Nouveau classement des risques par les entreprises. La cybersécurité arrive en tête.

Entreprises : quels sont les principaux risques pour 2019 ?

La cybersécurité arrive nettement en tête du classement selon une étude…

Par Claude Leguilloux

Publié le 12/09/2018 à 06h02

Les résultats de l’étude « Risk in Focus » sont disponibles ! Basée sur les réponses de plus de 300 professionnels de l’audit interne travaillant dans des organisations à travers l’Europe, l’enquête cartographie les 10 principaux risques auxquels les entreprises des secteurs privé et public devraient être confrontées en 2019…

Menée pour la 3e année consécutive par 7 Instituts européens d’audit interne membres de l’ECIIA (France, Allemagne, Italie, Pays-Bas, Royaume-Uni, Irlande, Suède, Espagne), cette étude est un précieux outil pour permettre aux équipes d’audit et de contrôles internes, ainsi qu’aux dirigeants d’anticiper et d’organiser leurs futurs plans d’audit…

1) Cybersécurité : Gouvernance des SI et relations avec les tiers. Pour 66% des experts interrogés, les organisations de plus en plus connectées doivent être particulièrement vigilantes aux risques de piratages ou défaillances des systèmes numériques (notamment pour la gestion des chaînes logistiques).

2) Protection des données : stratégies post-RGPD. Pour 58% d’entre eux, la mise en conformité du RGPD récemment entré en vigueur (mai 2018) demande une vigilance particulière.

3) Digitalisation, automatisation & intelligence artificielle, 36% des professionnels alertent les organisations sur les risques liés à l’adoption de nouvelles technologies comme l’automatisation et autres processus numériques.

4) Développement durable : environnement et éthique sociale. Autre préoccupation majeure pour les experts : les enjeux de RSE. Les instances de régulation et le public attendent une réelle implication de la part des organisations au-delà d’une simple mise en conformité réglementaire.

5) Conformité anti-corruption Si le risque de corruption existe depuis longtemps, les réformes législatives nationales, les mises en vigueur de dispositions réglementaires au niveau mondial et les amendes sans précédent le propulsent dans le top 5 des risques organisationnels !

6) Risques liés à la communication. Souvent perçu comme impalpable, le risque de réputation est pourtant bien réel et ne cesse d’augmenter avec la transformation numérique. La communication doit donc être pleinement intégrée au dispositif de gestion des risques.

7) Culture organisationnelle : discrimination et inégalités sociales. Suite au mouvement « MeToo », la pression pesant sur les sujets de lutte contre toutes formes d’inégalités, de discriminations et de comportements sexistes n’a jamais été aussi forte. Les organisations sont de plus en plus « challengées » sur cette question !

8) Une nouvelle ère commerciale : protectionnisme et sanction. Le récent renforcement des politiques commerciales protectionnistes et des contrôles à l’exportation représente un risque non négligeable pour les organisations.

9) Gouvernance des risques et des contrôles : s’adapter au changement ! Le rythme de l’évolution de la réglementation n’a jamais été aussi rapide, dépassant parfois celui des organisations et rendant leurs outils de gestion des risques rapidement obsolètes.

10) Identifier les risques à surveiller : adopter une véritable approche fondée sur les risques… Les experts ont identifié un décalage entre le temps investi par les équipes sur certains risques par rapport à leur importance. Il s’agit donc de s’assurer que le temps passé sur un risque est cohérent avec son niveau de priorité…

 

 

Notion de risque. Quand risque rime avec opportunité et innovation

Risque et danger sont souvent associés. La notion de risque est ancienne, ancrée dans la société et associée à une connotation de peur, de danger. Méric et al (2009) rappellent que les conséquences néfastes de l’occurrence du risque sont le postulat implicite du risque. Laperche (2003) établit un lien entre le risque, expression du danger et la nécessité de le récompenser ou de le réduire. Pourtant le risque doit également être vu comme une opportunité.  

Les risques logistiques poussent Saica à innover

Le 11/09/2018

Le leader de la fabrication de papier recyclé pour carton ondulé, qui vient de racheter le français Emin Leydier, développe des solutions innovantes pour faire face à l’allongement de la chaîne logistique. Et à la multiplication des risques.

