Archives pour la catégorie Gestion des risques

Pour une approche globale technique et socio-cognitive de la demarche de gestion des risques. les outils de l’organisation Apprenante

Dans l’article de recherche sur lequel je travaille actuellement j’écris :

« Préférer une logique de soutien à la logique de contrôle qui prévaut à la mise en place de la gestion des risques transformerait la Fonction Risk Manager en instrument de légitimité cognitive. L’accès des RM au terrain serait facilité ; les obstacles associés à la logique de contrôle (manque de communication interne en direction des opérationnels, méfiance vis-à-vis des opérationnels, manque de motivation, de disponibilité et inertie des opérationnels, poids de la sanction venant de la direction) seraient allégés. Cette première dynamique passe par la mise en place d’une approche globale technique et socio-cognitive (Chautru, 2008 ; Aubry et Montalan, 2007). »

Cette idée m’est chère. Elle ressort des entretiens que j’ai pu mener avec des RM. Elle rejoint la mise en place du « risk management intelligent» préconisés par Power (2004, 2007, 2009, 2016) pour que le CRO passe d’un profil de contrôleur à celui de « champion du risque », trajectoire qui constitue un bon indicateur pour la FRM française[1]

Je les développe dans l’ouvrage coécrit avec Nicolas Dufour. https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html

Quelles en sont les grandes lignes et les outils ?

  • Orientation de la démarche vers les acteurs de l’entreprise et participation des opérationnels à l’analyse des risques (à l’élaboration des cartographies) via une implication active, l’adoption d’un mode de gestion top-down, le développement d’une communication et d’une information sur les risques.
  • Déploiement d’outils de gestion des connaissances, tels que l’apprentissage, l’analyse rétrospective d’accidents et d’erreurs, le retour d’expérience.
  • Traitement de la question de la sanction.
  • Un prochain travail de recherche proposera un cadre théorique d’analyse de cette approche technique et socio-cognitive et de ses outils, nous permettant d’interroger les RM sur les outils qu’ils ont mis en place ou pourraient mettre en place.

En attendant je vais vous proposer dans les semaines à venir quelques lectures en lien avec cette problématique.

  • Vous pouvez relire l’article du blog « Yves Rocher et les NeuroSciences ». Archives du blog Mai 2020
  • Vous pouvez lire ci-dessous un article relatif à L’Organisation Apprenante. Il propose des pistes de réflexion pouvant s’appliquer à la gestion des risques.

Comment devenir une organisation apprenante

Le 08/07/2020

C’est bénéfique pour le collaborateur et pour l’entreprise.

Dans un monde où le rythme des changements et l’obsolescence des compétences s’accélèrent, où la révolution technologique fait émerger des enjeux inédits de « upskilling-reskilling », où l’évolution des marchés – et des évènements comme la crise sanitaire – imposent une adaptation permanente, progresser en tant que « learning company » est plus que jamais un avantage distinctif. A partir de pratiques recueillies auprès de plus de 50 grands groupes et startups à forte croissance, ainsi que de travaux de recherche, voici un cadre de réflexion et d’action pour ancrer des dynamiques apprenantes dans sept moments clés de l’expérience collaborateur.

1- Intégration

C’est une étape décisive pour accroître la rétention des salariés, en impulsant un rythme d’apprentissage sur plusieurs mois (débutant même avant le premier jour). L’objectif est de :

– faciliter une appropriation de la vision et du métier : « welcome pack » apprenant (livres ou objets suscitant une réflexion en lien avec les valeurs de l’entreprise, par exemple) ou atelier pour s’entraîner à présenter en quelques mots son entreprise. C’est le cas dans la startup ContentSquare, où chaque salarié reçoit une certification liée à l’utilisation de la solution de l’entreprise, à l’issue de ses deux jours d’onboarding.

– susciter, dès le début, une culture du partage et du mentoring, grâce à un accompagnement par un ou plusieurs parrains/marraines, comme chez Buffer (spécialisé dans la publication et l’analyse des campagnes sur les réseaux sociaux), qui abordent avec les nouveaux venus des sujets tels que la culture d’entreprise, l’expertise métier et le management.

– inciter à réfléchir sur soi et son développement professionnel, en intégrant un test de personnalité, un « livret de développement » ou encore des questions réflexives sur sa capacité à apprendre, à partager et à grandir dans l’organisation, comme le fait dès l’entretien de recrutement l’organisme de formation Numa.

2- Les formations internes

Au-delà des programmes formels et des ressources digitales mises à disposition, il est important de créer les conditions pour autoriser, voire sanctuariser, des « espaces-temps » d’apprentissage. Pour cela, il faut instaurer des :

– rituels courts et périodiques, du type « breakfast/lunch & learn », y compris virtuels : des moments d’inspiration avec des intervenants internes ou externes qui partagent leurs « bonnes » pratiques, ou encore des « ateliers philosophiques » sur des thèmes comme l’intelligence collective, comme chez L’Oréal, à destination de la communauté RH ;

– « learning days », organisés dans différents pays et ouverts à tous, combinant des moments d’inspiration en lien avec la stratégie business ou RH, des formations souvent animées en interne, des échanges entre les participants, le tout autour d’une thématique spécifique – comme « we love learning » chez Natixis ;

– événements combinant apprentissage et intelligence collective, comme un hackathon biannuel où les collaborateurs sont invités à imaginer, en équipes pluridisciplinaires et internationales, des réponses à des problématiques business ou sociétales, comme le fait la licorne irlandaise Stripe, la nouvelle plateforme de paiements en ligne.

3- L’auto-apprentissage

L’enjeu est aussi de créer les conditions de responsabilisation des collaborateurs dans leur développement, en écho avec la notion de « maîtrise personnelle », proposée par Peter Senge (directeur du « Center for Organizational Learning », au MIT, et auteur du livre de référence sur l’organisation apprenante « The Fifth Discipline »), pour engager les salariés dans une dynamique permanente d’auto-apprentissage. Cela nécessite en particulier de :

– favoriser la connaissance de soi par des outils et des exercices d’introspection, et proposer des formations pour « apprendre à apprendre » ;

– diffuser régulièrement des offres de formation qui soient personnalisées, en fonction du profil et des intérêts de chacun, en utilisant comme le fait Google des « people analytics » ;

– offrir des « journées de développement », sous forme de « menu » (participation à des conférences ou à des salons, mécénat de compétences), ou encore des « cool days », comme le propose une fois par mois à ses collaborateurs la startup Comet.

– multiplier les approches d’accompagnement individuel : « coaching bar » le vendredi matin, « speed-coaching » avec des coachs externes disponibles par visioconférence, ou encore mise à disposition de coachs internes, comme chez le nouvel assureur santé Alan.

