Crise géopolitique, crise sanitaire, crise des matières premières, crise énergétique, crise économique et sociale, crise climatique, crise cyber… La multi-crise mondiale impacte particulièrement l’activité des entreprises. Comment assurer la continuité d’activité des organisations, s’adapter pour ne jamais « gâcher la crise » et capitaliser pour mieux anticiper la crise d’après ?
Compte rendu de la première table ronde proposée lors du colloque annuel du CDSE – « L »Entreprise à l’ère de la multi-crise », jeudi 15 décembre 2022, avec la participation de Patrick Guyonneau, directeur de la sécurité du groupe Orange ; Huu-an Pham, directeur de l’adaptation industrielle chez AXA Climate ; Mathieu Khan, directeur adjoint du Service de l’information stratégique et de la sécurité économique (SISSE) ; Philippe Susnjara, directeur du renseignement et de la sécurité intérieure (DRSD) ; et avec la contribution de Stéphane Bouillon, secrétaire général du SGDSN ; Stéphane Fouks, vice-président du groupe Havas.
>> Retrouvez l’intégralité de la table-ronde en replay vidéo :
La multi-crise, « c’est la vie normale des grands groupes ! ». C’est ce qu’affirme Patrick Guyonneau, jeudi 15 décembre 2022. Le directeur de la sécurité du groupe Orange s’exprimait lors d’une table ronde intitulée « Anticipation, adaptation, capitalisation : l’Entreprise à l’épreuve de la multi-crise » dans le cadre du colloque annuel du Club des directeurs de sécurité des entreprises (CDSE). Il précise que sa fonction inclut la prise en compte des « aspects sûreté, malveillance, sécurité internationale et cyber » et qu’ainsi il est certain « qu’à l’instant T, il y a toujours quatre ou cinq crises » qui concernent l’entreprise.
Cette réalité ne doit pas « faire preuve », nuance cependant Patrick Guyonneau, mais elle conditionne l’organisation des activités des directions sécurité-sûreté. Pour les directeurs et leurs collaborateurs, « il n’y a pas de journée type ». Tout « l’intérêt du métier de directeur de sécurité de l’entreprise est que l’on ne s’ennuie jamais ». Le directeur doit conjuguer le traitement « des crises à cinétiques rapides », comme les « crises cyber », et celui des crises « à cinétique lente » comme « la gestion de crise en Ukraine ». Pour assurer la gestion de ces dossiers dont les temporalités diffèrent, les services des directions sécurité-sûreté font « des points quasi-quotidiens » sur les sujets qui peuvent concerner tous les pays du monde.
Stéphane Bouillon, secrétaire général de la Sécurité et de la Défense nationale (SGDSN), rappelle que la guerre en Ukraine renforce les menaces hybrides, à savoir « les attaques cyber, les attaques en informations, les attaques juridiques, qui ont pour but de gagner la guerre sous le seuil de la conflictualité. » Il poursuit en indiquant que « la mondialisation heureuse telle qu’elle existait est en train de disparaître ».
Face à ce constat, les entreprises doivent « renoncer aux flux tendus, stocks zéro » et, plus largement, elles doivent se protéger « [d]es cyberattaques, [d]es attaques informationnelles, [d]es attaques sur [la chaîne] logistique, [d]es attaques sur [l’] organisation, [qui] vont être de plus en plus fréquentes et de plus en plus fortes ».
L’action de l’État dans l’accompagnement des entreprises
Malgré tout, les entreprises ne sont pas seules et l’État s’engage à les accompagner dans ce contexte dégradé. Le général Philippe Susnjara, directeur du renseignement et de la sécurité de la Défense (DRSD), rappelle que son service protège les acteurs de « la sphère défense au sens large » puisqu’ils sont compétents pour « les forces armées » et « les acteurs de la base industrielle de défense » qui regroupe « 4.000 entreprises ». Cette protection intervient spécifiquement dans le champ des menaces dites « TESCO », qui regroupent « la problématique du terrorisme, de l’espionnage, du sabotage, de la subversion, et du crime organisé ». Ainsi, la DRSD est « déployée sur l’ensemble du territoire national » avec des antennes « dans à peu près 34 villes de France », ce qui assure « une vraie proximité avec les entreprises ». Les liens créés par les rapports fréquents entre les agents du service et les acteurs de la défense permettent des échanges constructifs « aussi bien avant que pendant une crise », avec d’une part un « volet renseignement » et d’autre part un « volet protection ».