La vie d’un colis n’a jamais été aussi risquée. Au cours de son transport, il peut effectuer une dizaine de chutes, de 30 cm à 2 mètres, à chacun de ses aiguillages dans les centres de tri. Autant dire plusieurs dizaines entre le magasin et le destinataire final. Et ce sans compter les risques d’écrasement, d’ouverture, voire de vol… Pour protéger ces envois, le groupe espagnol Saica développe des solutions innovantes. « L’e-commerce a rendu obsolètes les logiques d’emballage, de palettisation notamment, les clients ne connaissant pas le poids supporté par leur produit au cours du trajet, ni la position qu’il aura, ni l’impact des autres emballages dans le camion », explique Franck Reberat, responsable développement produit de l’entreprise.

Autre contrainte : les emballages destinés à l’e-commerce doivent, à défaut d’être inviolables, rendre difficile l’accès au produit et inclure des témoins d’ouverture. « Le consommateur est de plus en plus sensible à l’état de livraison de son colis », commente le responsable.

Table de vibration

Le groupe a travaillé avec l’université de Saragosse pour identifier les risques d’une chaîne logistique. Ce programme d’essais basé sur l’utilisation d’une table de vibration et d’outils de simulation de chutes, a débouché sur la création de Saica E-Wine. Une caisse spécialement conçue pour le transport du vin, l’un des produits les plus fragiles et pourtant les plus achetés sur Internet. Autre exemple : un emballage pour les fleurs, poussant le bouquet vers l’extérieur lors de l’ouverture. « L’objectif est dans ce cas de permettre au consommateur de ressentir l’émotion attendue avec ce type de produit », complète Franck Reberat. Le groupe propose via le site Internet du journal « L’Usine nouvelle », 80 références d’emballages destinées aux TPE et PME.

Saica est le leader de la fabrication de papier recyclé pour carton ondulé en Europe. Avec le  rachat du français Emin Leydier en mars, il a porté sa capacité de production à plus de 3 millions de tonnes. Aujourd’hui, le secteur de l’e-commerce représente entre 5 et 10 % de l’activité du groupe, notamment au Royaume-Uni, où il vend la moitié de la production d’une usine exclusivement à Amazon.

Guillaume Roussange

Nature du risque. La cybercriminalité, risque numéro un en 2019

CECILE DESJARDINS 

Tendance Deux tiers des auditeurs internes européens sont préoccupés par la cybersécurité. Viennent ensuite les risques liés à la conformité et à la gestion des hommes.

Ce sera, selon les auditeurs internes, le premier sujet de 2019 : la cybersécurité arrive en tête des principaux risques auxquels les entreprises des secteurs privé et public devraient être confrontées dans les mois à venir. Dans une enquête européenne (1) réalisée auprès de membres de l’ECIIA (European Confederation of Institutes of Internal Auditing), 66 % des professionnels interrogés (2) jugent que les organisations devront être particulièrement vigilantes aux risques de piratage ou de défaillance des systèmes numériques, notamment pour la gestion des chaînes logistiques.

La protection des données et la conformité arrivent au second rang des préoccupations, à 58 % tous les deux. « De plus en plus fréquentes, les cyberattaques d’envergure contre des tiers ont montré l’importance de protéger jusqu’au plus petit maillon de la chaîne logistique, analyse Jean-Marie Pivard, président de l’Institut français d’audit interne (Ifaci). Les entreprises doivent dorénavant réorganiser leur gouvernance pour sécuriser l’ensemble de leurs systèmes informatiques en prenant en compte les infrastructures de l’ensemble des intervenants de leur chaîne d’approvisionnement, internes comme externes. »

Le changement climatique négligé

Viennent ensuite les risques liés aux hommes et aux ressources humaines, placés dans le top 5 des risques par 42 % des auditeurs internes, puis les changements de réglementation (37 %). A l’heure de la transformation des entreprises, les auditeurs semblent assez peu inquiets : les risques liés à la digitalisation et l’innovation ne sont respectivement cités que par 36 % et 28 % des professionnels.

Ils sont en revanche 25 % à être préoccupés par leur culture organisationnelle. « Suite au mouvement #metoo, la pression pesant sur les sujets de lutte contre toutes formes d’inégalités, de discriminations et de comportements sexistes n’a jamais été aussi forte. Les organisations sont de plus en plus challengées sur cette question », explique l’Ifaci. Peu d’angoisse, hélas, pour notre planète : seuls 8 % des auditeurs internes citent l’environnement et le changement climatique dans les cinq premiers risques.

