Archives pour la catégorie RISK MANAGER-FONCTION RISK MANAGER

Actualité du risque – blocage du canal de Suez – Nouvelle illustration de l’élargissement du domaine de risque / de l’importance de suivre une à une les étapes de la démarche de gestion des risques / de la transversalité de la Fonction Risk Manager.

Rappel du blocage du canal de Suez par un porte-conteneurs. Lire article ci-dessous.

Elargissement du domaine de risques

Dresser l’histoire récente de la gestion des risques, nous a permis de mettre en évidence les évènements à l’origine de l’intérêt des entreprises pour la démarche de gestion des risques et de l’émergence de la Fonction Risk Manager.

L’élargissement du domaine du risque est un de ces facteurs : diversité des risques ; nouveaux risques ; nouvelles classifications de risques ; risques potentiels.

Aujourd’hui – si j’avais à écrire une nouvelle édition du notre ouvrage…. – j’insisterais sur l’interdépendance entre ces risques et leur effet domino.

Le canal de Suez bloqué par un porte-conteneurs en est une  illustration : risque supply-chain (logistique) qui va entraîner une hausse des prix des produits transportés (vrac, pétrole, EVP…), une dégradation des trésoreries…

La Gestion des Risques

Dans ce contexte de risques transverse, il me semble essentiel de revenir sur l’étape 2 de la démarche de gestion des risques – l’identification des risques passés, présents et émergents – et son principal outil – la cartographie des risques -.

Nicolas Dufour et moi avons consacré plusieurs pages de notre ouvrage commun à cette étape (p.128-136). https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html

Nous faisions trois remarques liminaires avant de développer les étapes, méthodes et outils.

« (1) En premier lieu, une question récurrente : gérer la cartographie des risques suppose de gérer des classes différentes. La cartographie et les référentiels de risques entourant ces différentes classes constituent-ils de vrais outils d’aide à la décision ? La réponse est oui, mais à la condition d’en faire un outil institutionnalisé et pas à la seule main du Risk Manager, expert du risque, qui gérerait cela en lieu et place des métiers.

(2) Peut-on vraiment suivre tous les risques dans une cartographie ? La réponse est non : une cartographie est souvent une photo à un instant T, elle est souvent lourde à construire, actualiser et faire valider…Car la cartographie des risques est aussi souvent un outil de traçage de constitution d’historique de sujets potentiels ou avérés à suivre dans le temps, nous préconisons davantage de faire une révision annuelle de chaque classe de risques en cartographie mais de suivre de manière dynamique un top 10 ou un top 30 tout au plus des risques prioritaires à piloter dans l’organisation…En somme, savoir prioriser, ne pas vouloir tout traiter, et ne pas rechercher une théorique exhaustivité est encore un premier exercice de lucidité pour le Risk Manager…

(3) Il existe désormais non pas une mais des cartographies des risques !…L’enjeu est donc désormais pour les entreprises de savoir gérer non pas une mais des cartographies de risque, avec des enjeux complémentaires et une véritable exigence de synthèse en vue de pouvoir présenter une cartographie tous risques à la gouvernance de l’entreprise, aussi appelé profil de risque consolidé/profil tous risques.

La Fonction Risk Manager

Nous écrivions également : « La journée du Risk Manager n’est jamais la même, il peut être confronté à des risques Ressources Humaines, à des risques de fraude, à des risques financiers, à des risques projets, à des risques stratégiques ou commerciaux sur lesquels des analyses de risque, expertises sont sollicitées.  Cette diversité rend la fonction passionnante mais montre la difficulté de la tâche.  La Fonction Risk Manager…est sûrement l’une des fonctions les plus transverses de l’entreprise. »

https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html

Le canal de Suez bloqué par un porte-conteneurs d’Evergreen

Publié le 24/03/2021

L’Ever Given, navire de 20 388 EVP et long de 400 mètres, s’est mis en travers du canal le mardi 23 mars au petit matin, bloquant la voie par laquelle transite 10 % du commerce mondial. Dans la matinée du 24 mars, le navire a été sorti du pétrin mais le canal restera bloqué tant qu’il n’aura pas été positionné ailleurs.

« Le porte-conteneurs s’est échoué accidentellement, probablement après avoir été frappé par une rafale de vent », a déclaré un porte-parole d’Evergreen, n° 7 mondial du conteneur. L’incident s’est produit dans la section sud, au km 151, non loin de l’entrée côté mer Rouge, alors que le navire en provenance d’Asie faisait route vers le nord avec Rotterdam comme prochaine escale. Des vents de plus de 50 km par heure et une tempête de sable ont été constatés ce jour-là autour du canal. Le navire s’est retrouvé complètement en travers avec sa proue enfoncée dans la rive est et sa poupe qui touche presque l’autre côté.

Livré en 2018, l’Ever Given appartient à l’armateur japonais Shoei Kisen, fidèle partenaire d’Evergreen qui lui affrète à long terme. Le navire est géré techniquement depuis Hong Kong par l’armateur allemand Bernhardt Schulte shipmanagement.

Déjà de nombreux retards 

Huit remorqueurs de l’Autorité du canal et de Svitzer ont été mobilisés pour essayer de remettre le navire en ordre de marche. Le spécialiste néerlandais Smit salvage a aussi dépêché une équipe sur place. Les autorités égyptiennes ont fermé le canal pour deux jours, ont-elles indiqué le 24 mars même si dans la soirée le transit des navires descendants (vers la mer Rouge) était de nouveau autorisé, avec probablement une attente dans le Grand lac Amer. Les remorqueurs ont réussi à remettre l’Ever Given en meilleure posture en fin de matinée du 24 mars.

Mais là où se trouve le navire, le trafic du canal restera bloqué tant que le porte-conteneurs n’aura pas été déplacé vers un site où il ne gênera pas le passage des convois. Des navires par dizaines sont en attente de pouvoir emprunter le canal de Suez, d’autres ont ralenti pour ne pas y arriver trop vite. Et même si le canal rouvre, il faudra plusieurs jours pour résorber le bouchon alors que la chaîne logistique Asie – Europe est déjà victime de nombreux retards (à lire également dans « le marin » hebdo du 25 mars).

Dans un communiqué destiné à ses clients, le n° 2 mondial du conteneur MSC reconnaît que « les principales compagnies maritimes ont été impactées par le blocage du navire « Ever Given » dans le canal de Suez, un axe majeur pour le commerce international. En tant qu’utilisateur régulier du canal, MSC surveille très attentivement la situation afin de mesurer l’impact sur la circulation de ses conteneurs et de pouvoir envisager des plans d’urgence de sa flotte ou de ses services en cas de besoin. Les clients de MSC dont l’expédition doit transiter par le canal dans les jours à venir doivent se préparer à d’éventuels changements de programme ».