Le service, qui dépend du ministère des Armées, a la charge de surveiller les questions d’habilitation, mais également de procéder à la « vérification de la conformité des entreprises, ou même des organisations d’une manière générale, aux normes qui sont éditées, notamment par le SGDSN, mais aussi en interne au ministère des Armées ». Par ailleurs, la DRSD prévoit de déployer un CERT (Computer Emergency Response Team) sur l’ensemble du territoire au cours de l’année 2023. En cas d’attaque cyber, le service est « là pour aider les entreprises », assure le général Susnjara. « On vient, on regarde ce qu’il s’est passé, on essaye de l’analyser avec l’ensemble des autres acteurs du monde cyber, que ce soit l’ANSSI ou le Com Cyber, et de comprendre quel est le type d’attaque, qui l’a réalisé, afin de prendre des mesures conservatoires ou préventives pour l’ensemble des acteurs, et éviter évidemment que cela se renouvelle et que l’attaque prenne une certaine ampleur », précise-t-il. « Par la suite, d’autres acteurs, qui sont principalement des prestataires, peuvent remédier à cette attaque et permettre à l’organisation attaquée de retrouver un fonctionnement normal. » Et le général de réaffirmer un principe cardinal : « quand on intervient, on ne fait pas du renseignement sur l’entreprise qui a été attaquée ! »
Parmi les menaces les plus fréquentes, le SISSE compte « les classiques prises de participation/rachats et les prises de contrôle rampantes », mais Matthieu Kahn voit « monter en puissance les attaques sur le patrimoine informationnel des entreprises » à l’aide « des moyens juridiques qui sont de plus en plus utilisés dans la compétition économique ». Pour faire « face au développement de mesures extraterritoriales, le SISSE a revitalisé le dispositif de la Loi de blocage de 1968, qui permet d’interposer l’État entre une entreprise et une demande d’ une juridiction étrangère un peu abusive venant toucher des informations sensibles ». Concrètement, il y a « un guichet unique assuré par le SISSE, qui assure la coordination interministérielle, et qui permet de donner des avis aux entreprises pour les accompagner ».
Outre cette mission « défense économique », le SISSE agit également sur la promotion et l’accompagnement « des actifs stratégiques ». Ce double objectif suppose deux choses : l’anticipation et l’existence d’une boîte à outil efficace. L’anticipation implique « de bien connaître ce que l’on veut protéger, et donc d’avoir un dialogue le plus étroit possible, avec les porteurs de technologie, les porteurs de projets innovants, les entreprises ». Pour ce faire, le service s’appuie sur « tous les dispositifs de soutien qui sont déployés par le ministère de l’Économie » et plus largement sur « l’ensemble des services de l’État ». Pour répondre à leur mission de promotion et d’accompagnement des actifs stratégiques, le SISSE s’attache à « bien faire cette boucle de retour d’expérience, de tirer les leçons des crises que le service voit passer, pour développer ses outils ».
Par ailleurs, « au milieu de la crise Covid on s’est rendu compte que des entreprises avaient des besoins, en fonds propres, notamment nos entreprises technologiques, qui vont faire le potentiel économique de la France 2030-2040 », ajoute Mathieu Kahn. Le SISSE a donc créé un fond doté de 650 millions d’euros, « en cofinancement avec des investissements privés » et a pu effectuer « sept investissements » en un an et demi. De ces multiples dispositifs, Mathieu Khan tire un bilan positif de l’action du SISSE pour les entreprises et pour l’Etat. « On sait accompagner et tirer les leçons et c’est un mouvement permanent sans lequel nous n’arrivons pas à progresser ».
Regards sur le risque environnemental
« Aujourd’hui, l’enjeu du réchauffement climatique devient également un enjeu de sécurité », affirme Huu-an Pham, directeur de l’adaptation industrielle au sein d’AXA Climate. Axa Climate propose ainsi une assurance « paramétrique, qui collecte énormément de données puisqu’elle est chirurgicale, et permet de protéger des actifs industriels contre des périls climatiques bien spécifiques » contrairement au « modèle de la mutualisation des risques […] qui atteint ses limites ». Dans ses fonctions, Huu-an Pham a pu constater « la diversité de l’impact du changement climatique ». Il cite l’exemple d’un sidérurgiste européen « dont l’approvisionnement est lié au niveau du fleuve à côté duquel il se trouve, aussi bien pour la logistique en amont que pour la logistique en aval ». Dans cette configuration, la sécheresse peut être une menace pour la « continuité de son activité industrielle ». Cette entreprise a donc eu besoin d’être accompagné « sur les modalités d’assurance dites paramétriques, pour être dédommagée en cas de trop forte baisse du niveau de ce fleuve ». Pour ce qui est des entreprises en zone inondable, il y a « des phénomènes qui sont devenus de plus en plus sévères ». « À titre d’exemple récent, nous avons eu en Nouvelle-Galles du Sud, près de Sydney en Australie, l’année dernière, une crue de période de retour de 400 ans, donc si on fait l’équation, ils étaient tranquilles pour 399 ans. Or, il se trouve que cette année, ils ont eu nouvelle une crue d’une ampleur de 1.000 ans, en termes de période de retour. ».
