On se souviendra de 2017 pour la facture record des ouragans physiques mais aussi comme l’année des premiers cyber-ouragans, avec notamment Wannacry et NotPetya).

Les incidents cyber (cybercrimes, défaillances informatiques, violation de données) sont au premier rang des préoccupations des professionnels interrogés (Baromètre annuel des risques d’Allianz Global Corporate & Specialty, 2017.)

Le cyber risque

Par Marion Petit (Etudiante M1 Ingénierie des Organisations Université Paul Sabatier)

D’après :

« Sept questions sur une cyberattaque mondiale sans précédent », Guillaume Bregeras, Vincent Collen, Sébastien Dumoulin Et Claude Fouquet – Les Echos | Le 15/05/2017

Lien de l’article : https://www.lesechos.fr/15/05/2017/LesEchos/22445-091-ECH_sept-questions-sur-une-cyberattaque-mondiale-sans-precedent.htm#vx8rvtTuKx74zB3x.99

« Cyberattaque mondiale : le bilan s’alourdit », Claude Fouquet | Le 13/05/17

Lien de l’article : https://www.lesechos.fr/13/05/2017/lesechos.fr/0212076838259_cyberattaque-mondiale—le-bilan-s-alourdit.htm#bTzSEKW00XtVoTb0.99

« Cyberattaque : un risque à plus de 50 milliard de dollars », Jeremy Bruno, 17/01/17

Lien de l’article :  https://www.lesechos.fr/17/07/2017/LesEchos/22487-098-ECH_les-entreprises-trop-peu-couvertes-contre-le-cyber-risque.htm

Présentation du risque :

Les ordinateurs sont inaccessibles par leur propriétaire. Il s’agit d’un risque de sécurité informatique et de confidentialité qui peut mener à une interruption des services fournis aux clients de l’entreprise touchée, au verrouillage des données des utilisateurs et à la paralysie de l’activité de l’entreprise.

Causes :

  • Non mise à jour de Windows XP vers Windows 10 car seuls les ordinateurs équipés de la version XP ont été contaminés dans ce cas ;
  • La faille de Windows XP n’était pas connue de l’entreprise Windows alors que la NSA l’avait détectée mais n’avait pas relayé l’information aux concernés ;
  • La mauvaise protection des réseaux locaux dans les entreprises.

Conséquences :

En 2016 les cyberattaques ont coûté 450 milliards de dollars aux entreprises (étude de Lloyd’s).

  • Le piratage des services informatiques du type cloud mène à une interruption des services fournis aux clients qui coûte en moyenne entre 5,6 et 53 milliards de dollars à l’entreprise touchée et les dommages entre 15 et 121 milliard de dollars.
  • Les pertes économiques liées à une attaque sur les systèmes d’exploitation sont évaluées entre 10 et 28,7 milliards de dollars.

Le déficit d’assurances est le problème majeur de ce type de risque puisque le taux de couverture est en moyenne de 17% pour les risques de piratage de services informatiques de type cloud et tombe à 7% pour les risques liés aux systèmes d’exploitation.

Le cyber risque est un risque potentiel difficile à anticiper et à assurer, c’est donc un risque difficilement gérable. C’est un risque parfois sous-estimé car la plupart des entreprises n’en réalise pas l’ampleur.

LA GESTION DES RISQUES : UN CHANTIER CONSIDÉRABLE POUR LES PME ET ETI

Par Haude-Marie Thomas – Publié le 06 juin 2016, à 11h 24

Argus de l’Assurance

Les PME sont conscientes de l’importance de la gestion des risques mais le chantier à mener leur semble considérable, selon l’enquête menée auprès de 363 entreprises françaises pour l’assureur QBE.

Plus de 40% des PME et ETI pensent que le niveau global des risques a augmenté au cours des six derniers mois, selon l’étude commandée par l’assureur QBE. Le même pourcentage indique aussi que la tendance devrait s’accroître dans les six prochains mois. Le premier risque identifié est la cybercriminalité dont la menace a augmenté pour 53% des personnes interrogées, la concurrence et la pression sur les marges (50%) et les risques liés à la solvabilité des clients (46%). Pourtant l’étude pointe un fort décalage entre les ambitions et les réalisations en matière de gestion des risques.

