Anticiper les risques et s'y prparer

Scuris

Altar Conseil
33, rue Vivienne 75 002 Paris - Tl. : 01 47 33 03 12 - Mail : contact@altairconseil.fr

Constat

Les entreprises, leurs dirigeants et leurs collaborateurs sont exposs des menaces toujours plus nombreuses qui mettent en pril leur performance, voire leur prennit.

Page : 2

La gestion des risques : pour quoi faire ?

L'analyse des risques et la dfinition de la stratgie de continuit

Le plan de matrise des risques

Le plan de continuit des activits

Page : 3

Une prise de conscience des risques trop souvent insuffisante

"Nous n'avons jamais eu de sinistres et la probabilit d'en avoir un est faible" "Il est impossible de se protger contre des risques imprvisibles" "La gestion des risques cote chre, si nous n'avons pas de sinistres, nous ralisons des conomies" "Nous finanons nos risques auprs des assureurs, si nous avons un sinistre, nous sommes couverts" "C'est un risque calcul que nous prenons, nous avons l'habitude de faire face aux situations difficiles"

"Si cela arrive, on nous viendra en aide et on s'en sortira"

"Nous n'avons pas le temps et nous avons d'autres priorits"

"Nous pensons pouvoir nous en sortir avec nos procdures d'urgence et l'aide des autorits comptentes"
"La gestion des risques, c'est l'affaire du sige, pas la notre !"

Page : 4

 et pourtant !
Terrorisme :
Paris (1995), New York (2001), Bali (2002), Casablanca (2003), Madrid (2004), Londres (2005).

Violences urbaines
Mairie de Nanterre (2003) Incendies et meutes des banlieues (2005)

Risques industriels & technologiques :

Erika (Bretagne, 1999) AZF (Toulouse, 2001) : 30 morts, 2 200 blesss, 27 000 maisons et 1 300 entreprises touchs, 1500 M de dommages Chine (nov. 2005), trois accidents majeurs dans les secteurs ptrochimique, chimique et minier Prs de 30 accidents majeurs (type Seveso 2) par an dans le monde Prs de 2000 accidents industriels et technologiques recenss en 2004 (France) 10 500 sinistres informatiques en 2000 (dont fraudes 15%, accidents 12,5%, attaques logiques 10%, pannes 10%)

Risques sanitaires :
Pandmie grippale (depuis 2003) E.S.B. (Encphalopathie Spongiforme Bovine) Lgionellose, amiante

Risques naturels :
Canicule et pollution photochimique de l't 2003 (84 jours de dpassement des seuils d'alerte, 15 000 morts) Inondations de dcembre 2003 (27 dpartements touchs, 1 513 communes dclares en catastrophe naturelle, 670 M d'indemnits verses par les assurance), Tremblements de terre, Tsunami, tempte

Risques conomiques :
Conflits sociaux (grve des transports routiers en 1995, de la SNCF, des transports urbains (Marseille 2005), manifestations contre le CPE (Printemps 2006) Crises conomiques et dgradation de l'environnement

Page : 5

Toutes les entreprises et les administrations sont concernes

des consquences qui peuvent tre fatales

Arrts temporaires ou dfinitifs des activits Perte d'exploitation Disparition brutale de personnels cls Dgradation durable de l'image et de la rputation

Rupture des systmes d'information

Rupture de la chaine d'approvisionnement Rupture de la chaine de commandement Rappel de produits dfectueux Fermeture de sites et dlocalisation Mdiatisation non matrise Affolement des actionnaires Attaques opportunistes de la concurrence

Dfection de cadres et de comptences cls

Class actions et procdures judiciaires pnales ()
Page : 6

Cartographie des menaces

Menaces internes Menaces externes Menaces mixtes
SRAS Infections nosocomiales Infections mningocoques Encphalopathie spongiforme Grippe aviaire Attaques au Prud'hommes Contrefaon OPA hostile