4- L’apprentissage social

L’apprentissage est social par nature : chacun peut être apprenant et formateur auprès de pairs, et cette forme d’apprentissage contribue, deux fois plus que la formation traditionnelle en salle, à l’acquisition de nouvelles compétences et expertises. Comment l’encourager encore davantage ? Il faut pour cela :

– déployer des dispositifs de formation de « peer to peer » et de mentoring à grande échelle pour accélérer le partage de compétences métiers et/ou comportementales entre pairs, comme le fait Air France sur sa communauté de managers ; ou mettre en place des réseaux d’échanges métiers permettant de trouver rapidement la solution à un problème rencontré, comme chez Generali ;

– mettre en place des groupes de co-développement, en présentiel ou à distance, internalisés mais aussi inter-entreprises sur des thématiques ou populations ciblées du type business developers ou responsables marketing, comme le fait la startup iAdvize.

– susciter le partage post formation, comme le propose le « Gandalf Scholarship » de DBSBank, grâce auquel tout collaborateur peut recevoir 1000 dollars pour une formation professionnelle de son choix, à condition de partager ses enseignements à minimum dix personnes.

5- Les modes de travail

Selon une étude récente de France Stratégie (« Les organisations du travail apprenantes : enjeux et défis pour la France », avril 2020), les organisations du travail qui sont réellement apprenantes, notamment en milieu industriel, se caractérisent par trois critères : l’autonomie des collaborateurs, la polyvalence et la résolution de problèmes en équipes. Les départements formation peuvent équiper les managers et leurs équipes pour favoriser de telles pratiques, en mettant en place notamment :

– des rituels d’apprentissages en équipe : temps d’inclusion au début des réunions (comme la « météo personnelle », particulièrement utile en situation de crise), valorisation des efforts (« qu’est-ce qui vous a rendu fiers ce mois-ci ? »), points réguliers sur le fonctionnement d’équipe (présence, place aux questions et émotions,…), sans oublier les « retours d’experience » pour apprendre des succès et des échecs, comme le rituel « Fail, learn, succeed » de Blablacar ;

– des modes de travail propices à l’intelligence collective et à l’innovation, des outils de collaboration, des environnements propices tels que les « creativity rooms », dédiées à l’innovation, ou les murs en « velleda » pour les brainstormings et le management visuel, comme le fait Qonto, la néobanque des entreprises et des indépendants.

6- Le rôle du management

Le rôle du manager d’équipe est clé en matière d’apprentissage individuel et collectif. A condition que ce rôle soit clair, et soutenu par des formations et des outils pour :

– accompagner le développement des collaborateurs : se mettre dans la posture de « manager coach », développée notamment chez Criteo, et intégrer des « boucles d’apprentissage » dans les points réguliers avec les équipes en utilisant, par exemple, la règle du « 5/0/5 » (de Charles Jennings, co-fondateur du « 70 :20 :10 Institute ») : prendre cinq minutes avant une formation d’un collaborateur pour échanger sur son besoin, zéro minute pendant sa formation, et à nouveau cinq minutes après pour décider de la mise en oeuvre des apprentissages reçus ;

– aider à se projeter sur le moyen terme : « conversations de développement », comme chez Danone, pour amener chaque collaborateur à révéler ses talents – avec un guide introspectif -, réfléchir à son projet professionnel et bâtir un plan de développement ;

– instaurer des « moments d’apprentissage » réguliers : au sein d’une équipe (tous les trimestres, par exemple, chez Leroy Merlin), afin d’apprendre ensemble sur une nouvelle thématique ou de réaliser un partage d’expérience ; ou plus largement, des rituels d’entreprise, comme « DEAL – Drop Everything And Learn » chez le spécialiste de la formation en ligne Udemy.

 7- La mobilité interne et externe

L’évolution de carrière et l’expérience opérationnelle sont parmi les plus importantes sources d’apprentissage. Comment multiplier les occasions ? Grâce notamment à :

– des programmes d’immersion en externe (startups, associations…) ou en interne, comme « l’Open Talent Market » mis en place par Schneider Electric, qui vise à créer des liens entre les souhaits de développement des collaborateurs et les opportunités de vivre une nouvelle expérience, au sein de l’entreprise : missions à temps partiel ou à temps complet, contribution à un projet, rôle de formateur ;

– des entretiens approfondis lors des départs, afin de clôturer positivement la collaboration et améliorer, grâce aux feedbacks, l’expérience collaborateur – et ainsi la marque employeur – comme chez ManoMano, le leader du bricolage en ligne, où tous les départs sont célébrés ;

– l’animation d’un réseau d’anciens, permettant aux alumni de continuer à se développer en s’appuyant sur cette communauté, et à l’entreprise de bénéficier d’un réseau d’ambassadeurs, voire de formateurs expérimentés, à l’image de McKinsey qui fédère un réseau de 34 000 alumni à travers le monde.

Si la question « pourquoi devenir une organisation apprenante ? » est du ressort de chaque entreprise, celle du « comment » fait appel à plusieurs dimensions, qui sont, elles récurrentes : la vision (source de motivation intrinsèque pour les individus et les équipes), la culture (pour instaurer un « growth mindset »), les politiques de formation bien sûr, et enfin l’organisation et le management, une dimension bien souvent trop peu exploitée et pourtant clé dans les dynamiques d’apprentissage.

Par Thierry BonettoMorgan Baivier de Fortis


[1] La fonction est ancienne et les acteurs sont déjà structurés ; créée par General Electric en 1993, elle est présente dans la majorité des grandes entreprises (dans tous les secteurs) ; elle est promue par trois associations professionnelles (International Federation of Risk and Insurance Management Association (IFRIMA), Public Risk Management Association (PRIMA), Risk and Insurance Management Society (RIMS)) qui assurent sa diffusion en déployant leurs actions dans trente pays, proposant des formations qualifiantes et assurant des certifications de compétences identifiées et reconnues par les entreprises. Elle fait l’objet d’une littérature abondante.

Tout savoir sur la Gestion des Risques et le Risk Manager en France. Une lecture d’été : « La Fonction Risk Manager : Organisation, Méthodes et Positionnement » !  

Je terminerai l’année universitaire sur ce conseil de lecture. Ce sera le dernier post.

