[JdR] « Les risques auxquels nous faisons face sont nouveaux et nous n’y sommes pas préparés » – Interview de Bernard Carayon

« Jamais le monde n’a été aussi dangereux et imprévisible ». C’est sur cette phrase que commence l’interview de Bernard Carayon, dans le cadre des Jeudis du Risque.
Dans ce monde de plus en plus risqué, Bernard Carayon aborde plusieurs points mettant, selon lui, en péril la société telle que nous la connaissons. Point par point, nous revenons sur les temps forts de cet échange.

Portail IE : Pour démarrer cette interview, pouvez nous indiquer votre vision des risques ?

Bernard Carayon : Pour reprendre les termes utilisés par Max Weber, l’État n’a plus le monopole de la force légitime. Nous assistons à une démocratisation de la force et à une sophistication des menaces. L’accès au savoir et aux informations étant facilité, l’État ne parvient pas à répondre aux nouveaux périls, en particulier à la cyber-criminalité.

Pour la première fois de notre histoire la course aux technologies n’est plus seulement l’affaire de politiques publiques portées par les États-nations. La course aux technologies peut se faire aussi bien dans un garage que dans des bureaux.

Les hackers ont suffisamment d’ingéniosité pour pénétrer des infrastructures critiques aussi bien publiques que privées.

Il y a une véritable dissémination du savoir technique qui peut être mise à la disposition de forces qui ne sont plus contrôlées par les États. Quels en sont les effets ?

  • Les infrastructures de la Présidence de la République française qui ont été attaquées en 2012 par les États Unis.
  • L’affaire Snowden qui lève le voile sur l’ampleur du dispositif d’espionnage américain aussi bien au service de l’État fédéral que des entreprises américaines.
  • C’est le site des infrastructures du Secrétariat Général de la Défense Nationale (SGDN), en charge de la préparation des conseils de défense, qui est attaqué en 2003 : on le découvre un an après.
  • Les patrons de PME qui sont victimes d’escroqueries financières : faux ordres de virement qui ne sont pas filtrés par la direction financière et les faux ordres partent sur des comptes à Tel-Aviv ou au fin fond d’un pays autrefois dans l’orbite de l’Union Soviétique.

Il y a également une démocratisation du risque, une démocratisation des attaques, une vulnérabilité globale des systèmes qui va de pair avec l’effondrement d’un certain nombre de barrières traditionnelles.

 

Portail IE : De quelles barrières parlez-vous ?

Bernard Carayon : La principale barrière qui s’est effondrée c’est la notion de secret : secret des États, secret des personnes privées, secret des entreprises. Plus rien ne semble contenir la volonté de transparence qui pèse sur des organisations humaines ou sur la vie privée. Plus rien ne semble justifier le secret d’État, le secret d’entreprise, le secret de la vie privée pour peu qu’il y ait un intérêt qui mobilise l’opinion publique au service d’une cause qui est la transparence.

Nous vivons, nous avons connu « l’ère du soupçon » (de Nathalie Sarraute), nous sommes aujourd’hui dans l’ère de la transparence sans frontière.

Le secret était une digue légale et le plus souvent légitime. Aujourd’hui la légalité de la digue est contestée, ainsi que la légitimité de celle-ci. C’est pour ça que nous vivons dans un monde dangereux et imprévisible. Tout peut sortir sur n’importe quelle organisation sociale, n’importe quelle entreprise, n’importe quel gouvernement, n’importe quel gouvernant.

Ce n’est pas un hasard si aujourd’hui les lanceurs d’alerte apparaissent comme des saints laïcs, justifiant des législations particulières, portés par des organisations non gouvernementales à l’instar de Transparency International et présentant leurs actions comme totalement légitimes.

 

Portail IE : La loi Sapin donne justement une protection plus accrue des lanceurs d’alerte, quelle est votre position sur ce sujet ?

Bernard Carayon : Aujourd’hui il y a une sorte de droit à la délation.  Les entreprises ne sont pas toutes irréprochables, la nécessité d’avoir des mécanismes d’alerte n’est pas contestable mais nos entreprises ne sont guère formées à ce type de menaces.

La loi Sapin permet une forme de légalisation de la délation. Même si nous n’en sommes pas encore à la pratique anglo-saxonne qui consiste à rémunérer les lanceurs d’alerte.