75 incidents en dix ans

L’année dernière, 18 829 navires ont emprunté le canal, selon l’Autorité du canal de Suez (SCA), rapportant à l’Égypte 5,61 milliards de dollars de recettes. Cela représente 51 navires par jour en moyenne. Des échouements se produisent régulièrement mais sont généralement réglés en quelques heures, sans perturber la circulation. Cet incident est le plus grave depuis juillet 2018 quand trois vraquiers et deux porte-conteneurs avaient été mêlés à une collision, interrompant la circulation sur la section sud. Jamais un navire de cette taille ne s’était encore échoué sur le canal en plus de 150 ans de navigation à Suez.

Au total, selon l’assureur Allianz global corporate & speciality, 75 incidents de navigation, dont 25 échouements et 21 pannes de machine, ont été signalés dans le canal au cours de la dernière décennie. Plus d’un tiers (28) impliquaient des porte-conteneurs. Entre 2013 et 2016, il y avait une moyenne de 12 incidents de navigation par an, mais les chiffres ont diminué depuis. La moyenne sur 10 ans est de 8 incidents par an. Une seule perte totale d’un navire a été signalée dans le canal de Suez au cours de la dernière décennie, en 2010. La perte totale dans le canal de Suez était un cargo appelé Maryam qui a coulé après avoir chargé du bitume.

Le hasard fait qu’un autre incident s’est produit aussi le même jour, dans le golfe de Suez. En cause cette fois, selon l’agence russe Interfax, une collision entre un pétrolier militaire russe de la flotte baltique, le Kola, qui revenait d’un exercice au Soudan, et un vraquier de 47 000 tpl sous pavillon de la Barbade, l’Ark Royal.

Thibaud TEILLARD

ASSURANCES&RISQUES. Quelles solutions pour faire face aux tensions du marché ? La gestion des risques transversale et le Risk Manager sont au premier plan.

Nous proposons depuis mardi dernier (16 mars) des pistes de solutions. Pour compléter la lecture des deux articles, je vous propose d’écouter en suivant le lien ci-dessous la table ronde de l’AMRAE intitulée  « Quels financements des risques par le marché de l’assurance, intégrant le risk management ? » Avec Cécile DESJARDINS, Frédéric DHERS (SCOR), Stéphane YVON (EDF), Etienne CHARPENTIER (SIACI), François BEAUME (AMRAE, Sonepar)

Cette table ronde, à vocation pédagogique, rappelle les différentes techniques de financement des risques par le marché.

  • Comment intégrer le Risk Management au plan de financement des risques ?
  • Comment utiliser le marché de l’assurance pour couvrir une partie des risques ?
  • Comment effectuer ce partage des risques entre l’entreprise et l’assureur : entre sinistres de fréquence et sinistres CAT, quel est le bon niveau de financement du risque à transférer aux assureurs, dans une logique de résilience individuelle et de maitrise des primes ?
  • Quelle intervention de l’assurance pour les grands groupes ?
  • Le dispositif de la captive permet-il d’optimiser les négociations des programmes ?

Les intervenants terminent en mettant au premier plan :

  • La démarche de gestion des risques transversale qui est la meilleure solution ;
  • Le Risk Manager qui en est l’acteur principal : « un RM très bien connecté dans les entreprises » ; celui qui a la « meilleure connaissance des risques » ; « qui a un réseau maillé dans l’entreprise. »

Lien vers la conférence : https://youtu.be/2ai4FtbFgXk

C’est ce que nous développons également dans notre ouvrage.

Lien vers l’ouvrage : https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html

ASSURANCES & RISQUES. QUELLES SOLUTIONS ? CAPTIVES. MEILLEURE COMPREHENSION DES RISQUES. DIALOGUE DU RISK MANAGER ET AUTRES PARTIES PRENANTES AVEC LES ASSUREURS

Mardi dernier (9 mars) , nous avons analysé le marché de l’assurance et illustrer ses tensions à travers l’exemple du Cyberrisque. Je vous propose aujourd’hui des pistes de solutions : quelles solutions pour faire face à cette situation ? Retour sur ce qu’est une captive.

https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html

Quelle stratégie en termes d’assurance en cette période de crise ?

Le sujet de l’assurance est douloureux au sein de nombre d’entreprises qui ont vu leurs assureurs à la fois augmenter les prix et réduire les couvertures. Face à cette situation, faut-il revoir sa stratégie d’assurance ? Ce sujet fut débattu lors des Rencontres du risk management de l’AMRAE

La hausse des prix de l’assurance pour les entreprises a fait les grands titres des journaux fin 2020. A l’occasion de ses Rencontres du risk management qui ont eu lieu début février 2021, l’AMRAE s’est emparé de ce sujet en y consacrant une table-ronde : « Quels financements des risques par le marché de l’assurance, intégrant le risk management ? »

Le constat des participants à ce débat fut sans appel : « Cela dépend des lignes mais la hausse atteint parfois 30/50%, parfois même plus, pour des niveaux de garantie équivalents. Et nous n’avons pas tout vu à mon avis étant donné que tous les programmes n’ont pas encore été renouvelés », a rapporté Stéphane Yvon, directeur de la politique assurances du groupe EDF.

80% des risques non assurés

Frédéric Dhers, CEO de SCOR Europe, a justifié ces augmentations par un phénomène de crises multiples. « Nous vivons non pas une crise mais des crises. La crise sanitaire, inédite, qui se chiffre pour l’instant à 70 milliards de dollars de sinistre en termes d’assurance. Une crise économique, qui a conduit à une contraction de plus de 8% du PIB en France alors que la baisse était d’à peine 3% en 2009. Une crise climatique, aussi, avec des catastrophes naturelles qui impactent les assureurs », a-t-il énuméré.

Quelles qu’en soient les raisons, que doivent faire les entreprises face à une telle hausse des prix mais également à une réduction des couvertures ou encore à l’ajout de certaines exclusion ?

Pour François Beaume, vice-président risques et assurances de Sonepar et vice-président de l’AMRAE, il est évident qu’une bonne partie du financement des risques va rester en interne. « 80% des risques ne sont pas assurés ou pas assurables. Et sur les 20% restant, il y a un effet de contraction car les assureurs baissent les limites et, qu’en plus, ces limites-là vont coûter plus cher ».

De plus, comme l’a rappelé Stéphane Yvon, avec la crise, les entreprises sont en train de revoir leurs dépenses.

La solution de la captive d’assurance

La solution serait de ne plus assurer les risques ? Pour contourner le problème, la plupart des grandes entreprises du CAC 40 et du SBF 120 ont opté pour une captive d’assurance. Il s’agit d’une filiale créée par l’entreprise qui va jouer le rôle d’un assureur ou d’un réassureur mais uniquement pour les risques du groupe auquel elle appartient.

Si le dispositif peut être intéressant, il intéresse cependant surtout les grands groupes. « Les captives concernent plutôt les grandes entreprises, qui réalisent plus d’1,5 milliard d’euros de chiffre d’affaire. De manière générale, en-dessous d’un million d’euros de prime, il est difficile d’avoir un outil pérenne en mesure de payer les sinistres », a expliqué Étienne Charpentier, directeur solutions et transferts alternatifs chez Siaci Saint-Honoré.