A la rentrée : analyse de la nouvelle affaire « Wirecard », facteur d’élargissement du domaine du risque des entreprises ; quelles leçons tirer de la crise sanitaire pour une approche moins « contrôle » de la démarche de gestion des risques ? Ou encore le cyberisque, risque numéro un des entreprises, petites, moyennes ou grandes (baromètre Allianz 2020)…

Lien vers l’ouvrage : https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html

Plan détaillé : IMG-20200723-WA0003

Chapitre 1 Définition des notions mobilisées et contextualisation de la Fonction Risk Manager

  • Définition des notions mobilisées : risques, gestion des risques, Risk Manager
  • Histoire récente des risques, de la gestion des risques, de la Fonction Risk Manager
  • Mise en perspective de la Fonction Risk Manager

Chapitre 2 L’activité des Risk Managers

  • Ce que font les Risk Managers
  • Les relations des Risk Managers
  • Mise en perspective de la Fonction Risk Manager

Chapitre 3 Définition et illustration des différentes classes de risques auxquelles sont confrontés les Risk Managers

  • Les risques stratégiques et économiques
  • Les risques techniques
  • Les risques financiers
  • Les risques opérationnels

Chapitre 4 Méthodes, démarches et outils des Risk Managers

  • Les méthodes les plus usitées en gestion des risques
  • L’approche organisationnelle par les processus
  • La méthode et les outils face à l’urgence : la gestion de crise
  • La connaissance outil : les systèmes d’information de gestion des risques

Chapitre 5 La place des Risk Managers dans l’organisation

  • Les conditions de centralisation/décentralisation de la Fonction Risk Manager
  • Positionnement du Risk Manager et autorité de la Fonction Risk Manager
  • Implication de la direction générale
  • Mise en perspective de la fonction Risk Manager

Chapitre 6  Les compétences des Risk Managers

  • Le Risk Manager est-il un expert de la gestion des risques ?
  • Une connaissance de l’activité, du groupe et des opérations
  • Le Risk Manager est un communiquant

Fleury Michon : histoire d’une crise de cybersécurité qui a bien tourné

L’entreprise française d’agroalimentaire a été victime, au printemps, d’une compromission par ransomware. Mandaté par son assurance, Intrinsec est venu à la rescousse.

Compte-rendu par Valery Marchive d’une gestion de crise qui n’arrive pas qu’aux autres.

[En direct des Assises de la Sécurité.] Le 15 avril, Fleury Michon publiait un communiqué indiquant que ses systèmes informatiques avaient « été touchés par un virus informatique. Par mesure de précaution, l’ensemble des systèmes ont été déconnectés, pour éviter la propagation. Les usines, ainsi que notre unité logistique, ont été mises à l’arrêt jeudi dernier, 11 avril, à 14

Anne Michel, directrice organisation et systèmes d’information de Fleury Michon, aurait pu espérer une prise de fonctions plus calme : elle est arrivée à ce poste deux mois plus tôt. Le 11 avril, elle est prévenue à 7 h du matin, par un appel du responsable de la sécurité qui parle d’infection virale. Elle pense d’abord santé de ses équipes. Mais non, il s’agit d’un maliciel.

Et les circonstances ne sont pas des plus favorables. À l’époque, le responsable de la sécurité n’est même pas RSSI à 100 %, simplement à quart temps. Ce sont les vacances scolaires. Les équipes ne sont pas encore habituées à leur nouvelle cheffe. Et les procédures d’alerte ne sont manifestement pas pleinement au point : l’infection a été découverte vers minuit. Le directeur des infrastructures a été prévenu, mais il n’était pas immédiatement joignable, et il aura donc fallu attendre plusieurs heures avant qu’Anne Michel ne soit informée.

Toutefois, comme elle le souligne, de premières mesures avaient été prises immédiatement : l’accès à Internet avait été coupé et les applications avaient été arrêtées, par précaution. Mais rapidement, une attaque est soupçonnée. En accord avec le directeur de la production et de la logistique, des applications supplémentaires sont arrêtées. Le directeur général convoque alors la cellule de crise pour 10 h. Mais tout le monde s’active très vite en amont de cette réunion.

À 9 h, le directeur financier a déjà contacté l’assurance qui mandate un prestataire. Anne Michel a tenté de joindre directement l’Agence nationale pour la sécurité des systèmes d’information (Anssi), en vain. Le directeur général appelle le préfet de la Vendée qui demande que l’Anssi entre en contact avec Anne Michel. Ce qui est fait rapidement et contribue à faire baisser la pression.

À 10 h, la cellule de crise est donc réunie, avec directeur général, direction financière, direction de la santé alimentaire, direction industrielle, et Anne Michel. Le fait qu’il s’agit d’une attaque cyber est acté, de même que la méconnaissance de sa portée à ce stade. La communication réglementaire commence à être préparée. Il faudra aussi prévenir les banques, et surtout les clients pour les informer que les flux d’EDI et les interfaces applicatives sont coupés. Sans compter les directions des usines et des centres logistiques pour expliquer la situation et la manière de communiquer, car tant la production que l’expédition se retrouvent brutalement à l’arrêt. Les membres de la cellule de crise feront le point toutes les quatre heures.

À 11 h, Cyrille Barthelemy, patron d’Intrinsec, prend contact. Les grandes lignes du plan d’action sont lancées et une équipe constituée d’une dizaine de personnes est envoyée en Vendée : il faut trouver l’origine de l’incident et reconstruire. Et cela alors même que les documentations ne sont pas accessibles. L’approche retenue consiste à déployer en 24 h une petite base de centre opérationnel de sécurité (SOC) pour gagner de la visibilité, démarrer une première bulle de confiance, et la faire grossir graduellement. La surveillance permettra d’arrêter tout ce qui aura été relancé, mais présentera un comportement suspect. Au total, ce sont tout de même 8 To de données à analyser, 220 machines à couvrir, des points de réplication du trafic réseau à mettre en place, etc. Une source virale inconnue a pu être identifiée rapidement.

Rapidement, un constat s’impose : toutes les applications majeures fonctionnaient sur des serveurs affectés. Les usines et la production ont été coupées par prudence, mais leurs systèmes opérationnels ne sont pas touchés.

Il faut pouvoir décider vite de la marche à suivre, car l’entreprise, qui travaille avec des produits frais, ne peut pas rester trop longuement à l’arrêt. Et il faut lutter aussi avec ceux, en interne, qui seraient tentés de retrouver une connexion à Internet avec leur smartphone.

Le choix est donc fait de donner la priorité à la logistique afin de pouvoir vider l’entrepôt et de pouvoir le remplir à nouveau. L’application dédiée est reconstruite avec deux postes de travail, afin de pouvoir gérer les expéditions. Dans les usines, deux salles blanches sont mises en place pour remonter leurs applications et permettre aux équipes locales de travailler avant de pouvoir remonter les liens. Les applications de robotiques sont relancées directement.

En fait, il n’a fallu que trois jours pour remonter la logistique. Et quand Fleury-Michon rendait public l’incident, il relançait en fait sa production, grâce aux salles blanches. Du point de vue des métiers, la crise était finie deux semaines plus tard.

Un type d’attaque qui peut arriver à d’autres

Tout est parti d’un service RDP exposé sur une machine virtuelle hébergée sur Azure, comme il y en a tant, et détourné par une attaque en force brute. De là, il ne s’est rien passé pendant 10 jours. La phase de reconnaissance du système d’information a alors commencé – en remontant le VPN utilisé pour relier le SI local au cloud public de Microsoft. Des rebonds sur trois serveurs, en RDP en encore, ont pu être identifiés. Leur VLAN était accessible depuis le VPN. Le ransomware a ensuite été déployé via Psexec sur 220 machines, pourtant isolées sur un VLAN dédié. Enfin, l’outil Mimikatz a été mis à profit pour récupérer des identifiants avant de lancer le chiffrement du serveur identifié comme patient 0 de la crise.

