs au coût du risque. Et ce, pour toutes les entreprises, quels
261
que soient leur taille, leur dimensionnement, leur secteur d’activité ou

leurs processus mis en oeuvre. Voilà ma seule certitude, pour être sincère.
Alors, que dire en conclusion, pour résumer mon propos ?
Tout simplement, je tiens à vous exprimer une dernière fois ce sentiment

de dispersion permanente qui m’anime face aux risques opérationnels
et qui vous assaillira peut-être, vous aussi, dès que vous aborderez cette
question au sein de votre entreprise, et surtout pour cette dernière. Et ce
sera tout à fait légitime, je vous rassure !
Car les risques opérationnels apparaissent in fine insaisissables.

Protéiformes. Variables et variés. Ils représentent ainsi, peut-être mieux
que n’importe quel autre risque, toute la complexité et la diversité du
risque en entreprise, de la dispersion des thèmes à traiter lorsqu’on aborde
la problématique du risk management de manière méthodologique et
posée.
Compte tenu de l’impérative pénurie de ressources à laquelle chaque

organisation est confrontée, les arbitrages qui permettront – ou non – d’allouer
avec efficacité et pertinence des ressources humaines, matérielles ou
financières pour mieux maîtriser les risques opérationnels, seront toujours
complexes. Seul le juge de paix « coût du risque » saura témoigner in fine
de la pertinence des décisions prises et des actions entreprises. À supposer
que vous arriviez à en déterminer le montant avec certitude, sans omission
ni exclusive inadaptée.
Allouer des ressources certaines à des objets incertains, ce n’est pas

simple. Mais allouer des ressources limitées à un univers des possibles
quasi illimités et difficiles à cerner relèvera peut-être de l’exploit. Tel est
pourtant le pari et le challenge que devront relever, au quotidien, les chefs
d’entreprise, les directeurs des risques, chaque acteur de la pérennité des
organisations.
C’est, je crois, ce qui caractérise le mieux, au fond, les risques opérationnels :

des enjeux innombrables à définir, à sérier et à traiter de la meilleure
manière, à l’appui d’une démarche méthodologique adaptée, afin de
renforcer la pérennité de l’entreprise et réduire le coût du risque dans
l’intégralité de ses cycles d’exploitation et d’activité. Et ce, pour l’intérêt
du client, de l’organisation et de son environnement dans son ensemble.
262
CONCLUSION
J’espère avoir contribué, par cette modeste publication, à apporter un

éclairage pertinent sur l’enjeu. Si tel est le cas, l’objectif de ce travail aura
largement été atteint.
Il n’est de risques que d’hommes. Il n’est peut-être de risques opérationnels

que d’hommes.
Si lire ce livre constitue un premier pas pour vous vers une gestion plus
efficace des risques opérationnels, il n’en demeure pas moins qu’une
modeste étape, face à la complexité, la diversité et au dimensionnement
de l’enjeu à couvrir. Il reste à espérer que vous saurez vous en approprier les
fondamentaux et l’adapter au mieux à vos contextes d’activité respectifs,
avec humilité, lucidité et pragmatisme.
Saint-Malo, Juillet 2013
263
Bibliographie
Beck Ulrich - La société du risque : sur la voie d’une autre modernité -

Collection Champs - Éditions Flammarion, 2006.
Besson Bernard, Possin Jean-Claude – De l’intelligence des risques à la

mission de protection - IFIE, 2008.
Charbonnier Jacques - Le risk management - Éditions L’argus de

l’assurance, 2007.
Collectif - La Gestion de crise - 100 questions pour comprendre, AFNOR,

2006.
Darsa Jean-David – La gestion du risque crédit client – Éditions Gereso,

2010.
Darsa Jean-David – La gestion de crise en entreprise – Édition Gereso,

2010.
Darsa Jean-David – Risques stratégiques et risques financiers de

l’entreprise – Édition Gereso, 2011.
Darsa Jean-David – Les aventures de Monsieur RISKALO – Édition GERESO,

2010.
Darsa Jean-David – La gestion des risques en entreprise – Édition GERESO,

2012.
Darsa Jean-David – Le facteur risque en entreprise – Édition GERESO, 2012.
265
Gaultier-Gaillard Sophie, Louisot Jean-Paul - Diagnostic des risques -

AFNOR, 2007.
Gaussen René - Les risques professionnels, Kit d’élaboration du Document