(1) – Menée pour la troisième année consécutive, l’étude « Risk in Focus 2019 – Hot topics for internal auditors » est fondée sur les réponses de plus de 300 professionnels de l’audit interne travaillant dans des organisations à travers l’Europe (et rattachés à l’un des sept instituts européens d’audit interne membres de l’ECIIA – en France, Allemagne, Italie, Pays-Bas, Royaume-Uni, Irlande, Suède, Espagne).

(2) – Classement établi en interrogeant les auditeurs sur les cinq principaux risques.

Quels seront les risques majeurs en 2019 ? //
1. La cybersécurité (15 %) //2. La conformité (13 %) //3. La digitalisation (9 %) //4. Les changements réglementaires (8 %) //5. L’incertitude politique (8 %) // Source : Risk in Focus 2019

Pratiques de gestion des risques. Pour une gestion des risques proactive

L’article de Christine Grassi propose la mise en place de pratiques communes, de coordination des actions, de partage de la connaissance…

Les actions de gestion des risques doivent en effet faire l’objet d’une analyse, d’un suivi et d’un apprentissage.

Les résultats font ensuite l’objet d’une communication à la hiérarchie. La Direction Générale est informée de la qualité de la maîtrise des risques dans l’entreprise. Les enjeux de cette dernière étape sont la transparence vis-à-vis du management et des actionnaires – le climat de confiance – et la diffusion d’une culture du risque dans l’entreprise avec l’introduction d’une boucle d’apprentissage collectif.

L’analyse des résultats peut enfin donner lieu à la mise en place de retours d’expérience (mises à jour régulières du site de l’entreprise au fur et à mesure de la réalisation des plans d’actions, d’échanges d’informations entre le terrain et les équipes de management via les bases de données ou encore de diffusion des meilleurs pratiques accessibles à tous).

Ces outils donnent à la démarche de gestion des risques son caractère opérationnel.

Leur mise en place confère également à la gestion des risques une approche globale qui la rapproche de l’Enterprise-wide-Risk-Management (ERM), modèle anglo-saxon d’une gestion des risques présentée comme globale et intégrée, dans lequel le rôle des responsables opérationnels devient essentiel.

Une gestion des risques qui met en place ce type d’outils relève de l’Enterprise-wide-Risk-Management (ERM), modèle anglo-saxon d’une gestion des risques présentée comme globale et intégrée, dans lequel le rôle des responsables opérationnels devient essentiel. Elle est globale au sens de Louisot (2010)[1]. Elle est « intégrée, car la gestion des risques doit effectivement l’être à tous les niveaux de décisions et dans tous les process (Louisot J.P., « ERM à l’épreuve de la crise », Risk management n°1, avril 2010.)

Elle est par essence transversale puisqu’elle est là pour servir les projets, les différentes entités et les processus opérationnels et managériaux de l’entreprise et qu’elle se positionne en accompagnement du processus de décision. Elle suppose l’implication du personnel opérationnel indispensable à une bonne identification des risques. La démarche de gestion des risques se doit d’intervenir en amont de la survenance des évènements, les anticiper et non pas seulement valider les expériences survenues. En cela elle n’est pas seulement une activité de contrôle : on ne cherche pas seulement la qualité de chacune des opérations mais la bonne articulation des activités entre elles.

[1] Modèle anglo-saxon d’une gestion des risques présentée comme globale et intégrée, dans lequel le rôle des responsables opérationnels devient essentiel. La notion de globalité introduit tous les éléments d’incertitude liés au futur de l’organisation, ce que Louisot (2010) englobe sous l’expression « toutes causes, toutes conséquences, toutes opportunités et menaces.»

Comment renforcer la gestion des risques grâce à la GRC ?

Dans un contexte économique fortement marqué par un « time to market » serré, la nécessité d’innover en permanence et d’adopter des cycles de production courts est nécessaire. S’ajoutent à cela des risques de plus en plus nombreux, polymorphes et en perpétuelle évolution. Il est alors crucial pour toute organisation de pouvoir les anticiper et contrôler leurs impacts. Comment ? Par la mise en œuvre d’une gouvernance de gestion des risques centralisée et commune à tous. 

gestion des risques et conformité

Cybercriminalité dans les organisations : vers une émergence de nouveaux besoins

D’après une étude McAfee[1], le coût moyen de la cybercriminalité est estimé à près de 600 milliards de dollars, soit 0,8 % du PIB mondial. A titre d’exemple, le vol des 3 milliards de comptes Yahoo en 2013 a fait perdre à l’entreprise 7 % de sa valeur et mis en péril son activité.

