Archives pour la catégorie GESTION DES RISQUES

approche socio-cognitive: rex, apprentissage, élargissement du domaine du risque, cyberisque-cybersécurité, dispositifs de contrôle et plans d'actions, GESTION DES RISQUES, identification des risques, RISQUES

Implication des collaborateurs dans la démarche de gestion des risques. L’exemple du Cyber risque.

5 commentaires

L’identification du risque et la mise en place de plans d’actions sont des étapes « classiques » de la démarche de gestion des risques. Orienter la démarche vers les opérationnels, les prendre en compte et les sensibiliser au risque est moins fréquent. Cela favorise pourtant une culture d’apprentissage et une pro-activité indispensables à la mise en place d’une démarche globale de gestion des risques. Pour une description de la démarche de gestion des risques en cinq étapes, voir Aubry, 2013.

Yann Girard propose de faire des collaborateurs la première ligne de défense de l’entreprise contre la cybercriminalité en les sensibilisant et en les impliquant dans la mise en oeuvre de la démarche.

Cybercriminalité : les collaborateurs, première ligne de défense de l’entreprise

Publié le 16 octobre 2018

Yann Girard

Chief Information Security Officer / Retail BanksFrance

 

Le nombre d’entreprises victimes de fraudes cybercriminelles ne cesse d’augmenter, elles sont des cibles privilégiées quelle que soit leur taille. Ainsi près de 80 % des entreprises ont constaté au moins une cyber-attaque en 2017, 77 % sont des petites et moyennes entreprises. Les conséquences, nous le savons, peuvent s’avérer parfois désastreuses.

Si le vecteur d’attaque est d’origine technologique et parfois extrêmement sophistiqué, la participation involontaire des victimes est la plupart du temps nécessaire au succès des opérations frauduleuses. Les cybercriminels s’appuient sur notre méconnaissance des outils, nos biais cognitifs et notre manque de vigilance pour arriver à leurs fins.

 Avant d’être technologique, la réponse à ce problème passe donc avant tout par la sensibilisation de chacun des collaborateurs de l’entreprise.

 Les 4 scénarios d’attaques suivants, fréquemment observés par les équipes de spécialistes antifraude Société Générale, peuvent ainsi être facilement évités si nous développons les bons réflexes :

–       La fraude au président : demande urgente et confidentielle d’un prétendu responsable hiérarchique ou d’une autorité pour effectuer un virement inhabituel en dérogeant exceptionnellement aux procédures internes. Dans un tel cas, une vérification auprès de sa hiérarchie s’impose.

–       Le fournisseur transmettant de nouvelles coordonnées bancaires pour régler sa prochaine facture. La demande est là aussi loin d’être neutre et nécessite un contre-appel à votre fournisseur pour vérifier s’il en est bien l’émetteur, et une vigilance sur la nouvelle domiciliation bancaire.

–       L’appel d’un faux support informatique, pour prendre le contrôle de votre PC à distance afin de réaliser des tests. Objectif : installer un logiciel qui permettra à l’attaquant de commettre des fraudes, voler vos données ou les détruire. Il est donc essentiel de s’assurer de l’identité de l’interlocuteur, et de la légitimité de l’opération.

–       Le troyen bancaire, reçu dans un mail de phishing souvent anxiogène ou promotionnel, qui vous incite à cliquer sur des liens ou des pièces jointes. Encore une fois, le risque est qu’un logiciel malveillant s’infiltre dans votre système d’information. Les mails sont le premier vecteur d’attaques, méfiance donc vis-à-vis des pièces jointes et des liens cliquables.

Ces scénarios d’attaques par ingénierie sociale sont très classiques mais fonctionnent encore malheureusement trop souvent : ils sont détectables et doivent éveiller notre vigilance. D’autant que les impacts peuvent être lourds, entre conséquences financières (jusqu’au redressement ou la liquidation judiciaire), et conséquences sociales et humaines (licenciements…).

D’où l’importance de sensibiliser les collaborateurs avant tout : ils doivent être conscients des menaces potentielles pour anticiper les scénarios d’attaques et protéger l’entreprise.

