6.3 Cas “MyBizDev et les risques informatiques”

6.3.1 QUESTIONS A TRAITER

Vous poursuivez votre échange avec Maxime Pari, qui vous remet également le contrat de maintenance souscrit avec le prestataire. ANNEXES 1 à 6.

Question 1 – Analysez les risques qui se sont déjà concrétisés, notamment en mentionnant les enjeux de sécurité impactés. Présentez-les succinctement, à l’aide d’un tableau avec 3 colonnes : Risques, Exemples, Enjeux de sécurité.

Question 2 – Repérez les risques existants dans le contrat de maintenance actuel. Quelles préconisations pouvez-vous faire ?

Aline Matthieu, Bizdev Manager, constate un fonctionnement anormal de son ordinateur depuis qu’elle a ouvert une pièce jointe reçue par message électronique. Après un contact avec la hotline du prestataire en charge de la maintenance, un technicien s’est immédiatement déplacé et a constaté que l’entreprise a fait l’objet d’une attaque informatique. ANNEXES 7 à 9.

Question 3 – Analysez le risque qui s’est matérialisé en déterminant pourquoi l’accès aux données est impossible et en repérant l’erreur commise par Aline.

Question 4 – Déterminez et expliquez les failles de sécurité exploitées puis évaluez les impacts en repérant les enjeux de sécurité concernés.

Dès l’échange en ligne, le prestataire informatique a immédiatement demandé à Aline Matthieu de débrancher le câble réseau de son poste de travail, avant toute autre manipulation.

Question 5 – Pourquoi cette recommandation est-elle importante ?

En définitive, seul le poste d’Aline Matthieu a été touché, mais cette alerte a été suffisamment grave pour confier un audit de sécurité au prestataire. Annexes 10 et 11.

Question 6 – Les données d’Aline sont-elles définitivement perdues ?

Question 7 – Le prestataire propose une sauvegarde en ligne complémentaire à la sauvegarde existante. Est-ce vraiment utile ? Pourquoi ?

À ce jour, aucune charte d’utilisation des ressources informatiques n’est proposée chez MyBizDev.

Question 8 – Après avoir effectué des recherches complémentaires sur Internet, préparez une ébauche de charte informatique en indiquant les principaux points que celle-ci mentionnera.

6.3.2 ANNEXES A ETUDIER

ANNEXE 1 – Présentation de MyBizDev

Allez sur le site de l’entreprise et étudiez son activité : https://mybizdev.io/recruter-un-commercial-pour-ma-start-up

Témoignage d’un BizDev

ANNEXE 2 – Contexte du cas

Maxime et Pierre

Maxime Pari, fils de commerçant en franchise d’une grande enseigne Française, a gardé jusqu’à ce jour un goût prononcé pour les affaires. D’ailleurs, il a travaillé très jeune dans le magasin familial. Par la suite, passionné par le métier de commercial,il occupera cette fonction juste après l’obtention de son baccalauréat. Ainsi, son expérience s’enrichit des pratiques au sein de grands groupes tels que XEROX (prospection commerciale et sales B2B), MARS CHOCOLATS (account manager et customer success) ou COMPANEO (growth hacking et Key Account Manager). Dans la continuité de ces expériences, il créera sa première SARL à 25 ans, BILL (au sens de facture), qui sera spécialisée dans le courtage en énergie, en télécommunication et en assurances pour TPE et PME.

Mais, une idée s’impose progressivement à Maxime Pari, les start-up et les licornes ont besoin de commerciaux ayant un profil et des compétences très spécifiques.

Pierre Mousnier a démarré sa carrière dans l’édition en 2011 en lançant le label numérique 12-21 chez Editis, à un moment où le e-book balbutiait encore en France. Au bout de trois ans, le label était devenu l’un des acteurs majeurs du secteur. Convaincu qu’il a avait encore à apprendre, il vend son affaire part s’investir dans le milieu des start-up en Nouvelle-Zélande. Son idée était de créer en France la start-up Food and Augmented Reality (FAR), qu’il dirigera avec deux associés pendant prés de deux ans, avant de rejoindre MyBizDev.

Maxime et Pierre avaient pris conscience par leurs expériences individuelles de la problématique des start-up pour recruter des business developer. Et cette prise de conscience déboucha donc sur la création de MyBizDev, l’Agence des business developers, en novembre 2017. A ce jour, MyBizDev est toujours installée au sein de l’incubateur privé REDSTART et Maxime Pari est en permanence à l’écoute des start-upper, puisqu’il est également mentor de start-up incubées à HEC .

Vocation

Parce que les start-up ont besoin des meilleurs commerciaux pour grandir, MyBizDev sélectionne, forme et met à leur disposition des business developers expérimentés et passionnés par la vente. En effet, le recrutement traditionnel ne permet pas de garantir que les capacités d’un candidat pour un emploi dans le Business Development – que ce soit en micro-entrepreneuriat, TNS ou en salariat – lui permettront d’être opérationnel au sein d’un start-up.

ANNEXE 3 – Entretien avec Maxime PARI

Vous : Pouvez-vous me donner quelques indications sur votre système informatique ?

Maxime PARI : Bien sûr ! Au moins dans les grandes lignes en tout cas. Je ne suis pas informaticien et notre structure est trop petite pour en embaucher un, donc je m’occupe de certains aspects en collaboration avec notre prestataire.