Les entreprises de plus petite taille, les grosses ETI qui ont un bon niveau de primes à gérer, peuvent quant à elles se tourner vers la captive à compartiments, c’est-à-dire la location d’un compartiment captif dans une structure existante. Il faut pour cela trouver un bon courtier qui sait gérer ces dispositifs auprès de sociétés généralement situées à Malte.

Comprendre les risques

Pour les plus petites structures, le plus simple est peut-être, comme l’a proposé François Beaume, de se doter d' »un système de provisions qui permet de préparer le futur dans les comptes d’aujourd’hui ». L’objectif est de se doter d’un matelas qui permettra d’amortir l’impact financier d’un événement qui surviendra plus tard.

François Beaume a surtout insisté sur la nécessité d’investir dans des actions de prévention qui permettent de limiter la fréquence et l’impact des risques. « La première chose est de comprendre les risques de l’entreprise, de les identifier, d’évaluer les mécanismes de survenance. Cela permet ensuite d’agir par différents moyens de prévention« , a-t-il décrit, insistant sur le fait que c’est le socle fondamental avant de penser aux financements des risques.

Dialogues avec les assureurs

Il a également conseillé de formaliser clairement l’appétit au risque de l’entreprise, ce qui permettra de guider la stratégie en la matière. « En fonction de l’appétit au risque, la politique de souscription est très différente », a approuvé Étienne Charpentier.

Enfin, tous les intervenants de cette table-ronde ont insisté sur le nécessaire dialogue avec les assureurs, surtout en cette période. « Nous multiplions les réunions pour expliquer aux assureurs la réalité de l’entreprise, les risques auxquels nous sommes exposés, les choix que nous avons opérés pour améliorer la situation, les problématiques qui restent…« , a raconté François Beaume.

Stéphane Yvon a poussé à embarquer lors de ces discussions d’autres parties prenantes de l’entreprise, comme les personnes en charge de la cyber-sécurité ou celles du juridique. Le risk management est en effet un travail d’équipe, ne serait-ce que pour avoir une bonne connaissance du risque.

Eve Mennesson. 3 mars 2021 

L’assurance captive considérée comme un remède Covid et à la hausse des primes

Alors que les combats éclatent au sujet des paiements en cas de pandémie, de nombreuses entreprises regardent au-delà de la couverture traditionnelle

Partout dans le monde, les tribunaux se demandent si les polices d’assurance contre les pertes d’exploitation détenues par des millions d’entreprises couvrent une pandémie.

La hausse des primes d’assurance coûte aux entreprises des millions de dollars qu’elles peuvent difficilement se permettre alors qu’elles naviguent dans la pandémie de coronavirus. De nombreuses entreprises réagissent en essayant de gérer elles-mêmes les risques.

La montée en flèche de la demande d’assurance dite captive et le montant croissant des capitaux consacrés à l’atténuation des risques ont surpris de nombreux acteurs du secteur, y compris des courtiers qui vendent l’idée de créer un assureur captif.

Une captive est détenue et contrôlée par l’entreprise qui l’établit, qui peut être un restaurant, un fabricant de médicaments ou un détaillant. Il rédige une couverture pour ses propriétaires et paie les réclamations lorsque l’entreprise rencontre des problèmes inattendus. Avant même l’apparition du coronavirus, certaines entreprises américaines avaient veillé à ce que leurs captifs rédigent des polices couvrant une pandémie potentielle, leur permettant d’éviter les différends avec les assureurs traditionnels. Certains assureurs traditionnels ont en grande partie refusé de payer les demandes d’indemnisation pour interruption d’activité présentées par des entreprises touchées par des fermetures.

Créer sa propre compagnie d’assurance peut être une stratégie risquée. Un assureur captif dépourvu de capital suffisant – particulièrement au début de son existence – peut devenir insolvable s’il est confronté à des sinistres importants, laissant la société mère exposée en cas de besoin. Les captives doivent également prendre des décisions en matière de souscription et de réclamation sans lien de dépendance avec leurs propriétaires. Ne pas le faire risque de tomber à l’encontre des régulateurs dans certains pays.

Mais si une entreprise ne trouve pas de couverture adaptée sur le marché libre, la création d’une captive peut être une alternative. Se passer d’une assurance n’est peut-être pas une option – pour des raisons réglementaires, une entreprise peut avoir besoin de prouver qu’elle dispose d’une police d’assurance.

Le courtier d’assurance basé aux États-Unis, Marsh, a déclaré qu’au moins 25 des captifs qu’il gère dans le monde ont rédigé une couverture pour les risques de pandémie. De nombreuses autres entreprises ont mis en place des captives pour contrer les primes qui ont augmenté chaque trimestre depuis la fin de 2017. La pandémie pourrait alimenter des primes encore plus élevées, les assureurs cherchant à évaluer le risque de manière plus agressive.

Marsh a déclaré que le nombre de nouvelles captives qu’il avait aidé à former avait triplé entre janvier et juillet par rapport à un an plus tôt, coïncidant avec une période où les prix mondiaux de l’assurance ont enregistré des augmentations à deux chiffres au milieu de la crise des coronavirus. Aon, un autre courtier d’assurance, a déclaré avoir également constaté une demande plus élevée pour les unités.

Le groupe d’investissement Blackstone Group Inc. est une société qui compte davantage sur les captives pour augmenter ses primes d’assurance.

Fin juillet, sa Gryphon Mutual Insurance Co. est entrée en service, le point culminant de plusieurs mois de travail préparatoire qui ont commencé avant la pandémie. La captive se concentre sur la propriété en Amérique du Nord, mais pourrait être étendue à d’autres régions à l’avenir.

 «En fin de compte, cela nous donnera un meilleur contrôle sur notre programme d’assurance des biens et réduira les primes et les frais de courtage pour nos commanditaires», a déclaré un porte-parole de Blackstone.

Les captives ne sont pas une nouvelle tactique pour les entreprises pour atténuer les risques. La société de notation AM Best Co. affirme que la première captive du monde a été créée aux Bermudes dans les années 1960 en réponse au durcissement du marché de l’assurance, qui décrit le moment où les primes deviennent plus chères et la capacité de couverture des assureurs diminue. Le recours à des captifs coïncide souvent avec un marché de l’assurance qui se durcit, ou lors de crises telles que les attentats terroristes du 11 septembre ou les ouragans qui ont ravagé la côte du golfe du Mexique en 2004-05.

Bon nombre des plus grandes entreprises américaines ont utilisé des captives, notamment dans le secteur pétrolier et gazier. Ces dernières années, les sociétés de covoiturage Uber Technologies Inc. et Lyft Inc. ont formé des filiales d’assurance . L’assurance peut être un défi pour les entreprises qui s’engagent dans de nouveaux modèles commerciaux: les assureurs traditionnels n’ont souvent pas suffisamment d’informations pour tarifer la couverture d’une manière qui rendrait ces nouvelles entreprises économiquement viables.

Le recours accru aux captives ne pose pas de risque immédiat pour le secteur de l’assurance, selon les courtiers. Aon a déclaré que cela reflétait une réorganisation du secteur, les assureurs étant prêts à abandonner des secteurs d’activité devenus non rentables. Pourtant, les entreprises captives pourraient envisager d’élargir leur utilisation à l’avenir.

Selon AM Best, le nombre de captifs domestiques américains a plus que doublé pour atteindre 3133 entre 2007 et 2019.

La pandémie a mis en évidence l’intérêt de pouvoir adapter l’assurance en utilisant une captive, plutôt que de s’appuyer sur une couverture du marché libre via des assureurs traditionnels. De nombreuses entreprises pensaient être couvertes en cas de chocs inattendus, pour se faire dire par leurs assureurs traditionnels que les exclusions pandémiques dans les petits caractères des polices rendaient leurs réclamations invalides.

Partout dans le monde, les tribunaux se demandent si les polices d’assurance contre les pertes d’exploitation détenues par des millions d’entreprises couvrent une pandémie . Aux États-Unis, les assureurs de biens ont remporté une série de décisions judiciaires confirmant leurs refus de réclamations pour perte de revenus des entreprises lors de fermetures ordonnées par le gouvernement, atténuant les espoirs de paiement des assurés pour les aider à rebondir. Le 15 septembre, un tribunal britannique s’est prononcé principalement en faveur des assurés dans une affaire test qui a examiné différentes formulations de polices.

Alice Uribe. 27 septembre 2020

ASSURANCES & RISQUES. MARCHE DES ASSURANCES. CYBERRISQUE et assurances.

Mardi dernier (2 mars) nous avons analysé à travers deux articles le point de vue des entreprises d’assurances. Nous analysons aujourd’hui le marché de l’assurance et illustrons ses tensions à travers l’exemple du Cyberrisque.

Lecture complémentaire / assureurs-nouveaux risques-risque au cœur de la réflexion organisationnelle des entreprises Chapitre 1, p.29-46 : https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html

Les prix s’enflamment dans l’assurance de risques industriels

Après quinze ans de calme plat, les prix sur le marché de l’assurance des risques industriels repartent à la hausse.

Après quinze ans de calme plat, le marché de l’assurance des risques industriels est en train de s’enflammer. Selon plusieurs acteurs, les prix connaissent depuis l’an dernier une remontée spectaculaire sur fond d’augmentation des coûts des sinistres, de baisse de capacités et de pression réglementaire.

« Depuis 2003, le marché de l’assurance industrielle était favorable au client, constate Laurent Belhout, directeur général de la filiale française du courtier américain AON. Mais depuis l’année dernière, il y a un tournant : on constate des hausses de plus de 10 % sur les risques industriels. »

L’assureur Zurich se prépare même à des hausses de prix de 20 à 40 % contre les risques d’interruption d’activités, d’incendie ou de cyberattaque. « La dernière fois que ce genre de marché a vraiment existé, c’était en 2002 », a déclaré mardi, à Bloomberg, James Shea, responsable de l’assurance commerciale chez Zurich.

Ce mouvement met fin à une période durant laquelle les primes d’assurance de grands risques avaient baissé de 40 %, après 2003. Une réaction elle-même liée à la flambée de 80 % qui avait eu lieu dans les deux ans après les attentats du 11 septembre 2001 . Mais aussi à la nouvelle donne du marché, marqué par une abondance d’offre.

« Surtout depuis la crise financière, une foultitude de capitaux sont venus financer l’assurance et la réassurance, créant des capacités supplémentaires et alimentant la compétition entre les acteurs », explique Brigitte Bouquot, présidente de l’Association pour le management des risques et des assurances de l’entreprise (AMRAE).

Mais ces derniers mois, les assureurs comme AXA XL ou Allianz ont changé d’attitude sous la pression de deux facteurs, explique-t-elle. Premièrement, les catastrophes naturelles, incendies et autres incidents , couplés à la judiciarisation des affaires (« class actions »…) ont renchéri le coût des dommages portés par les assureurs.

Deuxièmement, les nouvelles règles prudentielles de Solvabilité II ont obligé les assureurs à mettre plus de capital pour couvrir les risques au moment où ceux-ci se trouvent confrontés à l’interdépendance croissante de la mondialisation. Face à des scénarios systémiques sur lesquels ils n’ont pas forcément de données, ils sont plus frileux.

Thibaut Madelin. Janv. 2020.

Cyberrisque : la grande peur des assureurs

Le risque cyber est devenu la première menace des entreprises dans le monde, selon le baromètre Allianz. Les assureurs traînent des pieds pour couvrir ce nouveau risque systémique

Le risqu courtiers, selon le baromètre Allianz Global. (Photo Getty

Pour les dirigeants de Travelex, le premier réseau mondial de bureaux de change, le réveillon a dû être pénible. Le 31 décembre, des pirates ont injecté dans ses serveurs le virus informatique Sodinokibi et demandé une rançon ou menacé de publier des données privées de milliers de clients. Selon les médias, ils ont réclamé jusqu’à 6 millions de dollars. La société britannique dit avoir réussi à empêcher la propagation du virus, mais la révélation de l’attaque a fait chuter son cours de près de 17 % le 8 janvier.

Après l’attaque sur la banque américaine Capital One , qui s’est fait voler les données de 106 millions de clients l’été dernier, le cas Travelex illustre la montée des incidents cyber. Ceux-ci figurent pour la première fois en tête du baromètre annuel des risques qu’Allianz publie ce mardi (2700 experts du risque interrogés dans une centaine de pays). « Les incidents cyber et le changement climatique sont deux grands défis que les entreprises devront surveiller étroitement dans cette nouvelle décennie », annonce Joachim Müller, directeur général d’Allianz Global Corporate & Specialty (AGCS).

Mais alors que les risques cyber augmentent, les assureurs traînent des pieds. En France, Allianz constate ainsi une réduction des capacités disponibles par assureur et un début de hausse des primes. « C’est tout le paradoxe, regrette Léopold Larios de Piña, pilote de l’Observatoire des primes et assurances de l’AMRAE, l’Association pour le management des risques et des assurances de l’entreprise. Pendant dix ans, les assureurs ont voulu vendre des assurances cyber et au moment où les clients sont prêts à souscrire, ils commencent à voir les sinistres et excluent les risques à traiter. »

Des garanties en baisse

Selon l’association, alors que les assureurs étaient prêts à prendre un France un engagement de garanties de 25 à 30 millions auprès d’un client, ils ont limité leur engagement de moitié dans les derniers contrats. « Nous sommes passés d’une période où les assureurs se frottaient les mains face aux nouveaux risques à une période où ils sont plus frileux », déclare Brigitte Bouquot, présidente de l’AMRAE et administratrice des filiales d’assurance de Thales. S’il y a un choc, ce sont les entreprises qui devront le porter sur leur bilan. »

En 2017, Saint-Gobain a ainsi perdu 220 millions d’euros de chiffre d’affaires après la cyberattaque NotPetya. L’industriel n’était pas assuré contre ce risque précis et a revu depuis sa politique. Mais ceux qui l’étaient ont aussi gardé un goût amer. Attaqué par le même « ransomware » , le cabinet d’avocats américain DLA Piper a poursuivi son assureur, Hiscox, qui a refusé de payer le sinistre. Le géant de l’agroalimentaire Mondelez est lui aussi en litige avec son assureur, Zurich, qui refuse d’indemniser 100 millions de dollars de pertes et de dommages (se retranchant derrière le fait que l’attaque aurait été menée par un Etat, la Russie).