Identifiez ce qui est vital pour votre business, les collaborateurs les plus susceptibles d’être ciblés (trésoriers, équipes comptables…), et accompagnez- les en conséquence à travers des formations, des simulations, une charte de bonnes pratiques cybersécurité…

Société Générale organise par exemple chaque année ses Cybersecurity Hours, programme de conférences, ateliers pédagogiques et actions de sensibilisation à la Sécurité de l’Information. Elles ont lieu en octobre, pendant le mois européen de la Cybersécurité. Votre banque, dans son rôle de tiers de confiance, reste d’ailleurs un interlocuteur privilégié pour bénéficier de conseils et de recommandations sur ces sujets.

Nous ne pourrons jamais empêcher les fraudeurs d’essayer mais chacun d’entre nous peut leur compliquer la tâche voire déjouer leurs tentatives par des réflexes simples à acquérir et à entretenir. Déployer des solutions de sécurité en entreprise pour se protéger est nécessaire mais cela reste un investissement vain si les collaborateurs ne sont pas sensibilisés.

Publicité
élargissement du domaine du risque, cyberisque-cybersécurité, dispositifs de contrôle et plans d'actions, GESTION DES RISQUES, identification des risques, RISQUES, stratégie de définition des risques

Cyber risque

Laisser un commentaire

Je vous propose deux articles sur le Cyber risque. Encore lui !

Le premier (Risques IT : Êtes-vous prêt pour la prochaine cyberattaque ?) préconise la mise en place d’une démarche de gestion des risques.

Le second (Le cyber-risque est (aussi) une affaire de Comex) va au-delà en préconisant la mise en place d’une gouvernance des cyber risques. Celle-ci semble bien (trop) ambitieuse dans la plupart des entreprises françaises, dans lesquelles la Fonction Risk Manager est encore une fonction en émergence mais l’auteur a le mérite de fixer l’objectif à atteindre.

Article 1 

Opinion | Risques IT : Êtes-vous prêt pour la prochaine cyberattaque ?

ALAIN-GABRIEL GOMANE / Senior Product Marketing Manager, MEGA International Le 12/10

Il y a un peu plus d’un an, Wannacry frappait lourdement de nombreuses entreprises et services publics. Cette attaque, provoquée par une simple absence de mise à jour, n’a pas connu d’équivalent depuis. Mais il pourrait ne s’agir que d’une période de calme avant la tempête.

Quoi qu’il en soit, il est indispensable pour toutes les organisations de gérer l’obsolescence de leurs applications, mais plus généralement, des risques IT, afin d’être moins vulnérables aux potentielles cyberattaques.

L’importance d’une culture de gestion des risques

Le développement des outils numériques engendre de nouveaux risques en matière de cyberattaques. Les hackers sont de plus en plus nombreux et usent de techniques toujours plus perfectionnées pour pirater leurs victimes. Selon des données de la Commission européenne, 80 % des entreprises de la zone ont déjà été touchées au moins une fois par une attaque depuis 2016, qu’il s’agisse de vol de données, d’actes frauduleux, ou de déstabilisations. Pourtant, les organisations n’ont pas toujours conscience du danger d’une cyberattaque. Et c’est seulement lorsqu’elles y sont confrontées qu’elles développent une culture de gestion des risques.

Par exemple, l’an dernier, le National Health Service (NHS) du Royaume-Uni a été victime d’un piratage. Cette organisation possédait un très grand parc informatique dont les machines étaient équipées de Windows XP, un système d’exploitation qui n’est plus mis à jour par Microsoft. Les pirates ont donc utilisé cette faille et sont parvenus à toucher cinquante hôpitaux. Ces derniers n’avaient plus accès à leurs applications de gestion des historiques médicaux, et n’étaient plus en mesure d’effectuer la moindre opération médicale ou chirurgicale pendant plusieurs jours. Mais NHS n’a pas été la seule victime de Wannacry. D’autres géants ont également été impactés à l’image de Vodafone, FedEx, Renault, Telefónica, le ministère de l’Intérieur russe ou encore la Deutsche Bahn !

Des organisations encore trop peu protégées face aux cyberattaques

Qu’il s’agisse de systèmes d’exploitation ou d’applications, les solutions informatiques peuvent comporter des failles qui ne sont pas toujours corrigées suffisamment rapidement par leurs éditeurs. Par ailleurs, nombreuses sont les organisations qui ne procèdent pas assez régulièrement aux mises à jour de sécurités. Face à elles, elles ont pourtant des cyberpirates qui justement exploitent ces vulnérabilités en utilisant notamment le phishing (usurpation d’identité au travers d’emails frauduleux) afin d’obtenir des données ou de l’argent, et créer des incidents ou interruptions de service.

