Des risques majeurs, même s’ils semblent parfois peu crédibles ou impossibles, peuvent porter durablement atteinte aux activités essentielles d’une entreprise : la fraude, la corruption, le cybercrime, la perte d’actifs, la malveillance interne ou externe, la perte de confiance,…
Une entreprise n’est pas à l’abri de menaces dites asymétriques, définies comme une disproportion entre les moyens utilisés, les impacts subis et les moyens pour se protéger efficacement. On peut considérer, par exemple, la vengeance d’un employé contre son employeur en supprimant des informations servant aux bons fonctionnements des processus clés de l’entreprise, la communication aisée d’informations stratégiques et concurrentielles par des employés autorisés, l’atteinte à l’image de l’entreprise ou à la réputation des décideurs via les médias, le vol d’information via le réseau informatique, etc…
Pour la majorité des organisations, la réponse à une menace identifiée est bien souvent une réponse financière et technique.
Une entreprise subissant des intrusions répétées dans ses bâtiments, va très certainement investir rapidement dans un contrôle d’accès ou dans un gardiennage, sans pour tant procéder à l’analyse qui lui permettrait de savoir ce qui la rend si « attractive » et si les solutions sont adéquates en terme de couverture du risque considéré.
Trois points doivent être considérés :
– les enjeux de l’entreprise qui sont en général mal perçus et s’ils sont perçus correctement, ils sont souvent mal partagés par l’ensemble de l’organisation ;
– les besoins de protection des activités clés qui sont rarement correctement exprimés et analysés dans le temps ;
– les événements redoutés qui sont rarement identifiés, discutés et partagés au sein de l’entreprise et auprès des personnels concernés.
Les organisations sensibles doivent développer une responsabilité et un engagement approprié par rapport à leur activité et à l’ensemble des risques sous-jacents au travers d’une méthode adéquate.
Il est envisageable de proposer une méthode d’analyse rationnelle, non partisane, intégrant les besoins de performance des entreprises ainsi que les aléas propres au contexte dans lequel elles évoluent. Cette méthode peut être déployée, utilisée, recherchant une adhésion des décideurs sur ce que l’entreprise est prête à subir ou, au contraire, ce qu’elle ne veut ou ne peut absolument pas supporter.
Pour connaitre et bien identifier ses limites, il s’agit donc de se doter d’un outillage et d’un référentiel efficace pour analyser, anticiper, coordonner son action en vue de minimiser ses pertes humaines, financières ou encore liées à sa connaissance et à son savoir-faire en cas de risque avéré.
Other articles: