Dans un contexte économique fortement marqué par un « time to market » serré, la nécessité d’innover en permanence et d’adopter des cycles de production courts est nécessaire. S’ajoutent à cela des risques de plus en plus nombreux, polymorphes et en perpétuelle évolution. Il est alors crucial pour toute organisation de pouvoir les anticiper et contrôler leurs impacts. Comment ? Par la mise en œuvre d’une gouvernance de gestion des risques centralisée et commune à tous. 

Cybercriminalité dans les organisations : vers une émergence de nouveaux besoins

D’après une étude McAfee[1], le coût moyen de la cybercriminalité est estimé à près de 600 milliards de dollars, soit 0,8 % du PIB mondial. A titre d’exemple, le vol des 3 milliards de comptes Yahoo en 2013 a fait perdre à l’entreprise 7 % de sa valeur et mis en péril son activité.

C’est alors toute l’organisation qui est affaiblie, touchant ainsi toute la chaîne de valeur de l’entreprise. Face à la sophistication des cyberattaques et leurs impacts croissants, le risque cyber devient donc une priorité pour les organisations. Selon le World Economic Forum[2], le risque de cyberattaque est quant à lui la 3^emenace redoutée par les organisations en 2018, devant la fraude et le vol de données.

Dans ce contexte, le risque cyber devient un enjeu de direction générale. Le problème s’étend à tous les métiers liés à la transformation numérique et pas seulement aux DSI. Il est alors nécessaire pour les DSI et RSSI d’accompagner leur comité de direction dans leurs réflexions stratégiques, améliorer leurs prises de décision en matière d’investissements en sécurité et évoluer vers une culture d’entreprise orientée risque. Ainsi, pour une meilleure efficacité, l’entreprise doit favoriser ce partage de la culture des risques auprès de tous les collaborateurs en les sensibilisant aux enjeux et méthodes du contrôle permanent.

Mais en 2018, quelle est la maturité des organisations en GRC et vers quel état de l’art doivent-elles tendre ?

Retour sur des fondamentaux : de la nécessité d’une GRC maîtrisée

La GRC est une stratégie combinée autour de trois domaines (Gouvernance, Gestion du Risque et Conformité) qui contribue à une gestion efficace du risque d’entreprise, adaptée à la fois aux besoins et à la maturité des acteurs comme le métier, la DSI, le contrôle interne ou la sécurité.

L’approche de la GRC la plus répandue dans les organisations est verticale et donc silotique. Elle est hétérogène selon la fonction de risque concernée (SSI, contrôle interne, audit, etc.), adressée sous l’angle de l’expertise et du projet (analyse de risque, sécurité dans les projets, conformité réglementaire, etc.) et pilotée uniquement par des contraintes légales, réglementaires ou financières.

Cette approche a ses limites : sans vision d’ensemble qui implique tous les acteurs, il est impossible d’anticiper de manière exhaustive les risques à la fois réglementaires, métiers, opérationnels, sécurité, etc.

À bien des égards, cette démarche se rapproche des pratiques liées à la responsabilité sociétale des entreprises (RSE). Le défi à relever est bien la mise en place d’une gouvernance et de standards communs à tous les métiers. Ces briques doivent être orchestrées dans une approche globale et transverse de la GRC, inscrite dans la chaîne de valeurs de l’organisation.

Vers une approche proactive de la GRC et une vision positive du risque

Adapté à un ensemble de facteurs endogènes et exogènes –  comme par exemple le secteur d’activité ou l’exposition à la menace de l’organisation – le dispositif de GRC mis en place doit être cohérent avec l’ADN et l’appétence au risque de cette organisation.

Une approche proactive de la GRC permet de s’adapter en permanence au changement et d’anticiper les risques. Son déploiement s’articule autour de 3 axes :

• Une connaissance fine et partagée des risques à travers la mise en place d’un socle commun de référentiels et de connaissances et la communication entre les différents contributeurs,
• La construction d’une approche intégrée favorisée par le rapprochement entre le RSSI et les risks managers, la formalisation d’une cartographie globale des risques, la mise en place de pratiques communes et une coordination des actions de priorisation et de déploiement,
• Le partage aux directions générales d’une vision consolidée des risques leur permettant de prendre les décisions les plus transverses possibles.

L’outillage, permis par les nouvelles technologies, est alors clé. Il permet de structurer les dispositifs de gestion des risques, de faciliter le partage de la connaissance, et d’alimenter en continu un dispositif de reporting afin de mesurer et de communiquer les résultats.

Cette approche favorise alors l’adoption d’une culture proactive voire positive du risque, indispensable pour les maîtriser de manière efficace. Comment y parvenir ? En commençant par définir un périmètre pilote – à la jonction entre les besoins métiers et les exigences de sécurité – dont les premiers retours sur investissements (ROI) permettront ensuite d’industrialiser la gestion des risques pour toute l’entreprise.

