Prévention et gestion du risque terroriste en entreprise

Si l’accroissement de la population mondiale et le développement des échanges ont des conséquences économiques positives, ils ont aussi pour corollaire l’augmentation d’un certain nombre de risques, et notamment le risque terroriste. Quel rôle les entreprises françaises peuvent-elles jouer en matière de prévention et de gestion du risque terroriste en entreprise ? Au niveau des grandes entreprises, tous les actifs et les types de business sont internationalisés aujourd’hui. Ainsi, les 135 plus grandes entreprises françaises réalisent 50 % de leur chiffre d’affaires à l’étranger, et surtout, comptent 3,7 millions d’emplois à l’étranger. Les multinationales françaises détiennent 40 000 filiales à l’étranger et y réalisent 53,3 % de leur chiffre d’affaires [1] . Ces constats mettent en exergue les forts mouvements de population et expliquent l’accroissement du risque terroriste : avec la mondialisation, il y a davantage de voyageurs et d’expatriés. Au quotidien, pour une multinationale, cela représente plus de 10 000 collaborateurs transportés collectivement chaque jour, quel que soit le mode de transport. Le risque terroriste pèse lourd sur l’acteur économique qu’est l’entreprise. L’entreprise française représente la France et est signe de richesse et d’argent, ce qui peut en faire une cible majeure pour les terroristes. Aussi, sur la scène internationale et géopolitique, la France – comme les autres grandes puissances occidentales – est impliquée dans des conflits sur des « territoires émergents » ; ce qui renforce sans nul doute son exposition au terrorisme.

Les réseaux terroristes agissent depuis des décennies. Mais à l’heure de la digitalisation et des modes de communication en multicanal, la menace évolue. En France, l’état d’urgence a été prolongé – pour la sixième fois – jusqu’au 1er novembre 2017. Ce contexte inédit, et surtout anxiogène, a lourdement impacté les méthodes de gestion et de prévention des risques en entreprise. La législation en vigueur, et notamment l’obligation de sécurité légale de l’employeur, engage les entreprises à considérer les menaces externes. Cependant, selon les secteurs d’activité, les seuils de vigilance fixés sont plus ou moins importants. Le transport de personnes, la chimie, la bactériologie, la radiologie ou encore le nucléaire, sont particulièrement sensibles en cas d’attentat ; sans nul doute en raison de la gravité exceptionnelle des conséquences humaines et matérielles que peuvent représenter ces attaques. Les conséquences peuvent même devenir extrêmes si des moyens de destruction massive sont employés. En effet, ces différents secteurs sont particulièrement exposés et les entreprises qui œuvrent dans ces domaines en sont conscientes. Les politiques de sûreté de ces entreprises sont souvent très développées et ce, depuis longtemps. Mais compte tenu de la vitesse d’évolution du terrorisme au cours des dernières années, le risque de destruction massive est toujours envisageable et ne doit jamais être écarté.

Un risque majeur dans la cartographie des risques de sûreté en entreprise

Ce qui caractérise le risque terroriste est le fait qu’il soit provoqué par l’action de l’homme. C’est en cela qu’il est totalement distinct des autres risques couverts par les produits et garanties assurantiels, les captives ou encore les marchés financiers. En ce qui concerne l’assurance du risque terroriste, la création, la mise en place et la gestion des produits couvrant ce risque nécessitent un traitement très particulier. Ce risque exige une mutualisation singulière et une approche globale à long terme. Parce qu’il peut se développer très vite et outrepasser toutes les formes d’attentats connues, il est fondamental de maîtriser ce risque en mobilisant tant les assureurs que l’État, les entreprises et l’ensemble des acteurs économiques du pays. La problématique majeure du terrorisme résulte du fait qu’il s’agisse d’un risque pouvant se déployer à échelle planétaire. L’hyper-terrorisme est caractérisé lorsque plusieurs pays ou plusieurs zones sont touchés. C’est un risque dont la probabilité d’occurrence reste relativement faible au niveau de la France et de l’Europe. En revanche, c’est un risque dit « sensible » puisque les médias relaient beaucoup d’informations à ce sujet. Les citoyens et la Société (au sens large) sont fortement concernés par ce type d’événement.