Alors que les DSI sont bien au fait de ces risques, elles sont encore peu nombreuses à avoir déployé un véritable programme de gestion des risques IT. Cette situation s’explique par le fait que les mises à jour supposent de longues préparations qui consomment énormément de ressources. C’est ainsi qu’une faille peut être présente plusieurs mois avant qu’elle ne soit corrigée. Par ailleurs, les directions générales ont tendance à imposer un rythme de performance court-termiste et par conséquent opposé aux politiques de sécurité qui représentent des coûts, mais ne sont profitables qu’à moyen ou long terme. La sécurité est en effet vue le plus souvent comme un centre de coûts.

Faire de la DSI un centre de profits

Il serait intéressant de connaitre le coût d’une attaque informatique telle que Wannacry pour savoir ce que les victimes ont dû dépenser pour les enquêtes techniques, les honoraires de leurs avocats, les primes d’assurance. À cela pourraient également s’ajouter les coûts non quantifiables liés à l’arrêt d’activité ou à la perte de confiance de leurs clients. Enfin, on peut également se poser la question des efforts et ressources dédiées pour sécuriser les données clients, pour se mettre en conformité réglementaire (en particulier à la RGPD entrée en vigueur il y a quelques semaines) ou pour améliorer les dispositifs de cybersécurité… Si les victimes de Wannacry n’ont bien entendu pas communiqué sur ce montant, les conséquences existent bel et bien.

Pour tirer les leçons de cette attaque, les organisations, qu’elles en aient été ou non les victimes, ont tout intérêt à anticiper la prochaine attaque en préparant les conditions pour la contrecarrer. Il s’agirait de réduire au maximum le nombre de failles exploitables par les hackers, mais également de minimiser l’impact qu’une telle attaque puisse avoir sur toute l’entreprise.

Avant de corriger les failles, il est évidemment indispensable de les identifier. Créer un référentiel de toutes les applications ainsi que des technologies qui les supportent permet d’en maîtriser l’obsolescence. Une fois ce travail réalisé, la DSI peut choisir soit de migrer les technologies obsolètes vers de nouvelles versions plus sécurisées, soit de retirer de la circulation des systèmes applicatifs dangereux pour les redévelopper. Une autre option consiste à continuer l’utilisation de ces technologies obsolètes : la DSI devra alors déclarer et gérer les risques IT engendrés.

Lorsque les failles sont identifiées et qu’une décision a été prise, il deviendra nécessaire d’analyser l’impact potentiel des applications rendues indisponibles par une attaque. Cela passe par une analyse des processus et des fonctions de l’entreprise qui travaillent avec les applications potentiellement touchées. Afin de minimiser cet impact, il est impératif de mettre au point ainsi qu’implémenter un plan d’urgence.

Article 2

Le cyber-risque est (aussi) une affaire de Comex !

mardi 9 octobre 2018, par La Rédaction

Tribune. Selon un rapport publié par le Forum économique mondial de Davos en 2018 (1), la cybermenace se hisse désormais, pour les dirigeants, à la troisième place des risques considérés comme les plus probables. Et c’est naturellement cette perception qui pousse ces mêmes dirigeants à ne plus les ignorer. Par Hervé Ysnel, CGI Business Consulting

Les dirigeants ne tournent plus le dos devant la cybermenace. D’une part, les cyber-risques ont gagné en visibilité médiatique – aucun dirigeant d’entreprise ne veut faire la une des journaux télévisés sur ces sujets ! -, qu’il s’agisse de fuites de données ou d’interruptions brutales d’activité. D’autre part, les défaillances des entreprises en matière de cybersécurité entament fortement leur réputation, l’image, le capital confiance et in fine, ont un impact sur leur performance financière. Comment ne pas citer Saint-Gobain qui a vu fondre son chiffre d’affaires de plus de 200 millions d’euros suite à l’attaque NotPetya ou Equifax qui a perdu les données personnelles de ses clients et par ricochet 35 % de sa valorisation en quelques jours. Le lien entre cybersécurité et valorisation financière n’est plus à faire. Des agences (2) de notation se sont positionnées sur ce créneau en attribuant désormais une note au niveau de cybersécurité.

