RSSI et gestionnaires de risques sont évidemment mobilisés en ce moment et généralement injoignables pour des bilans de situation concrets dans telle ou telle entreprise ou administration. L'AMRAE (Association pour le Management des Risques et des Assurances de l'Entreprise), association professionnelle des gestionnaires de risques (Risk Managers, RM) a pris l'initiative d'un point-presse en ligne le 17 mars 2020 au soir afin de faire le point sur la situation mais aussi sur des recommandations. L'AMRAE y a également annoncé mettre à disposition gratuitement le guide « Les Plans de Continuité d'Activité » sur son site, guide normalement réservé aux seuls adhérents. Les propos tenus lors du point-presse l'étaient au nom de l'ensemble de l'association et aucune citation ne doit donc être attribuée.
Bien entendu, les responsables de l'AMRAE participant n'ont pu que constater une situation exceptionnelle en termes de risques. Cependant, aucun ne s'est senti démuni. En effet, les RM ont toujours travaillé sur la continuité d'activité, y compris dans des situations de catastrophes naturelles. Depuis les attentats du 11 septembre 2001, la gestion de crise est reconnue comme essentielle et il existe des méthodologies pour la réaliser, maîtrisées par les RM. Depuis 2010, le concept de « risque systémique » est devenu un sujet majeur pour les RM, sujet qui a été largement abordé dans les réunions et publications de l'AMRAE. Il y a donc eu un travail sur la continuité d'activité dans un cadre systémique. Malgré tout, « la crise planétaire du Covid-19 pousse à l'extrême tous les curseurs » a-t-il été reconnu.
La gestion du risque est d'abord opérationnelle
Le travail du gestionnaire de risque est avant tout opérationnel : il s'agit que l'entreprise puisse continuer de fonctionner ou reprendre le fonctionnement. Dans un second temps vient une ligne de défense indemnitaire avec les assurances. Mais « seule l'entreprise peut se redémarrer, ni ses assurances ni ses banques ne pourront le faire à sa place ». L'État a annoncé de nombreuses mesures importantes de soutien à l'économie et c'est heureux. Car, en dehors de cas particulier (assurances annulation d'événements par exemple), les épidémies ne sont pas couvertes en général.
« Le caractère systémique rend impossible la couverture d'un risque sanitaire à une telle échelle ». Bien entendu, cela ne concerne pas les assurances individuelles comme celles couvrant les frais médicaux ou les rapatriements. Une assurance sur la perte d'exploitation s'appuie normalement sur un dommage matériel déclencheur. Par exemple, un bâtiment brûle, désorganisant la production. Ce n'est absolument pas le cas avec une épidémie et les contrats classiques couvrant les entreprises ne pourront donc pas être invoqués.
Des PCA classiques dépassés
Normalement, un plan de continuité d'activité (PCA) est construit sur un incident relativement limité, aux conséquences prévisibles et avec une capacité de secours. Par exemple, un bâtiment brûle, les personnels sont évacués, les pompiers arrivent, l'activité reprend ailleurs. Avec une épidémie comme celle du Covid-19, la prédiction de la suite des événements est pour le moins délicate. La crise est systémique et aucun secours ne peut être attendu (en dehors de secours financiers de l'État).
A cela s'ajoute une difficulté supplémentaire : une entreprise dispose en général de plusieurs PCA, chacun couvrant un type de risque ou une activité. Les différents PCA sont interconnectés. Et il s'agit ici de tous (ou du moins un certain nombre) les déclencher simultanément pour couvrir l'intégralité de l'activité. « La chaîne casse toujours sur son maillon le plus faible ». Et un type de risques est parfois négligé, ce qui est ici impossible : le risque psychosocial. On rencontre dans le cas présent des paniques alimentaires, des circulations massives d'infox (fake news)...
Le rôle du RM est central
Le gestionnaire de risque a comme principal rôle, en cas de crise, de comprendre ce qui se passe et de piloter la réaction. Il peut être amené à piloter, en collaboration avec la direction de la communication, le partage d'informations au sein de son organisation. Parfois, il est le pilote de la cellule de crise elle-même. Pour l'AMRAE, le RM doit impérativement être le pilote central de tout le risque. Si la gestion de risque est diluée entre divers responsables opérationnels, « biais cognitifs et jeux politiques peuvent troubler la décision ». Trois impératifs guident son action : d'abord, assurer la sécurité des personnels ; ensuite assurer la continuité d'activité et enfin préparer le retour à la normale. Les entreprises sont interdépendantes : il faut donc tenir compte des risques touchant les clients comme les fournisseurs.
Selon les pays ou les régions, les phases de gravité vont varier dans le temps. La crise ne sera pas au même stade en même temps partout. A cela s'ajoutent des pratiques, des réactions psychosociologiques ou culturelles voire juridiques parfois très différentes les unes des autres. « Un RM doit avoir la créativité d'un peintre et la rigueur d'un comptable ». Il lui faut en effet imaginer les risques, mettre en musique la réponse et piloter avec rigueur le plan d'action. Un des enjeux forts de la réponse sera de garder, tout au long d'une crise dont la durée se chiffre déjà en mois, la synchronicité des actions.
Le SI, point de fragilité
Un risque qui avait peut-être été sous-estimé va se faire sans doute chèrement payer. Il s'agit bien sûr de la robustesse des SI sur lesquels s'appuient tous les PCA. Et cela malgré la saturation des réseaux. « Tout le monde tire en même temps sur les mêmes ressources ». Les risques liés en interne aux SI sont bien connus : problèmes d'accessibilité des applicatifs par des travailleurs externes, saturation des réseaux, sécurité non-prévue pour gérer le travail ubiquitaire...
A cela s'ajoute un risque secondaire que certains découvrent aujourd'hui. Il s'agit des scénarios de fraude et d'autres cybermenaces qui vont se déployer dans une période de fragilité où les process ne sont plus aussi rigoureux, où la sécurité va être dégradée. Avec le télétravail étendu, la culture du cyber-risque est essentielle. D'une manière générale, il est vrai que le facteur humain est toujours essentiel dans la gestion du risque.
L'absence de préparation est une faute mortelle
La non-préparation du travail ubiquitaire est l'une des impréparations qui vont aujourd'hui se payer cash dans les entreprises. La crise du Covid-19 démontre une nouvelle fois la nécessité des plans anticipés. Seuls ceux-ci peuvent permettre de prendre les décisions qui s'imposent rapidement. Et il n'est pas nécessaire que la cause d'un problème soit celle prévue.
Ainsi, les entreprises parisiennes ayant travaillé sur une crise de crue centenale ont mis en place des PCA prévoyant le télétravail avec une impossibilité des collaborateurs de rejoindre leurs entreprises. La cause importe peu : ce qu'il faut traiter, c'est le risque opérationnel.