La vulnérabilité en entreprise. Préalablement à la définition de l'intelligence des vulnérabilités, il convient de définir ce qu'est la vulnérabilité dans le monde de l'entreprise. La vulnérabilité est en lien direct avec la notion de risque. Si le risque se concrétise, I' entreprise devra y faire face. Son challenge étant alors simple : surmonter les conséquences du risque survenu, ou disparaître. Hors de toute option de financement prise préalablement, elle ne pourrait opposer aux conséquences du risque survenu que ses fonds propres, c'est-à dire la partie haute du passif du bilan constitué du capital, des réserves. Or, nous pouvons aisément imaginer, face a la multiplicité des risques auxquels I entreprise est soumise, que ses fonds propres sont toujours largement inferieurs au cumul des risques encourus. L'existence de l'entreprise est rendue possible par le seul fait que les risques auxquels elle est exposée ne se déclenchent jamais simultanément. La vulnérabilité d'une entreprise se définit comme l'écart entre le niveau des risques potentiels et le niveau de ses fonds propres. Si les conséquences de la survenance d'un risque sont supérieures aux fonds propres dont dispose l'entreprise pour y faire face, la pérennité de I' entreprise est menacée. Mais la règle inverse n'est pas applicable : la capacité d'une entreprise à supporter la survenance d'un risque grâce a ses seuls fonds propres ne lui assure pas de survivre. En effet, ses ressources financières ont bien d'autres finalités que la simple couverture des risques. L'intelligence des vulnérabilités L'environnement humain, technologique, économique et naturel impose au chef d'entreprise d'avoir une vue globale des vulnérabilités qui guettent son entreprise. La gestion des risques se nourrit d'une chronologie d'informations et s'inscrit dans une dynamique de management et d'analyse de scénarios possibles. L'intelligence des vulnérabilités s'inscrit dans une déclinaison de l'intelligence économique. A cet effet, l'intelligence des vulnérabilités s'appuie sur ses composantes pour appréhender et gérer les risques en amont jusqu'a leur survenance en y faisant face, dans un objectif de pérennité d'exploitation et de compétitivité. L'intelligence des vulnérabilités est l'ensemble des moyens qui, organisés en systèmes de management de la connaissance par recours à I' intelligence collective, produit de l'information utile à la prise de décision face aux risques, afin d'anticiper, surveiller et protéger I' entreprise contre toute situation présente et future qui mettrait en cause la continuité de son exploitation. Alors que l'intelligence économique est tournée vers l'environnement externe, et le Knowledge Management vers l'environnement interne à l'entreprise, l'intelligence des vulnérabilités embrasse ces deux environnements, puisque pour ce concept, les risques de l'entreprise peuvent provenir du dedans et du dehors de ses murs. La mise en place d'un dispositif d'intelligence des vulnérabilités qui est présenté s'articulera en deux phases : Une phase de diagnostic par I'identification, l'évaluation, la hiérarchisation et la cartographie des risques pour les PME/PMI. Ce diagnostic trouve son origine dans un questionnement simple pour l'entreprise fondé sur le bon sens. - quels sont les dangers et les risques actuels et émergents auxquels elle est exposée ? quels sont les moyens de protection ? dispose-t-elle des meilleurs sous-traitants, prestataires, structures, technologies, systèmes, assureurs et experts en la matière ? quelles sont les failles, incohérences, urgences et insuffisances du système actuel ? quelle est la qualité de son partenariat ? quel degré de fiabilité doit-elle accorder à ses méthodes de recensement, d'évaluation et de gestion préventive du risque ? Une phase de mise en place d'une mission de prévention et de protection. A ce stade, le principe d'anticipation doit être présent dans tous les domaines de la protection sans exception. II doit être particulièrement manifesté dans la gestion des compétences, spécialement en ce qui concerne les hommes clés. Ainsi, dans une PME/PMI, le départ inopiné, le débauchage par un concurrent, voire la disparition d'un cadre «clé», doivent pouvoir être assurés sans mettre en péril l'entreprise grâce a une gestion prévisionnelle des effectifs et des compétences. Une culture de prévention semble nécessaire et permet d'éviter des solutions retenues hâtivement qui sont généralement insuffisantes, coûteuses et parfois mêmes dangereuses. La réactivité en matière de sécurité ne s'improvise pas. La solidité d'un système de protection est toujours celle de son «maillon le plus faible». Ce maillon faible est-il humain, technologique, social, financier, juridique