Nous avons une quinzaine d’ordinateurs reliés en réseau et deux serveurs qui centralisent plusieurs ressources. Nous avons également des ordinateurs portables qui sont utilisés par les Consultants lorsqu’ils se déplacent chez les clients. Ils peuvent se connecter à distance à notre système, ce qui permet de gagner beaucoup de temps car ils disposent d’informations en temps réel, telles que le fichier des Bizdev et leurs spécialisations. Ils peuvent, par exemple, réaliser les devis pour les projets de campagne ou prendre des commandes de prestations directement chez nos clients.

Vous : Et cela fait gagner vraiment beaucoup de temps ?

Maxime PARI : Oui, car une fois ces informations dans notre PGI, cela permet d’affecter immédiatement les équipes et les moyens nécessaires, et de communiquer très rapidement au client les dates prévisionnelles de mise à disposition d’un ou plusieurs Bizdev ou d’émettre les factures des prestations réalisées, par exemple.

ANNEXE 4 – Réseau informatique de MyBizDev

ANNEXE 5 – Suite de l’entretien avec Maxime PARI

Entretien avec Maxime PARI (suite)

Vous : Vous m’avez parlé d’un prestataire informatique. Comment sont réparties les tâches entre MyBizDev et lui ?

Maxime PARI : Il prend en charge toute la partie installation, maintenance et dépannage de nos matériels. Il intervient également sur les opérations complexes ou techniques pour lesquelles nous ne sommes pas en mesure d’intervenir. En ce qui me concerne, je gère les comptes des utilisateurs en créant les comptes ou en modifiant les habilitations. J’interviens également sur les paramétrages des applications métiers. Par exemple, c’est moi qui modifie certains éléments du PGI. Mais je ne touche pas à l’installation technique !

Vous : Toi ? Pardon, vous avez eu une formation sur la partie gestion des comptes ?

Maxime PARI : Bah oui ! C’est même une partie qui m’intéresse.

Vous : Et le prestataire, il vient régulièrement ?

Maxime PARI : Non, la plupart du temps, il intervient lorsque nous le sollicitons. Nous appelons la hotline lorsque nous avons un problème et, en fonction de celui-ci, nous sommes immédiatement dépannés par téléphone. Parfois, le prestataire prend le contrôle à distance du poste de travail lorsque l’intervention est plus complexe. Les seuls cas nécessitant un déplacement correspondent à des pannes matérielles, ou alors lorsqu’il s’agit d’installer un nouvel équipement.

Vous : Et ça arrive souvent ?

Maxime PARI : Non, c’est déjà arrivé à MyBizDev. Nous avons déjà fait face à une panne du disque dur sur l’un de nos anciens serveurs. Il a fallu en acheter un nouveau en urgence, réinstaller les logiciels et les paramétrer puis restaurer les données. Nous avons été privés d’informatique pendant trois jours ! Et nos BizDev ont du utiliser leur smartphone… Sinon, euh, tu me tutoyer , c’est l’usage ici !!!

ANNEXE 6 – Contrat de maintenance signé par MyBizDev

ARTICLE 1 – OBJET

Le Client commandite le Prestataire pour réaliser la maintenance de son parc informatique ci-après dénommé Contrat de maintenance informatique.

Les détails du présent Contrat de maintenance informatique sont les suivants :

  • déplacement sur site pour intervention sur le matériel concerné,
  • main-d’œuvre pour remise en état du matériel concerné,
  • télémaintenance (prise en main à distance) dans la mesure du possible.

Toute intervention complémentaire fera l’objet d’une facturation séparée.

ARTICLE 2 – PRIX

Pour la prestation de service fournie au titre du présent Contrat de maintenance informatique, le Client versera au Prestataire la somme de deux mille euros (2 000 €) HT mensuellement. Le Prestataire établira une facture mensuelle remise au Client par voie postale ou e-mail. […]

Toute prestation (ou intervention) non prévue au présent Contrat de maintenance informatique donnera lieu à une facturation séparée en sus, sur la base d’un devis accepté. […]

ARTICLE 3 – EXCLUSIONS

3.1 La responsabilité du Prestataire se limite à l’obligation de remise en état des matériels en panne (couvert par le présent Contrat de maintenance informatique). Elle inclut l’installation du système d’exploitation, l’installation des programmes applicatifs (gestion commerciale, comptabilité…), l’intégration des données (sauvegarde à la charge du client).

3.2 Sont exclues du présent Contrat de maintenance informatique et donneront lieu à une facturation séparée les interventions dues aux faits suivants :

  • non-respect des normes d’entretien par le Client,
  • matériel remplacé,
  • modification des spécifications des machines sans prévenir le Prestataire,
  • variation ou coupure électrique,
  • virus, logiciels malveillants ou intrusions,
  • réparation ou entretien réalisé par des personnes étrangères au Prestataire,
  • remplacement des pièces défectueuses sans accord du Prestataire,
  • remplacement des consommables (toners, cartouches, tambour…).
  • destructions résultants d’actes de terrorisme, de guerre, d’incendies ou de dévastations liées à des phénomènes naturels. […]

ARTICLE 5 – DÉLAI

Les interventions ont lieu au plus tard dans les délais suivants :

  • intervention H+4 en télémaintenance,  
  • intervention H+8 sur site,  
  • pas de limite sur le nombre d’interventions.

Les interventions s’effectuent du lundi au vendredi inclus, aux horaires du prestataire (9 h-12 h et 14 h-18 h). Les jours fériés sont exclus. […]

ANNEXE 7 – Fichiers d’Aline Matthieu, BizDev Manager

Aline Matthieu ne retrouve plus les fichiers qu’elle a enregistrés sur son poste de travail. Il s’agissait des profils, compétences et expériences des BizDev sélectionnés pour être envoyés à EuraSanté GIE, un gros client.