La lutte contre le terrorisme est réalisée à tous les niveaux et par tous les acteurs économiques d’un pays. L’appréhension du terrorisme dans le cadre de l’entreprise est assez spécifique. Il faut non seulement songer aux spécificités légales mais aussi à l’impact qu’un risque peut avoir sur toute l’entreprise. Les Risk Managers utilisent dans un premier temps l’outil de cartographie des risques pour pouvoir identifier un risque et le conceptualiser dans son univers. La cartographie des risques Sécurité/Sûreté concerne les risques opérationnels fondés sur le scénario de l’évènement redouté ou sur la menace. Il faut en effet distinguer les risques de sécurité des risques de sûreté.

La sécurité provient du terme « safety » en anglais, ce qui fait référence aux situations accidentelles. À l’inverse, la sûreté est traduite par le mot « security », qui se réfère à des situations intentionnelles. Ajoutons à cela les termes « sécurité publique », « sécurité informatique » pour traiter des problématiques de sûreté et l’on comprend pourquoi il est nécessaire d’acter un lexique stable. Ainsi, par convention interne au monde des entreprises, la sécurité traite des situations accidentelles, elle est donc liée à une obligation de résultats, et la sûreté traite des actes intentionnels, ce qui la lie à une obligation de moyens. Pour illustration, les risques de sécurité peuvent être liés à l’incendie, à la pollution des sols, aux accidents divers. Les risques de sûreté sont relatifs à la petite délinquance, à la protection des expatriés, à la cyber-sécurité et, bien évidemment, au terrorisme.

Un agent économique manifeste un niveau d’appétence au risque (« risk appetite »), c’est-à-dire qu’il est plus ou moins averse au risque. Il saisit le risque comme une opportunité ou bien il le transfère, le gère ou le rejette comme étant une menace. La menace est un élément négatif du risque. En matière de terrorisme, aucune part du risque n’est acceptable, les enjeux et conséquences étant beaucoup trop importants. La vie humaine est au centre du risque, ce qui en fait donc un risque majeur. Cette menace se décline en entreprise, soit en interne, soit en externe. Concrètement, le risque peut provenir de l’extérieur (clients, fournisseurs, individus étrangers à l’entreprise…) ou de l’intérieur (salariés, sous-traitants…). On peut aussi catégoriser le terrorisme sous d’autres angles. Cela peut concerner tout d’abord l’humain : le personnel, les prestataires et les clients. Ces derniers peuvent être victimes d’attentats, de kidnapping, d’agressions, etc. Ensuite, la menace peut impacter les biens matériels par les vols, ou la destruction massive des biens de l’entreprise. Enfin, c’est aussi le patrimoine immatériel qui est touché : les vols d’informations commerciales (fichiers clients…) et technologiques (ordinateurs, machines, brevets, licences…), les actifs financiers (blanchiment, chantage…), l’image et la notoriété de l’entreprise et, plus précisément, aujourd’hui, son e-réputation sur les réseaux sociaux.

Cette menace terroriste gravite dans un univers de risques de sûreté très complexe qui comprend la sûreté des biens et des personnes, la sécurité informatique et la fraude économique. Ces risques ont un rapport avec plusieurs branches de l’entreprise. Ainsi la sécurité informatique est, de manière très logique, liée aux systèmes d’information (IT), la fraude économique à la finance et la sûreté des biens et des personnes essentiellement aux ressources humaines. Pour le risque terroriste, tous les services de l’entreprise sont concernés en permanence. Le risque terroriste est « la face émergée de l’iceberg » puisque derrière lui se cachent d’autres risques : risques dommages (incendie, vol, destructions de toutes natures), des risques sanitaires, des risques psychosociaux, du risque d’image, des pertes d’exploitation, etc. La liste est longue et ne peut être exhaustive puisque le risque terroriste évolue sans cesse et se complexifie d’année en année. Concrètement, le terrorisme peut se manifester sous différentes formes : bombe radiologique (bombe chimique ou biologique de nature toxique), violences physiques, corruption, cybercriminalité, attentats, fraude de toutes natures, etc.

Tout va plus vite, l’information devient de plus en plus accessible et les avancées technologiques jouent en la faveur des organisations terroristes qui attaquent désormais le monde réel et le monde virtuel. Au XXIe siècle, la guerre se fait aussi virtuellement et les multinationales sont les premières entreprises touchées par la cybercriminalité. La corruption tient aussi une place particulière. En amont d’une attaque terroriste, il y a une réelle organisation et préparation. Durant cette période, de nombreux facteurs entrent en jeu : qui fournit les armes aux terroristes ? Qui apporte les informations ? Qui les aide ? La corruption est considérée comme le « terreau du terrorisme » [2] . Ainsi, la presse a révélé que, pour financer leur armement, les organisations terroristes de Daesh et Boko Haram avaient obtenu des financements par des gouvernements et des entreprises corrompus. Dans le cas évoqué s’il s’agit d’un collaborateur de l’entreprise qui se radicalise et participe au financement du terrorisme, les conséquences pour l’image de l’entreprise peuvent être désastreuses.

Les entreprises du secteur privé ont souvent été prises pour cible lors d’attaques terroristes notamment en raison des symboles qu’elles véhiculent : richesse, puissance, liberté d’entreprendre, etc. Les organisations terroristes veulent faire passer des messages forts et violents en attaquant l’entreprise qui, par essence, est vouée à créer de la valeur et à réaliser des profits. Attaquer une entreprise privée n’est pas similaire au fait d’attaquer l’État ou le Gouvernement du pays de manière directe. C’est une strate « intermédiaire » entre le fait de viser l’État lui-même ou de prendre la population pour cible. Lorsque les terroristes cherchent à atteindre l’entreprise, les civils sont nécessairement impactés. Plus que jamais, le secteur privé doit se protéger et mettre en place des dispositifs de sûreté efficaces pour lutter contre le terrorisme.

Le secteur des transports

Au fil des décennies, les transports en commun et les gares ont connu des dizaines d’attentats. De nombreux voyageurs y transitent et les gares, trains, bus et métros sont faciles d’accès. La sécurité et la sûreté des transports publics en France sont fréquemment remises en question par le grand public, du fait de cette accessibilité et du peu de contrôles réalisés. Le cas de la SNCF est assez représentatif de la menace terroriste dans les transports en commun. Le réseau TGV en France représente un volume considérable de flux de voyageurs. Il y a plus de 3 000 gares en France, 6 millions de Français prennent le train chaque année et 15 000 trains circulent chaque jour. La sécurité et la sûreté mises en place au sein des réseaux ferroviaires d’autres pays sont considérées comme plus efficaces par nos médias que celles appliquées en France. C’est le cas de l’Espagne, ou d’Israël, souvent pris en exemple dans les médias français pour représenter l’efficacité des processus de sûreté et de sécurité à mener. En Espagne, tous les bagages sont passés aux rayons X avant la montée des voyageurs dans les trains. En Israël, ces contrôles sont renforcés par des fouilles au corps. À la différence près que les lignes espagnoles et israéliennes sont bien moins fréquentées que le réseau ferroviaire français. De facto, réaliser des contrôles de bagages, comme en Espagne, serait particulièrement coûteux et chronophage pour la SNCF, voire même irréalisable pour les effectifs présents en gare.

Les aéroports, comme les gares, font partie des « soft target », des cibles dont la vulnérabilité est très élevée malgré le renforcement des politiques de sûreté effectué au cours des dernières années. Mais ce ne sont plus tant les avions qui sont les cibles privilégiées des organisations terroristes mais bien les aéroports eux-mêmes. Les attentats dans les aéroports de Bruxelles et Istanbul (triple attentat suicide) en 2016, Karachi en 2014 ou encore Moscou et Francfort en 2011 ne sont qu’une partie du nombre d’attentats perpétrés dans les zones aéroportuaires. D’autres « soft target » comme les hôpitaux, les écoles, les centres commerciaux ou les restaurants ont un point commun : leur accessibilité. Dans tous ces lieux, des dégâts mortels à grande échelle peuvent être commis. Restreindre les accès de ces lieux au maximum sous-entend le fait de mobiliser des ressources budgétaires colossales. Mais ne serait-ce pas le moyen le plus efficient pour mettre un terme à ces attaques ? Ces dernières sont très coûteuses, au niveau humain tout d’abord mais aussi sur le plan économique. Il s’agit donc sans doute du meilleur investissement à réaliser pour prévenir le risque terroriste.

La recherche de nouvelles méthodes pour gérer le risque terroriste

La coopération entre les entreprises du secteur privé et les entreprises du secteur public est inéluctable aujourd’hui, tant la menace est forte et imprévisible. Le partage des bonnes pratiques et de connaissances en termes d’appréhension et de gestion du risque terroriste a permis, surtout au cours des attaques subies en 2015, de se préparer à faire face à une menace à laquelle aucun acteur n’avait alors songé : celle de l’hyperterrorisme.