Or le risque ne cesse de croître. Selon IBM, une violation majeure de données, portant sur plus d’un million d’enregistrements compromis, coûte en moyenne 42 millions de dollars, soit 8 % de plus que l’année précédente. Les assureurs sont en train de prendre conscience de la dimension systémique du risque cyber. « C’est vraiment un risque global, plus encore que le nucléaire car, dans le cyber, la catastrophe est partout », témoigne le patron d’un grand groupe d’assurance.

Prévention

Du coup, les assureurs se trouvent au milieu du gué. « Le cyberrisque était largement garanti dans les contrats globaux de responsabilité civile (RC), indique Laurent Belhout, directeur général du courtier AON en France. Les assureurs vont l’exclure de la RC » et le traiter de façon autonome.

Dans l’immédiat, certains risques ne sont pas couverts car difficiles à qualifier. Par exemple : dans le cas d’une fraude sur paiement par carte dans l’avion, l’assureur pourrait le classer dans le risque aéronautique (si le paiement a lieu dans les airs) ou cyber (pour un paiement au sol), voire en responsabilité civile.

Ils mettent aussi l’accent sur la prévention. « L’assurance a un rôle vital à jouer pour aider les entreprises si toutes les autres mesures sont insuffisantes, mais ça ne doit pas remplacer la gestion stratégique du risque », insiste Marek Stanislawski, directeur mondial adjoint du risque cyber chez AGCS. De son côté, AXA XL va lancer avec Accenture un service de conseil aux entreprises sur la menace cyber. Pour Brigitte Bouquot, cela ne suffira pas. « Les assureurs doivent dire ce qu’ils veulent faire de ce nouveau risque », dit-elle.

Thibaut Madelin. Janv. 2020

ASSURANCES & RISQUES. Marché des Assurances et point de vue des entreprises d’assurances.

En septembre 2019, j’écrivais sur ce blog (voir Archives du blog ou Moteur de recherche) : « La problématique Assurances et Cyber risques qui fait l’objet de nombreux articles dans la presse me fait penser aux difficultés rencontrées face à ce que l’on appelait les nouveaux risques (1990-2003).  D’un côté, les compagnies d’assurances étaient plus réticentes à prendre en charge les risques industriels et les nouveaux risques, notamment de réputation. De l’autre les grandes entreprises à l’égard des compagnies d’assurances préféraient gérer elles-mêmes leurs risques. Cette nouvelle logique de transfert du risque a été l’un des points d’ancrage historique de la gestion des risques.  Dans notre ouvrage sur la Fonction Risk Manager, Nicolas Dufour et moi-même reprenons les propos d’un Risk Manager qui me disait : « Il existe un trou énorme entre la protection incendie proposée par les compagnies d’assurances et ce dont nous avons besoin… Quand je suis arrivé dans l’entreprise (1994), je me suis aperçu que l’objectif est la sauvegarde de l’outil de production… La perte d’exploitation est énorme, jusqu’à X millions d’euros, on achète une assurance incendie. Au-delà on achète de quoi remettre la machine en route. »  https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html

N’en est-il pas de même en mars 2021 ?

Le sujet est toujours d’actualité, devenu conflictuel voire douloureux pendant la crise de la Covid-19. Les articles du mois de mars seront consacrés à ce sujet.

  • Nous commencerons aujourd’hui par présenter le point de vue des entreprises d’assurances. Retour sur les fondamentaux : risque assurable, appétit au risque.
  • Nous l’illustrerons la semaine prochaine via l’exemple du Cyberrisque et analyserons le marché des assurances.
  • Nous proposerons dans la deuxième quinzaine de mars des conseils et pistes de solutions : quelles solutions pour faire face à cette situation ? La gestion des risques transversale et le Risk Manager sont au premier plan. 

Opinion. Pourquoi le risque pandémique n’est pas assurable

Une pandémie entraîne par nature un cumul potentiel des sinistres tel qu’ils ne sont tout simplement plus absorbables par les compagnies d’assurances, écrit Denis Kessler. L’évaluation du risque est en outre rendue impossible par la diversité des réactions des pouvoirs publics dans les différents pays.

«Les décisions administratives ou politiques de fermeture de certains établissements sont non modélisables (…) ce qui rend l’évaluation du risque impossible». (Sébastien Bozon/AFP)

La crise sanitaire a mis le sujet de l’assurance des pertes d’exploitation des entreprises en situation de pandémie sous le feu des projecteurs. Selon certains, les assureurs, en ne proposant pas de protection contre ce risque, feraient preuve de « mauvaise volonté ». Cette affirmation est ubuesque. C’est en assurant que les assureurs créent de la valeur ! Si le marché de l’assurance ne propose pas de telle protection, c’est pour des raisons de fond qui tiennent à la nature même du risque. De fait, les conséquences économiques d’une pandémie sont non assurables.

Premièrement, alors que l’une des conditions de l’assurabilité, qui repose sur la mutualisation des risques, est que tous les sinistres ne se produisent pas en même temps, le risque de pertes d’exploitation en cas de pandémie est sériel : quasiment tous les agents économiques sont touchés simultanément. Cela découle de la portée régionale et même souvent nationale des mesures prises par les pouvoirs publics – confinements, couvre-feux, fermetures administratives… – qui affectent des pans entiers de l’économie. Les assureurs n’ont pas la capacité d’absorber un tel cumul de sinistres. Ce caractère sériel est d’autant plus marqué que, le risque pandémique étant global, il ne connaît pas les frontières. La diversification géographique des portefeuilles de risques est inopérante et aggrave le cumul de sinistralité pour les (ré)assureurs globaux. L’exposition peut atteindre plusieurs points du PIB mondial.

Deuxièmement, le risque de pertes d’exploitation liées à une pandémie, plutôt que d’obéir à des « lois de la nature », est largement non modélisable et endogène. Il dépend très largement des mesures spécifiques mises en oeuvre par les pouvoirs publics pour enrayer la diffusion du virus. Les pertes d’exploitation subies par les entreprises sont principalement consécutives à ces mesures qui in fine ont limité ou arrêté l’activité. Or ces décisions administratives ou politiques sont non modélisables. Le fait que les mesures prises face à la pandémie de Covid-19 sont très différentes d’un pays à l’autre – alors que ces derniers sont confrontés à des situations similaires ! – en atteste. Cette incertitude radicale et irréductible rend l’évaluation du risque et le calcul de la prime d’assurance impossibles.