C’est alors toute l’organisation qui est affaiblie, touchant ainsi toute la chaîne de valeur de l’entreprise. Face à la sophistication des cyberattaques et leurs impacts croissants, le risque cyber devient donc une priorité pour les organisations. Selon le World Economic Forum[2], le risque de cyberattaque est quant à lui la 3emenace redoutée par les organisations en 2018, devant la fraude et le vol de données.

Dans ce contexte, le risque cyber devient un enjeu de direction générale. Le problème s’étend à tous les métiers liés à la transformation numérique et pas seulement aux DSI. Il est alors nécessaire pour les DSI et RSSI d’accompagner leur comité de direction dans leurs réflexions stratégiques, améliorer leurs prises de décision en matière d’investissements en sécurité et évoluer vers une culture d’entreprise orientée risque. Ainsi, pour une meilleure efficacité, l’entreprise doit favoriser ce partage de la culture des risques auprès de tous les collaborateurs en les sensibilisant aux enjeux et méthodes du contrôle permanent.

Mais en 2018, quelle est la maturité des organisations en GRC et vers quel état de l’art doivent-elles tendre ?

Retour sur des fondamentaux : de la nécessité d’une GRC maîtrisée

La GRC est une stratégie combinée autour de trois domaines (Gouvernance, Gestion du Risque et Conformité) qui contribue à une gestion efficace du risque d’entreprise, adaptée à la fois aux besoins et à la maturité des acteurs comme le métier, la DSI, le contrôle interne ou la sécurité.

L’approche de la GRC la plus répandue dans les organisations est verticale et donc silotique. Elle est hétérogène selon la fonction de risque concernée (SSI, contrôle interne, audit, etc.), adressée sous l’angle de l’expertise et du projet (analyse de risque, sécurité dans les projets, conformité réglementaire, etc.) et pilotée uniquement par des contraintes légales, réglementaires ou financières.

Cette approche a ses limites : sans vision d’ensemble qui implique tous les acteurs, il est impossible d’anticiper de manière exhaustive les risques à la fois réglementaires, métiers, opérationnels, sécurité, etc.

À bien des égards, cette démarche se rapproche des pratiques liées à la responsabilité sociétale des entreprises (RSE). Le défi à relever est bien la mise en place d’une gouvernance et de standards communs à tous les métiers. Ces briques doivent être orchestrées dans une approche globale et transverse de la GRC, inscrite dans la chaîne de valeurs de l’organisation.

Vers une approche proactive de la GRC et une vision positive du risque

Adapté à un ensemble de facteurs endogènes et exogènes –  comme par exemple le secteur d’activité ou l’exposition à la menace de l’organisation – le dispositif de GRC mis en place doit être cohérent avec l’ADN et l’appétence au risque de cette organisation.

Une approche proactive de la GRC permet de s’adapter en permanence au changement et d’anticiper les risques. Son déploiement s’articule autour de 3 axes :

  • Une connaissance fine et partagée des risques à travers la mise en place d’un socle commun de référentiels et de connaissances et la communication entre les différents contributeurs,
  • La construction d’une approche intégrée favorisée par le rapprochement entre le RSSI et les risks managers, la formalisation d’une cartographie globale des risques, la mise en place de pratiques communes et une coordination des actions de priorisation et de déploiement,
  • Le partage aux directions générales d’une vision consolidée des risques leur permettant de prendre les décisions les plus transverses possibles.

L’outillage, permis par les nouvelles technologies, est alors clé. Il permet de structurer les dispositifs de gestion des risques, de faciliter le partage de la connaissance, et d’alimenter en continu un dispositif de reporting afin de mesurer et de communiquer les résultats.

Cette approche favorise alors l’adoption d’une culture proactive voire positive du risque, indispensable pour les maîtriser de manière efficace. Comment y parvenir ? En commençant par définir un périmètre pilote – à la jonction entre les besoins métiers et les exigences de sécurité – dont les premiers retours sur investissements (ROI) permettront ensuite d’industrialiser la gestion des risques pour toute l’entreprise.