Au lieu des fichiers de traitement de texte, tableur et autres, il n’y a plus que des fichiers comportant l’extension « locky ».

Comme Locky des “Avengers“, ce virus cause de gros dégâts !

ANNEXE 8 – Bulletin d’alerte du CERT (extraits) présenté par le prestataire

Objet : campagne de messages électroniques non sollicités de type Locky
1 – Risque(s) Installation d’un logiciel malveillant de type Locky.
2 – Systèmes affectés Tous les systèmes d’exploitation Windows peuvent être victimes de ce logiciel malveillant.
3 – Résumé Depuis la mi-février 2016, le CERT-FR constate à l’échelle nationale une vague de pourriels dont le taux de blocage par les passerelles anti-pourriel est relativement faible. Ces pourriels ont pour objectif la diffusion du rançongiciel Locky. Un rançongiciel est un programme malveillant qui chiffre les données du poste compromis. Il va également cibler les partages de fichiers accessibles depuis le compte utilisateur dont la session est compromise. Celui-ci est exécuté, dans le cas présent, par une action de l’utilisateur. La victime est ensuite invitée à verser de l’argent afin que l’attaquant déchiffre les fichiers ciblés. Dans le cadre de cette campagne, et d’après les échantillons que le CERT-FR a observés, la diffusion de Locky s’effectue par l’intermédiaire d’un pourriel dans lequel se trouve une pièce jointe au format « .doc ». Ce document Microsoft Office contient un texte illisible ainsi qu’un message indiquant la nécessité d’activer les macros pour l’affichage correct du message. Macro dont l’objectif est la récupération puis l’exécution du malware. L’exécution de ce dernier entraîne le chiffrement des données et les fichiers sont renommés avec l’extension « .locky ». […]
4 – Solution Mesures préventives Le CERT-FR recommande de sensibiliser les utilisateurs aux risques associés aux messages électroniques pour éviter l’ouverture de pièces jointes […]. Plus généralement, il convient de mettre à jour les postes utilisateurs […] dans le cas où le code malveillant (ou une variante) exploiterait une vulnérabilité logicielle. Enfin, le CERT-FR recommande d’effectuer des sauvegardes saines et régulières des systèmes et des données (postes de travail, serveurs) puis de vérifier qu’elles se sont correctement déroulées. Les sauvegardes antérieures ne doivent pas être écrasées (cas où une version chiffrée aurait été sauvegardée). Les sauvegardes doivent être réalisées en priorité sur les serveurs hébergeant des données critiques pour le fonctionnement de l’entité. Celles-ci doivent être stockées sur des supports de données isolés du réseau en production. www.cert.ssi.gouv.fr * CERT : Computer Emergency Response Team,centre d’alerte et de réaction aux attaques et incidents informatiques.

ANNEXE 9 – Quelques règles informatiques mises en œuvre

  • Chaque utilisateur dispose de ses propres identifiants et mots de passe personnels. Ceux-ci doivent rester strictement confidentiels.
  • Les droits (ou habilitations) sont paramétrés en fonction des attributions de chaque salarié. Ils ne doivent en aucun cas être contournés. En cas de nécessité, ils peuvent être modifiés après demande justifiée auprès de l’administrateur.
  • Les utilisateurs s’engagent à enregistrer leurs fichiers dans leur emplacement personnel sur le serveur de fichiers ou sur un des emplacements réseau partagé afin de bénéficier d’une sauvegarde automatisée. Tout fichier stocké ailleurs l’est sous la pleine responsabilité du salarié en cas de perte ou compromission.
  • Les données des serveurs sont sauvegardées tous les soirs sur le NAS (Network Attached Storage : serveur de stockage en réseau).

ANNEXE 10 – Extrait des conclusions de l’audit réalisé par le prestataire

1. Points positifs du système existant chez MyBizDev

  • Les utilisateurs font tous l’objet d’une authentification, la gestion des mots passe et leur renouvellement sont effectués correctement.
  • Le réseau est sécurisé grâce au pare-feu qui fait l’objet d’un paramétrage adéquat.
  • Les connexions depuis l’extérieur sont convenablement sécurisées grâce au VPN1.
  • Une politique de sauvegarde régulière est en place sur les serveurs et les données sont stockées sur un autre support (NAS2).

2. Préconisations et évolutions nécessaires chez MyBizDev

  • Suite aux entretiens réalisés, les utilisateurs doivent être davantage informés des risques informatiques auxquels vous êtes exposés. Une sensibilisation doit être envisagée.
  • Une gestion centralisée d’une suite de sécurité antivirale et antimalware est nécessaire. Ce rôle peut être ajouté au serveur existant sans difficulté. Il permettra de déployer en temps réel les mises à jour antivirales et d’effectuer une remontée régulière des informations et alertes.
  • Il est nécessaire d’améliorer la sauvegarde existante en disposant de sauvegarde hors site. Nous vous incitons à recourir à une solution de sauvegarde en ligne.
  • Les serveurs ne sont pas protégés. L’installation d’onduleurs est indispensable.

Schéma du système cible

1. Virtual Private Network, réseau privé virtuel.2. Network Attached Storage, boîtier de stockage en réseau.

ANNEXE 11 – PGI Idylis proposé en cloud computing

6.1 Risques liés à la santé et à la sécurité au travail

6.1.1- Les accidents du travail et maladies professionnelles

Les définitions

 ConditionsExemples
Accident du travailUn salarié est victime d’un accident par le fait ou à l’occasion de son travail.Un ouvrier tombe d’une échelle sur un chantier ou subit de graves brûlures en coulant du métal en fusion.
Accident de trajetUn accident survient sur le trajet entre le domicile de l’employé ou tout autre lieu où il se rend habituellement (comme l’école de ses enfants) et son lieu de travail.Un salarié est victime d’un accident de la route sur le trajet entre son lieu de travail et son domicile.
Maladie professionnelleL’exposition d’un salarié à un risque physique, chimique, biologique où ses conditions de travail occasionnent une maladie professionnelle.
Elle doit être reconnue par la Sécurité sociale.
Cancers liés à l’amiante, atteintes rénales liées à l’exposition au plomb.