Ce sujet qui empêche les dirigeants de dormir…

Dans un contexte tendu où la menace est chaque jour plus prégnante, il est plus que temps pour les entreprises d’adopter une réelle gouvernance du cyber-risque. Jusqu’ici, le terme même de gouvernance était employé à tort. Les organisations se contentaient plutôt de réduire (3) le risque avec des projets et plans d’actions de responsables de la sécurité des systèmes d’information (RSSI) souvent très compétents mais ayant rarement l’oreille du Comex pour y trouver budgets et prise de décision stratégique.

Quand on parle de gouvernance, il faut l’entendre selon la célèbre maxime militaire, “gouverner, c’est prévoir”. La cybermenace pèse désormais tellement sur l’avenir d’une organisation qu’elle doit nécessairement s’inviter dans les discussions des conseils d’administration. La prise de décision doit en effet remonter dans les plus hautes sphères de l’organisation. L’objectif n’est pas simplement de prévenir mais aussi de garantir la conformité, alors que de plus en plus d’instances, nationales ou internationales, légifèrent et poussent les entreprises à agir plus concrètement.

Vers une nouvelle organisation

Partons de ce postulat : toute entreprise est susceptible de connaître un incident majeur lié à la cybersécurité. Celles qui s’en sortiront (sans trop de dommages) seront celles qui auront anticipé. Anticiper, cela signifie par exemple prévoir des plans de continuité d’activité et de gestion de crise. Il est donc primordial que le Comex s’intéresse à ce sujet pour ajuster son niveau d’implication et se positionner dans la prise de décision et le pilotage des crises.

Au-delà, il est également essentiel de nommer un responsable du risque cyber au Comex. Un grand groupe bancaire a d’ailleurs récemment intégré dans son comité de direction un représentant de la sécurité en la personne d’un ancien Général. Preuve que la prise de conscience germe, lentement mais sûrement. De nombreuses entreprises suivent cette démarche en faisant porter le risque cyber à un acteur de la sûreté, de la conformité, du contrôle… Le choix se faisant principalement selon l’organisation et le secteur d’activité de l’entreprise.

La nécessaire évolution du pilotage du risque

Si le sujet des cyber-risques gagne en visibilité au sein des sphères dirigeantes, une stratégie nouvelle va devoir être définie et impulsée. Car pour décider, les dirigeants doivent pouvoir disposer de toutes les données de l’équation. Un exemple : faut-il lancer rapidement un produit potentiellement vulnérable ou faut-il au contraire prendre du temps pour aboutir à un produit plus fini et risquer de perdre des parts de marché ?

De fait, les responsables du cyber-risque doivent arriver avec de nouvelles approches, telles que des méthodes d’appréciation ou d’analyse de risque global et plus de quantification (4) normée des risques. L’enjeu consistant au final à rapprocher des risques de natures différentes et travailler de concert avec les autres fonctions de défense de l’entreprise : contrôle interne, audit interne, risk management… Le concept d’Entreprise Risk Management (ERM) prend alors tout son sens.
Selon la même logique, les reportings doivent évoluer, dans la forme et le fond. Les indicateurs doivent pouvoir répondre aux questions des dirigeants, aussi bien sur les dépenses en sécurité que sur les activités clés à maintenir en cas d’incident, la conformité à la réglementation ou les pratiques d‘acteurs semblables (il faut pouvoir se positionner !).
Cette petite révolution est bien sûr bousculée par le numérique et les avancées qu’il permet en matière de gestion des cyber-risques. La digitalisation de la fonction de RSSI est en marche : les outils de GRC (Gouvernance-Gestion des risques-Conformité ou Governance-Risk Management-Compliance en anglais) automatisent de nombreuses tâches pour permettre, dans un futur proche, couplé avec le SOC (Security Operation Center), un suivi en temps réel du cyber-risque. Ainsi, la numérisation va conditionner la qualité et l’efficacité de la mission réalisée par le représentant du cyber-risque et donc sa capacité à répondre aux besoins de ses dirigeants.

(1) https://www.weforum.org/reports/the-global-risks-report-2018

(2) Les agences BitSight ou Ratingcy par exemple, ou Cyrating en Europe

(3) En complément de la réduction du risque, le transfert du risque à un Tiers et principalement à la cyberassurance prend son envol depuis quelques mois

(4) Les méthodes d’analyse de risque cyber font de plus en plus appel à la quantification financière des incidents et des risques ce qui facilite la comparaison entre des risques de nature différente.