97% des dirigeants identifient un point d’amélioration

85% des PME et ETI assurent avoir pris ces trois dernières années des mesures pour améliorer la gestion des risques au sein de leur entreprise. Ainsi, un tiers a abandonné complètement certaines gammes de produits, clients ou marchés jugés trop risqués (même si une entreprise sur deux indique dans le même temps être devenue plus tolérante aux risques lors de la conquête de nouveaux marchés). Toutefois, 8 entreprises sur 10, ayant pris des mesures pour améliorer l’approche de la gestion des risques déclarent avoir rencontré des difficultés.

Les principaux freins sont le manque de temps et de ressources (63%), la difficulté à répercuter les changements au sein de l’entreprise (60%), le coût de la mise en place des changements (46%) et le manque d’expertise en interne (40%). Seule une entreprise sur quatre indique avoir intégré une démarche globale de la gestion des risques.

LE POINT DE VUE DES PROFESSIONNELS DE LA GESTION DES RISQUES

Top five des risques

Selon le baromètre des risques AGCS, les cinq premiers risques business en 2016 en Europe sont les suivants : (1) l’interruption d’activité (2) les développements du marché (3) les cyberattaques (4) Le changement de régulation (5) les développements macroéconomiques

Les risques de développements du marché et de développements macroéconomiques font leur apparition dans le classement. Ce sont des nouveaux risques, découlant de l’entrée des entreprises dans un nouveau monde digital, fondé sur des données de masse et de nouvelles technologies.

Les autres risques se sont renforcés : plus 9 points pour le risque d’interruption d’activité ; plus 23 points pour le risque de cyberattaques ; plus 19 points pour le risque de changement de régulation.

Quatre exemples de dispositifs  de gestion des risques / Voir Les Echos 25/01/2016

(1) Biomérieux
  • organisation de la FRM : risques gérés par le département de l’Audit Interne depuis 2014  / rattachement à la DG
  • activité : développement d’une cartographie des risques majeurs / quatre zones distinctes : l’action, le contrôle, la délégation et la surveillance / mise à jour annuelle / identification d’un « propriétaire » / mise en place d’un plan d’action
(2) Thales
  • étude approfondie des implications d’un séisme qui a ravagé l’effondrement de son usine de l’Aquila en 2009. Celle-ci a permis de ne pas subir de plein fouet les conséquences des pluies diluviennes à Cannes où est situé l’un de ses sites industriels majeurs.
(3) Safran
  • risque « retard fournisseur » : risque important du fait de la montée en cadence des programmes de production
  • création d’outils de crédit – surveillance des délais pour gérer le risque
  • mise en place d’une formation « maison » sur le campus de l’université d’entreprise à Massy pour développer une culture du risque
(4) Ipsen
  • risque de contrefaçon de médicaments
  • étape d’identification et de quantification de ce risque majeur porté par un membre du comité exécutif
  • mise en place d’une nouvelle organisation : comité transversal dédié, piloté par la direction juridique et la direction de la supply chain chargé « d’accélérer, de compléter et de superviser les plans d’action, de coordonner les actions en réponse aux cas de contrefaçon et d’en rendre compte régulièrement à la DG. »

Prise de conscience des risques dans les ETI 

Voir étude signée du groupe ACE (devenue Chubb).

La FRM se développe. L’Association pour le Management des Risques et Assurance de l’Entreprise (AMRAE) estime qu’un tiers de ses membres sont des représentants d’ETI.

La Fonction Risk Manager  

  • A venir l’étude biannuelle de la FERMA (Federation of European Risk Management Associations). FERMA lance son enquête biannuelle « European Risk and Insurance Survey 2016 » le 8 août 2016. Les résultats seront présentés lors de la semaine FERMA 2016 à Malte les 3 et 4 octobre 2016.
  • La description d’une FRM Business Partner de la DG est bien présente dans les études destinées aux professionnels de la gestion des risques. Mythe ou réalité ?

          Voir dernier baromètre RM publié par l’AMRAE  en septembre 2015

             

 

ACTUALITES – Recherche

Nouvel article publié :

Aubry C., « La place des ‘risk managers’ dans l’organisation. Analyse sur la période d’émergence de la fonction ‘risk manager’ en France », Revue Recherches en Sciences de Gestion, n°120, p.101 à 119.

https://www.cairn.info/revue-recherches-en-sciences-de-gestion-2017-3-p-101.htm

Travail en cours :

  • Co-écriture d’un ouvrage intitulé « La Fonction Risk Manager » ; publication mars 2017.
  • Article à soumettre à une revue à comité de lecture « La Fonction ‘risk manager’ en France : proposition d’une typologie sur la période d’émergence ».