Les procédures de déclaration

Le salarié doit…L’employeur doit…
1 Informer ou faire informer l’employeur par lettre recommandée dans les 24 heures suivant l’accident en lui précisant le lieu, les circonstances et l’identité d’éventuels témoins.2 Compléter la feuille d’accident du travail (Cerfa 11 383*02), une fois informé, et l’envoyer au salarié victime de l’accident du travail.
3 Faire constater son état de santé par un médecin, qui complète un certificat médical initial dont le 4e volet doit être envoyé à l’employeur en cas d’arrêt de travail.
Le médecin envoie les deux premiers volets à la Caisse primaire d’assurance maladie (CPAM) et le 3e volet est conservé par le salarié.
5 Compléter la déclaration d’accident du travail (Cerfa 14443*02) 48 heures au plus tard après en avoir eu connaissance et l’envoyer à la CPAM.
L’absence de déclaration entraîne une amende de 3 750 € pour une personne morale.
4 Conserver et présenter à chaque soin la feuille d’accident du travail afin de bénéficier du tiers payant et de la gratuité des soins.6 En cas d’arrêt de travail, l’employeur remplit une attestation de salaire (Cerfa 11137*03) qu’il envoie à la CPAM, qui calcule les indemnités journalières du salarié victime de l’accident du travail.

La CPAM dispose de 30 jours à compter de la réception de la déclaration d’accident du travail pour statuer sur le caractère professionnel de l’accident. En l’absence de réponse dans les 30 jours (ou 2 mois en cas de nécessité d’examen ou d’enquête complémentaire), le caractère professionnel de l’accident est reconnu.

En cas de prolongation de l’arrêt de travail, l’employeur n’a aucune démarche à effectuer.

6.1.2- Les acteurs de la santé et de la sécurité au travail

Le gestionnaire joue un rôle essentiel car il est l’interlocuteur privilégié de tous les acteurs de la santé et de la sécurité au travail.

Les acteurs internes

1. L’employeur

L’employeur doit assurer la santé, tant physique que mentale, et la sécurité au travail de ses salariés en mettant en place des actions de prévention pour tous. Pour cela, il doit mettre en place des mesures organisées autour de trois axes (article L4121-1 du Code du travail) :

  • – la prévention des risques professionnels (adaptation des postes de travail…);
  • – l’information et la formation (présence de panneaux sur les lieux dangereux…);
  • – la mise en place d’une organisation et de moyens adaptés (retrait des produits dangereux).

Par ailleurs, l’employeur doit tenir compte des capacités des salariés avant de leur confier des tâches (article L4121-4 du Code du travail).

L’article L4212-2 du Code du travail énumère neuf principes généraux de prévention que l’employeur doit mettre en œuvre :

Principe de préventionCommentaire
1Éviter les risques.Supprimer ou réduire l’exposition au danger.
2Évaluer les risques qui ne peuvent pas être évités.Évaluer le risque global (voir fiche ressource 3), notamment au moment de la mise à jour du DUERP.
3Combattre les risques à la source.Éradiquer le risque dès le début d’un processus.
4Adapter le travail à l’homme.Concevoir des postes de travail, choisir des équipements de travail, des méthodes de travail pour réduire leurs effets négatifs sur la santé.
5Tenir compte de l’état d’évolution de la technique.Mettre en place une veille informationnelle sur l’évolution de la technique.
6Remplacer ce qui est dangereux par ce qui n’est pas dangereux ou par ce qui est moins dangereux.Choisir toujours un procédé, un matériel moins dangereux que l’existant.
7Planifier la prévention. 
8Prendre des mesures de protection collective. 
9Donner les instructions appropriées aux travailleurs.Transmettre aux salariés les informations nécessaires à l’exécution de leurs tâches dans des conditions de sécurité optimales.
2. Le salarié

Chaque travailleur doit prendre soin de sa santé et de sa sécurité ainsi que de celles des autres personnes concernées par ses actes ou ses omissions au travail. Si le salarié estime que sa situation de travail présente un danger grave et imminent pour sa vie ou sa santé, il peut quitter son poste. C’est le droit de retrait du salarié (article L4131-1 du Code du travail).

3. Le comité social et économique (CSE)

À partir du 1er janvier 2020, le CSE assurera ces missions en matière de santé et de sécurité au travail :

  • contribuer à promouvoir la santé, la sécurité et les conditions de travail dans l’entreprise ;
  • réaliser des enquêtes en matière d’accidents du travail ou de maladies professionnelles ou à caractère professionnel ;
  • saisir l’inspection du travail en cas de besoin.

Dans les entreprises employant au moins 50 salariés, le CSE est informé et consulté sur :

  • les conditions d’emploi, de travail (notamment la durée du travail) et la formation professionnelle ;
  • l’introduction de nouvelles technologies, tout aménagement important modifiant les conditions de santé et de sécurité ou les conditions de travail ;
  • les mesures prises en vue de faciliter la mise, la remise ou le maintien au travail des accidentés du travail, des invalides de guerre, des invalides civils, des personnes atteintes de maladies chroniques évolutives et des travailleurs handicapés, notamment sur l’aménagement des postes de travail.