Fraude financire
Baisse de la rentabilit Non paiement des crances Evolution de la rglementation Class Actions Procdures judiciaires Endettement Pilotage insuffisant Dmotivation / Financements occultes dmobilisation des Campagne diffamatoire collaborateurs Couverture assurance Divulgation insuffisante Utilisation de logiciels d'informations sensibles contrefaits Non respect de Mauvaise utilisation des Non matrise la rglementation Intelligence outils et procdures des risques conomique Non respect des Non respect des Disparition projets Perte / Vol rgles et normes habilitations d'hommes cls d'informations vitales comptables Dgradation / Vol d'quipements Ruptures de la chane Extorsion Attaques image Dfaillance des d'approvisionnement / notorit Abus de quipements informatiques Scurisation biens sociaux Dsinformations Perte / dgradation de donnes et insuffisante des S.I. Abus de de programmes (piratage) Non qualit des pouvoir Communication Intrusion informatique prestations Conflit Non matrise Boycottage (hacking) Mauvaises dlivres social performances Perte de ressources et Ralentissement Rumeurs de comptences (RH) conomique Arrt informatique Gouvernance Insatisfactions clients inadapte Attaques virales Non cohrence Objectifs Mauvais choix / Stratgie / Plans de d'investissement Dbauchage dveloppement Retour de produits massif Concurrence & Dfaillance Transformation Dpendance nouveaux entrants fournisseurs non matrise Actions de groupes de pression Chute des marchs boursiers

Lgionellose
Occupation des locaux Violences psychologiques Harclement Vol d'actifs Amiante Maladies tropicales Prolifration des agents pathognes (virus, champignons, bactries, ) Stress des collaborateurs Accident du travail & maladie

Embargo
Comportements dviants

Chantage Insuffisance des Champ Crime organis dispositifs de lectromagntiques prvention et de Conflits arms Intoxication protection alimentaire Terrorismes et bio-terrorisme Dgradation des Contamination btiments et des locaux Instabilit politique de produits Accidents de Destruction de Pollution transport Sabotage l'outil de bactriologique production Dfaillance des Violences physiques Pollution Btiments et Pnurie des locaux biologique d'nergie Dfaillance / Kidnapping Dgt des arrt des moyens Toxicologie Fraude eaux de transport Dfaillance Arrt infrastructures Epidmie Emeutes d'quipements critiques (lectricit, ) Pandmie de servitudes Avalanche Dgradation Technologie mal Pollution Mouvements matrise chimique Grve de terrain Pollution Rarfaction des Foudre Incendie radiologique ressources Typhon Explosion Pollution nergtiques biologique Tsunami Grle Tempte Ouragans / tornades Incendie Pollution Phnomnes Phnomnes Tremblement Inondation chimique climatiques volcaniques de terre

Menaces

Page : 7

Gestion des risques : pour quoi faire ?

Le risque est quotidiennement prsent dans l'entreprise. Les dirigeants et leurs quipes tentent, avec plus ou moins de succs, de les intgrer et de les matriser dans les processus dcisionnels et oprationnels :
Stratgie de croissance et de dveloppement Conqute de nouveaux marchs Politique de partenariats Choix d'investissement Lancement de nouveaux produits Gestion des projets de transformation ()

Mais aujourd'hui, l'entreprise volue dans des environnements et des systmes politiques, conomiques et sociaux toujours plus complexes dans lesquels les menaces tendent crotre et se transformer : catastrophes naturelles, violences socitales et terroristes, accidents industriels et technologiques, crises sanitaires, actes de malveillance, Plus encore, c'est l'interdpendance entre toutes ces menaces qui cre une situation de risques nouvelle En consquence, de nouveaux risques mergent pour l'entreprise lorsque celleci n'est pas suffisamment prpare les affronter et les grer. Plus que jamais, la gestion du risque devient une composante cls de sa stratgie de dveloppement et de son dispositif de management.
Page : 8