 

 

 

approche socio-cognitive: rex, apprentissage, dispositifs de contrôle et plans d'actions, GESTION DES RISQUES, identification des risques, risque et opportunité, RISQUES, suivi des risques-analyse des résultats

Notion de risque. Quand risque rime avec opportunité et innovation

Laisser un commentaire

Risque et danger sont souvent associés. La notion de risque est ancienne, ancrée dans la société et associée à une connotation de peur, de danger. Méric et al (2009) rappellent que les conséquences néfastes de l’occurrence du risque sont le postulat implicite du risque. Laperche (2003) établit un lien entre le risque, expression du danger et la nécessité de le récompenser ou de le réduire. Pourtant le risque doit également être vu comme une opportunité.  

Les risques logistiques poussent Saica à innover

Le 11/09/2018

Le leader de la fabrication de papier recyclé pour carton ondulé, qui vient de racheter le français Emin Leydier, développe des solutions innovantes pour faire face à l’allongement de la chaîne logistique. Et à la multiplication des risques.

La vie d’un colis n’a jamais été aussi risquée. Au cours de son transport, il peut effectuer une dizaine de chutes, de 30 cm à 2 mètres, à chacun de ses aiguillages dans les centres de tri. Autant dire plusieurs dizaines entre le magasin et le destinataire final. Et ce sans compter les risques d’écrasement, d’ouverture, voire de vol… Pour protéger ces envois, le groupe espagnol Saica développe des solutions innovantes. « L’e-commerce a rendu obsolètes les logiques d’emballage, de palettisation notamment, les clients ne connaissant pas le poids supporté par leur produit au cours du trajet, ni la position qu’il aura, ni l’impact des autres emballages dans le camion », explique Franck Reberat, responsable développement produit de l’entreprise.

Autre contrainte : les emballages destinés à l’e-commerce doivent, à défaut d’être inviolables, rendre difficile l’accès au produit et inclure des témoins d’ouverture. « Le consommateur est de plus en plus sensible à l’état de livraison de son colis », commente le responsable.

Table de vibration

Le groupe a travaillé avec l’université de Saragosse pour identifier les risques d’une chaîne logistique. Ce programme d’essais basé sur l’utilisation d’une table de vibration et d’outils de simulation de chutes, a débouché sur la création de Saica E-Wine. Une caisse spécialement conçue pour le transport du vin, l’un des produits les plus fragiles et pourtant les plus achetés sur Internet. Autre exemple : un emballage pour les fleurs, poussant le bouquet vers l’extérieur lors de l’ouverture. « L’objectif est dans ce cas de permettre au consommateur de ressentir l’émotion attendue avec ce type de produit », complète Franck Reberat. Le groupe propose via le site Internet du journal « L’Usine nouvelle », 80 références d’emballages destinées aux TPE et PME.

Saica est le leader de la fabrication de papier recyclé pour carton ondulé en Europe. Avec le  rachat du français Emin Leydier en mars, il a porté sa capacité de production à plus de 3 millions de tonnes. Aujourd’hui, le secteur de l’e-commerce représente entre 5 et 10 % de l’activité du groupe, notamment au Royaume-Uni, où il vend la moitié de la production d’une usine exclusivement à Amazon.

Guillaume Roussange

GESTION DES RISQUES

Pratiques de gestion des risques. Pour une gestion des risques proactive

Laisser un commentaire
L’article de Christine Grassi propose la mise en place de pratiques communes, de coordination des actions, de partage de la connaissance…

Les actions de gestion des risques doivent en effet faire l’objet d’une analyse, d’un suivi et d’un apprentissage.

Les résultats font ensuite l’objet d’une communication à la hiérarchie. La Direction Générale est informée de la qualité de la maîtrise des risques dans l’entreprise. Les enjeux de cette dernière étape sont la transparence vis-à-vis du management et des actionnaires – le climat de confiance – et la diffusion d’une culture du risque dans l’entreprise avec l’introduction d’une boucle d’apprentissage collectif.