Les membres de la délégation du personnel au CSE doivent être informés des visites de l’inspecteur du travail et peuvent lui présenter leurs observations.

Le CSE procède, à intervalles réguliers, à des inspections en matière de santé, de sécurité et des conditions de travail. Il réalise des enquêtes en matière d’accidents du travail ou de maladies professionnelles. Jusqu’au 31 décembre 2019, ces missions sont assurées, dans les entreprises de plus de 50 salariés, par le comité d’hygiène, de sécurité et des conditions de travail (CHSCT).

B- Les acteurs externes

1. Les services de santé au travail

Les services de santé au travail, organisés en services interentreprises pour les PME-PMI, sont chargés de la surveillance de la santé des travailleurs. Ces équipes pluridisciplinaires sont composées de médecins du travail, d’internes en médecine du travail et d’infirmiers.

2. L’inspection du travail

Les agents de contrôle de l’inspection du travail vérifient l’application du droit du travail en matière de santé et de sécurité. Ils peuvent constater des infractions : délits de harcèlement sexuel ou moral, traite des êtres humains, travail forcé…

6.1.3- Les risques professionnels

A- Le risque en matière professionnelle

1. Les familles de risques

Les risques sont regroupés en familles afin de les identifier rapidement et de mettre en place les mesures de prévention appropriées.

 FamillesExemples
RisquesIndividuelsRisques psychosociaux (dépression…), risques liés à l’activité physique, au manque d’hygiène.
Conditions de travailChutes de hauteur, de plain-pied, effondrement et chute d’objets, circulations internes.
Outils et dispositifsDispositifs routiers, conduite d’engin, manutention mécanique, écrans et équipements de travail.
Risques majeursAmiante, incendie, explosion, risques biologiques, chimiques, rayonnements.
ParticuliersAnimaux, armes et munitions, plongée, projections, vibrations.

B- L’évaluation des risques professionnels

L’entreprise doit évaluer, pour chaque unité de travail, les risques professionnels afin de supprimer ou du moins réduire tout accident du travail. Une unité de travail est une situation de travail dans laquelle un ou des salariés, avec une ou des fonctions différentes et en charge d’activités pouvant être aussi différentes, sont exposés à un même danger.

1. L’échelle de gravité du dommage (ou dangerosité)

Elle évalue la gravité du dommage susceptible d’être causé par le danger.

Échelle de gravité
Gravité du dommageIndice de gravité*Conséquence
Très faible1Blessure très légère – Pas d’arrêt de travail
Moyen10Dommage sans effets irréversibles sur la santé – Arrêt de travail
Grave100Possibilité d’effets irréversibles sur la santé avec incapacité permanente
Très grave1 000Pronostic vital engagé – Danger de mort

* L’indice de gravité peut être aussi numéroté de 1 à 4 ou de 1 à 5.

Exemple : la chute d’un employé administratif dans un couloir a un indice de gravité de 10 tandis que celui d’un couvreur sur un toit est de 1 000.

2. L’échelle d’exposition aux risques

Elle évalue la fréquence d’exposition du salarié au danger.

Fréquence d’exposition/
probabilité
Indice de probabilitéFréquence
Faible11 fois par an
Moyen21 fois par mois
Fréquent31 fois par semaine
Très fréquent41 fois par jour

Exemple : l’indice de probabilité de chute d’un employé administratif dans un couloir est de 1 tandis que celle d’un couvreur est de 4.

3. Le risque global ou la vulnérabilité

Le risque global se calcule par la formule suivante :

Risque global = Indice de gravité × Indice de probabilité
Tableau d’évaluation des risques professionnels
Situation 
de travail, 
danger
SalariésPréjudice / dommageIndice de 
gravité
Indice de 
probabilité
Risque globalMesures 
de prévention
ChutePersonnel administratifContusion10110Sol propre et non encombré
CouvreurDécès1 00044 000• Équipement de protection individuelle (EPI) obligatoire + Affichage
• Rappel dans le règlement intérieur
Définition des indices de risques professionnels
Risque intolérable
A
Risque important
B
Risque modéré
C
Risque tolérable
D
Le risque doit être réduit ou supprimé : action urgente.Le risque doit être réduit ou supprimé : action à planifier.Le risque doit être réduit (pas d’urgence dans les travaux).Le risque est réduit au niveau le plus faible.

6.1.4- Le document unique d’évaluation des risques professionnels (DUERP)

L’employeur doit élaborer et tenir à jour, souvent avec la participation du gestionnaire, un document unique d’évaluation des risques professionnels (DUERP) qui recense l’ensemble des risques pour la santé et la sécurité du personnel dans l’entreprise. Le DUERP doit être actualisé au moins une fois par an.

A- Les obligations et les sanctions

Le DUERP est obligatoire dans toute entreprise employant au moins un salarié. Sa non-tenue est sanctionnée par une amende maximale de 1 500 € par unité de travail.

B- Les étapes de la création du DUERP

Il n’existe pas de DUERP type car ce document est propre à chaque entreprise afin d’être adapté à son activité. Sa création suit généralement cinq étapes :

1. Définir les unités de travailL’entreprise identifie les différentes unités et y affecte les salariés.
2. Analyser les unités de travailIl s’agit de lister et d’analyser les accidents du travail et maladies professionnelles, et d’identifier l’ensemble des dangers attachés à une unité (même en l’absence d’accidents du travail).
3. Déterminer la cotation des dangersLes indices de probabilité et de gravité de chaque danger sont évalués, permettant d’obtenir le risque global associé à chaque danger.
4. Évaluer les dangers par unité de travailEn croisant les dangers présents et les salariés affectés à chaque unité de travail, on détermine le risque global de chaque unité.
5. Déterminer les mesures de préventionPour chaque risque, les mesures de prévention adéquates sont indiquées.