Pour faire face, la diffusion et l'intgration d'une culture de gestion du risque au sein du systme de management est imprative
Incendies, explosions, rejets de dchets toxiques, conflits sociaux, dfaillances de fournisseurs, actes de vandalisme, arrt prolong de l'informatique, pandmie grippale, intelligence conomique, autant d'exemples qui illustrent que les entreprises ne sont pas l'abri de sinistres, d'origine naturelle ou humaine, involontaire ou intentionnelle, susceptibles d'interrompre plus ou moins gravement le cours de leurs activits,

Outre les consquences sur les vies humaines (clients, personnels, visiteurs), ils se traduisent le plus souvent par des dommages sur les organisations pouvant aller jusqu' l'arrt brutal, temporaire ou dfinitif, des activits de l'entreprise et par des pertes d'exploitation pouvant mettre en pril la prennit de l'entreprise.

Les actionnaires, les autorits de tutelles mais aussi les divers partenaires de l'entreprise et les clients eux-mmes, exigent de plus en plus que le chef d'entreprise et les dirigeants, s'attachent prserver le "capital oprationnel" en se prparant matriser et protger les actifs patrimoniaux et l'information stratgique de l'organisation dans toutes les situations de crise.

Page : 9

Et votre organisation ?

Est elle prte affronter un sinistre provoquant un arrt brutal, mme partiel, de vos activits ?

Indpendamment du dispositif de prvention et de protection en place dans votre entreprise, avez-vous mesur le degr de vulnrabilit et de gravit de votre organisation certains types de menaces ?
Avez-vous procd l'laboration d'une cartographie des risques ? Si un sinistre se dclare, votre dispositif de prvention et de protection serat-il oprationnel ?

Etes vous satisfait de votre dispositif de gestion des risques et de continuit de vos activits ? Saurez-vous ragir ds connaissance la connaissance du sinistre ?
Votre organisation et vos quipes pourraient-elles faire face un arrt total ou partiel de vos activits ? Sauraient-elles redmarrer et garantir la continuit des activits ? Quels seraient les impacts humains, conomiques, financiers ou juridiques occasionns par un sinistre majeur sur votre outil de production ? Savez-vous que la responsabilit pnale des dirigeants peut-tre engage, au mme titre que celle de l'entreprise (loi Perben II) ? Sous quel dlai et sous quelles conditions vos activits peuvent-elles repartir ? Des facteurs conomiques peuvent-ils venir menacer la cohrence stratgique de vos actions et la prennit de votre organisation ?

Avez-vous connaissance des garanties couvertes par votre assurance ?

Page : 10

Une seule logique ANTICIPER et SE PREPARER au risque

Planifier l'aprs crise et la reprise des activits

Prparer la gestion de crise

Prvenir les menaces et se protger

Prvenir plutt que gurir

Dfinir une politique et des orientations de management des risques

Evaluer les risques et les impacts

Savoir pour anticiper

Page : 11

Des questions auxquelles Altar Conseil apporte des rponses

A l'exclusion des risques professionnels, les quipes d'Altar Conseil ont dvelopp une expertise et des outils permettant aux entreprises de mieux apprhender et de grer les risques critiques qui peuvent venir affecter temporairement ou durablement leurs actifs patrimoniaux et leurs activits. Ils accompagnent les dirigeants et les managers des organisations tout au long du processus de dfinition et de mise en uvre du plan de matrise des risque et du plan de continuit.

Avec vos collaborateurs, nos experts vous aident mieux vous protger et rduire les consquences d'un sinistre sur les biens, les personnes et les activits de votre entreprise : Dresser la cartographie des risques Dfinir avec vous une stratgie de continuit Dterminer le plan de protection et de prvention le plus adapt vos objectifs Btir le dispositif de gestion de crise Formaliser le plan de redmarrage et de continuit de vos activits Protger vos actifs et vos informations stratgiques contre toute attaque

Page : 12

Nos prestations

Construire le plan de matrise des risques Prestation 2 :

Accompagner les quipes du client dans l'laboration et le dploiement du plan de prvention et de matrise des risques
Dfinir et dployer le plan de redmarrage et de continuit des activits

Champ d'intervention

Infrastructures physiques et techniques

Dfinir et dployer le plan de prvention et de protection Etablir le dispositif de gestion de crise Organiser la gestion globale des risques

