Les vulnérabilités : un facteur de performance ?
La littérature du développement personnel et celle de l’entreprenariat se font souvent échos : les théories en vogue chez l’une sont facilement transposables à l’autre… Sans doute parce que les entreprises et les organisations sont d’abord faites d’hommes et de femmes.
Ainsi, le concept de résilience largement abordé par les ouvrages de développement personnel est-il un thème central des livres de stratégie d’entreprise. Dernièrement, les "motivational speakers" se sont beaucoup exprimés sur la notion de vulnérabilité pour la présenter comme un atout et une force. Pour ne citer qu’elle, Brené Brown, chercheuse américaine en sciences humaines et sociales a consacré une grande part de ses travaux à ce concept.
Dans son livre "Le pouvoir de la vulnérabilité", elle dénonce la culture qui assimile communément la vulnérabilité à une faiblesse : elle affirme au contraire qu’assumer sa vulnérabilité donne à voir une belle manifestation de courage et d’authenticité. Cette approche a également connu un certain succès dans la sphère managériale : celui qui ne cache pas ses failles gagne en leadership.
Le magazine Forbes a développé ce sujet dans un article au titre pour le moins inattendu : « The best learders are vulnerable ». On peut en revanche se demander si la vulnérabilité a du sens au regard des organisations jusqu’à constituer un facteur de performance.
La vulnérabilité peut s’appliquer à des systèmes et c’est un concept que l’on retrouve dans le champ des SI et du cyber. Il n’est donc pas absurde de considérer une organisation comme un système et de là, lui étendre la notion de vulnérabilité. Mais il reste une difficulté à résoudre : comment la différencier du risque ?
Il est probable que dans l’esprit du plus grand nombre, la vulnérabilité est aux humains ce que le risque est aux entreprises : fin du débat. Pas tout à fait… En tout cas, l’état-major des armées s’est autorisé à explorer la notion plus en profondeur jusqu’à élaborer une démarche pour diagnostiquer les vulnérabilités.
Pourquoi un diagnostic des vulnérabilités ?
Vu de la place d’un décideur, une approche risque centrée ne rend pas compte de toutes les difficultés pouvant entraver un projet. A titre d’exemple, la seule analyse des risques ne permet pas d’identifier l’ensemble des facteurs susceptibles de mettre en échec une stratégie de transformation.
En effet, la complexité des organisations et de leurs liens d’interdépendance avec leur écosystème font émerger des failles qui n’entrent pas dans la traditionnelle approche risque. Celle-ci reste largement assimilée à l’adversité, à la menace extérieure.
Or, cette vision des choses occulte tout un ensemble d’éléments de nature à fragiliser une organisation et à interférer dans l’atteinte de ses objectifs : si le risque est une donnée d’entrée structurante, il peut être considérablement modulé en fonction de la vulnérabilité.
La NASA en a pris la pleine mesure avec les accidents qui ont frappé les navettes Challenger et Columbia : les rapports analysant ces évènements révèlent des « causes pathogènes » tenant notamment à un processus de retour d’expérience défectueux[1].
Ainsi, au-delà des risques humains et techniques, des facteurs plus complexes telle que la culture de l’organisation peuvent conduire à des dysfonctionnements. Ces causes dites pathogènes sont des vulnérabilités.
Une approche portée par la dynamique d’innovation engagée par la ministre des Armées
En prenant conscience de cela, le service d’audit de l’état-major des armées a conçu une démarche innovante visant à détecter les vulnérabilités. Il s’agissait d’apporter un nouveau type d’éclairage et d’augmenter la gamme d’outils à la disposition des auditeurs internes : l’objectif n’était pas de concurrencer ou d’évincer l’approche risque qui garde toute sa pertinence.
Cette conception tout à fait inédite s’est inscrite dans la dynamique d’innovation impulsée par Florence Parly, ministre des Armées : celle-ci a souligné que l’innovation n’était pas restreinte à la technologie et qu’elle devait innerver les méthodes et les pratiques de travail.
Par ailleurs, les travaux initiés par le service d’audit de l’état-major des armées ont joué la carte de l’intelligence collective et de la cross-fertilization : les réflexions ont ainsi associé militaires, professionnels de l’audit interne, du contrôle interne, du management des risques mais aussi consultants et universitaires[2]. C’est la richesse de ces échanges qui a permis de formaliser une démarche de diagnostic tout à fait originale.