C- Le contenu du DUERP

Le DUERP comporte un inventaire des risques identifiés dans chaque unité de travail et des propositions d’action à mettre en place.

Exemple : unité de travail = peinture chez un carrossier

Situation de travail / dangerSalariésPréjudice / dommageIndice de gravitéIndice de probabilitéRisque globalMesures de prévention
Utilisation de peinturesAntonin
Clara
Brûlures de la peau10440EPI (tenue de travail) + Affichage
Maladies pulmonaires1 00044 000EPI (masque) + Affichage
Examen médical tous les ans + Rappel dans le règlement intérieur
 Risque global du poste4 040 

Le DUERP peut être consulté par les salariés, les membres du comité social et économique ainsi que les acteurs de la santé et de la sécurité au travail.

Un avis indiquant les modalités d’accès des travailleurs au DUERP est affiché à une place convenable et aisément accessible sur les lieux de travail.

5.1 Notion de risque

5.1.1 Risque et danger

Le mot « risque » s’utilise quotidiennement en entreprise. Pourtant, on le confond parfois avec « danger ».

Pour éviter qu’un risque ne remette en cause la pérennité de l’entreprise, il faut pouvoir l’identifier, le traiter, le limiter ou le prévenir.

5.1.2 La différence entre danger et risque

Le danger peut être défini comme une source potentielle de dommage (physique, matériel…) pour une cible.

Exemples : la chaleur, un escalier, le travail sur écran.

Un événement peut être à l’origine d’un danger (défaillance d’un fournisseur, évolution réglementaire…). Une situation dangereuse se constate.

Le risque est une estimation : il se définit comme la probabilité qu’une personne ou qu’une organisation, confrontée à un danger, subisse un dommage.

Exemples

Danger / événementCibleRisque
La chaleurLes maçons sur un chantierLa déshydratation
Le travail en hauteurLes couvreursLa chute
L’arrivée d’un concurrentL’entrepriseLa perte de parts de marché

5.1.3 L’évolution de la notion de risque

A. L’évolution du sens

Le risque se rattache de plus en plus à la notion d’objectifs que l’on risque de ne pas atteindre.

Exemple de risque : l’échec de l’émission d’une obligation ou d’une action, empêchant l’entreprise d’atteindre son objectif d’augmentation des capitaux propres ou d’investissement.

B. L’apparition de nouveaux risques

L’évolution du contexte économique et sociologique a fait émerger de nouveaux risques, à côté des risques « traditionnels » (risques naturels, risques liés à la santé des salariés…). Ces nouveaux risques qui requièrent beaucoup d’attention sont : risque d’image et de réputation, risque environnemental, risque informatique

5.1.4 Les effets des risques

Les risques peuvent représenter une vulnérabilité, c’est-à-dire une situation qui va avoir des effets négatifs sur l’entreprise (perte d’un client…).

Mais ils peuvent également avoir des effets positifs : ainsi, chercher à maîtriser les risques permet à l’entreprise d’améliorer ses performances (satisfaction des clients, e-réputation) mais aussi, parfois, de saisir des opportunités.

Exemple : Former les salariés aux risques chimiques permet :

– de connaître les dangers et d’éviter certaines pratiques, sources de risques ;

– d’accéder à de nouveaux marchés nécessitant certaines pratiques

5.1.5 Les principaux risques

Les risques auxquels s’expose l’entreprise sont à la fois internes (liés à l’organisation de la production, à la qualification des salariés…) mais aussi liés à l’évolution de son environnement externe (évolutions de la réglementation, de la société).

Les principaux risques auxquels l’entreprise peut être exposée peuvent être structurés en grandes catégories. La cartographie suivante est indicative mais donne une idée de la variété des risques et de la complexité qu’entraîne leur gestion :

5.5 Traiter les risques

5.5.1. Action sur les risques

L’analyse des risques permet de mieux comprendre les raisons de leur survenue et de les traiter. Et, l’entreprise peut agir sur les risques de différentes manières :

  • éviter leur apparition en réduisant ou en supprimant leurs causes à l’aide d’actions préventives ;
  • réduire leurs conséquences en mettant en place des actions correctrices ;
  • les transférer en ayant recours à une assurance.

Dans tous les cas, ce choix se fera en rapportant les coûts de la solution aux bénéfices attendus.

5.5.2. La recherche des causes : le diagramme causes-effet

Plusieurs outils peuvent être utilisés pour analyser les causes d’un risque. Par exemple, le diagramme causes-effet, connu aussi sous le nom de « diagramme Ishikawa » ou « diagramme 5M », permet de partir du risque pour identifier les causes.

▪ 1re étape : énoncer le problème.

▪ 2étape : regrouper les causes en 5 familles principales.

Matière : les matières premières utilisées (input)
Machine : les moyens techniques
Méthode : la conception du produit/processus, la gestion des stocks
Main-d’œuvre : les ressources humaines
Milieu : les éléments externes qui influencent la production (chaleur, froid, pluie)

▪ 3étape : dresser l’inventaire des causes possibles et les rattacher aux familles.

▪ 4étape : construire le diagramme : télécharger XMIND

▪ 5étape : analyser les causes.

Exemple : une entreprise a subi un début d’incendie et veut en connaître les causes.