L’analyse des résultats peut enfin donner lieu à la mise en place de retours d’expérience (mises à jour régulières du site de l’entreprise au fur et à mesure de la réalisation des plans d’actions, d’échanges d’informations entre le terrain et les équipes de management via les bases de données ou encore de diffusion des meilleurs pratiques accessibles à tous).

Ces outils donnent à la démarche de gestion des risques son caractère opérationnel.

Leur mise en place confère également à la gestion des risques une approche globale qui la rapproche de l’Enterprise-wide-Risk-Management (ERM), modèle anglo-saxon d’une gestion des risques présentée comme globale et intégrée, dans lequel le rôle des responsables opérationnels devient essentiel.

Une gestion des risques qui met en place ce type d’outils relève de l’Enterprise-wide-Risk-Management (ERM), modèle anglo-saxon d’une gestion des risques présentée comme globale et intégrée, dans lequel le rôle des responsables opérationnels devient essentiel. Elle est globale au sens de Louisot (2010)[1]. Elle est « intégrée, car la gestion des risques doit effectivement l’être à tous les niveaux de décisions et dans tous les process (Louisot J.P., « ERM à l’épreuve de la crise », Risk management n°1, avril 2010.)

Elle est par essence transversale puisqu’elle est là pour servir les projets, les différentes entités et les processus opérationnels et managériaux de l’entreprise et qu’elle se positionne en accompagnement du processus de décision. Elle suppose l’implication du personnel opérationnel indispensable à une bonne identification des risques. La démarche de gestion des risques se doit d’intervenir en amont de la survenance des évènements, les anticiper et non pas seulement valider les expériences survenues. En cela elle n’est pas seulement une activité de contrôle : on ne cherche pas seulement la qualité de chacune des opérations mais la bonne articulation des activités entre elles.

[1] Modèle anglo-saxon d’une gestion des risques présentée comme globale et intégrée, dans lequel le rôle des responsables opérationnels devient essentiel. La notion de globalité introduit tous les éléments d’incertitude liés au futur de l’organisation, ce que Louisot (2010) englobe sous l’expression « toutes causes, toutes conséquences, toutes opportunités et menaces.»

Comment renforcer la gestion des risques grâce à la GRC ?

par Christine Grassi – le 

Dans un contexte économique fortement marqué par un « time to market » serré, la nécessité d’innover en permanence et d’adopter des cycles de production courts est nécessaire. S’ajoutent à cela des risques de plus en plus nombreux, polymorphes et en perpétuelle évolution. Il est alors crucial pour toute organisation de pouvoir les anticiper et contrôler leurs impacts. Comment ? Par la mise en œuvre d’une gouvernance de gestion des risques centralisée et commune à tous. 

gestion des risques et conformité

Cybercriminalité dans les organisations : vers une émergence de nouveaux besoins

D’après une étude McAfee[1], le coût moyen de la cybercriminalité est estimé à près de 600 milliards de dollars, soit 0,8 % du PIB mondial. A titre d’exemple, le vol des 3 milliards de comptes Yahoo en 2013 a fait perdre à l’entreprise 7 % de sa valeur et mis en péril son activité.

C’est alors toute l’organisation qui est affaiblie, touchant ainsi toute la chaîne de valeur de l’entreprise. Face à la sophistication des cyberattaques et leurs impacts croissants, le risque cyber devient donc une priorité pour les organisations. Selon le World Economic Forum[2], le risque de cyberattaque est quant à lui la 3emenace redoutée par les organisations en 2018, devant la fraude et le vol de données.

Dans ce contexte, le risque cyber devient un enjeu de direction générale. Le problème s’étend à tous les métiers liés à la transformation numérique et pas seulement aux DSI. Il est alors nécessaire pour les DSI et RSSI d’accompagner leur comité de direction dans leurs réflexions stratégiques, améliorer leurs prises de décision en matière d’investissements en sécurité et évoluer vers une culture d’entreprise orientée risque. Ainsi, pour une meilleure efficacité, l’entreprise doit favoriser ce partage de la culture des risques auprès de tous les collaborateurs en les sensibilisant aux enjeux et méthodes du contrôle permanent.

Mais en 2018, quelle est la maturité des organisations en GRC et vers quel état de l’art doivent-elles tendre ?