Mais il a fallu rétablir la confiance, notamment vis-à-vis des partenaires. Là, les efforts de communication et de transparence ont joué un rôle important. D’ailleurs, d’anciens collaborateurs, ayant appris l’incident par ailleurs, ont proposé leur aide. À l’instar de partenaires. La prise de contact d’Intrinsec, en direct, avec l’un des principaux distributeurs, a également aidé à élever dès le départ le niveau de confiance. Des marqueurs ont également été partagés.

Du point de vue de la direction de l’organisation et des systèmes d’information, la sortie de crise a attendu le mois de juillet. Mais Anne Michel n’occulte pas quelques mois de traîne. Plus de 800 tickets ont été traités. Pendant pratiquement 12 jours, jusqu’à plus de 100 personnes ont été mobilisées 24 h/24. La fatigue, morale comme physique, était là.

La gestion de l’expérience a été engagée dès le mois de mai, afin d’identifier ce qui avait fonctionné ou pas, ainsi que les pistes d’amélioration. La partie industrielle/logistique en ressort comme particulièrement bien gérée, associée de près dès le début. Les choses sont moins flatteuses pour la partie administrative. Jusqu’en juin, des rumeurs circulaient sur l’origine réelle de l’incident. Pour Anne Michel, ces collaborateurs sont restés trop dans le flou.

Et puis, alors que les équipes informatiques sont massivement internes, certains n’ont pas compris pourquoi il était fait appel à des ressources externes. Certes, avec le recul, l’incident a été l’occasion de mesurer le niveau de compétence des équipes et de leur capacité de mobilisation, des personnes « qui ont véritablement sauvé l’entreprise », mais durant la crise elle-même, Anne Michel souligne qu’il ne faut surtout pas oublier le management des hommes.

Le principal enseignement qu’elle retire de cette crise est qu’il convient de revoir les plans de continuité de l’activité, qui se sont avérés inadaptés à une crise de cybersécurité. Comme le soulignait récemment dans nos colonnes Jérôme Saiz, dans un tel cas, il faut prendre en compte la question de la confiance que l’on peut accorder à ses outils et à son infrastructure.

Merci de m’avoir permis de décrire dans une tribune au « Monde » les facteurs qui ont placé les risques, la gestion des risques et la Fonction Risk Manager au cœur de la stratégie des entreprises. Pour en savoir plus, voir l’ouvrage « La Fonction Risk Manager. Organisation, méthodes et positionnement » que j’ai co-écrit avec Nicolas Dufour ; paru en avril 2019 aux Editions Géreso.

Le Monde (site web)

vendredi 18 octobre 2019 – 14:00

Incendie de Rouen : « L’actualité témoigne de l’élargissement de la nature et de l’ampleur des risques »

Caroline Aubry, enseignante en gestion du risque, décrit dans une tribune au « Monde » les facteurs qui ont placé cette discipline au cœur de la stratégie des entreprises.

Tribune. L’actualité récente témoigne de l’élargissement de la nature et de l’ampleur des risques, qui fait aujourd’hui de sa gestion une variable stratégique de la réflexion des entreprises. Les cyber-attaques subies par Airbus ces derniers mois appartiennent à la catégorie des risques nouveaux ; le cyber-risque est d’ailleurs le premier cité par les entreprises dans le baromètre des risques de l’assureur Allianz.

L’incendie de l’usine Lubrizol, le jeudi 26 septembre, n’est pas qu’un risque « traditionnel » d’incendie ; il s’agit d’un risque éthique dans sa dimension de développement durable. La plainte déposée le 26 septembre par la Fédération Internationale pour les droits humains contre BNP Paribas et ses anciens dirigeants, pour complicité de torture, crimes contre l’humanité, génocide, blanchiment et recel au Soudan, est un risque éthique dans sa dimension de gouvernance : respect par l’entreprise des engagements pris, transparence et ouverture aux besoins de l’environnement dans laquelle elle opère, prise en compte des parties prenantes, les actionnaires et tous les groupes ou individus qui peuvent affecter ou être affectés par la réalisation de ses objectifs.

Les entreprises doivent faire face à des risques potentiels plus difficiles à cerner car ils sortent du champ de compétences des experts. Depuis trente ans, ces facteurs les ont conduites à mettre en place une démarche globale de gestion des risques, nommée « Enterprise-Risk-Management » (ERM) par les Anglo-Saxons ; ils ont contribué à la création d’une fonction dédiée à la gestion des risques.

Anxiété collective

L’élargissement du domaine de la gestion des risques s’est amorcé dans les années 1990 avec l’apparition de nouveaux risques issus des changements technologiques. Il s’est poursuivi avec la multiplication de qualificatifs venus en préciser la nature : éthique, environnemental, social, de gouvernance, de réputation, etc.

Est ensuite apparue l’idée d’une perception du risque différente selon les individus ou les niveaux dans l’entreprise. Cette perception est en effet fortement liée aux caractéristiques individuelles de l’acteur, sa personnalité, son histoire, ses préjugés, son exposition au risque…

L’élargissement du domaine de la gestion des risques s’est amorcé dans les années 1990 avec l’apparition de nouveaux risques issus des changements technologiques

Cette subjectivité intervient aussi dans la relation de l’entreprise avec les acteurs de la société civile. Par exemple, l’explosion de l’usine AZF à Toulouse en septembre 2001 a généré en France un état d’anxiété collective, accentué par la vigilance nouvelle des acteurs de la société civile qui ont pris conscience de ces vulnérabilités ; les populations habitant à proximité d’installations classées Seveso ont une perception accrue du risque.

Une approche exclusivement objective de l’incendie de l’usine Lubrizol ne donnerait qu’une vision partielle, voire erronée de la situation. Les entreprises doivent dorénavant impliquer les acteurs, intégrer les facteurs d’environnement susceptibles d’influencer cette perception (les médias, par exemple) et tenir compte des valeurs et des attentes grandissantes des parties prenantes. La communication devient essentielle, le risque de réputation, risque subjectif par excellence, devient le « cauchemar » des directions générales.

Réticence des compagnies d’assurance

Les entreprises sont amenées à gérer elles-mêmes ces nouveaux risques du fait de la réticence des compagnies d’assurance à les prendre en charge : comment continuer à croire qu’il n’y a pas un « trou énorme » entre la protection des assurances et ce dont les entreprises ont besoin pour couvrir, par exemple, le coût de cyber-attaques répétées, ou celui d’une catastrophe environnementale comme celle de l’usine Lubrizol ?