Antisélection et aléa moral

Troisièmement, la dernière raison de non-assurabilité de ce risque tient à de possibles phénomènes d’antisélection et d’aléa moral. L’antisélection est l’effet par lequel seuls les agents économiques les plus exposés s’assurent, ce qui réduit l’effet de mutualisation. En l’espèce, seules les entreprises des secteurs les plus touchés – hôtellerie, restauration, tourisme… – achèteraient une protection (sauf à ce qu’elle soit obligatoire, ce qui poserait des questions d’acceptabilité). Celles appartenant à un secteur épargné – par exemple l’e-commerce – n’auraient aucun intérêt à s’assurer. L’aléa moral est l’effet par lequel le risque est augmenté par une modification du comportement des agents économiques dès lors qu’une assurance joue le rôle de filet de protection. En l’espèce, la couverture du coût du confinement par des tiers (les assureurs) créerait un problème d’aléa moral manifeste au niveau des pouvoirs publics, qui n’assumeraient plus le coût économique des décisions qu’ils prennent alors même qu’ils décident des voies et moyens pour faire face à la crise sanitaire et qu’ils sont in fine responsables de sa gestion ! Une telle situation pourrait inciter les pouvoirs publics à mettre en oeuvre des mesures plus coûteuses économiquement…

Les garanties pertes d’exploitation figurant dans les contrats d’assurance sont dans la quasi-totalité des cas liées à des dommages matériels, par exemple en cas d’incendie. Les conditions d’assurabilité sont alors réunies : les sinistres ne se produisent pas tous en même temps, le risque est largement exogène et modélisable, l’antisélection et l’aléa moral sont contenus. Dans de rares cas, des contrats ont pu prévoir clairement la couverture des pertes d’exploitation en cas de pandémie. Pour ces contrats, qu’il n’y ait pas d’ambiguïté : il faut les honorer. Si les contrats sont imprécis ou ambigus, il faut que le juge ou le médiateur tranche.

Le risque de pertes économiques en situation de pandémie présente des caractéristiques similaires au risque de dommages aux biens en situation de guerre : cumul des expositions, limites à la diversification, caractère non modélisable, rôle des décisions politiques et aléa moral. Le risque de guerre n’est pas assurable, et cela fait longtemps que la quasi-totalité des contrats d’assurance comportent une clause indiquant que les dommages du fait d’actes de guerre ne sont pas couverts. C’est la même raison pour laquelle la quasi-totalité des contrats d’assurance ne couvrent pas les pertes d’exploitation en cas de pandémie. Dans les deux cas – guerre comme pandémie -, seul l’Etat peut prendre en charge les conséquences économiques d’une crise d’une telle ampleur, via des mécanismes de redistribution qui en étalent la charge sur l’ensemble des agents économiques, et même sur plusieurs générations. Il n’est donc pas surprenant qu’à ce jour aucun pays ne soit arrivé à mettre au point un mécanisme de prise en charge par l’assurance. Il ne s’agit pas de mauvaise volonté de la part des assureurs, mais d’impossibilité technique et économique.

Denis Kessler est PDG de SCOR.

Publié le 15 janv. 2021.

Assurances & Risques : quelques réflexions sur cette crise

D’abord, prenons bien conscience de l’épreuve vécue par beaucoup : deuils, peur de la maladie, peur de la crise économique, des personnes âgées quittant ce monde sans être entourées de leurs proches et pour les croyants sans secours spirituel.

C’est important car il y aurait de l’indécence à ne voir dans cette crise qu’une « formidable opportunité » (d’unité, de solidarité, …). Et pourtant, nous devons bien nous demander en même temps comment traverser cette crise et donner le meilleur de nous-mêmes aux autres en gardant espérance et bonne humeur dans la mesure du possible : osons citer Baden Powell : la bonne humeur est aussi contagieuse que la rougeole…

Alors que faisons-nous de ce moment et quels enseignements pour nos métiers des risques et de l’assurance ?

Faire face au risque, l’assumer

Ce scénario de pandémie était connu et il n’est pas certain que nous y étions suffisamment préparés…. Dans les métiers du risque d’entreprise, on vit les mêmes problèmes : souvent les catastrophes déroulent des scénarios pré-identifiés que l’on n’a pas voulu voir, ou qui ont fait les frais d’arbitrages budgétaires « court termiste ».

Valoriser l’expertise sans en être prisonnier 

Sur des sujets techniques comme la santé ou les risques d’entreprise tels qu’incendie, collision durant le transport…, l’expertise est indispensable. Mais à la fin c’est le décideur qui doit se faire une opinion en responsabilité, avec ses intuitions, ses valeurs. Alors que les scientifiques en recherche nucléaire ont expliqué par a + b au Général de Gaulle toutes les difficultés techniques empêchant d’avancer sur le programme, ce dernier s’est fait sa propre opinion pour finalement, « en s’y prenant autrement », parvenir à suivre son planning et non celui des experts. Primauté donc à la décision du leader en considérant le bien commun. Sur la crise sanitaire, nous avons vu toutes les discussions, les positions contradictoires des experts sur ce qu’il fallait faire ou ne pas faire en termes de prévention et de soins en santé. A la fin, c’est le leader qui doit trancher, idéalement en ayant filtré les informations, exercé son jugement et considérer le bien commun. Pour revenir aux risques d’entreprises classiques, réalisons-nous des cartographies de risques en étant davantage mus par la nécessité d’être conforme aux règles, de « cocher la case » au risque de rester seulement collés à l’expertise ? Ou bien, ne devons-nous pas chercher à utiliser les informations collectées pour des prises de décisions avec les leaders afin de vraiment créer de la valeur en évitant ou réduisant les risques au bénéfice des salariés et de l’environnement en général ?

Donner du sens

Les conséquences financières de cette pandémie pour les entreprises ont conduit à des attentes et des challenges forts vis-à-vis de l’assurance sur la prise en charge de la perte d’exploitation. Des leaders de l’assurance ont répondu en fournissant des explications avec des propositions pour l’avenir. Mais sur le fonds cela ne souligne-t-il pas une incompréhension toujours forte de ce métier essentiel qu’est l’assurance pour l’économie ? Je me souviens que lorsque j’étais étudiant à Sciences Po, l’assurance n’était abordée qu’en tant qu’Investisseur Institutionnel, sans aborder son fonctionnement.

Parvenir à une meilleure compréhension de l’assurance, de ses mécanismes et de son modèle ne passe-t-elle pas par s’interroger sur ses fondamentaux : par exemple, comment comprendre l’assurance si son périmètre dédié à l’assurance des entreprises reste structurellement déficitaire depuis des années ?

Alors que la matière première de l’assurance sont les données, comment accepter que toutes les données disponibles ne soient pas utilisées et valorisées avec tous les outils innovants comme l’Intelligence Artificielle, afin de permettre une meilleure connaissance des risques et de leurs coûts ?

Cette meilleure connaissance du risque et de son coût bénéficiera bien sûr aux assureurs dans la gestion de leurs propres engagements mais aussi à leurs clients entreprises. Au-delà des challenges liés à la crise sanitaire, l’assurance, ancrée sur ses fondamentaux, valorisant son expertise et tout son potentiel d’innovation peut accroître la valeur qu’elle apporte au service du bien commun (société, entreprises, personnes), en clarifiant son rôle et en générant davantage de confiance.

Laurent Barbagli

Publié le 21 avril 2020

AMRAE – La sagesse du risque, pour une immunité collective – 3-4 février 2021. Ce qui se cache derrière ce titre. A lire et re (voir).