ou informatique ? La perception de l'environnement et I'analyse des informations permettent la détection de ces maillons faibles dès I'apparition des premiers signaux émergents. II convient d'être toujours à I'écoute de ces premiers bruissements. Les particularités des PME/PMI a) Les PME/PMI ne sont pas des grandes entreprises. Nous entendons par PME, les entreprises qui entrent dans les seuils définis au sens européen. Petites entreprises : effectif 10 à 49 salariés Moyennes entreprises : effectif 50 à 250 salariés Les PME/PMI constituent un terrain particulièrement pertinent pour la mise en place d'un dispositif d'intelligence des vulnérabilités, et notamment dans son accompagnement par I'expert-comptable. Les PME/PMI ne doivent pas être considérées comme des grandes entreprises. En effet, de nombreuses différences distinguent fortement le monde des PME/PMI de celui des grandes entreprises, et ont un impact décisif à la fois sur la définition du système d'information et sur le processus de prise de décision de ces deux catégories d'entreprise. Au risque de présenter ces différences de manière quelque peu succincte, I'expérience montre que les processus de décision sont en général peu formalisés dans les PME/PMI, même pour des décisions non stratégiques, tactiques, voire opérationnelles : - au sein des PME/PMI, les mêmes décideurs doivent en permanence faire face à des situations nécessitant des décisions de type et de portée très variés, la faiblesse de I' effectif d'encadrement ne permettant pas une réelle spécialisation des hommes par niveau de décision ; - la coordination de la grande entreprise avec son environnement et a fortiori avec le système qu'elle constitue autour d'elle (entreprise réseau) fait I'objet de procédures bien établies, parfois même de routine. Ceci est plus rarement le cas des PME/PMI dont I'architecture relationnelle est moins nettement définie ou délimitée ; - dans les grandes entreprises, la mobilisation de compétences pour résoudre des problèmes inédits est gérée de manière relativement codifiée, ou, en tous cas explicitée, alors que le plus souvent elle est tacite ou gérée « sur le tas » dans les PME/PMI. L'ensemble de ces éléments de caractérisation des PME/PMI a des incidences fortes sur leur système d'information et de prise de décision, justifiant une approche en termes d'intelligence économique spécifique, et au minimum, différente de celle des grandes entreprises. Les PME/PMI, et en particulier les plus petites d'entre elles, n'ont en général pas de personne en charge de l'intelligence économique et de la gestion des risques, ni même de responsable de la gestion de leur système d'information. Conclusion Connaître I'entreprise et son environnement est d'une impérieuse nécessité. Appréhender, comprendre Iétat du marché, la position des concurrents sur celui-ci, est fondamental. II n'est pas suffisant, loin de là, de connaître son produit, d'estimer la progression de sa production, de savoir vanter les spécificités, les avantages de ses produits, pour faire vivre et survivre une entreprise. Celle-ci et son «écosystème» sont composés d'une myriade d'éléments facteurs de risques, mais également d'opportunités pour celui qui sait identifier, écouter, capter les signaux faibles, qui non décelés peuvent se révéler porteurs de risques ou de perte d'opportunités. L'intelligence des vulnérabilités doit répondre aux exigences qu'impose la multitude de risques que Ientreprise génère et qui Ientoure. Ainsi, Ientreprise se doit: - de maîtriser sa sphère d'activité et son environnement immédiat; - de connaître son environnement direct; - d'être à Iécoute de son environnement indirect. La démarche d'intelligence des vulnérabilités est une méthode d'analyse structurée. En effet, une méthode s'impose car, dans un environnement plus mobile et totalement ouvert au monde, les compétences et les énergies du personnel des entreprises doivent nécessairement être mieux fédérées pour pouvoir développer une intelligence collective, vecteur de performance. Cela passe par des réseaux d'échange pertinents au sein et en dehors de Ientreprise. La méthode se justifie par plusieurs considérations, entre autres : - le dirigeant, seul décideur, ne doit pas perdre la moindre ressource pour asseoir ses choix. Une part essentielle de la connaissance se trouve en général dans Ientreprise, il suffit dans une première phase de Iorganiser; - I'action du personnel est largement valorisée par une implication active au processus d'élaboration des solutions. Celui qui situe mieux son rôle au sein de sa fonction, sera plus pertinent dans sa contribution ; - Enfin, si I entreprise n'adopte pas de méthodologie, alors les concurrents ont un champ d'action plus facile à