Pour le groupe Orange, les crises climatiques entrent dans le même schéma organisationnel que les autres et nécessitent ainsi « plusieurs profondeurs d’actions et de temps pour y répondre », note Patrick Guyonneau. Il y a tout d’abord la réponse aux « événements calamiteux […] avec des unités d’intervention […] parce que le plus important […], c’est d’avoir du service continu, ou quand le service est rompu, de le rendre le plus vite possible ». Ensuite, il y a l’anticipation avec « des scénarios de travail » comme pour les « coupures d’électricité inopinées et importantes ». Pour ce faire, il faut demander « à chaque entité d’avoir des moyens » pour se préparer aux « conséquences des événements et des changements climatiques ». Enfin, il y a « le travail de fond » qui vise à « se rendre indépendant de tels événements » en partageant avec tous les acteurs. L’enjeu pour une entreprise comme Orange est de réfléchir en amont « sur la manière de produire et de distribuer [sa propre] énergie, d’optimiser [ses] technologies et [ses] réseaux pour être moins gourmands ». Il est nécessaire de trouver des « signaux faibles », et « d’échanger entre directeurs de la sécurité », notamment dans « les assemblées type CDSE ».
Huu-an Pham explique que, « grâce à la science, on a aujourd’hui la capacité, modestement, mais réellement, de pouvoir prédire l’avenir […]. Les modèles climatiques ont cette fiabilité des Big Data, des statistiques, et les modèles climatiques du GIEC dont nous nous inspirons et que nous avons également décliné dans nos risques climatiques, ont cette fiabilité et ce recul puisque ce climat que nous vivons aujourd’hui en 2022 avait déjà été prédit il y a quarante ans par les scientifiques du GIEC ». Pour l’expert, l’enjeu de la préparation face aux crises climatiques à venir est d’autant plus complexe que l’on fait face à des « uncharted territories, c’est-à-dire à des territoires inexplorés en termes d’impact ». Dans cette configuration, l’expression « résilience climatique » est inopérante parce que « la résilience […] est la capacité de se relever d’un choc connu ». Or, les changements liés au changement climatique sont de l’ordre de l’inconnu. Par exemple, un industriel « dans l’industrie pharmaceutique » a subi une panne de climatisation dans « un entrepôt frigorifié de stockage de médicaments […] tout simplement parce que la climatisation ne fonctionnait plus suite aux vagues de chaleur successives [de l’été dernier] ».
Face à la crise, quelle communication ?
Pour Stéphane Fouks (intervention vidéo), vice-président du groupe Havas, la question n’est pas de savoir « est-ce qu’il y aura une crise, mais de savoir quelle crise, à quel moment », avec quelle « intensité » et sous quelle « forme ». Pour cela, il faut certes « anticiper » mais aussi réfléchir « à la vitesse appropriée » pour la gestion et la communication de crise. En effet, on voit parfois « une sorte de précipitation ou au contraire une trop grande lenteur », signe d’ « une mauvaise maîtrise du rythme dans la communication de crise ». « Parfois, [les professionnels], y compris les communicants, réagissent trop vite, parce qu’ils sont sous la pression des médias et ils ne comprennent pas que ce n’est pas le temps médiatique qui compte, et que la pire des choses dans une crise, c’est d’installer un feuilleton ordre, contre-ordre, désordre ». Ensuite, « la troisième règle qu’il faut avoir en tête, c’est que la crise exige une communication qui n’est pas celle de la transparence, mais qui est celle de la vérité ».
Selon lui, « la transparence est un faux-ami. C’est le refus d’éditorialiser l’information, de tout dire de la même manière, de ne pas comprendre comment les choses fonctionnent, y compris dans le rythme médiatique. Dans une communication de crise, il s’agit de comprendre que l’on est toujours rattrapé par le réel et qu’il ne faut pas mentir, parce qu’à ce moment-là, on ne fait que créer de la sur-crise, aggraver la crise. Aujourd’hui, quand on se prépare à la crise, il faut se préparer à purger un sujet en développant tout. Il faut suivre une vieille règle qui dit : « Les bonnes nouvelles, je les égrène, les mauvaises nouvelles, je les concentre ». Éviter le feuilletonnage, c’est une des règles évidemment de la communication de crise ».