L’hyperterrorisme a été ainsi dénommé pour la première fois après les attentats du World Trade Center le 11 septembre 2001. Cette expression est donc utilisée en cas de destructions et massacres à grande échelle, comme ce fut le cas aux États-Unis en 2001. À ce jour, les actes terroristes survenus en France relèvent encore du « terrorisme de masse » et non de l’hyperterrorisme. L’attaque au bilan le plus sombre à ce jour est celle du Bataclan, le 13 novembre 2015. Le bilan de cette fusillade de masse est de 137 morts et 413 blessés. La salle de spectacle n’était évidemment pas prête à affronter ce type d’attaque. Les forces de l’ordre et les secours ont d’ailleurs été également « surpris » puisque plusieurs attentats se déroulaient simultanément dans Paris. La France n’a pour le moment pas été confrontée à l’hyperterrorisme, alors que des difficultés de gestion du risque ont déjà été identifiées face au terrorisme de masse. Donc, comment les entreprises du secteur privé peuvent-elles se protéger au maximum contre le risque terroriste ? Quels investissements faut-il réaliser et sur quelles stratégies faut-il miser ? En ce qui concerne les commerces et la distribution, ces domaines sont désormais vulnérables et sensibles au risque terroriste. La situation est assez différente dans les commerces de proximité par rapport aux grandes surfaces. La menace terroriste y est jugée moins élevée. Mais aucune structure ne peut s’estimer épargnée aujourd’hui, quelle que soit sa dimension, son secteur d’activité ou sa zone géographique.

Dans les semaines qui suivirent les attentats de novembre 2015, les commerces ont connu une forte baisse de fréquentation. Sécuriser leur activité est devenu un véritable challenge pour conserver leurs clients. Quant au chiffre d'affaires réalisé par les grands magasins, il avait chuté de 25 % début décembre 2015 et d’un peu moins de 20 % pour les centres commerciaux. Il y a donc, derrière la prévention du risque terroriste, non seulement un enjeu humain et sécuritaire, mais aussi un enjeu financier. Et de fait, les enseignes de distribution ont saisi l’intérêt de miser sur la sécurité. La mise en place de plans de formation interne pour les salariés, sur des thématiques de sécurité et de sûreté et le renforcement des processus de surveillance humaine ont permis aux distributeurs et aux commerces de réduire dans le même temps leur exposition face au risque terroriste mais aussi aux risques de malveillance et de vols. Ceci a contrebalancé, en partie, les investissements réalisés, notamment pour l’intégration de dispositifs de sécurité privée. C’est ainsi qu’avant 2015, le secteur de la sécurité privée était plutôt en régression ; avec les attentats de 2015, il a connu un véritable rebond. Les investissements réalisés comprennent non seulement la surveillance humaine, mais aussi la sécurité électronique, la sécurité physique, les procédés de lutte anti-incendie, etc. Il s’agit d’équipements de télésurveillance ou d’alarmes essentiellement mais aussi de systèmes de contrôle d’accès. Ces dispositifs n’assureraient pas la protection absolue des commerces en cas d’attaque, mais permettraient d’identifier un assaillant ou, pour les autorités, de maîtriser davantage le risque.

Le secteur privé a un rôle plus important à jouer auprès des Français dans la lutte antiterroriste. Au niveau de la sécurité des salariés ou des clients, chaque entreprise peut à son échelle agir contre le risque terroriste et participer à cette lutte qui concerne la Nation. Les entreprises du secteur privé pourraient notamment s’inspirer du travail réalisé par les collectivités territoriales, les mairies et les régions qui réalisent des actions de prévention du terrorisme à long terme. Mettre en place des programmes de réinsertion des radicalisés n’est pas du ressort des entreprises du secteur privé, mais c’est bien à elles que revient le rôle de « défenseur privé ».

