Skip to content

Poser un principe d’audace à côté du principe de précaution
Compte-rendu d’intervention plénière Universités d’été du MEDEF 2010


Audace et précaution sont des notions indissociables et nécessaires à tout projet de développement.

Aussi bien parce que sans audace on ne peut faire émerger ni l’innovation, ni le simple changement, ni même le dépassement (de soi, des objectifs, des ambitions), mais aussi parce que sans précaution, et même avec les meilleures volontés et compétences, toute ambition (lancement de projets, rachat d’entreprises, …) peut vite se retrouver mise à mal et se solder par un échec.

D’autant qu’aujourd’hui, à l’ère de la société du savoir, cette dialectique audace-précaution se fait de plus en plus pressante. Jamais les entreprises – et les économies nationales dans leur ensemble – n’ont été plus dépendantes de la maîtrise de l’information, qu’elle soit par exemple scientifique, technique ou marché. Et certains n’hésitent plus à utiliser toutes les armes disponibles pour arriver à leur fin, dominer les marchés : piratages, vols de données et autres déstabilisations font malheureusement parti du quotidien de certains acteurs. Et pour les entreprises victimes, les conséquences peuvent s’avérer parfois très douloureuses… Divers rapports soulignent d’ailleurs la vulnérabilité des entreprises françaises face à ce type d’attaques.

Pourtant, si la menace prend des formes et des degrés variés, elle n’en demeure pas moins bien réelle.

Poser un principe de précaution, c’est donc avant tout affronter la réalité qui nous entoure : prendre conscience des risques et savoir y faire face. Il s’agit avant tout de sécuriser ses arrières, sans paralyser sa capacité d’action, avant de déployer ses forces et son énergie.

Mais c’est peut-être aussi les prémisses de l’audace, cesser de faire la politique de l’autruche, prendre conscience de cette réalité et mieux la comprendre, user d’audace intellectuelle, mieux regarder et analyser son environnement, savoir se remettre en question, faire abstraction des dogmes et des préjugés, agir avec esprit créatif et imagination, pour mieux dépasser les limites et ses objectifs.

Prendre ses précautions : « une entreprise avertie en vaut deux »

Selon des chiffres révélés par les Renseignements Généraux à l’Expansion en 2006, une entreprise sur quatre est ou a été touchée par des tentatives d’ingérence économique. Comme le rappelait Hubert LOSCO, aujourd’hui Chef de la Division de la contre-ingérence économique à la DCRI, « du géant du CAC 40 à la PME jurassienne, personne n’est à l’abri. »

Sans sombrer dans la paranoïa, il s’agit de prendre conscience que des risques existent bel et bien : vol d’information, intrusion dans des réseaux informatiques, débauchage de talents, perte de légitimité ou de crédibilité par des attaques informationnelles, utilisation de la rumeur ou du dénigrement pour déstabiliser un projet de développement, un individu ou une entreprise… La menace peut revêtir des formes diverses et finir par provoquer des dommages irréversibles sur l’entreprise victime qui, dans la plupart des cas, ne s’en aperçoit qu’a posteriori, si elle s’en aperçoit jamais.


Un attaquant aux multiples visages

Car beaucoup de ce type d’attaques, si elles sont bien menées, ne laissent finalement que peu de traces, d’autant que l’entreprise ne relèvera la plupart du temps aucun des premiers signaux. Tout simplement parce que la majorité d’entre elles ne se considèrent pas comme des cibles potentielles (bien qu’elles aient toute une valeur ajoutée qui fasse leur force : leurs hommes, leurs produits/services, leur technologie, leur savoir-faire, leur image, …), et n’ont qu’une faible conscience du visage de l’attaquant et des menaces.

Que ce soit un concurrent mal intentionné avec un peu d’imagination (ou faisant appel à des sociétés à l’éthique variable), un salarié mécontent qui emporte des fichiers critiques à son départ, un individu malveillant souhaitant tirer profit d’informations confidentielles qu’il aura su récupérer, un opposant virulent qui souhaite à tout prix empêcher la réalisation d’un projet, nombreux sont les acteurs en mesure d’affaiblir durablement une entreprise.