Unique - Éditions d’organisation, 2004.
Hull John, Merli Maxime, Godlewski Christophe - Gestion des risques et

institutions financières - Pearson Éducation, 2007.
Institut français de l’audit et du contrôle interne (IFACI) - Le Management

des risques de l’entreprise - Éditions d’organisation, 2007.
Jokung Nguéna Octave - Management des risques - Éditions Ellipses, 2008.
Le Ray Jean - Gérer les risques : Pourquoi ? Comment ? - AFNOR, 2006.
Liaisons sociales VTE (Collectif) - Risques psychosociaux au travail : vraies

questions, bonnes réponses - Groupe Liaisons, 2008.
Mekouar Richard, Véret Catherine - Fonction : Risk manager - Éditions

Dunod, 2005.
Métayer Yves, Hirsch Laurence - Premiers pas dans le management des

risques - AFNOR, 2007.
Périlhon Pierre - La gestion des risques : Méthode MADS-MOSAR II Manuel

de mise en œuvre - Éditions Demos, 2007.
The Business Continuity Institute - Management de la continuité d’activité

- AFNOR, 2007.
Verdun Franck - La gestion des risques juridiques - Éditions d’organisation,

2006.
Sites internet :
www.iso.org
www.riskeal.fr
www.afnor.fr
266
Jean-David DARSA est un grand
spécialiste de la gestion des risques en
entreprise, grâce à une large expérience
professionnelle acquise notamment au
sein de grands groupes français et
internationaux.
Il dirige aujourd’hui la société RISKEAL,

spécialisée en audit/conseil, formation et
accompagnement en gestion des risques
des entreprises.
Aidant au quotidien les dirigeants, les

cadres et les équipes opérationnelles à
mieux identifier, comprendre et maîtriser les risques de leurs organisations.
Il intervient auprès de nombreux organismes de formation initiale et

continue, accompagne de nombreuses entreprises de renom et aide les
PME/PMI à gérer leurs risques, tant en France qu’à l’international.
Ses qualités pédagogiques, son expérience, sa vision transversale,

pragmatique et efficace des principaux enjeux des entreprises font de
lui un interlocuteur privilégié des PME/PMI et des groupes nationaux et
internationaux soucieux de mieux maîtriser leurs risques, désireux de
réduire leur coût du risque et conforter leur pérennité.
Identifier, comprendre et maîtriser les risques, définir et déployer une

véritable politique risques dans l’entreprise constituent aujourd’hui de
véritables vecteurs de différenciation et de fédération des équipes autour
d’un objectif commun unique mais primordial : assurer la pérennité de
l’entreprise.
Un ouvrage essentiel, pragmatique et opérationnel, à mettre d’urgence

entre toutes les mains !
Contact : jean-david.darsa@riskeal.fr
Site internet : www.riskeal.fr
Contact : edition@gereso.fr
267
Prépresse : GERESO Édition 2013
Achevé d’imprimer par CPI Firmin-Didot à Mesnil-sur-l’Estrée en octobre 2013
N° d’impression : - Dépôt légal : octobre 2 013 - Imprimé en France
JEAN-DAVID DARSA
LES RISQUES
OPÉRATIONNELS
DE L’ENTREPRISE
Q
uoi de commun entre l’explosion d’une plateforme
pétrolière, une fuite de gaz en mer du Nord,
de la viande de cheval dans des lasagnes de bœuf
surgelées, un produit non conforme, le suicide
d’un cadre en entreprise et l’indisponibilité d’une
donnée sur un ordinateur ? A priori, rien !
Mais si vous endossez un costume de dirigeant, de cadre

responsable, de risk manager ou de salarié engagé, vous
vous apercevrez assez vite qu’à l’origine de ces événements
dramatiques ou secondaires résident une multitude de
risques qui, à un moment ou à un autre, se sont concrétisés.
Et cette concrétisation des risques, source de coûts (coups ?)

et de douleurs pour l’organisation, se révèle directement
liée aux cycles d’exploitation de l’entreprise, qui produit, qui
transforme, qui vend, qui travaille…
Fort de son expérience et de ses nombreuses publications

sur la gestion des risques, l’auteur vous apporte les clés
de compréhension pour identifier, détecter et maîtriser
au mieux tous les risques opérationnels de l’entreprise.
Jean-David DARSA est expert de la gestion des risques en entreprise.