Merci à Cécile DESJARDINS de relayer mes propos dans son article « Management du Risques : le retour de l’humilité. » Les Echos, 3 février 2021.

2020 : année stratégique pour le Risk Management et le Risk Manager. Le RM a gagné en légitimité cognitive (Suchman, 1995). Elle est le « graal de la légitimité » : écoute encore plus attentive de la DG, accès renforcé aux opérationnels, une fonction plus visible. En montrant quel était son rôle, le RM a également gagné en légitimité personnelle : expérience, connaissance de son groupe, de son activité et des opérations, sens de la communication pour se faire entendre en toute liberté de la DG et des opérationnels (sensibiliser, faire prendre conscience des risques, alerter tout en sachant rassurer).

A lire : le dossier RISK MANAGEMENT 2021, Les Echos, 3 février 2021.

Le rendez-vous annuel des responsables des risques en entreprise ne s’est pas tenu à Deauville cette année. Face à une pandémie à rebonds, l’AMRAE (Association pour la Gestion des risques et des Assurances dans les Entreprises) a choisi une rencontre en ligne pour faire le point sur les grands enjeux de la profession, mise à l’épreuve par une crise mondiale sans précédent.

A (re)voir : les REPLAYS des tables rondes. Gratuitement – il suffit de s’inscrire) à cette adresse : https://lnkd.in/eEpjQSy

Exemples de thèmes abordés : Risques, climat et RSE ; Risques RH et associés ; Cyberrisque ; Gestion globale des risques ; Financement des risques par les assureurs intégrant le riskmanagement.

Ces thèmes, à l’exception du dernier, ont fait l’objet de nombreux articles dans ce blog (voir Archives ou moteur de recherche). Je décris pourtant la logique de transfert du risque des assureurs vers les entreprises comme le 3ème facteur ayant contribué à faire du risque, une variable stratégique de la réflexion des entreprises. Je l’aborderai dans les publications des semaines à venir sur le blog.

https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html

Initiative intéressante du groupe Y. Rocher : avoir recours aux neurosciences pour gérer les risques.

La mise en place d’outils hors contrôle tels que le e-learning, le retour d’expérience, les formations, la responsabilité des opérationnels, l’appropriation des outils permettent en effet d’avoir l’appui des opérationnels et d’acquérir une légitimité cognitive (celle qui consiste à s’ancrer dans l’inconscient collectif pour être compris par les parties prenantes, devenir incontournable) ; elle est le « graal » de la légitimité. Nous évoquons cette approche technique et socio-cognitive dans nos travaux (Aubry et Montalan, 2007) et dans l’ouvrage La Fonction Risk Manager. Organisation, méthodes et positionnement (2019, p.96). https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html

Gestes barrières : le groupe Yves Rocher forme ses salariés grâce aux neurosciences

Pour s’assurer du respect des gestes barrières dans l’entreprise, le groupe Rocher (Yves Rocher, Petit Bateau, Stanhome…) a fait appel aux services d’un spécialiste de « l’ancrage mémoriel« , la société Woonoz.

Par Sylvaine Salliou. Publié le 12/05/2020

Depuis ce lundi 11 mai, les 2.000 salariés bretons du groupe Rocher sont à nouveau accueillis progressivement sur les sites de production, dans le Morbihan et au siège à Rennes. « On compte quelques dizaines de salariés sur chaque site de production, car le recours au télétravail reste massif« , selon Régis Rougevin-Bâville, directeur qualité du groupe Rocher.

Formation accélérée aux gestes barrières

Depuis le 7 mai, ils sont formés aux gestes barrières, grâce à une formation accélérée en e-learning, mise en place en partenariat avec la société Woonoz. L’objectif pour le groupe breton est de s’assurer du respect des gestes barrières au retour dans l’entreprise.

La formation, basée sur le protocole national de déconfinement et co-construite avec les médecins du travail du groupe Rocher, passe en revue plus de cent situations, dont l’hygiène des mains, les distanciations physiques, le port du masque ou encore le nettoyage du matériel se trouvant dans des zones partagées. Ce sont surtout des « situations imagées » avec des photos prises sur les différents lieux de travail du groupe Rocher, selon Régis Rougevin-Bâville.

Une formation basée sur l’ancrage mémoriel

Pour Fabrice Cohen, cofondateur de Woonoz, 80 % des informations délivrées au cours d’une formation sont oubliées dans les sept jours. Or, selon lui, sa société atteint des taux de mémorisation de 93 %, car elle s’appuie sur les dernières connaissances en neurosciences et sur la méthodologie d’ancrage mémoriel, comme le Projet Voltaire, utilisé par six millions de personnes pour se remettre à niveau en orthographe, selon Siegried de Préville, manager des opérations du groupe Rocher. L’ancrage mémoriel consiste à prendre en compte que chacun mémorise d’une façon qui lui est propre.

Il explique que certaines règles et certaines situations mises en image dans la formation, sont connues ou évidentes, mais « l’objectif est de les faire passer à l’état de réflexe« .

Une formation adaptée à chaque apprenant

Le parcours alterne entre tests et révisions où il faut chercher et corriger l’erreur. Il commence par un diagnostic initial des connaissances et se poursuit par deux ou trois sessions de 15 minutes d’ancrage mémoriel. A la fin du parcours de formation, l’apprenant est évalué et il reçoit une attestation qui indique qu’il maîtrise le parcours.
Régis Rougevin-Bâville explique que le moteur d’intelligence artificielle s’adapte aux réponses de l’apprenant : il revient sur les situations non acquises et repère les configurations où sa mémoration est meilleure.

Cette formation sera étendue à l’ensemble des salariés du groupe Rocher en France, c’est-à-dire 6 500 personnes. Selon nos interlocuteurs, ce module peut également servir à d’autres secteurs économiques : « cette formation est transposable à beaucoup de secteurs« . Plusieurs entreprises auraient déjà demandé à tester la formation.

 

« La Fonction Risk Manager. Organisation, Méthodes et Positionnement » labellisé par la Fondation Nationale pour l’Enseignement de la Gestion des Entreprises (FNEGE).

Moins d’un an après sa parution, l’ouvrage que j’ai co-écrit avec Nicolas Dufour, RM dans une Mutuelle, a reçu le label 2020 de la FNEGE. Label de qualité et reconnaissance de nos pairs dont nous sommes très fiers.  Nous espérons que cette labellisation vous donnera envie de lire notre ouvrage. FNEGE 2

Toujours dans l’optique d’une démarche pro-active du risque. Orienter la démarche vers les opérationnels.

L’identification du risque et la mise en place de plans d’actions sont des étapes « classiques » de la démarche de gestion des risques. Orienter la démarche vers les opérationnels, les prendre en compte et les sensibiliser au risque est moins fréquent (étape 5 de la démarche de gestion des risques). Cela favorise pourtant une culture d’apprentissage et une pro-activité indispensables à la mise en place d’une démarche globale de gestion des risques. Pour une description de la démarche de gestion des risques en cinq étapes, voir Aubry, 2013 ou Aubry et Dufour, 2019 « La Fonction Risk Manager. Organisation, Méthodes et Positionnement. »

Yann Girard propose de faire des collaborateurs la première ligne de défense de l’entreprise contre la cybercriminalité en les sensibilisant et en les impliquant dans la mise en oeuvre de la démarche.