La référence « tous azimuts » à ce principe de précaution au contenu peu structurant contribue à l’installation de l’illusion du risque zéro

Les « affaires » participent également à cette extension du domaine du risque. Les affaires Maxwell (1991), Enron (2001), Vivendi (2002)… ont débouché sur l’exigence de conditions nouvelles de transparence des risques de la part des entreprises. Lubrizol, Volkswagen et le Dieselgate, Renault-Nissan et l’incarcération de Carlos Ghosn, Lactalis et le lait contaminé, pour ne citer que les affaires les plus médiatiques, renforcent cette exigence.

Enfin, depuis 2004, le régulateur, le législateur et les médias ont contribué à la diffusion de l’image d’un monde plus risqué et l’ont amplifiée. Prenons le principe de précaution, pilier de la « soft law » adoptée par les entreprises : la référence « tous azimuts » à ce principe au contenu peu structurant (car il n’offre aucun modèle d’action prédéfini) contribue à l’installation de l’illusion du risque zéro ; le seuil d’acceptabilité du risque par les parties prenantes diminue. De leur côté, les médias amplifient la notion de responsabilité du dirigeant en cas de négligence, et surtout les logiques de compensation.

Caroline Aubry est coauteur, avec Nicolas Dufour, de « La Fonction Risk Manager. Organisation, méthodes et positionnement » (Gereso édition, 250 pages, 25 euros).

Cet article est paru dans Le Monde (site web)

 

Une fois le cyber risque cerné (voir articles précédents. Point de vue du juriste. Point de vue du gestionnaire), les entreprises doivent en identifier les causes pour le cartographier. Quels sont les critères qui, sur le terrain, sont tout de suite révélateurs de la fragilité de l’entreprise en matière de cybersécurité ? La parole est aux experts.

Huit indices inquiétants sur votre fragilité cyber

Publié le 25/09

  1. Les signes extérieurs d’inconscience

« Lorsque j’entre dans une entreprise, je regarde toujours autour de moi… Si les serveurs informatiques sont dans le hall, que je vois des imprimantes en accès libre, ou qu’il y a une liste des mots de passe affichée au mur, je sais tout de suite qu’il faut s’inquiéter ! Cette première impression en dit beaucoup sur le souci qu’a l’entreprise de la cybersécurité, de même que l’attitude de ses interlocuteurs : on sent vite s’il y a une appétence et une préoccupation sur le sujet. Cette préoccupation doit venir de la tête de l’entreprise, et se répercuter à tous les niveaux », indique Fabien Caparros, chef de la division chargée des méthodes de management de la sécurité numérique à l’Anssi, Agence nationale de la sécurité des systèmes d’information.

  1. L’absence de politique de cybersécurité

« Il faut qu’il existe dans l’entreprise des règles officielles, même très larges : un document qui explique celles liées à la cybersécurité dans l’entreprise : politique de sauvegarde, politique de mise à jour, règles sur les mots de passe, etc. », indique Jérôme Notin, directeur général du GIP Acyma cybermalveillance.gouv.fr

  1. Le nombre de personnes mobilisées sur le sujet

C’est un indicateur beaucoup plus fiable que le budget, susceptible de varier fortement au gré des investissements. « Les entreprises françaises emploient en moyenne un spécialiste cybersécurité pour 900 employés, avec des écarts importants selon les secteurs : de 1/200 dans la banque à 1/6.000 dans le pire des cas, par exemple dans l’industrie. C’est faible, quand on considère qu’aujourd’hui toute l’économie est numérisée et que toutes les activités reposent sur les systèmes d’information », explique Gérôme Billois. Le bon niveau ? « Cela dépend, bien sûr, du secteur et des spécificités de l’entreprise mais en moyenne un rapport de 1/500 est une bonne cible pour vraiment changer de posture. »

  1. La proximité entre le CISO et le RM

« Si le responsable de la sécurité des systèmes d’information [ou « chief information security officer » ou CISO] et le risk manager ne se connaissent pas, ou se connaissent mal, c’est très mauvais signe. Les deux fonctions doivent au contraire travailler la main dans la main afin qu’elles puissent tout de suite réagir ensemble en cas d’incident. En outre, c’est grâce à la collaboration et la relation de confiance de ces deux responsables que l’entreprise pourra casser les silos pour mettre en oeuvre une véritable gouvernance du risque cyber, indispensable à la maîtrise du sujet », affirme Philippe Cotelle, administrateur de Ferma et de l’Amrae, risk manager d’Airbus Defense & Space.

  1. L’absence de dispositifs de surveillance

« L’entreprise doit être en mesure de surveiller des éléments inhabituels : sur le serveur, le réseau, comme un ralentissement des machines, etc. Cela implique de porter un regard assez attentif sur son équipement pour identifier toutes modifications dans le comportement de son outil », indique Jérôme Notin.

  1. Le niveau de rattachement hiérarchique du responsable de la sécurité informatique

« C’est le tout premier élément révélateur de l’importance donnée au sujet : lorsque le responsable de la cybersécurité de l’entreprise est à N-3 ou N-4 de la direction générale, on peut tout de suite sonner l’alarme ! A ce niveau-là, le sujet est, en effet, invisible… », explique Gérôme Billois, associé cybersécurité et digital trust chez Wavestone. Le bon positionnement ? « N-1 ou au plus N-2 d’un membre du comex, que le responsable soit lié à la direction des systèmes d’information, à la sûreté ou au risk management. Heureusement, il y a eu une vraie prise de conscience ces dernières années et la moitié des groupes du CAC 40 sont désormais mobilisés à l’échelle du comex sur le sujet. On reste toutefois loin des Etats-Unis, où le taux atteint 83 %. »

  1. L’absence ou la fragilité du plan de continuité d’activité

« Trop de PME et ETI pensent aujourd’hui que cela n’arrive qu’aux autres et ne sont pas prêtes à faire face à un incident. Or, il faut se préparer et savoir comment réagir si jamais cela arrive dans l’entreprise : déconnecter les systèmes, porter plainte, etc. Il faut un véritable plan de reprise d’activité pour pouvoir rebondir rapidement », indique Bruno de Laigue, directeur administratif et financier de Business Partners, président de la DFCG. « Si la plupart des grandes entreprises ont aujourd’hui mené des exercices de crise, ce n’est pas le cas de toutes les petites structures… Je demande souvent aux dirigeants des entreprises que je rencontre « si demain, on trouve votre fichier clients sur Internet, savez-vous comment réagir ? » », complète Gérôme Billois.

  1. La fusion des sphères privées et professionnelles

« Lorsque mes interlocuteurs n’ont qu’un seul téléphone, privé et professionnel, sur lequel sont mélangées toutes les applications pour la famille comme pour le travail, ou un seul ordinateur où l’on trouve tout type de données, je m’inquiète. Ce n’est pas une approche saine ou le signe d’un état d’esprit adapté en matière de cybersécurité. La séparation des sphères privée et professionnelle est une première étape dans la maturité cyber », explique Fabien Caparros.