parcourir: de «conquérant», on devient une «proie». Cette démarche méthodologique passe par trois phases: - 1) faire connaitre et montrer les enjeux du concept d'intelligence des vulnérabilités fondé sur une approche alliant gestion des risques et intelligence économique ; - 2) proposer des outils d'analyse en vue du diagnostic d'intelligence des vulnérabilités, ce qui nécessite un dossier de travail structuré. Ce dernier suit logiquement la phase de prise de connaissance, d'indentification, d'évaluation et de hiérarchisation des risques, dont la finalité est l'émission d'un rapport faisant état de Iexistant en matière de vulnérabilités. Les outils ainsi proposés permettent de : - mesurer le risque global qui est la somme des risques endogènes, exogènes, de sécurité et de sûreté ; - définir les échelles de fréquences et les indices de gravité ; - représenter la criticité brute et résiduelle après définition de I échelle de maîtrise; - cartographier les risques et les vulnérabilités de Ientreprise. - 3) fournir une démarche méthodologique dans l'élaboration et le pilotage du dispositif alliant prévention et protection au sein des PME/ PMI, qui précède le diagnostic effectué. Cette démarche passe par: - la mise en place d'une stratégie compatible avec les moyens de Ientreprise ; - la nomination d'un responsable d'intelligence des vulnérabilités ; - la mise en place d'un référentiel interne ; - le choix à faire pour le traitement des risques et la maîtrise par le recours au contrôle ; - la mise sous protection du patrimoine par un outil d'aide à la prise de décision ; - les actions de prévention par la formation et la sensibilisation ; - la mise en place de la veille (élaboration, perception des signaux, lancement de Ialerte); - la mise en place de tableaux de bord, par des indicateurs en lien avec les risques identifiés, et par Iapproche gestionnaire des coûts d'un risque ; - le suivi de la détection par Iactualisation du diagnostic, Iaudit et les actions correctives; - la préparation à la gestion de crise. L'intelligence des vulnérabilités favorise le développement de la capacité à traiter des situations existantes et nouvelles, elle améliore la réactivité, elle évite les contresens en période de crise, enfin, elle aide à structurer les domaines de la prévention et de la protection des entreprises. C'est assez dire combien l'intelligence des vulnérabilités se révèle un auxiliaire précieux pour permettre au chef d'entreprise, mais également à tout le personnel, d'optimiser leur attitude face au risque dans toutes les fonctions de Ientreprise, d'autant plus qu'aucune de ces fonctions ne doit être considérée comme secondaire. Le maillon faible de Ientreprise peut se trouver là ou il ne pouvait être imaginé. Toutefois l'intelligence des vulnérabilités ne règle pas tout, et son examen ne suffit pas pour permettre la performance totale de Ientreprise, mais elle a le mérite d'être un instrument de management au service des décideurs, un mode de pensée, de réflexion et d'action collective, un outil de savoir, de défense et de recherche des menaces qui pèsent sur I entreprise, comme des opportunités sources de performance et de développement. Ces actions de prévention et de protection doivent bien évidemment être couplées à des actions offensives, telles que la saisie d'opportunités, l'imagination des tendances, Ianticipation de la concurrence, la conduite d'actions d'influences. Si Iexpert-comptable a un rôle important à jouer, dans la mise en place d'un dispositif d'intelligence des vulnérabilités pour les PME/PMI, c'est tout simplement, parce qu'il dispose de nombreux atouts lui permettant d'être au cœur d'un tel dispositif pour sa mise en place. Son approche par les risques, dans le cadre de certaines missions et, notamment, des missions d'audit, sa connaissance des entreprises, son adaptabilité à Ienvironnement de ses clients, Iétendue de son champ d'intervention, lui confèrent cette vision, et Iexpérience indispensable qui lui donnent les compétences nécessaires pour justifier sa position en tant que conseil pour ce type de mission. II bénéficie également d'une capitale confiance auprès des dirigeants, envié d'ailleurs par de nombreux conseils, ce qui lui permet d'accéder à cette mission et de la proposer. Mais au-delà de la compétence de Iexpert-comptable, Iintelligence des vulnérabilités est un enjeu pour la profession de I'expertise-comptable qui offre un élargissement de son champ d'action au-delà de son cœur de métier, dans un environnement en profonde mutation, dicté par la mondialisation et la dérèglementation. *Expert-Comptable et Commissaire aux comptes - Membre de l'académie des Sciences et Techniques Financières et Comptables Paris. [email protected]