Il dirige sa propre société, spécialisée en audit, conseil, formation et
accompagnement en gestion des risques en entreprise.
COLLECTION AGIR FACE AUX RISQUES

001-Risque Opérationnel Dans L'entreprise

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

001-Risque Opérationnel Dans L'entreprise

Încărcat de

Drepturi de autor:

Formate disponibile

JEAN-DAVID DARSA

COLLECTION AGIR FACE AUX RISQUES

Ouvrage conçu et réalisé sous la direction de Catherine FOURMOND

Suivi éditorial, conception graphique intérieure : GERESO Édition

© GERESO Édition 2013

Reproduction, traduction, adaptation interdites

Dépot légal : Octobre 2013

• La gestion des risques en entreprise

À paraître dans la même collection :

• La gestion de crise dans l’entreprise

• La gestion du risque client

Également, je remercie Raphaëlle CORMIER pour sa collaboration et son

Enfin, je remercie tous mes lecteurs, professionnels, dirigeants, salariés,

Partie 1 - Les risques de l’entreprise........................... 15

Chapitre 2 - Les différentes classes de risques

Chapitre 3 - Les 13 classes de risques..................................... 35

Partie 2 - Risques opérationnels.................................... 53

Chapitre 1 - La notion de risque opérationnel..................... 57

Chapitre 2 - Infrastructure, accès, sécurisation.................. 71

Chapitre 3 - Sous-traitants et activités externalisées. ..... 95

Chapitre 4 - Fraude interne et externe................................... 99

Chapitre 5 - De la conformité des opérations. ................... 103

Chapitre 6 - Maîtrise des processus opérationnels :

Chapitre 7 - De la maîtrise de la connaissance.................. 117

Chapitre 8 - Plan de continuité d’activité, plan

Partie 3 - Risques industriels.......................................... 137

Chapitre 1 - La problématique du risque industriel........ 141

Chapitre 2 - Les différents modèles en présence.............. 145

Chapitre 3 - Environnement, hygiène, sécurité................ 161

Chapitre 4 - Protection des personnes et des biens. ....... 163

Chapitre 5 - Risque environnemental et risque image... 175

Partie 4 - Risques juridiques, Informatiques,

Chapitre 1 - Risques juridiques............................................... 187

Chapitre 2 - Risques informatiques....................................... 207

L’approche synthétique............................................................ 218

Chapitre 3 - Facteurs Humains................................................ 231

Conclusions. ..................................................................................... 261

« Le moment est temporaire, mais le souvenir demeure toujours.»

Quoi de commun entre l’explosion d’une plateforme pétrolière, une fuite

A priori, rien, me direz-vous. Et vous aurez peut-être raison.

Mais si vous endossez un costume de dirigeant, de risk manager, de cadre

Tous ces risques – et des milliers d’autres - constituent ce qu’il convient

Bien évidemment, le premier qualificatif qui vient à l’esprit lorsqu’on

En fait, de la rupture d’un processus opérationnel à l’arrêt d’une chaîne

Quelle que soit l’activité de l’entreprise, la mise en oeuvre de ses

Maîtriser les risques opérationnels revient à maîtriser le coût du risque

Bien sûr, les risques stratégiques et financiers ne sauraient être absents du

Les risques opérationnels sont protéiformes par nature, et illimités par

présence, afin de permettre une meilleure appropriation des différentes

Dans une quatrième et dernière partie, nous réaliserons enfin un point

Les risques opérationnels peuvent répondre à de multiples définitions, en

Complexes, diversifiés, les risques opérationnels constituent le sel de

LES RISQUES DE L’ENTREPRISE

« Ne pas prévoir, c’est déjà gémir ».

L’enjeu de la maîtrise des risques préoccupe toutes les entreprises, et ce

Ces derniers prédisent statistiquement, et pour simplifier, que « le pire

quotidiennement ou presque, notre rapport aux risques. Défaut de

Et avec, à la clé et à la source de tous ces risques, quels qu’ils soient,

Les principes statistiques de persistance de la malchance (ou de la chance)

Le monde ne semble désormais plus vivre qu’au rythme de l’évolution

Le monde, en temps réel, guette et analyse chaque mouvement

La traduction de ce contexte permanent d’information, d’anticipation et

Le risque fait partie de la vie de l’homme, donc de l’entreprise, au