Cécile Desjardins

 

Le périmètre d’activité des Risk Managers ne cesse de s’élargir

Les Risk Managers travaillent de plus en plus sur tous les risques, soit une « identification des risques à 360°. » 

Que vient faire un directeur des risques dans une table ronde sur la transition écologique ?

Le changement climatique génère trois types de risques majeurs pour les entreprises :

1) les risques de responsabilité si elles ne sont pas capables de tenir leurs engagements de réduction drastique de leur impact environnemental et de réalisation de l’objectif zéro carbone.

2) les risques d’adaptation, car le dérèglement climatique à proprement parler n’est plus un risque mais une certitude dont nous ressentons déjà des effets. Les entreprises multinationales seront exposées à des aléas de plus en plus fréquents dans l’ensemble de leur chaîne logistique et doivent considérablement améliorer la résilience de leurs activités.

3) plus difficiles à appréhender, les risques de transition, liés aux changements profonds de l’écosystème dans laquelle l’entreprise évolue et leurs conséquences sur le modèle de croissance de l’entreprise. Aucune entreprise ne sera à l’abri de ces mutations.

Les directions des risques jouent un rôle essentiel pour sensibiliser les dirigeants des grandes entreprises sur ces risques, les aider à formuler des scénarios pertinents à moyen et long terme, et à les pousser à l’action pour prévenir les risques, et exploiter les opportunités de développement qui se présentent.

L’ampleur du changement climatique, tout comme la rapidité de la révolution numérique, nous forcent à revoir le mode de fonctionnement de nos entreprises.

Face à des incertitudes croissantes et des discours anxiogènes, la tentation de se replier sur les certitudes du passé est grande. Nous devons au contraire entretenir le dialogue avec les parties prenantes, faire confiance à notre intelligence collective, faire preuve d’audace et privilégier la décision, dans le cadre d’une stratégie à long terme intégrant tous les enjeux économiques, sociaux et environnementaux.

Nous devons prendre des risques calculés aujourd’hui pour éviter des conséquences incalculables demain.

Un grand merci à @brunepoirson et à l’ @Institut_CR pour cette rencontre !

Implication des collaborateurs dans la démarche de gestion des risques. L’exemple du Cyber risque.

L’identification du risque et la mise en place de plans d’actions sont des étapes « classiques » de la démarche de gestion des risques. Orienter la démarche vers les opérationnels, les prendre en compte et les sensibiliser au risque est moins fréquent. Cela favorise pourtant une culture d’apprentissage et une pro-activité indispensables à la mise en place d’une démarche globale de gestion des risques. Pour une description de la démarche de gestion des risques en cinq étapes, voir Aubry, 2013.

Yann Girard propose de faire des collaborateurs la première ligne de défense de l’entreprise contre la cybercriminalité en les sensibilisant et en les impliquant dans la mise en oeuvre de la démarche.

Cybercriminalité : les collaborateurs, première ligne de défense de l’entreprise

Publié le 16 octobre 2018

Yann Girard

Chief Information Security Officer / Retail BanksFrance

 

Le nombre d’entreprises victimes de fraudes cybercriminelles ne cesse d’augmenter, elles sont des cibles privilégiées quelle que soit leur taille. Ainsi près de 80 % des entreprises ont constaté au moins une cyber-attaque en 2017, 77 % sont des petites et moyennes entreprises. Les conséquences, nous le savons, peuvent s’avérer parfois désastreuses.

Si le vecteur d’attaque est d’origine technologique et parfois extrêmement sophistiqué, la participation involontaire des victimes est la plupart du temps nécessaire au succès des opérations frauduleuses. Les cybercriminels s’appuient sur notre méconnaissance des outils, nos biais cognitifs et notre manque de vigilance pour arriver à leurs fins.

 Avant d’être technologique, la réponse à ce problème passe donc avant tout par la sensibilisation de chacun des collaborateurs de l’entreprise.

 Les 4 scénarios d’attaques suivants, fréquemment observés par les équipes de spécialistes antifraude Société Générale, peuvent ainsi être facilement évités si nous développons les bons réflexes :

–       La fraude au président : demande urgente et confidentielle d’un prétendu responsable hiérarchique ou d’une autorité pour effectuer un virement inhabituel en dérogeant exceptionnellement aux procédures internes. Dans un tel cas, une vérification auprès de sa hiérarchie s’impose.

–       Le fournisseur transmettant de nouvelles coordonnées bancaires pour régler sa prochaine facture. La demande est là aussi loin d’être neutre et nécessite un contre-appel à votre fournisseur pour vérifier s’il en est bien l’émetteur, et une vigilance sur la nouvelle domiciliation bancaire.

–       L’appel d’un faux support informatique, pour prendre le contrôle de votre PC à distance afin de réaliser des tests. Objectif : installer un logiciel qui permettra à l’attaquant de commettre des fraudes, voler vos données ou les détruire. Il est donc essentiel de s’assurer de l’identité de l’interlocuteur, et de la légitimité de l’opération.

–       Le troyen bancaire, reçu dans un mail de phishing souvent anxiogène ou promotionnel, qui vous incite à cliquer sur des liens ou des pièces jointes. Encore une fois, le risque est qu’un logiciel malveillant s’infiltre dans votre système d’information. Les mails sont le premier vecteur d’attaques, méfiance donc vis-à-vis des pièces jointes et des liens cliquables.

Ces scénarios d’attaques par ingénierie sociale sont très classiques mais fonctionnent encore malheureusement trop souvent : ils sont détectables et doivent éveiller notre vigilance. D’autant que les impacts peuvent être lourds, entre conséquences financières (jusqu’au redressement ou la liquidation judiciaire), et conséquences sociales et humaines (licenciements…).

D’où l’importance de sensibiliser les collaborateurs avant tout : ils doivent être conscients des menaces potentielles pour anticiper les scénarios d’attaques et protéger l’entreprise.

Identifiez ce qui est vital pour votre business, les collaborateurs les plus susceptibles d’être ciblés (trésoriers, équipes comptables…), et accompagnez- les en conséquence à travers des formations, des simulations, une charte de bonnes pratiques cybersécurité…

Société Générale organise par exemple chaque année ses Cybersecurity Hours, programme de conférences, ateliers pédagogiques et actions de sensibilisation à la Sécurité de l’Information. Elles ont lieu en octobre, pendant le mois européen de la Cybersécurité. Votre banque, dans son rôle de tiers de confiance, reste d’ailleurs un interlocuteur privilégié pour bénéficier de conseils et de recommandations sur ces sujets.