Patrimoine immatriel et informationnel

Processus et activits

Btir la stratgie de continuit

Prestation 1 :
Dresser un tat des lieux et dfinir une stratgie

Dresser la cartographie des risques

Capital humain

Recenser les menaces

Evaluer le niveau de vulnrabilit

Evaluer le niveau de gravit

Page : 13

Notre dmarche

Utilisation de rfrentiels

Entretiens avec les responsables

Animation de groupes de travail (workshop)

Examen du dispositif documentaire

Contrles et observations sur le terrain

Page : 14

La gestion des risques : pourquoi faire ?

L'laboration de la cartographie des risques et la dfinition de la stratgie de continuit

Le plan de matrise des risques

Le plan de continuit des activits

Page : 15

Cartographie des risques et stratgie de continuit

A quelles menaces l'entreprise est-elle expose et quels sont les risques majeurs ? Quelles seraient les consquences d'un sinistre sur les actifs, les personnes et les activits de l'entreprise ? Quelle stratgie de dfense et de continuit mettre en uvre pour avoir une rponse adapte et intgre aux objectifs et la stratgie de dveloppement de l'entreprise ?

Dotes d'une forte expertise dans les oprations de transformation des entreprises et d'amlioration des performances et d'une exprience avre des problmatiques de gestion des risques, les quipes dAltar Conseil ont dvelopp une dmarche et des outils permettant d'offrir leurs clients une identification rapide et exhaustive des menaces et des stratgies de dfense dployer.

Evaluer les enjeux pour l'entreprise

Evaluer le niveau de vulnrabilit et de gravit

Dfinir la stratgie de dfense et de continuit des activits

Recensement des menaces

Evaluation de la vulnrabilit et de la gravit

Analyse de la cartographie

Bilan

Orientations et objectifs

Cartographie des risques

Stratgie de continuit

Page : 16

Cartographie des risques et stratgie de continuit

Un appareillage mthodologique complet

Objectifs Recenser les menaces, valuer le niveau de vulnrabilit et de gravit des risques encourus
Une valuation quantitative et qualitative des risques, La mise disposition d'un rfrentiel d'valuation des menaces pour d'une part mesurer le niveau de vulnrabilit et de gravit (impacts), d'autre part localiser les lignes de force et les zones de faiblesse du dispositif de prvention et de protection existant Une cartographie complte des menaces : risques accidentels, naturels, industriels et technologiques, conomique et sociaux, malveillance, sanitaires, Une dmarche d'investigation combinant d'une part des entretiens avec les responsables des risques et les quipes en proximit avec les thmes abords, et d'autre part des contrles sur le terrain.

Questionnaires Matrice de scoring des risques Classification des risques

Construire la cartographie des risques

Segmentation des menaces selon leur niveau de vulnrabilit et de gravit pour l'entreprise, Identification des risques majeurs prsentant des niveaux de vulnrabilit et de gravit les plus levs

Cartographie des risques

Dfinir la stratgie de continuit

Intgration de la stratgie de continuit dans la politique gnrale de l'entreprise (objectifs atteindre, stratgie de dveloppement et de croissance) pour dterminer le niveau de matrise des risques attendu Dfinition des axes de progrs permettant de rduire la vulnrabilit (plan de prvention et de protection) et / ou la gravit (plan de continuit) Travaux raliss avec les instances dcisionnelles de l'entreprise
Page : 17

Stratgie de continuit

Axes de progrs

La gestion des risques : pourquoi faire ?

L'laboration de la cartographie des risques et la dfinition de la stratgie de continuit

Le plan de matrise des risques

Le plan de continuit des activits

Page : 18

Le plan de matrise des risques

Quels dispositifs adapts de prvention et de protection dployer pour rduire l'exposition aux risques et attnuer les effets d'un sinistre ?
Quelles actions dployer et quelles dcisions prendre lors d'un sinistre pour grer au mieux la priode de crise ? Quelle organisation de la gestion des risques mettre en uvre et comment rpartir les responsabilits au sein du systme de management de l'entreprise ?