Quant aux méthodes, elles sont pour la plupart à la portée de tous : se faire passer pour un institut d’étude ou un média, ou encore organiser de faux entretiens d’embauche en vue de faire parler un individu cible, voler des échantillons, prendre des photos dans des salons professionnels, débaucher un cadre stratégique, soudoyer le personnel pour récupérer quelques dossiers ou documents mal détruits, « offrir » une clé USB contenant un cheval de Troie, voler un ordinateur portable… D’autres encore font tout simplement appel à la négligence et la malveillance des collaborateurs.

On a aussi souvent tendance à penser que lieu public est synonyme d’anonymat. Il n’en est rien : parler au téléphone en déplacement, travailler sur des dossiers stratégiques dans le train ou dans l’avion, discuter de pseudo futilités relatives à son entreprise au restaurant ou entre collègues autour d’un verre en fin de journée, sont autant de pistes très facilement exploitables pour un individu malveillant et curieux.

D’autant que certaines de ces informations, à tord jugées insignifiantes pour l’entreprise, sont finalement des signaux faibles qu’un concurrent avisé saura exploiter : identifier le profil d’un ingénieur recherché par l’entreprise (caractérisant un nouveau domaine de recherche par exemple), entendre les bruits et ragots internes sur des éventuels conflits sociaux latents (qu’un attaquant pourra exacerber pour déstabiliser l’entreprise), quelques informations « mineures » sur des projets en cours ou des appels d’offre (mais qui en les recoupant finissent par donner une certaine visibilité), en sont quelques exemples.


Toutes les entreprises courent-elles les mêmes risques ?

Toutes les entreprises n’en sont bien heureusement pas victimes, mais aucune d’entre elles ne peut se considérer définitivement à l’abri de toute tentative. Il s’agit de regarder la réalité en face. Les cas rencontrés montrent que de la TPE artisanale fabricant de simples souvenirs, aux entreprises dans l’innovation, en passant par des distributeurs de toute sorte, chacune peut susciter les convoitises et des jalousies.

Il est donc impossible de caractériser le profil des entreprises qui seront confrontées à ces menaces, même si l’on peut dire que dans les cas de tentatives de vol d’information, ce sont souvent les plus petites d’entre elles qui seront ciblées, notamment du fait qu’elles ne sont pas ou peu préparées et donc plus vulnérables.

Quant aux menaces de déstabilisation, tout dépendra de l’environnement, des acteurs en présence et du contexte. Ces attaques peuvent viser tant les grands groupes sur la scène nationale ou internationale que certaines PME sur la scène locale (en France ou à l’étranger d’ailleurs), ou de manière plus ciblée auprès de certains partenaires, fournisseurs ou institutionnels.

Les entreprises s’interrogent souvent naïvement sur la perte d’un marché, sur une attaque médiatique ou réputationnelle, sur des autorisations administratives ou des agréments refusés sans réelle justification, sur la perte d’un appel d’offre.

Dans certains cas, ces échecs peuvent être le fait d’un adversaire : par la rumeur, par le mensonge, par l’instrumentalisation d’acteurs, par des fuites d’informations orchestrées, l’utilisation de l’information contre l’entreprise peut, dans certains cas, très vite mettre à néant tous les efforts entrepris pour développer un nouveau projet ou arriver sur un marché, voire éroder profondément et de manière durable l’image de l’entreprise.


Anticiper pour éviter d’avoir à gérer une crise

Toutes ces tentatives ont un même effet final recherché : permettre à un adversaire (concurrent, adversaire, activiste, …) de reprendre l’avantage sur une entreprise cible. Aussi bien en lui volant de l’information pour mieux lui prendre des parts de marché, mais aussi en utilisant l’information pour mieux la sortir d’un marché. Si ces attaques réussissent, il devient alors très difficile, voire dans certains cas impossible, pour l’entreprise de s’en relever.