Nous ne pourrons jamais empêcher les fraudeurs d’essayer mais chacun d’entre nous peut leur compliquer la tâche voire déjouer leurs tentatives par des réflexes simples à acquérir et à entretenir. Déployer des solutions de sécurité en entreprise pour se protéger est nécessaire mais cela reste un investissement vain si les collaborateurs ne sont pas sensibilisés.

Pratiques de gestion des risques. Pour une gestion des risques proactive

L’article de Christine Grassi propose la mise en place de pratiques communes, de coordination des actions, de partage de la connaissance…

Les actions de gestion des risques doivent en effet faire l’objet d’une analyse, d’un suivi et d’un apprentissage.

Les résultats font ensuite l’objet d’une communication à la hiérarchie. La Direction Générale est informée de la qualité de la maîtrise des risques dans l’entreprise. Les enjeux de cette dernière étape sont la transparence vis-à-vis du management et des actionnaires – le climat de confiance – et la diffusion d’une culture du risque dans l’entreprise avec l’introduction d’une boucle d’apprentissage collectif.

L’analyse des résultats peut enfin donner lieu à la mise en place de retours d’expérience (mises à jour régulières du site de l’entreprise au fur et à mesure de la réalisation des plans d’actions, d’échanges d’informations entre le terrain et les équipes de management via les bases de données ou encore de diffusion des meilleurs pratiques accessibles à tous).

Ces outils donnent à la démarche de gestion des risques son caractère opérationnel.

Leur mise en place confère également à la gestion des risques une approche globale qui la rapproche de l’Enterprise-wide-Risk-Management (ERM), modèle anglo-saxon d’une gestion des risques présentée comme globale et intégrée, dans lequel le rôle des responsables opérationnels devient essentiel.

Une gestion des risques qui met en place ce type d’outils relève de l’Enterprise-wide-Risk-Management (ERM), modèle anglo-saxon d’une gestion des risques présentée comme globale et intégrée, dans lequel le rôle des responsables opérationnels devient essentiel. Elle est globale au sens de Louisot (2010)[1]. Elle est « intégrée, car la gestion des risques doit effectivement l’être à tous les niveaux de décisions et dans tous les process (Louisot J.P., « ERM à l’épreuve de la crise », Risk management n°1, avril 2010.)

Elle est par essence transversale puisqu’elle est là pour servir les projets, les différentes entités et les processus opérationnels et managériaux de l’entreprise et qu’elle se positionne en accompagnement du processus de décision. Elle suppose l’implication du personnel opérationnel indispensable à une bonne identification des risques. La démarche de gestion des risques se doit d’intervenir en amont de la survenance des évènements, les anticiper et non pas seulement valider les expériences survenues. En cela elle n’est pas seulement une activité de contrôle : on ne cherche pas seulement la qualité de chacune des opérations mais la bonne articulation des activités entre elles.

[1] Modèle anglo-saxon d’une gestion des risques présentée comme globale et intégrée, dans lequel le rôle des responsables opérationnels devient essentiel. La notion de globalité introduit tous les éléments d’incertitude liés au futur de l’organisation, ce que Louisot (2010) englobe sous l’expression « toutes causes, toutes conséquences, toutes opportunités et menaces.»

Comment renforcer la gestion des risques grâce à la GRC ?

Dans un contexte économique fortement marqué par un « time to market » serré, la nécessité d’innover en permanence et d’adopter des cycles de production courts est nécessaire. S’ajoutent à cela des risques de plus en plus nombreux, polymorphes et en perpétuelle évolution. Il est alors crucial pour toute organisation de pouvoir les anticiper et contrôler leurs impacts. Comment ? Par la mise en œuvre d’une gouvernance de gestion des risques centralisée et commune à tous. 

gestion des risques et conformité

Cybercriminalité dans les organisations : vers une émergence de nouveaux besoins

D’après une étude McAfee[1], le coût moyen de la cybercriminalité est estimé à près de 600 milliards de dollars, soit 0,8 % du PIB mondial. A titre d’exemple, le vol des 3 milliards de comptes Yahoo en 2013 a fait perdre à l’entreprise 7 % de sa valeur et mis en péril son activité.

C’est alors toute l’organisation qui est affaiblie, touchant ainsi toute la chaîne de valeur de l’entreprise. Face à la sophistication des cyberattaques et leurs impacts croissants, le risque cyber devient donc une priorité pour les organisations. Selon le World Economic Forum[2], le risque de cyberattaque est quant à lui la 3emenace redoutée par les organisations en 2018, devant la fraude et le vol de données.

Dans ce contexte, le risque cyber devient un enjeu de direction générale. Le problème s’étend à tous les métiers liés à la transformation numérique et pas seulement aux DSI. Il est alors nécessaire pour les DSI et RSSI d’accompagner leur comité de direction dans leurs réflexions stratégiques, améliorer leurs prises de décision en matière d’investissements en sécurité et évoluer vers une culture d’entreprise orientée risque. Ainsi, pour une meilleure efficacité, l’entreprise doit favoriser ce partage de la culture des risques auprès de tous les collaborateurs en les sensibilisant aux enjeux et méthodes du contrôle permanent.

Mais en 2018, quelle est la maturité des organisations en GRC et vers quel état de l’art doivent-elles tendre ?

Retour sur des fondamentaux : de la nécessité d’une GRC maîtrisée

La GRC est une stratégie combinée autour de trois domaines (Gouvernance, Gestion du Risque et Conformité) qui contribue à une gestion efficace du risque d’entreprise, adaptée à la fois aux besoins et à la maturité des acteurs comme le métier, la DSI, le contrôle interne ou la sécurité.

L’approche de la GRC la plus répandue dans les organisations est verticale et donc silotique. Elle est hétérogène selon la fonction de risque concernée (SSI, contrôle interne, audit, etc.), adressée sous l’angle de l’expertise et du projet (analyse de risque, sécurité dans les projets, conformité réglementaire, etc.) et pilotée uniquement par des contraintes légales, réglementaires ou financières.

Cette approche a ses limites : sans vision d’ensemble qui implique tous les acteurs, il est impossible d’anticiper de manière exhaustive les risques à la fois réglementaires, métiers, opérationnels, sécurité, etc.

À bien des égards, cette démarche se rapproche des pratiques liées à la responsabilité sociétale des entreprises (RSE). Le défi à relever est bien la mise en place d’une gouvernance et de standards communs à tous les métiers. Ces briques doivent être orchestrées dans une approche globale et transverse de la GRC, inscrite dans la chaîne de valeurs de l’organisation.

Vers une approche proactive de la GRC et une vision positive du risque

Adapté à un ensemble de facteurs endogènes et exogènes –  comme par exemple le secteur d’activité ou l’exposition à la menace de l’organisation – le dispositif de GRC mis en place doit être cohérent avec l’ADN et l’appétence au risque de cette organisation.

