Sécurité anticipative

Christian Segot et Ziad Hajar sont tous deux Directeurs chez Byblos Group.

---

La crise du COVID-19 a marqué les esprits. C’est un évènement historique, car c’est la première fois de l’histoire où plus de la moitié de l’humanité est confinée suite à une décision politique.

Cette crise sanitaire est d’autant plus marquante qu’elle a démarré à presque 9000 km de notre pays et a un impact catastrophique en terme économique estimé à ce jour à 300 milliards d’euros.

Cet effet d’entrainement a forgé encore plus aux yeux de tous les citoyens français le caractère lourdement interdépendant du monde dans lequel nous vivons. Même en étant loin du lieu de la perturbation initiale, nous sommes touchés profondément. Mais surtout, cette crise a révélé, particulièrement en occident, d’importantes lacunes en matière d’anticipation car personne n’a su mesurer l’ampleur de cette dernière ce qui a nettement aggravé ses répercussions.

L’anticipation permet en effet, de s’accommoder et de se situer dans le domaine de l’incertitude d’une manière globale et non pas uniquement de manière exceptionnelle. Pour l’illustrer faisons un parallèle maintenant bien connu entre la stratégie d’entreprise et celle appliquée par les militaires. Aujourd’hui les entreprises ont identifié plusieurs origines et niveaux de menaces et s’arment avec des moyens de lutte bien appropriés à la fois en efficacité et en profondeur.

Les menaces touchant les entreprises peuvent être rapidement classées en deux types :

• Les menaces internes telles que les sinistres, les dysfonctionnements de la capacité de production, les malwares informatiques…
• Les menaces externes telles que les malveillances concurrentielles, les désinformations, les attaques de sites à l’international et les environnements changeants…

Les perturbations internes et externes identifiées constituent des menaces, selon qu’elles participent directement ou indirectement à menacer l’existence et le développement de l’entreprise. De manière générale, plus l’entreprise est grande et exposée à l’international plus elle est sensibilisée et mature dans la mise en application de contre-mesures pour parer les menaces. Au sein des sociétés il est même très fréquent qu’une veille préalable ait été effectuée.

La veille peut revêtir plusieurs formes (concurrentielle, pays ou géopolitique, technologique, réglementaire, marketing…) et constitue un « état des lieux » à un instant donné. La stratégie appliquée immédiatement à l’issue de la veille va se nourrir de tous les évènements et environnements entourant l’entreprise. Le plan d’actions qui va ensuite en découler va servir la vision élaborée par le chef d’entreprise. La veille n’est ni présage ni divination. La veille est omniprésente dans l’esprit de Sun Tzu et dans son traité l’Art de la guerre : « Débarrassez les plans du doute et de l’incertitude » (XI 44) et « Percez donc à jour les plans de l’ennemi et vous saurez quelle stratégie sera efficace et laquelle ne sera pas » (VI 20). Cette veille est souvent associée à une analyse de risques qui liste de manière exhaustive les différentes catégories de risques qui peuvent toucher l’entreprise.

L’analyse de risques suit souvent une approche selon les 5 forces de Porter en considérant l'intensité concurrentielle, le pouvoir de négociation des clients, celui des fournisseurs, la menace des produits de substitution et celle de nouveaux entrants. L’analyse de risque est propre à chaque entreprise et les risques identifiés sont généralement pondérés en fonction de leur niveau d’occurrence et de leur degré de gravité possible pour l’entreprise.

Veille et analyse de risque participent à l’anticipation stratégique enseignée dans les écoles de commerce et que les entreprises maîtrisent de mieux en mieux pour prendre des décisions importantes. L’anticipation peut aussi comprendre la notion de ruse / renseignement ou intelligence économique industrielle applicable aussi bien au domaine militaire qu’au monde de l’entreprise. La recherche d’informations (bouclier) ou la diffusion de fausses informations (épée) peut utiliser de nombreux stratagèmes très élaborés dont la finalité est de déstabiliser l’ennemi ou le concurrent. « Tout l’art de la guerre est basé sur la duperie » (I, 17) annonçait Sun Tzu. La veille est rendue donc plus difficile. Il faut faire preuve de discernement dans les informations ouvertes, écouter et comprendre les signaux faibles. L’entreprise doit éviter d’avoir une forme figée afin de surprendre à tout moment. S’il est facile de concevoir sur le plan militaire qu’« une armée sans agents secrets est exactement comme un homme sans yeux ni oreilles » (Sun Tzu XIII 23), il est tout aussi facile de comprendre l’importance d’un « réseau d’influence » au sein des entreprises. C’est tout l’art de l'utilisation stratégique de l'information comme facteur visant à réduire un risque et par là comme outil d'accompagnement d'une tactique basée sur le mouvement.