Se faire devancer lors du lancement d’un produit ou d’un service, subir une attaque sur sa politique tarifaire auprès de l’ensemble de ses clients et prospects, se faire décrédibiliser auprès de sa clientèle, de l’opinion publique et d’autres décideurs, laissent très peu de marge de manœuvre à l’entreprise en terme de capacité de réponse. D’autant que si ce type d’attaque apparaît et gagne du terrain, même si l’entreprise arrive à communiquer, souvent le mal est fait. Contredire une rumeur ne fait que rajouter une information, et non supprimer la première information stigmatisante déjà présente et persistante dans les opinions.

L’objectif est d’éviter de se retrouver confronté à ces situations, et donc de les anticiper. Il est avant tout essentiel pour l’entreprise de comprendre l’ensemble de ces risques, mais aussi et surtout le mode opératoire de l’attaquant pour mieux détecter les premiers signaux.

Ainsi, en premier lieu, il faut se poser la question des bonnes pratiques en terme de discrétion pour ses salariés, ainsi que des règles essentielles à respecter en matière de sécurité : que ce soit en déplacement ou lors des discussions à l’extérieur de l’entreprise, au téléphone ou face des à  « visiteurs » dans les locaux (toujours vérifier les identités), aux signaux faibles que l’entreprise pourrait laisser transparaitre (par ses annonces de recrutement, ses communiqués de presse, ses échanges avec des interlocuteurs extérieurs, sur les réseaux sociaux) et bien entendu la sécurité du système d’information.

Mais il faut garder à l’esprit que le maillon faible sera presque toujours l’homme (par négligence, malveillance, naïveté).
En second lieu, pour anticiper des tentatives de déstabilisation, et le cas échéant y répondre de manière efficiente et développer sa résilience, il est d’abord essentiel de prendre conscience en amont des failles inhérentes à l’entreprise et à ses projets de développement sur lesquelles une attaque pourrait se baser, tout en gardant à l’esprit que l’attaquant ne se limitera pas automatiquement aux faits avérés et pourra tout aussi bien utiliser des armes comme le mensonge. Parmi les pistes à prendre en considération, citons entre autres : les problèmes au niveau du management, au niveau des processus de fabrication, les impacts écologiques relatifs au développement de tel ou tel projet…

Sachant qu’une attaque de ce type fera émerger un message qui se propagera ensuite par l’intermédiaire de différents acteurs, il convient de recenser toutes les parties prenantes et les liens entre chacune, sur chaque problématique anticipée, et ne pas se limiter à la sphère concurrentielle, tant la panoplie des acteurs pouvant prendre part au débat, être éventuellement instrumentalisés, avoir une légitimité et pouvant servir de relais à des fins de propagation et renforcement du message subversif, est large. Parmi ces acteurs constitutifs de l’environnement de l’entreprise, nous pouvons citer les concurrents, les médias locaux, régionaux, nationaux, les bloggeurs de tous horizons et de toutes importances, les différents acteurs économiques, institutionnels, administratifs, politiques, les fédérations de tout ordre, les acteurs associatifs (collectifs de riverains ou de consommateurs par exemple), les leaders d’opinion, et autres activistes virulents.

Une fois acquise cette vision globale, il devient possible d’anticiper les différents scénarios d’émergence et de propagation du message diffamant, et donc d’y préparer des stratégies de réponse.

Tout l’art à ce niveau est d’identifier le message à faire passer, comment l’introduire sur l’échiquier et assurer sa propagation, limiter le poids de contradicteurs, opposants et adversaires, tout en anticipant des éventuelles contre-attaques.

Dans tous les cas, l’entreprise ne doit pas hésiter à se tourner vers les services de l’Etat : Police – BEFTI ou OCLCTIC dans le cas de fraudes liées aux technologies de l’information – ou Gendarmerie nationale (suivant le territoire) et même la DCRI qui sont là pour les accompagner, les sensibiliser et les aider à faire face le cas échéant.

Retenons enfin qu’un des points clés pour assurer ce principe de précaution, à savoir identifier au plus tôt et mieux faire face à ces menaces, et au delà de l’essentielle veille qui doit couvrir un périmètre suffisamment large, repose finalement sur un atout souvent mal exploité par l’entreprise : ses salariés. Ce sont eux qui sont sur le terrain, ce sont eux qui entendent, détectent, discutent, peuvent remonter tout type d’information – aussi bien sur la concurrence que relative à des best-practices ou des idées novatrices identifiées à l’extérieur -  mais aussi les premiers signaux d’une tentative d‘approche d’un attaquant ou de l’émergence d’une attaque informationnelle.