Le cyberterrorisme

Les nouvelles technologies sont de plus en plus accessibles pour les organisations terroristes. Le terrorisme du XXIe siècle se fonde surtout sur l’utilisation du numérique et les attaques digitales. Le cyber-terrorisme sera sans nul doute mondialisé et les entreprises et les états doivent y être préparés. Le nombre d’attaques cybercriminelles contre les entreprises ne cesse d’augmenter. Le fait de savoir que des réseaux d’organisations terroristes peuvent pirater des systèmes d’informations précieux aux entreprises est très inquiétant pour les Risk Managers. Les cyberattaques ne doivent en aucun cas être négligées. Au cours des semaines qui ont suivi l’attentat du journal "Charlie Hebdo", ce sont près de 25 000 sites internet français qui ont été la cible de hackers islamistes. Ces attaques ont, pour la plupart, consisté à remplacer la page d'accueil des sites par des messages incitant à la haine et faisant l’apologie du terrorisme. Ces attaques sont particulièrement agressives pour l’image et la représentation des valeurs des entreprises. Les attaques les plus graves sont les atteintes et les piratages des systèmes d’informations. Si les réseaux de distribution en électricité sont piratés, les réseaux téléphoniques, ou encore la signalisation routière, les dommages potentiels seront considérables et à ce jour non évalués. Pour affronter cette menace, la création de nouveaux métiers et le recrutement de profils nouveaux de salariés sont essentiels. Ces derniers seront très importants pour la vie de l’entreprise de demain et pourront être particulièrement utiles face aux cyberattaques. C’est le cas des Data Analyst, Data Owner, Data Scientist, Data Miner et Data Protection Officer. Ces experts de la donnée, le data, sont au cœur des réseaux et pourront détecter la menace terroriste plus rapidement et surtout la contrer. La menace de cyberattaque est avant tout ciblée, opportuniste et diffuse.

Au-delà de l’usage des nouvelles technologies, il faut se soucier des « cellules dormantes » – des individus qui ne sont pas encore passés à l’action – mais également de la gestion de l’émotion et de la panique. Dans les premiers moments qui ont suivi les cellules de crise mises en place après les attentats de 2015 dans les entreprises, les rapports montrent une hausse exponentielle d’émotions négatives ressenties par les salariés. Le responsable de la Sécurité/Sûreté d’une entreprise de presse a déclaré à ce sujet : « je me devais de rester calme. Mon obligation de résultat me force avant tout à protéger et rassurer les salariés en prenant les mesures nécessaires face à une situation de danger grave imminent [3] ». La charge émotionnelle qui pèse sur les Risk Managers et les responsables de la Sécurité/Sûreté est lourde. Mais le fait de parvenir à garder son sang-froid permet de déployer dans les meilleures conditions possible les dispositifs d’urgence comme les cellules de crise ou les plans de continuité d’activité.

À la lumière des différents attentats qui ont eu lieu au cours des dernières années, il est clair que toute entreprise peut être visée par un acte terroriste. La première étape de la démarche prévention est d’intégrer ce contexte puis d’être en mesure d’évaluer la capacité de résistance/résilience et de réaction de l’entreprise face à une situation de crise. Il faut aussi intégrer systématiquement les retours d’expérience, qui sont obtenus à la fin du processus de gestion des risques et représentent la pièce maîtresse du suivi et du contrôle du processus de prévention. Ainsi, un audit de sécurité peut être mené afin de renforcer la protection des sites de l’entreprise, quels qu’ils soient. Les retours d’expérience et l’étape de suivi et contrôle dans sa globalité font partie d’une démarche d’intégration de la sécurité en amont. Pour gérer et traiter un risque majeur, il faut s’interroger sur ce dernier avant son apparition. Le Risk Manager, comme « chef d’orchestre » des acteurs de la sécurité et de la sûreté en entreprise, met en place, suite aux retours d’expérience, des Risk Assessments [4] . Grâce au travail de suivi et contrôle, une stratégie de sécurité multimodale peut être développée au sein de l’entreprise. Il s’agit de la mise en place de dispositifs intégrés sur l’ensemble des sites de l’entreprise : la surveillance humaine par le biais des agents de sécurité, ou l’installation systématique de portiques et de caméras de vidéosurveillance à chaque entrée. Pour protéger les accès et réduire le risque d’intrusion au maximum les systèmes d’alarmes ou d’alerte sont essentiels et il est primordial de prévoir des équipements technologiques adaptés à cette menace terroriste qui se modernise dans tous les domaines (drones, outil de reconnaissance faciale).

Dans la stratégie multimodale de l’entreprise sont également intégrés les outils annexes dont les plans de continuité d’activité (PCA). Les plans de continuité d’activité permettent de maintenir un niveau de production minimal et de disposer d’alternatives provisoires pour réduire le risque de pertes au maximum. L’assurance réduit aussi les pertes financières accusées par le site (perte d’exploitation). En revanche, l’atteinte à l’image de l’entreprise reste importante, surtout si les marchandises ou le matériel sont identifiables. De fait, l’auto-assurance n’est plus une option aujourd’hui dans le cadre du risque terroriste. L’ensemble des grandes entreprises l’ont bien compris et la plupart disposent de polices d’assurance gérées par des courtiers et assureurs internationaux de renommée mondiale.