Il faut que nos entreprises puissent lutter à armes égales. Nous avons appliqué les recommandations OCDE de façon drastique alors que nos concurrents le font de manière plus souple.

Il ne faudrait pas que nous continuions à être les « idiots utiles » de la mondialisation et à toujours chercher à être les anges les plus purs de la mondialisation quand nos concurrents continuent à utiliser des méthodes que la loi internationale et la morale réprouvent.

Il n’y a pas d’approche communautaire de ces risques.

 

Portail IE : Par conséquent, selon vous la réglementation nouvelle relative à la corruption n’est donc pas essentielle à nos entreprises ?

Bernard Carayon : Mais la lutte contre la corruption n’est -elle pas aussi importante que de réfléchir à la politique énergétique commune de l’Europe ? À une industrie de défense commune ? De trouver les moyens de penser l’après nucléaire dans 50 ans ? À une démarche publique et collective de gestion des océans et de l’espace ? À la lutte contre la faim dans le monde ? D’assujettir à l’impôt les GAFA partout où ils profitent des données privées gratuitement ? De trouver les moyens de résorber la crise migratoire ? D’éliminer Daesh ?

Autant de questions au moins aussi importantes que la lutte de la corruption dans la vie des affaires !

Qu’il y ait un milliard de personnes qui vivent avec un dollar par jour ne semble pas épuiser la compassion des lanceurs d’alerte et les agitateurs de morale dans la vie des affaires.

Imaginer que l’on puisse supprimer la corruption est une ineptie. La corruption fait partie, hélas, de la vie des sociétés, des individus.

Lutter contre la corruption est un objectif naturel. Mais parfois cet objectif cache d’autres motifs. Ce fut le cas de Daniel Lebègue, président de TI France, dont l’organisation attaque les dirigeants de la Guinée sur le thème « des biens-mal-acquis », alors qu’il était aussi administrateur de Technip qui travaille notamment pour la Guinée. Lorsque nous avons soulevé cette ambiguïté publiquement, il a dû quitter ses fonctions d’administrateur rémunéré…

 

Portail IE : Et globalement, quelle est selon vous le meilleur moyen de les gérer ?

Bernard Carayon : La gestion des risques n’est qu’un problème de méthode : 

  • Comment paramètre-t-on la lutte contre les risques ?
  • Comment cartographie-t-on les risques d’une entreprise ?
  • À quel niveau hiérarchique ce paramétrage doit-il s’effectuer ?
  • Quels sont les processus par lesquels fait-on remonter l’information des niveaux subalternes aux niveaux supérieurs d’une entreprise ?
  • Comment organise-t-on l’articulation avec les services de l’Etat ?
  • Comment choisit-on ses sous-traitants, ses fournisseurs de services dans une stratégique de sécurisation ?

Les dispositifs doivent être très souples, la veille permanente, le tri de l’information bien effectué. La gestion des risques c’est vieux comme le monde mais les risques auxquels nous faisons face sont nouveaux et nous n’y sommes pas préparés. On a particulièrement, en France, un peu en Europe, une lancinante tentation à travailler de façon cloisonnée. Il est temps de passer à trois mariages et un enterrement :

  • Le mariage entre les administrations publiques.
  • Le mariage entre le public et le privé.
  • Le mariage entre l’information grise et celle qui ne l’est pas.
  • L’enterrement alors, sera celui des naïvetés françaises.

Les administrations ont en effet tendance à considérer qu’elles ont le monopole de l’intérêt général, ce qui est faux.  Les entreprises ne raisonnent que de manière verticale : c’est à dire à partir d’un segment de marché, d’habitudes d’entreprises. Mais il faut penser transversal : solidarité d’intérêts, de stratégies.

C’est en cela que les outils de l’intelligence économique sont nécessaires dans la gestion des risques.

Ils permettent également de penser de manière novatrice ce qui ressort des enjeux de la normalisation qui pèsent sur la compétitivité des entreprises, des enjeux souvent mal appréhendés par les petites et moyennes entreprises.

En matière de risques, la période à venir est passionnante. Les changements politiques amènent une grande période d’incertitude aussi bien pour les administrations que pour les entreprises. Il sera donc nécessaire de comprendre davantage l’environnement, ses enjeux et ses risques.

 

L’intelligence économique peut ainsi apporter le meilleur au risk managers.