Les quipes dAltar Conseil ont dvelopp une dmarche et un outil permettant le dploiement d'une politique de gestion globale des risques visant d'une part rduire le niveau d'exposition aux risques et diminuer les consquences d'un sinistre sur les hommes, les biens et les activits. Prvention et protection

Dispositif de gestion de crise

Gestion globale des risques

Procdure

Pratiques

Equipement / matriels

Plan de prvention et de protection

Stratgie de continuit

Infrastructures

Organisation

Check list / plan d'actions

Dispositif de gestion de crise

Objectifs / Missions & responsabilits

Structuration

Maintenance

Organisation

Page : 19

Le plan de matrise des risques

Objectifs
1

Auditer et renforcer le plan de prvention et de protection

L'valuation du Plan de Prvention des risques : procdures, bonnes pratiques, systmes d'informations et de communication, formation des collaborateurs, L'valuation du dispositif de protection : Infrastructures, quipements, financement des risques encourus, assurance, La proposition de mesures de renforcement et de durcissement

Btir le dispositif de prvention et de protection

Dfinir et dployer le dispositif de gestion de crise

Les acteurs, les responsabilits et l'organisation de la chane de commandement au sein de la cellule de crise Les besoins en infrastructures, en quipements et en matriel (War room) La procdure d'alerte Le systme documentaire La check list des actions mener (dploiement de la cellule de crise, scurisation du site, gestion des ressources humaines, instruction du dossier d'assurance, mesures conservatoires, ) Le dispositif de communication interne et externe

Organiser la cellule de gestion de crise

Dfinir les besoins d'infrastructure

Organiser la gestion globale des risques

La politique de gestion globale des risques L'organisation des fonctions de gestion des risques La rpartition des responsabilits dans l'entreprise L'laboration du plan d'actions Les procdures de simulation Le systme de maintenance des dispositifs de gestion des risques
Page : 20

Intgrer la gestion globale des risques dans le systme de gouvernance et de management de l'entreprise

La gestion des risques : pourquoi faire ?

L'laboration de la cartographie des risques et la dfinition de la stratgie de continuit

Le plan de matrise des risques

Le plan de continuit des activits

Page : 21

Le plan de continuit des activits

Quelles sont les activits critiques sauvegarder et intgrer dans le plan de continuit ? Comment procder au redmarrage des activits ? Quels sont les besoins en personnel, en infrastructure, en procdures, ? Quelles sont les squences de reprise des activits ?

L'laboration du plan de continuit des activits constitue une des prestations centrales de l'offre de notre cabinet en matire de gestion des risques. Elle vise anticiper et prparer la reprise des activits de l'entreprise au plus prs de la survenance d'un sinistre afin de limiter les pertes d'exploitations. Amnagement des site de secours

Organisation des activits critiques

Plan de reprise

Description et organisation des processus critiques

Elaboration du plan de reprise

Prparation et mise en place de site(s) de secours

Retour la normale des activits

Page : 22

Le plan de continuit des activits

Objectifs
1

Identifier les processus critiques et laborer le plan de reprise

Recensement des processus, des activits et des informations critiques Nomination des responsables de plans de continuit (prparation, mise en uvre) Identification des besoins en ressources et des contributeurs Localisation des activits sur le site de secours Description dtaille du plan d'actions et des modalits de reprise Timing de reprise (PERT de reprise des activits)

Construire le plan de reprise des activits

Identifier et amnager le(s) site(s) de secours

Evaluation des besoins (surface, postes de travail, capacit d'accueil, ) Recherche et analyse technique et conomique des solutions de secours Amnagement du site : quipements, infrastructures techniques (lectricit, tlcommunication, informatique, ), fournitures, Applications et bases de donnes informatiques Niveau de contribution attendu des fournisseurs