Retour sur des fondamentaux : de la nécessité d’une GRC maîtrisée

La GRC est une stratégie combinée autour de trois domaines (Gouvernance, Gestion du Risque et Conformité) qui contribue à une gestion efficace du risque d’entreprise, adaptée à la fois aux besoins et à la maturité des acteurs comme le métier, la DSI, le contrôle interne ou la sécurité.

L’approche de la GRC la plus répandue dans les organisations est verticale et donc silotique. Elle est hétérogène selon la fonction de risque concernée (SSI, contrôle interne, audit, etc.), adressée sous l’angle de l’expertise et du projet (analyse de risque, sécurité dans les projets, conformité réglementaire, etc.) et pilotée uniquement par des contraintes légales, réglementaires ou financières.

Cette approche a ses limites : sans vision d’ensemble qui implique tous les acteurs, il est impossible d’anticiper de manière exhaustive les risques à la fois réglementaires, métiers, opérationnels, sécurité, etc.

À bien des égards, cette démarche se rapproche des pratiques liées à la responsabilité sociétale des entreprises (RSE). Le défi à relever est bien la mise en place d’une gouvernance et de standards communs à tous les métiers. Ces briques doivent être orchestrées dans une approche globale et transverse de la GRC, inscrite dans la chaîne de valeurs de l’organisation.

Vers une approche proactive de la GRC et une vision positive du risque

Adapté à un ensemble de facteurs endogènes et exogènes –  comme par exemple le secteur d’activité ou l’exposition à la menace de l’organisation – le dispositif de GRC mis en place doit être cohérent avec l’ADN et l’appétence au risque de cette organisation.

Une approche proactive de la GRC permet de s’adapter en permanence au changement et d’anticiper les risques. Son déploiement s’articule autour de 3 axes :

  • Une connaissance fine et partagée des risques à travers la mise en place d’un socle commun de référentiels et de connaissances et la communication entre les différents contributeurs,
  • La construction d’une approche intégrée favorisée par le rapprochement entre le RSSI et les risks managers, la formalisation d’une cartographie globale des risques, la mise en place de pratiques communes et une coordination des actions de priorisation et de déploiement,
  • Le partage aux directions générales d’une vision consolidée des risques leur permettant de prendre les décisions les plus transverses possibles.

L’outillage, permis par les nouvelles technologies, est alors clé. Il permet de structurer les dispositifs de gestion des risques, de faciliter le partage de la connaissance, et d’alimenter en continu un dispositif de reporting afin de mesurer et de communiquer les résultats.

Cette approche favorise alors l’adoption d’une culture proactive voire positive du risque, indispensable pour les maîtriser de manière efficace. Comment y parvenir ? En commençant par définir un périmètre pilote – à la jonction entre les besoins métiers et les exigences de sécurité – dont les premiers retours sur investissements (ROI) permettront ensuite d’industrialiser la gestion des risques pour toute l’entreprise.

Dans un monde toujours plus ouvert, connecté, avec un impératif d’innovation toujours plus fort, il est nécessaire de passer d’une approche verticale à une approche globale et intégrée de la GRC. Cette dernière doit être construite autour de 3 piliers : la mise en place d’une culture positive du risque au sein de l’entreprise ; une organisation, des processus et une communication unifiée pour l’ensemble des acteurs du risque ; un dispositif de GRC standardisé et outillé pour inscrire le changement dans la durée. Cette approche proactive de la GRC va ainsi devenir vecteur d’opportunités et de confiance à même d’optimiser la stratégie de développement d’une organisation.

[1] McAfee, Economic Impact of Cybercrime – No Slowing Down, February 2018.

[2] World Economic Forum, Voici les principaux risques auxquels le monde est confronté, Janvier 2018.

 

GESTION DES RISQUES

LA GESTION DES RISQUES : UN CHANTIER CONSIDÉRABLE POUR LES PME ET ETI

Un commentaire

Par Haude-Marie Thomas – Publié le 06 juin 2016, à 11h 24

Argus de l’Assurance

Les PME sont conscientes de l’importance de la gestion des risques mais le chantier à mener leur semble considérable, selon l’enquête menée auprès de 363 entreprises françaises pour l’assureur QBE.