Une approche proactive de la GRC permet de s’adapter en permanence au changement et d’anticiper les risques. Son déploiement s’articule autour de 3 axes :

  • Une connaissance fine et partagée des risques à travers la mise en place d’un socle commun de référentiels et de connaissances et la communication entre les différents contributeurs,
  • La construction d’une approche intégrée favorisée par le rapprochement entre le RSSI et les risks managers, la formalisation d’une cartographie globale des risques, la mise en place de pratiques communes et une coordination des actions de priorisation et de déploiement,
  • Le partage aux directions générales d’une vision consolidée des risques leur permettant de prendre les décisions les plus transverses possibles.

L’outillage, permis par les nouvelles technologies, est alors clé. Il permet de structurer les dispositifs de gestion des risques, de faciliter le partage de la connaissance, et d’alimenter en continu un dispositif de reporting afin de mesurer et de communiquer les résultats.

Cette approche favorise alors l’adoption d’une culture proactive voire positive du risque, indispensable pour les maîtriser de manière efficace. Comment y parvenir ? En commençant par définir un périmètre pilote – à la jonction entre les besoins métiers et les exigences de sécurité – dont les premiers retours sur investissements (ROI) permettront ensuite d’industrialiser la gestion des risques pour toute l’entreprise.

Dans un monde toujours plus ouvert, connecté, avec un impératif d’innovation toujours plus fort, il est nécessaire de passer d’une approche verticale à une approche globale et intégrée de la GRC. Cette dernière doit être construite autour de 3 piliers : la mise en place d’une culture positive du risque au sein de l’entreprise ; une organisation, des processus et une communication unifiée pour l’ensemble des acteurs du risque ; un dispositif de GRC standardisé et outillé pour inscrire le changement dans la durée. Cette approche proactive de la GRC va ainsi devenir vecteur d’opportunités et de confiance à même d’optimiser la stratégie de développement d’une organisation.

[1] McAfee, Economic Impact of Cybercrime – No Slowing Down, February 2018.

[2] World Economic Forum, Voici les principaux risques auxquels le monde est confronté, Janvier 2018.

 

LA GESTION DES RISQUES : UN CHANTIER CONSIDÉRABLE POUR LES PME ET ETI

Par Haude-Marie Thomas – Publié le 06 juin 2016, à 11h 24

Argus de l’Assurance

Les PME sont conscientes de l’importance de la gestion des risques mais le chantier à mener leur semble considérable, selon l’enquête menée auprès de 363 entreprises françaises pour l’assureur QBE.

Plus de 40% des PME et ETI pensent que le niveau global des risques a augmenté au cours des six derniers mois, selon l’étude commandée par l’assureur QBE. Le même pourcentage indique aussi que la tendance devrait s’accroître dans les six prochains mois. Le premier risque identifié est la cybercriminalité dont la menace a augmenté pour 53% des personnes interrogées, la concurrence et la pression sur les marges (50%) et les risques liés à la solvabilité des clients (46%). Pourtant l’étude pointe un fort décalage entre les ambitions et les réalisations en matière de gestion des risques.

97% des dirigeants identifient un point d’amélioration

85% des PME et ETI assurent avoir pris ces trois dernières années des mesures pour améliorer la gestion des risques au sein de leur entreprise. Ainsi, un tiers a abandonné complètement certaines gammes de produits, clients ou marchés jugés trop risqués (même si une entreprise sur deux indique dans le même temps être devenue plus tolérante aux risques lors de la conquête de nouveaux marchés). Toutefois, 8 entreprises sur 10, ayant pris des mesures pour améliorer l’approche de la gestion des risques déclarent avoir rencontré des difficultés.

Les principaux freins sont le manque de temps et de ressources (63%), la difficulté à répercuter les changements au sein de l’entreprise (60%), le coût de la mise en place des changements (46%) et le manque d’expertise en interne (40%). Seule une entreprise sur quatre indique avoir intégré une démarche globale de la gestion des risques.

LE POINT DE VUE DES PROFESSIONNELS DE LA GESTION DES RISQUES

Top five des risques

Selon le baromètre des risques AGCS, les cinq premiers risques business en 2016 en Europe sont les suivants : (1) l’interruption d’activité (2) les développements du marché (3) les cyberattaques (4) Le changement de régulation (5) les développements macroéconomiques

Les risques de développements du marché et de développements macroéconomiques font leur apparition dans le classement. Ce sont des nouveaux risques, découlant de l’entrée des entreprises dans un nouveau monde digital, fondé sur des données de masse et de nouvelles technologies.

Les autres risques se sont renforcés : plus 9 points pour le risque d’interruption d’activité ; plus 23 points pour le risque de cyberattaques ; plus 19 points pour le risque de changement de régulation.

Quatre exemples de dispositifs  de gestion des risques / Voir Les Echos 25/01/2016

(1) Biomérieux
  • organisation de la FRM : risques gérés par le département de l’Audit Interne depuis 2014  / rattachement à la DG
  • activité : développement d’une cartographie des risques majeurs / quatre zones distinctes : l’action, le contrôle, la délégation et la surveillance / mise à jour annuelle / identification d’un « propriétaire » / mise en place d’un plan d’action
(2) Thales
  • étude approfondie des implications d’un séisme qui a ravagé l’effondrement de son usine de l’Aquila en 2009. Celle-ci a permis de ne pas subir de plein fouet les conséquences des pluies diluviennes à Cannes où est situé l’un de ses sites industriels majeurs.
(3) Safran
  • risque « retard fournisseur » : risque important du fait de la montée en cadence des programmes de production
  • création d’outils de crédit – surveillance des délais pour gérer le risque
  • mise en place d’une formation « maison » sur le campus de l’université d’entreprise à Massy pour développer une culture du risque
(4) Ipsen
  • risque de contrefaçon de médicaments
  • étape d’identification et de quantification de ce risque majeur porté par un membre du comité exécutif
  • mise en place d’une nouvelle organisation : comité transversal dédié, piloté par la direction juridique et la direction de la supply chain chargé « d’accélérer, de compléter et de superviser les plans d’action, de coordonner les actions en réponse aux cas de contrefaçon et d’en rendre compte régulièrement à la DG. »

Prise de conscience des risques dans les ETI 

Voir étude signée du groupe ACE (devenue Chubb).

La FRM se développe. L’Association pour le Management des Risques et Assurance de l’Entreprise (AMRAE) estime qu’un tiers de ses membres sont des représentants d’ETI.

La Fonction Risk Manager  

  • A venir l’étude biannuelle de la FERMA (Federation of European Risk Management Associations). FERMA lance son enquête biannuelle « European Risk and Insurance Survey 2016 » le 8 août 2016. Les résultats seront présentés lors de la semaine FERMA 2016 à Malte les 3 et 4 octobre 2016.
  • La description d’une FRM Business Partner de la DG est bien présente dans les études destinées aux professionnels de la gestion des risques. Mythe ou réalité ?

          Voir dernier baromètre RM publié par l’AMRAE  en septembre 2015