Dans un monde toujours plus ouvert, connecté, avec un impératif d’innovation toujours plus fort, il est nécessaire de passer d’une approche verticale à une approche globale et intégrée de la GRC. Cette dernière doit être construite autour de 3 piliers : la mise en place d’une culture positive du risque au sein de l’entreprise ; une organisation, des processus et une communication unifiée pour l’ensemble des acteurs du risque ; un dispositif de GRC standardisé et outillé pour inscrire le changement dans la durée. Cette approche proactive de la GRC va ainsi devenir vecteur d’opportunités et de confiance à même d’optimiser la stratégie de développement d’une organisation.

[1] McAfee, Economic Impact of Cybercrime – No Slowing Down, February 2018.

[2] World Economic Forum, Voici les principaux risques auxquels le monde est confronté, Janvier 2018.

 

Argus de l’Assurance

Les PME sont conscientes de l’importance de la gestion des risques mais le chantier à mener leur semble considérable, selon l’enquête menée auprès de 363 entreprises françaises pour l’assureur QBE.

Plus de 40% des PME et ETI pensent que le niveau global des risques a augmenté au cours des six derniers mois, selon l’étude commandée par l’assureur QBE. Le même pourcentage indique aussi que la tendance devrait s’accroître dans les six prochains mois. Le premier risque identifié est la cybercriminalité dont la menace a augmenté pour 53% des personnes interrogées, la concurrence et la pression sur les marges (50%) et les risques liés à la solvabilité des clients (46%). Pourtant l’étude pointe un fort décalage entre les ambitions et les réalisations en matière de gestion des risques.

97% des dirigeants identifient un point d’amélioration

85% des PME et ETI assurent avoir pris ces trois dernières années des mesures pour améliorer la gestion des risques au sein de leur entreprise. Ainsi, un tiers a abandonné complètement certaines gammes de produits, clients ou marchés jugés trop risqués (même si une entreprise sur deux indique dans le même temps être devenue plus tolérante aux risques lors de la conquête de nouveaux marchés). Toutefois, 8 entreprises sur 10, ayant pris des mesures pour améliorer l’approche de la gestion des risques déclarent avoir rencontré des difficultés.

Les principaux freins sont le manque de temps et de ressources (63%), la difficulté à répercuter les changements au sein de l’entreprise (60%), le coût de la mise en place des changements (46%) et le manque d’expertise en interne (40%). Seule une entreprise sur quatre indique avoir intégré une démarche globale de la gestion des risques.

Top five des risques

Selon le baromètre des risques AGCS, les cinq premiers risques business en 2016 en Europe sont les suivants : (1) l’interruption d’activité (2) les développements du marché (3) les cyberattaques (4) Le changement de régulation (5) les développements macroéconomiques

Les risques de développements du marché et de développements macroéconomiques font leur apparition dans le classement. Ce sont des nouveaux risques, découlant de l’entrée des entreprises dans un nouveau monde digital, fondé sur des données de masse et de nouvelles technologies.

Les autres risques se sont renforcés : plus 9 points pour le risque d’interruption d’activité ; plus 23 points pour le risque de cyberattaques ; plus 19 points pour le risque de changement de régulation.

Quatre exemples de dispositifs  de gestion des risques / Voir Les Echos 25/01/2016

(1) Biomérieux

• organisation de la FRM : risques gérés par le département de l’Audit Interne depuis 2014  / rattachement à la DG

• activité : développement d’une cartographie des risques majeurs / quatre zones distinctes : l’action, le contrôle, la délégation et la surveillance / mise à jour annuelle / identification d’un « propriétaire » / mise en place d’un plan d’action

(2) Thales

• étude approfondie des implications d’un séisme qui a ravagé l’effondrement de son usine de l’Aquila en 2009. Celle-ci a permis de ne pas subir de plein fouet les conséquences des pluies diluviennes à Cannes où est situé l’un de ses sites industriels majeurs.

(3) Safran

• risque « retard fournisseur » : risque important du fait de la montée en cadence des programmes de production
• création d’outils de crédit – surveillance des délais pour gérer le risque
• mise en place d’une formation « maison » sur le campus de l’université d’entreprise à Massy pour développer une culture du risque

(4) Ipsen

• risque de contrefaçon de médicaments
• étape d’identification et de quantification de ce risque majeur porté par un membre du comité exécutif
• mise en place d’une nouvelle organisation : comité transversal dédié, piloté par la direction juridique et la direction de la supply chain chargé « d’accélérer, de compléter et de superviser les plans d’action, de coordonner les actions en réponse aux cas de contrefaçon et d’en rendre compte régulièrement à la DG. »

Prise de conscience des risques dans les ETI 

Voir étude signée du groupe ACE (devenue Chubb).

La FRM se développe. L’Association pour le Management des Risques et Assurance de l’Entreprise (AMRAE) estime qu’un tiers de ses membres sont des représentants d’ETI.

La Fonction Risk Manager  

• A venir l’étude biannuelle de la FERMA (Federation of European Risk Management Associations). FERMA lance son enquête biannuelle « European Risk and Insurance Survey 2016 » le 8 août 2016. Les résultats seront présentés lors de la semaine FERMA 2016 à Malte les 3 et 4 octobre 2016.
• La description d’une FRM Business Partner de la DG est bien présente dans les études destinées aux professionnels de la gestion des risques. Mythe ou réalité ?

          Voir dernier baromètre RM publié par l’AMRAE  en septembre 2015