Les vulnérabilités : kesako ?
Une vulnérabilité s’entend comme la faiblesse d’un système qui selon son exposition à un aléa et la capacité du système à y faire face peut conduire à la neutralisation de tout ou partie de ce système.
Par rapport au risque qui se caractérise par une connaissance documentée (cartographie, matrice) la vulnérabilité s’apparente davantage à un signal faible et repose sur un croisement de perceptions : elle est le reflet d’éléments d’ambiance, plus subtiles à appréhender qu’un risque mesurable.
S’il s’agit bien de deux notions distinctes, risques et vulnérabilités apparaissent profondément complémentaires : l’évaluation du risque est modulée par le degré d’exposition des éléments vulnérables du système à l’aléa. Ainsi, un risque n’est constitué qu’autant que le système présente des vulnérabilités exposées à un évènement redouté.
Qu’apporte la prise en compte des vulnérabilités ?
Très concrètement, la vulnérabilité répond à un enjeu majeur dans un contexte marqué par l’incertitude et la complexité : l’aide à la décision. En effet, la connaissance des vulnérabilités d’une organisation constitue une grille d’analyse supplémentaire éclairant le décideur.
Ainsi, elle permet de signaler les fragilités susceptibles d’impacter les plans d’action. Elle assure une meilleure maîtrise des dégradations consenties par une vision plus complète de la situation. En résumé, c’est un véritable indicateur au service du management.
Elle présente aussi l’intérêt d’une prise de recul, évitant le biais d’une approche hyper-focale ou d’un effet d’aveuglement. Pour l’auditeur interne, l’approche vulnérabilités renforce l’évaluation du degré de maîtrise des activités par une analyse pluridimensionnelle. Enfin, du point de vue du risk manager, intégrer les vulnérabilités fournit des orientations pour la conduite des travaux d’analyse des risques.
Comment structurer l’analyse des vulnérabilités ?
Si les vulnérabilités ne se mesurent pas comme le risque à la lumière de l’impact et de l’occurrence, elles peuvent malgré tout être objectivées par une approche méthodique. La démarche conçue par le service d’audit de l’état-major consiste à détecter ces vulnérabilités selon une lecture par calques successifs. Plusieurs grilles d’analyse sont ainsi employées pour révéler la vulnérabilité.
Il faut ensuite la caractériser pour proposer le traitement adéquat : comment s’exprime cette vulnérabilité ? Quelle fonction du système sera affectée par cette vulnérabilité ? Comment retrouver une situation d’équilibre ? De quelles capacités dispose-t-on pour faire face à la survenance d’une menace et gérer ces vulnérabilités ?
Au final, ce qui importe au décideur, ce n’est pas tant de trouver des parades aux vulnérabilités de son organisation que de savoir sur laquelle concentrer ses efforts en priorité. Il ne peut opérer ce choix qu’à la lumière d’un spectre large d’informations. Plus qu’une méthode, la vulnérabilité procède avant tout d’une démarche intellectuelle qui appelle une certaine ouverture d’esprit : l’exhaustivité de l’analyse fournie dépendra de l’appétence du management pour le sujet.
Les vulnérabilités confirment ainsi l’idée d’une utile transposabilité entre les concepts du monde de l’entreprise et du champ du développement personnel. Facteur d’accomplissement et de leadership pour les individus, la vulnérabilité apparaît comme un levier de performance pour les organisations : tenir compte des vulnérabilités dégage de nouvelles marges de manœuvre en éclairant le décideur dans ses choix.
Ainsi, lorsque Brene Brown écrit « Vulnerability is the birthplace of innovation, creativity and change », on se dit que cela peut également avoir du sens pour l’entreprise.
Retrouvez Anne de Luca lors du prochain HUBDAY Future of Work, le 15 novembre prochain :
[1] N. DECHY, J.-M. ROUSSEAU, F.JEFFROY, « Learning lessons from Accidents with a human and organisational factors perspective : deficiencies and failures of operating experience feedback systems », Conference Paper, November 2011.
[2] Ont notamment contribué à ce projet : House of Public Affairs (Université Paris-Dauphine), CNRS, AKKA DS, Bluenove…