Prparer le(s) site(s) de secours

Page : 23

Dployer le plan de continuit d'un organisme de Scurit Sociale

Un outil de travail dtruit
L'explosion accidentelle de l'immeuble hbergeant l'ensemble des activits d'une Caisse Un traitement de crise et des oprations de reprise d'activit totalement improviss en l'absence d'un plan de continuit et d'un dispositif de gestion de crise prdfinis
L'impact image doubl du cot financier li la perte de donnes importantes et aux dgts subis

Btir un plan de continuit des activits comme rfrentiel pour le groupe

Capitalisation des enseignements tirs de la gestion du sinistre pass partir d'une analyse des retours d'exprience Identification des activits critiques, des menaces et des vulnrabilits

Le cot lev de la reprise d'activit et du retour la normale

L'existence de risques avrs dans plusieurs organismes de ce groupe national (65 000 collaborateurs

Scuriser le fonctionnement de l'ensemble des organismes de ce groupe national et garantir la continuit des activits critiques en cas de sinistre
Russir coordonner les oprations pendant et aprs la crise

Analyse des risques et dfinition des solutions prventives et curatives

Solution dploye Etablissement d'une stratgie de continuit Elaboration d'un rfrentiel mthodologique de gestion de crise (tat major, procdures et organisation de crise, plan de communication)

Contexte & problmatique

Limiter les interruptions de service aux dlais maxima admissibles par la clientle Disposer d'une meilleure apprciation des menaces et d'une valuation des risques Organiser les processus de gestion de crise et de continuit des activits Matriser les cots rsultant d'un sinistre majeur (prparation des dossiers d'assurance, optimisation des procdures de reprise, gestion des impacts matriels et humains)

Rsultats

Elaboration d'un rfrentiel mthodologique pour la construction des plans de continuit Accompagnement du dploiement local des rfrentiels nationaux

Un rfrentiel national et des plans de secours

Implantation de procdures oprationnelles de gestion crise tablissement du plan de continuit des activits Mise en place d'infrastructures et de sites de secours Identification et prservation des donnes sensibles (dmatrialises et papier) Durcissement de dispositifs de protection et dveloppement de pratiques prventives Page : 24

Notre quipe
Bruno GOUREVITCH Associ fondateur du cabinet Altar Conseil 47 ans Institut dtudes Politiques de Paris Matrise de Droit 17e session de formation de lInstitut National des Hautes Etudes de Scurit (INHES) 20 ans dexpertise et de conseil en management stratgique des organisations dans des cabinets anglo-saxons et franais Expert judiciaire en Diagnostic dentreprises prs la Cour dappel de Paris Expert en Organisation et Systmes dinformation prs les Cours administratives dappel de Paris et de Versailles Domaines dexpertise : Didier BONFILS Associ fondateur du cabinet Altar Conseil 44 ans Institut National des Sciences conomiques et Commerciales de Paris (INSEEC Paris) Mastre Stratgie et Management des Systmes dinformation de lESCP-EAP Ancien auditeur de la 20e sessions d'Intelligence Economique de lInstitut des Hautes Etudes de Dfense Nationale (IHEDN) 15 ans dexpertise et de conseil en management dans les restructurations et les transformations de grandes entreprises Matre de confrence en stratgie de systmes dinformation et en management de projets lESCP-EAP Domaines dexpertise : Dploiement de stratgies de transformations Gouvernance des organisations et des ressources humaines Gestion des risques et scurit conomique

Principales rfrences clients :

Dploiement de stratgies de transformation Gouvernance des organisations Stratgie dvolution des systmes dinformation Gestion des risques projet et plans de continuit des activits

Finance : Crdit Agricole, Caisse dEpargne, Crdit Mutuel, Banques Populaires, Tlcommunications : Alcatel, France Tlcom, BT France, Siris Corps de lEtat : Conseil dEtat, Ministre de lEconomie et des Finances Administrations & services publics : Assurance Maladie, Assurance retraites Collectivits : Commune des Ponts de C, Commune de Saumur

Principales rfrences :

Finance : Groupe Crdit Agricole, Groupe Caisse dEpargne, Crdit Mutuel IT, Tlcommunications & Communication : Alcatel, France Tlcom, BT France, Siris, Syntgra, T-Systems, Lowe Alice