Le risque de radicalisation des salariés de l’entreprise

Le sujet de la radicalisation en entreprise s’avère particulièrement délicat. Il est souvent évoqué à demi-mot, comme tabou. La radicalisation d’un collaborateur rappelle que les terroristes, malgré leurs actes criminels, sont des êtres humains et qu’ils peuvent se trouver partout. Ils peuvent avoir une vie de famille, un emploi, être intégrés en entreprise, avant de commettre du jour au lendemain un attentat. Il est désormais nécessaire que toutes les entreprises utilisent le criblage numérique pour détecter le moindre signal de radicalisation émanant de la part des salariés. Ceci va permettre d’asseoir toutes les investigations réalisées par les forces de l’ordre et les services de renseignement dans la gestion des données et de l’information, mais aussi d'optimiser la mutualisation des informations entre pouvoirs publics, assureurs, courtiers et prestataires. L’un des responsables de la Direction générale de la sécurité intérieure précise [5] que la radicalisation en entreprise ne peut être traitée par une fonction à elle seule. Le Risk Manager et le directeur Sécurité/Sûreté ne peuvent œuvrer de manière indépendante sur ce sujet. Il faut non seulement que tous les titulaires de fonctions dans l’entreprise soient conscients de cette problématique et qu’ils l’appréhendent selon leur angle de vue, mais aussi qu’ils interagissent ensemble sur la radicalisation en entreprise et s’échangent des données.

Concernant les Aéroports de Paris, au 1er janvier 2017, le Préfet a signifié 87 refus ou retraits d’habilitations des collaborateurs, pour des cas de suspicions de radicalisation religieuse. La radicalisation ne se fait donc évidemment pas seulement dans les centres pénitentiaires ou les prisons. L’entreprise est devenue l’un des lieux de radicalisation fréquents. Les organisations terroristes sont sans cesse à la recherche de nouveaux individus pour rejoindre leurs rangs puisqu’elles restent composées de petits groupes dans la plupart des pays.

La sensibilisation des salariés au risque terroriste

La communication et la formation sont sans nul doute les moyens les plus efficaces pour les collaborateurs d’appréhender le risque terroriste. Dans des situations à hauts risques, chaque geste ou action peut altérer la résolution d’un problème. La formation des collaborateurs se décline en plusieurs niveaux : les salariés affectés à la sécurité, les collaborateurs qui peuvent être exposés directement au risque (collaborateurs présents sur le « terrain » et en contact direct avec les clients ou collaborateurs fréquemment en déplacement) et enfin les collaborateurs potentiellement moins exposés. En ce qui concerne les salariés affectés aux différents services en lien avec la sécurité/sûreté, les formations au risque terroriste sont pointues. Les formations de ces collaborateurs sont primordiales puisqu’ils ne détiennent pas d’arme et doivent adopter les bons comportements pour protéger l’entreprise et surtout se protéger eux-mêmes. Il est aussi possible de faire appel à des agents de sécurité privée qui, sous certaines conditions et s’ils possèdent la formation adéquate, pourront utiliser des armes non létales (matraques de type bâton de défense ou tonfa [6] , lacrymogènes…). Ou encore, il est possible de faire appel à des agents de sécurité privée pouvant être dotés d’une arme de poing. Les collaborateurs pouvant être directement exposés au risque sont les salariés en déplacement et ceux qui travaillent au contact de la clientèle. Ils doivent être formés en priorité aux gestes à réaliser et aux comportements à adopter. Enfin, tous les autres salariés de l’entreprise doivent a minima être sensibilisés au risque terroriste. Cela passe par des communications internes (campagne d’e-mailing, affiches, distribution de flyers), des ateliers thématiques ou encore des conférences.