L’esprit de corps est essentiel. Chaque salarié est un organe essentiel de l’entreprise, c’est lui qui la fait vivre, c’est lui qui la nourrit en information et c’est aussi lui qui peut la mettre à mal, par négligence ou malveillance. Comprendre leurs motivations, les impliquer, les récompenser, les former, les sensibiliser, les faire s’épanouir, est la première étape, et sans doute la plus essentielle, pour sécuriser son entreprise, bâtir avec précaution.


Sécurité économique et principe de précaution, que retenir ?

Même si toutes les entreprises ne sont pas confrontées à des problématiques de vols d’information, de négligences d’employés ou d’attaques informationnelles de toute sorte, 1 entreprise sur 4 en subira néanmoins des tentatives au cours de son existence.
Chaque secteur et chaque typologie d’entreprise peut devenir cible.
Entre vols d’informations, rumeurs, attaques réputationnelles, pertes de marchés, d’appels d’offres ou d’autorisations administratives, dans certains cas, les conséquences peuvent être très douloureuses…
Pour éviter les pires maux, mieux vaut prévenir que guérir.
Et rien de tel que l’anticipation :
-       Prendre conscience de cette réalité et des risques afférents
-       Savoir sensibiliser ses employés aux risques et éduquer les comportements
-       Mettre en place des politiques de sécurité et les tester régulièrement
-       Connaître l’ensemble des acteurs de son environnement
-       Pratiquer une veille active et suffisamment étendue (pour détecter les premiers signaux d’une attaque)
-       Anticiper des éventuels scénarios de crises
Et si la crise survient, ne jamais réagir à chaud, mais d’abord analyser tous les signaux de l’attaque et la retracer avant de choisir sa stratégie de réponse.

« De l’audace, encore de l’audace, toujours de l’audace ! »

Une fois certain de la solidité de ses assises, le temps est venu de se déployer. Désormais, plus aucune limite n’existe (si ce n’est l’utilisation de ces pratiques condamnables), il s’agit de laisser libre cours à son imagination. C’est sans doute la clé de tout succès entrepreneurial : faire tomber toutes les barrières, se concentrer sur son esprit créatif, le stimuler, regarder le monde différemment.

Le monde dans lequel nous vivons nous enferme dans des normes, des clichés, des préjugés qui restreignent aussi bien notre façon de penser, de voir le monde et bride notre créativité.  On a notamment coutume de nous enseigner les clés de l’innovation, de la publicité, du marketing, des stratégies de lancement ou de développement.

Or, l’innovation, pour ne citer qu’elle, ne peut exister si l’on reste ancré dans un mode de pensée et dans des dogmes établis de manière rigide. Il s’agit tout justement d’aller à l’encontre de ces cadres pour les faire exploser et faire émerger les nouvelles idées.

Il en est de même pour les stratégies de déploiement – ou de lancement et de développement – de projets. L’innovation est aussi nécessaire, de même que l’imagination, tant les stratégies traditionnelles de la publicité ou du marketing direct ont fini de saturer notre temps de cerveau disponible. L’impact de ces campagnes est en décroissance constante car nous sommes tous surchargés d’informations. Les messages vantant les mérites de tel produit ou de tel service ont fini de faire effet puisque la légitimité de ce type de message est finalement inexistante.

Ainsi, l’audace c’est apprendre à innover, et ce aussi bien dans son mode de pensée, dans ses approches des marchés et de la communication, que dans ses offres et dans la manière de se présenter.

C’est par exemple être capable de dynamiser ses approches, en se servant des méthodologies d’anticipation et de gestion de crise précédemment citées, en connaissant et comprenant son environnement et l’ensemble des acteurs pour y trouver de nouvelles opportunités, de nouveaux partenaires et faciliter son développement à moindre coût.