5.5.3. Proposer des solutions

A. Les actions à mettre en place : la fiche d’action

Afin de traiter un risque, il faut suivre une méthodologie rigoureuse pour mettre en place une action correctrice ou préventive. Les différentes étapes sont résumées dans la fiche d’action.

Exemple d’action préventive

L’entreprise DUC emploie 10 commerciaux et 2 livreurs. La flotte de véhicules comprend 10 voitures et 2 camions. Le prix du carburant ne cessant d’augmenter, l’entreprise voudrait éviter l’augmentation de consommation des carburants en incitant les commerciaux à changer leur conduite. Elle décide donc de mettre en place un stage d’écoconduite.

FICHE D’ACTION N°…
INTITULÉ DE L’ACTION
Objectif de l’actionDécrire les effets attendus, les résultats escomptés.
L’objectif doit être réaliste, faisable et acceptable.
Pilotage de l’actionResponsable :Autres personnes concernées :
Modalités de mise en œuvreDécrire les étapes nécessaires à la réalisation de l’action en les ordonnant (étape 1, étape 2, étape 3), identifier les ressources (humaines, matérielles, financières) et les contraintes.
PlanificationDates de début et de fin de chaque étape (mindview)
Modalités de suivi et d’évaluationDéterminer les indicateurs pour évaluer l’action.
Évaluer l’atteinte des objectifs.
On retrouve ici :
– les points de vigilance dont il faut tenir compte ;
– ce qui permet de constater les premiers effets ;
– ce qui permet de laisser une « trace » des actions menées, des problèmes rencontrés, des évolutions constatées (documents, outils ou données d’information)…

B. Le plan d’actions

Le plan d’actions récapitule les actions mises en place dans l’entreprise ainsi que les principales étapes de la démarche de gestion des risques.

Il n’y a pas de forme imposée mais il ne faut pas oublier que ce document est un document de travail qui sera diffusé dans l’entreprise. Il faut donc le présenter de façon claire. La forme qui semble la plus adaptée est le tableau.

Le tableau doit impérativement faire ressortir la criticité, les personnes responsables, les objectifs fixés.

Exemple

C. Le suivi du plan d’actions

Le suivi doit permettre de vérifier :

– la baisse de la criticité ;

– l’atteinte des objectifs fixés.

Dans le cas contraire, il faut revoir le plan.

5.4 Évaluer les risques

Une fois les risques identifiés, il faut les évaluer afin de définir ceux qui sont prioritaires, c’est-à-dire ceux que l’entreprise doit traiter en premier.

5.4.1. Déterminer les risques prioritaires

A. Déterminer l’échelle des critères

Les risques prioritaires se déterminent à partir de deux critères : la probabilité et la gravité. On évalue ces critères en fonction d’une échelle propre à chaque PME, qui dépend de son activité, de ses objectifs et des risques qui lui sont propres. Cette échelle est graduée de 1 à 4 dans les cas les plus courants, de 1 à 10 dans les autres.

Probabilité
Fréquence de survenue
 Gravité
Impact pour l’entreprise au niveau financier, matériel, humain
Très peu probable1Conséquences insignifiantes1
Rare, peu probable2Conséquences sans gravité (faible coût)2
Occasionnelle3Conséquences majeures (en termes de coûts, de délais…)3
Fréquente4Conséquences lourdes4

B. Choisir le risque prioritaire à traiter

Le niveau de risque peut se calculer à l’aide de la formule suivante :

Risque (criticité) = Probabilité × Gravité

Exemple

L’entreprise de maçonnerie générale Durand a des chantiers à Lille et à Marseille. Ces chantiers sont essentiellement en extérieur. La météo influence alors le risque de non-respect des dates de réception des travaux.

Donc, la probabilité d’un retard de chantier est plus élevée à Lille qu’à Marseille, mais la gravité pour l’entreprise est la même (un retard de chantier représente une perte de plusieurs milliers d’euros).

5.4.2. La représentation graphique du risque : la matrice de criticité ou la cartographie des risques

Elle se construit grâce aux critères de probabilité et de gravité. Elle permet de visualiser les zones de fragilité de l’entreprise à un instant précis en plaçant les risques évalués.

Exemple (suite) :

5.3 Identifier les risques

L’identification des risques est un processus de recherche, de reconnaissance et de description des risques. Elle s’appuie sur une variété de sources internes ou externes à l’entreprise (INRS, expert comptable, DREAL, etc.)

5.3.1 Identification des risques en interne

A- L’analyse des documents internes

Les risques varient d’une entreprise à une autre : il faut donc les replacer dans leur contexte. L’analyse des différents documents permet de faire ressortir les vulnérabilités. Dans les entreprises disposant d’un progiciel de gestion intégré (PGI ou Enterprise Resource Planning, ERP), de nombreuses informations peuvent être exploitées.

Exemples de documentsInformationsExemples de risques identifiés
Les états comptables et financiersIls permettent d’analyser la santé financière de l’entreprise.Le risque client
Les schémas de productionIls décrivent l’organisation de la production.Le risque de retard de production en cas de panne
Les schémas de fluxIls représentent le processus de l’entrée des matières premières à la livraison des clients.Les risques liés à la rupture de stock
Les fiches de posteElles détaillent les activités par poste et mettent en évidence l’exposition à un risque.Les risques liés à la santé et à sécurité
Documents internes et analyse documentaire

Tous les documents émanant de l’entreprise (comptes rendus de réunion, reporting, tableaux de bord, enquête de satisfaction…) sont des sources potentielles de détection des risques.