Ces démarches sont onéreuses mais le gain réalisé en cas d’attaque terroriste est particulièrement élevé. Des salariés informés de la conduite à tenir, effectuant les bons gestes pourront se mettre en sécurité plus aisément et rester calmes. Pour que les salariés soient capables d’agir de manière adéquate, il faut tenir compte de leurs contraintes au quotidien. À défaut, le travail de formation réalisé ne sera d’aucune utilité. En complément, si les Risk Managers ou les directeurs Sécurité/Sûreté ont besoin de supports pour appuyer leur communication, des fiches techniques ont été élaborées par le Secrétariat Général à la Défense et à la Sécurité Nationale (SGDSN) en relation avec les différents ministères. Suite aux attentats du 13 novembre 2015, une campagne de sensibilisation a été lancée pour mieux préparer et protéger les citoyens face à la menace terroriste [7] .

Il est fréquent d’entendre que « la gestion du risque terroriste est du ressort de l’État ». Le risque terroriste est un risque d’origine humaine, un « act of devil » [8] . Il est donc tout à fait légitime d’associer la gestion de ce risque aux fonctions régaliennes, leur pouvoir étant théoriquement plus important que celui des autres acteurs économiques – dont les entreprises. Cependant, la gestion du risque terroriste se doit d’être globale pour être mieux maîtrisée. Même s’il s’agit d’un sujet tabou, il n’est plus possible aujourd’hui de déresponsabiliser les acteurs économiques et notamment les entreprises et de maintenir une stratégie d’évitement du risque terroriste en en confiant exclusivement sa gestion à l’État. Tous les acteurs économiques ont un rôle prépondérant dans cette action, il ne s’agit pas uniquement d’une problématique géopolitique, militaire ou politique. En effet, les outils régaliens sont saturés en cas de pluri-attentats, ce qui a été constaté dans la plupart des retours d’expérience des attaques de 2015. Mais aussi, la vie économique est touchée par ces menaces intérieures, sans compter l’impact psychologique sur l’ensemble de la population qui est très sensible à ce risque. Le secteur privé doit donc s’adapter à ce contexte en assurant, parallèlement aux actions de l’État et des autres acteurs économiques, une gestion du risque à son échelle.

Le rôle de l’État est davantage dirigé sur la gestion en aval qu’en amont de ce risque : indemnisation des victimes, soutien public et communication tant au niveau national qu’international. Les forces de l’ordre sont au centre de la protection puisqu’elles agissent directement sur la réduction et la minimisation du risque. Et, les services de renseignement, les Risk Managers et Directeurs Sécurité/Sûreté des entreprises, interviennent en amont, en employant des mesures de prévention pour anticiper et réduire le risque. Le gouvernement a un rôle davantage axé sur la protection et la stratégie en cas d’attaque terroriste. Son action est plutôt « macro » puisque l’État dispose d’informations globales et doit avant tout protéger le pays plutôt que les personnes individuellement.

Certains acteurs économiques, les opérateurs d’importance vitale, doivent être protégés tout particulièrement. Ce sont des éléments de la stratégie de sécurité nationale. Au total, on dénombre 249 opérateurs d’importance vitale en France. Ce sont des entreprises du secteur public et du secteur privé. Toutes ces entreprises ont des activités qui ne sont ni remplaçables ni substituables (ou du moins, très difficilement). De fait, la protection de ces opérateurs est réalisée de manière structurée et précise. Ces opérateurs ont un lien avec la dimension humaine, la fonction régalienne, l’activité économique du pays et la dimension technologique.

Conclusion

Le risque terroriste reste synonyme de danger et l’entreprise doit tirer bénéfice de la réduction de l’exposition au risque. À l’heure de la digitalisation et du Big Data, c’est la mutualisation de l’information entre tous les acteurs de la société qui sera la clef de la prévention des prochaines attaques. Les directions Sécurité et Sûreté, les services de Risk Management, les assureurs et courtiers ainsi que les services de l’État pourront, ensemble, réduire la menace à néant s’ils parviennent à définir et décliner des plans de maîtrise de risque. Vingt attentats ont été déjoués en France en 2017 – contre 17 en 2016 [9] . Qu’en serait-il avec un plan de maîtrise des risques global ? Pour l’entreprise française, les méthodes les plus efficaces pour répondre à une complexification du risque terroriste concernent l’intégration d’audits de sécurité et de sûreté, la vérification systématique de l’identité des collaborateurs et des tiers, la limitation des points d’accès, l’implication des collaborateurs, l’utilisation de stratégies multimodales et la prise en considération des risques psychosociaux. Tous ces procédés sont des applications directes du Risk Management. Appliqués avec l’usage de l’intelligence artificielle, des robots ou encore des nanotechnologies, ils pourraient devenir redoutablement efficaces à long terme.