C’est également identifier, comprendre et travailler avec les leaders d’opinions. C’est être capable de transformer un acteur passif ou neutre en allié, de le mêler à sa problématique, de trouver des stratégies gagnantes pour toutes les parties, et c’est tenter de faire de même avec un contradicteur, un opposant ou même un adversaire. Nous avons tous des motivations personnelles ou organisationnelles, et certaines d’entre elles peuvent se rejoindre. Il s’agit de les identifier pour arriver à mutualiser ses ressources et ses ambitions, en bref, pour arriver à se déployer à moindre coût.

L’audace, c’est aussi prendre conscience de sa réalité. C’est comprendre que le marché et les besoins des entreprises évoluent, c’est imaginer des nouvelles formes et de nouvelles ambitions pour anticiper leurs besoins : expertise, modularité, flexibilité. Citons certains réseaux d’expertises complémentaires, comme le modèle de The Connecting Place, vers qui les entreprises peuvent se tourner pour échanger et bénéficier d’expertises « à la carte », par opposition aux grosses structures de conseil tout en un.

C’est aussi repenser la culture d’entreprise, mieux impliquer, récompenser et surtout comprendre les motivations de ses salariés. C’est là aussi faire tomber les préjugés, les talents existent partout, aussi bien du côté des autodidactes que de ceux issus des meilleures écoles. C’est finalement repenser le concept du salarié, il s’agit avant tout d’un collaborateur, d’une personne unique, avec ses compétences, ses motivations, ses qualités, ses capacités, et ce, sans considération de ses origines, comme dans certains cas où trop de formatage – notamment par la valorisation exclusive de certains parcours – finit par tuer l’esprit critique, l’ouverture et surtout l’imagination…

Enfin, l’audace s’est aussi s’affranchir du concept d’ambitions inatteignables. Partir de zéro pour arriver à son but ultime, être capable depuis les contrées les plus reculées de sa région de s’exporter de par le monde, en trouvant l’information, en identifiant et en approchant les interlocuteurs clés, en trouvant des soutiens là où on ne s’y attend pas.

C’est finalement ça l’audace : avant tout savoir prendre du recul, mieux regarder et observer, mieux comprendre une « problématique projet » dans son ensemble ainsi que toutes les parties prenantes, et peut-être trouver d’autres moyens de lancer ou de développer son activité. Il s’agit de regarder le monde différemment. De reconnaitre les clichés et les préjugés, mais aussi de les faire tomber.


Pratiquer l’audace au quotidien

-       Activer son cerveau droit, stimuler son imagination, s’affranchir des dogmes
-       De la mort de la publicité à la bataille de la légitimité
-       Connaître son environnement, l’ensemble des parties prenantes, comprendre les motivations personnelles et de chaque organisation, dénicher de nouvelles opportunités, créer des synergies, mutualiser les forces
-       Le marché et les besoins évoluent constamment. Il faut savoir évoluer et anticiper ces changements : savoir faire de la prospective et oser
-       Prendre du recul, observer, trouver de nouvelles solutions

« Autant d’audace que possible, autant de précaution que nécessaire. »

Pour conclure, retenons que le principe de précaution ne s’incarne pas dans la paranoïa mais dans une vision équilibrée et sans concession naïve de la réalité. Et le contexte économique d’aujourd’hui, faisant ressortir une concurrence toujours plus dure, peut pousser certains à se tourner vers des pratiques pas toujours éthiques et condamnables.

L’anticipation et une meilleure compréhension de la réalité sont primordiales.

De même, mieux prendre conscience et mettre en pratique ce principe de précaution, permet au final de posséder une vision plus large de son environnement, de mieux se connaître et connaître les autres, et surtout d’apprendre à regarder le monde différemment. Ces approches utilisés par certains à des fins de déstabilisation peuvent finalement aussi servir des buts éthiques et non létaux pour permettre à l’entreprise de mieux se développer.

Et l’audace commence ici : comprendre sa réalité pour mieux la déconstruire et la reconstruire en imaginant de nouvelles approches, en repoussant les limites.

Il ne savait pas que c’était impossible, alors il l’a fait.

Emmanuel LEHMANN

contact