Cybercriminalité : les collaborateurs, première ligne de défense de l’entreprise

Yann Girard

Chief Information Security Officer / Retail BanksFrance

Le nombre d’entreprises victimes de fraudes cybercriminelles ne cesse d’augmenter, elles sont des cibles privilégiées quelle que soit leur taille. Ainsi près de 80 % des entreprises ont constaté au moins une cyber-attaque en 2017, 77 % sont des petites et moyennes entreprises. Les conséquences, nous le savons, peuvent s’avérer parfois désastreuses.

Si le vecteur d’attaque est d’origine technologique et parfois extrêmement sophistiqué, la participation involontaire des victimes est la plupart du temps nécessaire au succès des opérations frauduleuses. Les cybercriminels s’appuient sur notre méconnaissance des outils, nos biais cognitifs et notre manque de vigilance pour arriver à leurs fins.

 Avant d’être technologique, la réponse à ce problème passe donc avant tout par la sensibilisation de chacun des collaborateurs de l’entreprise.

 Les 4 scénarios d’attaques suivants, fréquemment observés par les équipes de spécialistes antifraude Société Générale, peuvent ainsi être facilement évités si nous développons les bons réflexes :

–       La fraude au président : demande urgente et confidentielle d’un prétendu responsable hiérarchique ou d’une autorité pour effectuer un virement inhabituel en dérogeant exceptionnellement aux procédures internes. Dans un tel cas, une vérification auprès de sa hiérarchie s’impose.

–       Le fournisseur transmettant de nouvelles coordonnées bancaires pour régler sa prochaine facture. La demande est là aussi loin d’être neutre et nécessite un contre-appel à votre fournisseur pour vérifier s’il en est bien l’émetteur, et une vigilance sur la nouvelle domiciliation bancaire.

–       L’appel d’un faux support informatique, pour prendre le contrôle de votre PC à distance afin de réaliser des tests. Objectif : installer un logiciel qui permettra à l’attaquant de commettre des fraudes, voler vos données ou les détruire. Il est donc essentiel de s’assurer de l’identité de l’interlocuteur, et de la légitimité de l’opération.

–       Le troyen bancaire, reçu dans un mail de phishing souvent anxiogène ou promotionnel, qui vous incite à cliquer sur des liens ou des pièces jointes. Encore une fois, le risque est qu’un logiciel malveillant s’infiltre dans votre système d’information. Les mails sont le premier vecteur d’attaques, méfiance donc vis-à-vis des pièces jointes et des liens cliquables.

Ces scénarios d’attaques par ingénierie sociale sont très classiques mais fonctionnent encore malheureusement trop souvent : ils sont détectables et doivent éveiller notre vigilance. D’autant que les impacts peuvent être lourds, entre conséquences financières (jusqu’au redressement ou la liquidation judiciaire), et conséquences sociales et humaines (licenciements…).

D’où l’importance de sensibiliser les collaborateurs avant tout : ils doivent être conscients des menaces potentielles pour anticiper les scénarios d’attaques et protéger l’entreprise.

Identifiez ce qui est vital pour votre business, les collaborateurs les plus susceptibles d’être ciblés (trésoriers, équipes comptables…), et accompagnez- les en conséquence à travers des formations, des simulations, une charte de bonnes pratiques cybersécurité…

Société Générale organise par exemple chaque année ses Cybersecurity Hours, programme de conférences, ateliers pédagogiques et actions de sensibilisation à la Sécurité de l’Information. Elles ont lieu en octobre, pendant le mois européen de la Cybersécurité. Votre banque, dans son rôle de tiers de confiance, reste d’ailleurs un interlocuteur privilégié pour bénéficier de conseils et de recommandations sur ces sujets.

Nous ne pourrons jamais empêcher les fraudeurs d’essayer mais chacun d’entre nous peut leur compliquer la tâche voire déjouer leurs tentatives par des réflexes simples à acquérir et à entretenir. Déployer des solutions de sécurité en entreprise pour se protéger est nécessaire mais cela reste un investissement vain si les collaborateurs ne sont pas sensibilisés.

Dans le même esprit que le retour d’expérience…la mise en place de pratiques communes, de coordination des actions, de partage de la connaissance.

« Les actions de gestion des risques doivent en effet faire l’objet d’une analyse, d’un suivi et d’un apprentissage.

Les résultats font ensuite l’objet d’une communication à la hiérarchie. La Direction Générale est informée de la qualité de la maîtrise des risques dans l’entreprise. Les enjeux de cette dernière étape sont la transparence vis-à-vis du management et des actionnaires – le climat de confiance – et la diffusion d’une culture du risque dans l’entreprise avec l’introduction d’une boucle d’apprentissage collectif.

L’analyse des résultats peut enfin donner lieu à la mise en place de retours d’expérience (mises à jour régulières du site de l’entreprise au fur et à mesure de la réalisation des plans d’actions, d’échanges d’informations entre le terrain et les équipes de management via les bases de données ou encore de diffusion des meilleurs pratiques accessibles à tous).

Ces outils donnent à la démarche de gestion des risques son caractère opérationnel.

Leur mise en place confère également à la gestion des risques une approche globale qui la rapproche de l’Enterprise-wide-Risk-Management (ERM), modèle anglo-saxon d’une gestion des risques présentée comme globale et intégrée, dans lequel le rôle des responsables opérationnels devient essentiel.

Une gestion des risques qui met en place ce type d’outils relève de l’Enterprise-wide-Risk-Management (ERM), modèle anglo-saxon d’une gestion des risques présentée comme globale et intégrée, dans lequel le rôle des responsables opérationnels devient essentiel. Elle est globale au sens de Louisot (2010)[1]. Elle est « intégrée, car la gestion des risques doit effectivement l’être à tous les niveaux de décisions et dans tous les process (Louisot J.P., « ERM à l’épreuve de la crise », Risk management n°1, avril 2010.)

Elle est par essence transversale puisqu’elle est là pour servir les projets, les différentes entités et les processus opérationnels et managériaux de l’entreprise et qu’elle se positionne en accompagnement du processus de décision. Elle suppose l’implication du personnel opérationnel indispensable à une bonne identification des risques. La démarche de gestion des risques se doit d’intervenir en amont de la survenance des évènements, les anticiper et non pas seulement valider les expériences survenues. En cela elle n’est pas seulement une activité de contrôle : on ne cherche pas seulement la qualité de chacune des opérations mais la bonne articulation des activités entre elles. »

[1] Modèle anglo-saxon d’une gestion des risques présentée comme globale et intégrée, dans lequel le rôle des responsables opérationnels devient essentiel. La notion de globalité introduit tous les éléments d’incertitude liés au futur de l’organisation, ce que Louisot (2010) englobe sous l’expression « toutes causes, toutes conséquences, toutes opportunités et menaces.»

Christine Grassi.