Un autre élément qui différenciera les entreprises face à une crise est l’autonomie de ses membres qui permettra des prises de décisions rapides dans un environnement incertain et volatile. Cet environnement incertain a été encore souligné par la pandémie qui a rajouté aussi de la peur, de la méfiance et de l’angoisse. L’autonomie d’une organisation permet de franchir les obstacles rapidement, structurellement et avec les mêmes valeurs.

Aussi un autre point commun existe entre stratégie d’entreprise et stratégie militaire : celui essentiel de découler d’une vision d’entreprise ou d’une politique de Défense pour les militaires. En France les grandes orientations stratégiques militaires sont posées dans le Livre blanc qui s’appuie sur la Revue stratégique de défense et de sécurité nationale. Et les objectifs et moyens financiers définis pour 5 ans sont issus de la Loi de Programmation Militaire (LPM). Au sein d’une entreprise, la vision est aussi réfléchie et partagée le plus souvent au sein du Comité Exécutif. Elle donne un cap, une direction et encore une perspective sur le très long terme. La vision s’inscrit dans l’action notamment au travers d’un plan d’actions stratégiques. Dans les deux cas les stratégies sont généralement offensives à des fins de conquêtes technologiques, de marchés… au détriment d’un ennemi ou d’une concurrence qui serait neutralisé ou écarté.

Enfin, la comparaison peut être poussée sur les dernières parades mises en œuvre par les entreprises pour lutter contre des menaces qui elles-aussi savent évoluer pour être plus efficaces.

L’innovation poussée par la créativité et farouchement tenue secrète ou protégée (brevet) permet de surprendre le concurrent par un produit plus performant ou plus attrayant et idéalement de créer un nouveau marché. La création récente par le Ministère des Armées de l’Agence de l’Innovation de Défense (AID) est révélatrice du continuum militaire-entreprise qui cette fois-ci se rejoint : vital pour les militaires qui doivent garder un « coup d’avance » pour faire la différence sur les théâtres d’opérations et vital au plan économique pour permettre aux entreprises de gagner de nouveaux marchés et de faire face à la concurrence.

Face aux incessants soubresauts internes et externes qui bouleversent les entreprises en leur annonçant sans cesse des défis économiques et sociaux toujours plus grands, la notion de résilience apparaît comme l’ultime anticipation d’une organisation pour faire face à une épreuve, un revers et à le surmonter, voire en tirer parti par de nouvelles opportunités en dépit de conditions déstabilisantes. Les entreprises résilientes constituent des équipes de gestion des crises et élaborent des ‘stratégies’ face à quantité de scénarios. Les équipes préparées peuvent rapidement suspendre leurs activités normales pour réagir face aux catastrophes. Les grandes organisations, y compris les gouvernements, créent des centres d’opérations d’urgence équipés de technologies et d’outils de communication permettant de gérer tout un éventail d’incidents et de catastrophes.

Au-delà du management de crise et de la formulation d’un plan de continuité d’activité (PCA), la résilience est une capacité d’action collective et individuelle : on mise sur un réflexe de l’actif humain comme catalyseur pour « résister ». En France, le neuropsychiatre Boris Cyrulnik s’est particulièrement intéressé à l’engagement des soldats dans les conflits armés et au lien avec le stress post traumatique. Il a montré que ceux qui parvenaient le mieux à surmonter le traumatisme étaient ceux qui l’avaient accepté. Cité dans Le livre blanc sur la défense et la sécurité nationale de 2008, la résilience est dans l’essence même des militaires comme par exemple au sein du Groupe d’Intervention de la Gendarmerie Nationale (GIGN) dont les interventions sont réalisées sans arrêt en s’adaptant au contexte et à l’incertitude. Mais là encore, Sun Tzu était visionnaire : « les guerriers habiles commençaient par se rendre invincibles, puis attendaient le moment où l'ennemi serait vulnérable » (IV, 1).

La résilience comprend aussi celle du Système d’Information (SI) de l’entreprise, les back-ups et patchs informatiques s’inscrivent dans le PCA sous le terme de cyber-résilience ou Business Resilience. Mais il ne faut pas confondre résilience et sécurité et l’exemple de la « ligne Maginot » pourrait illustrer la possible confusion. L’efficacité de la cyber-résilience n’est pas un nouveau rempart mais repose vraiment sur la proactivité de l’organisation dans l’entreprise et la connaissance par les ressources humaines des infrastructures et process : « la seule défense certaine est l’offensive, et l’efficacité de l’offensive dépend des âmes guerrières de ceux qui la conduise » annonçait Georges S Patton.

Une organisation résiliente est capable également de résister à un effet dominos en « silotant » rapidement ses clients et ses actifs clés afin de maintenir l’activité en mode dégradé. La gestion des risques se décline alors en trois volets : ‘prévention, détection et réaction’. Pour améliorer la réactivité de votre entreprise, il est crucial de développer une « résilience globale ».

Christian Segot et Ziad Hajar