B- Les remontées du terrain

Elles peuvent s’appuyer sur divers outils :

  • un questionnaire adressé aux collaborateurs permet de recueillir des informations qualitatives et/ou quantitatives sur une situation précise, un poste de travail, un danger… Il peut être diffusé à tous les salariés ou être la base d’entretiens individuels ;
  • les visites de site permettent de visualiser, de comprendre et d’évaluer concrètement sur le terrain les risques professionnels ;
  • les retours d’expérience sur les risques déjà rencontrés par l’entreprise, réalisé à partir d’entretiens individuels ou en groupe de travail, peut permettre de tirer des enseignements et d’améliorer les pratiques ;
  • la mise en place de scénarii : imaginer, à partir d’un brainstorming, ce qui arriverait dans un cas précis permet d’anticiper les principales incertitudes. Chaque scénario doit inclure les causes, les conséquences, l’estimation des pertes (financières, matérielles). Exemple : qu’arriverait-il en cas d’inondation ?

5.3.2 L’identification des risques externes : la veille informationnelle

La veille informationnelle permet :

  • de connaître son environnement, c’est-à-dire ses concurrents, ses clients, les lois et règlements qui peuvent être de nature à impacter l’activité ;
  • de prospecter, d’identifier de nouveaux marchés.

Dans toutes ses dimensions, elle est un outil indispensable à l’identification des risques externes.

A- Exemples de type de veille

Type de veilleObjet
La veille juridiqueConnaître les obligations réglementaires communes à toutes les entreprises (lois) et les obligations de chaque secteur d’activité (conventions, accords de branche) pour pouvoir en assurer le respect. La non-application d’une obligation entraîne une non-conformité qui est synonyme de risque pour l’entreprise.
Ex. : la veille juridique a permis aux entreprises de se préparer à l’entrée en vigueur du règlement général sur la protection des données (RGPD) le 25 mai 2018, qui renforce la responsabilité des entreprises dans la protection des données personnelles.
La veille technologiqueSe tenir informé des innovations dans un secteur déterminé.
Ex. : la veille technologique permet de lutter contre le risque d’obsolescence d’un matériel.
La veille concurrentielleSe tenir informé des évolutions du marché et de la concurrence.
Ex. : la veille concurrentielle permet d’anticiper l’arrivée d’un nouvel acteur qui risque de concurrencer la PME.

B- La veille juridique pour répondre aux obligations légales

La veille juridique permet à l’employeur de toujours répondre à ses différentes obligations qui découlent du principe général : l’obligation de sécurité.

L’entreprise doit prendre les mesures nécessaires pour assurer la sécurité des travailleurs, des clients (lors de l’utilisation des produits ou en matière de protection de données), de l’environnement (traitement des déchets) sous peine de sanctions.

Exemples d’obligations légales :

DomainesObligationsExemples
La santé, la sécurité, l’hygiène et la sécurité au travailObligation de sécurité
L’entreprise est responsable de tous les risques auxquels le salarié peut être exposé au travail, y compris les risques psychosociaux.
Il ne doit pas seulement diminuer le risque, mais tenter de l’éviter.
– Mise en place du DUERP (document unique d’évaluation des risques professionnels).
– Organisation de formations…
La protection de l’environnementObligation de gérer les déchets
Chaque entreprise est responsable de la gestion des déchets qu’elle produit et/ou détient jusqu’à leur élimination finale.
Mise en place des mesures d’élimination des déchets amiantés.
La protection des donnéesObligation générale de sécurité et de confidentialité
L’entreprise doit prendre toutes les mesures nécessaires au respect de la protection des données personnelles dès la conception du bien ou du service.
Obligation d’information
L’entreprise qui détient des données personnelles (salariés ou clients) doit informer la personne concernée.
Rédaction d’une charte informatique : la rendre obligatoire en l’incluant au règlement intérieur.
Obligations légales

5.2 Gestion des risques : généralités

L’entreprise doit mettre en place une gestion des risques qui reposera sur une démarche précise visant à identifier, analyser et prévenir les risques qui peuvent surgir (ou atténuer leurs effets), et sur les personnels de l’entreprise.

5.2.1 La démarche de gestion des risques

L’entreprise traite prioritairement les risques dont la réalisation aurait les impacts les plus importants (financiers, par exemple). Elle va évaluer le rapport coûts/bénéfices, c’est-à-dire se demander ce que lui coûterait la réalisation du risque (les dommages éventuels) et comparer avec les coûts engendrés par le traitement du risque (le paiement d’une assurance, par exemple).

5.2.2 Les acteurs de la gestion des risques

L’acteur principal est le risk manager, personne dont la fonction principale est la gestion des risques. Mais pour identifier et gérer les risques, l’entreprise peut aussi faire appel à des personnes en interne ou à des prestataires externes.

Démarche interne

– La direction générale fait partager à toute l’entreprise la vision d’une gestion des risques, définit les orientations stratégiques qui généreront, éventuellement, des risques majeurs à prendre en compte. Elle détermine le niveau de risques majeurs acceptable.

– Au niveau des directions opérationnelles et fonctionnelles, chaque manager peut identifier les risques dans son domaine d’activité et en faire part à la direction générale.

– Le contrôleur de gestion a une vision transversale de l’entreprise et peut donc alerter sur différents risques.

– Les salariés sont exposés aux risques liés à l’activité de l’entreprise : à ce titre, ils sont donc les principaux lanceurs d’alerte.

– Le CHSCT et les IRP

– La création d’un groupe projet ou un comité qui pilotera la gestion des risques.

B- Démarche externe

Des cabinets et des organismes spécialisés peuvent réaliser des audits externes afin d’identifier et d’analyser les risques, puis de proposer des actions.