Plus de 40% des PME et ETI pensent que le niveau global des risques a augmenté au cours des six derniers mois, selon l’étude commandée par l’assureur QBE. Le même pourcentage indique aussi que la tendance devrait s’accroître dans les six prochains mois. Le premier risque identifié est la cybercriminalité dont la menace a augmenté pour 53% des personnes interrogées, la concurrence et la pression sur les marges (50%) et les risques liés à la solvabilité des clients (46%). Pourtant l’étude pointe un fort décalage entre les ambitions et les réalisations en matière de gestion des risques.

97% des dirigeants identifient un point d’amélioration

85% des PME et ETI assurent avoir pris ces trois dernières années des mesures pour améliorer la gestion des risques au sein de leur entreprise. Ainsi, un tiers a abandonné complètement certaines gammes de produits, clients ou marchés jugés trop risqués (même si une entreprise sur deux indique dans le même temps être devenue plus tolérante aux risques lors de la conquête de nouveaux marchés). Toutefois, 8 entreprises sur 10, ayant pris des mesures pour améliorer l’approche de la gestion des risques déclarent avoir rencontré des difficultés.

Les principaux freins sont le manque de temps et de ressources (63%), la difficulté à répercuter les changements au sein de l’entreprise (60%), le coût de la mise en place des changements (46%) et le manque d’expertise en interne (40%). Seule une entreprise sur quatre indique avoir intégré une démarche globale de la gestion des risques.

LE POINT DE VUE DES PROFESSIONNELS DE LA GESTION DES RISQUES

Top five des risques

Selon le baromètre des risques AGCS, les cinq premiers risques business en 2016 en Europe sont les suivants : (1) l’interruption d’activité (2) les développements du marché (3) les cyberattaques (4) Le changement de régulation (5) les développements macroéconomiques

Les risques de développements du marché et de développements macroéconomiques font leur apparition dans le classement. Ce sont des nouveaux risques, découlant de l’entrée des entreprises dans un nouveau monde digital, fondé sur des données de masse et de nouvelles technologies.

Les autres risques se sont renforcés : plus 9 points pour le risque d’interruption d’activité ; plus 23 points pour le risque de cyberattaques ; plus 19 points pour le risque de changement de régulation.

Quatre exemples de dispositifs  de gestion des risques / Voir Les Echos 25/01/2016

(1) Biomérieux
  • organisation de la FRM : risques gérés par le département de l’Audit Interne depuis 2014  / rattachement à la DG
  • activité : développement d’une cartographie des risques majeurs / quatre zones distinctes : l’action, le contrôle, la délégation et la surveillance / mise à jour annuelle / identification d’un « propriétaire » / mise en place d’un plan d’action
(2) Thales
  • étude approfondie des implications d’un séisme qui a ravagé l’effondrement de son usine de l’Aquila en 2009. Celle-ci a permis de ne pas subir de plein fouet les conséquences des pluies diluviennes à Cannes où est situé l’un de ses sites industriels majeurs.
(3) Safran
  • risque « retard fournisseur » : risque important du fait de la montée en cadence des programmes de production
  • création d’outils de crédit – surveillance des délais pour gérer le risque
  • mise en place d’une formation « maison » sur le campus de l’université d’entreprise à Massy pour développer une culture du risque
(4) Ipsen
  • risque de contrefaçon de médicaments
  • étape d’identification et de quantification de ce risque majeur porté par un membre du comité exécutif
  • mise en place d’une nouvelle organisation : comité transversal dédié, piloté par la direction juridique et la direction de la supply chain chargé « d’accélérer, de compléter et de superviser les plans d’action, de coordonner les actions en réponse aux cas de contrefaçon et d’en rendre compte régulièrement à la DG. »

Prise de conscience des risques dans les ETI 

Voir étude signée du groupe ACE (devenue Chubb).

La FRM se développe. L’Association pour le Management des Risques et Assurance de l’Entreprise (AMRAE) estime qu’un tiers de ses membres sont des représentants d’ETI.

La Fonction Risk Manager  

  • A venir l’étude biannuelle de la FERMA (Federation of European Risk Management Associations). FERMA lance son enquête biannuelle « European Risk and Insurance Survey 2016 » le 8 août 2016. Les résultats seront présentés lors de la semaine FERMA 2016 à Malte les 3 et 4 octobre 2016.
  • La description d’une FRM Business Partner de la DG est bien présente dans les études destinées aux professionnels de la gestion des risques. Mythe ou réalité ?

          Voir dernier baromètre RM publié par l’AMRAE  en septembre 2015