Dans un monde toujours plus ouvert, connecté, avec un impératif d’innovation toujours plus fort, il est nécessaire de passer d’une approche verticale à une approche globale et intégrée de la GRC. Cette dernière doit être construite autour de 3 piliers : la mise en place d’une culture positive du risque au sein de l’entreprise ; une organisation, des processus et une communication unifiée pour l’ensemble des acteurs du risque ; un dispositif de GRC standardisé et outillé pour inscrire le changement dans la durée. Cette approche proactive de la GRC va ainsi devenir vecteur d’opportunités et de confiance à même d’optimiser la stratégie de développement d’une organisation.

[1] McAfee, Economic Impact of Cybercrime – No Slowing Down, February 2018.

[2] World Economic Forum, Voici les principaux risques auxquels le monde est confronté, Janvier 2018.

 

LA GESTION DES RISQUES : UN CHANTIER CONSIDÉRABLE POUR LES PME ET ETI

Par Haude-Marie Thomas – Publié le 06 juin 2016, à 11h 24

Argus de l’Assurance

Les PME sont conscientes de l’importance de la gestion des risques mais le chantier à mener leur semble considérable, selon l’enquête menée auprès de 363 entreprises françaises pour l’assureur QBE.

Plus de 40% des PME et ETI pensent que le niveau global des risques a augmenté au cours des six derniers mois, selon l’étude commandée par l’assureur QBE. Le même pourcentage indique aussi que la tendance devrait s’accroître dans les six prochains mois. Le premier risque identifié est la cybercriminalité dont la menace a augmenté pour 53% des personnes interrogées, la concurrence et la pression sur les marges (50%) et les risques liés à la solvabilité des clients (46%). Pourtant l’étude pointe un fort décalage entre les ambitions et les réalisations en matière de gestion des risques.

97% des dirigeants identifient un point d’amélioration

85% des PME et ETI assurent avoir pris ces trois dernières années des mesures pour améliorer la gestion des risques au sein de leur entreprise. Ainsi, un tiers a abandonné complètement certaines gammes de produits, clients ou marchés jugés trop risqués (même si une entreprise sur deux indique dans le même temps être devenue plus tolérante aux risques lors de la conquête de nouveaux marchés). Toutefois, 8 entreprises sur 10, ayant pris des mesures pour améliorer l’approche de la gestion des risques déclarent avoir rencontré des difficultés.

Les principaux freins sont le manque de temps et de ressources (63%), la difficulté à répercuter les changements au sein de l’entreprise (60%), le coût de la mise en place des changements (46%) et le manque d’expertise en interne (40%). Seule une entreprise sur quatre indique avoir intégré une démarche globale de la gestion des risques.

LE POINT DE VUE DES PROFESSIONNELS DE LA GESTION DES RISQUES

Top five des risques

Selon le baromètre des risques AGCS, les cinq premiers risques business en 2016 en Europe sont les suivants : (1) l’interruption d’activité (2) les développements du marché (3) les cyberattaques (4) Le changement de régulation (5) les développements macroéconomiques

Les risques de développements du marché et de développements macroéconomiques font leur apparition dans le classement. Ce sont des nouveaux risques, découlant de l’entrée des entreprises dans un nouveau monde digital, fondé sur des données de masse et de nouvelles technologies.

Les autres risques se sont renforcés : plus 9 points pour le risque d’interruption d’activité ; plus 23 points pour le risque de cyberattaques ; plus 19 points pour le risque de changement de régulation.

Quatre exemples de dispositifs  de gestion des risques / Voir Les Echos 25/01/2016

(1) Biomérieux
  • organisation de la FRM : risques gérés par le département de l’Audit Interne depuis 2014  / rattachement à la DG
  • activité : développement d’une cartographie des risques majeurs / quatre zones distinctes : l’action, le contrôle, la délégation et la surveillance / mise à jour annuelle / identification d’un « propriétaire » / mise en place d’un plan d’action
(2) Thales
  • étude approfondie des implications d’un séisme qui a ravagé l’effondrement de son usine de l’Aquila en 2009. Celle-ci a permis de ne pas subir de plein fouet les conséquences des pluies diluviennes à Cannes où est situé l’un de ses sites industriels majeurs.
(3) Safran
  • risque « retard fournisseur » : risque important du fait de la montée en cadence des programmes de production
  • création d’outils de crédit – surveillance des délais pour gérer le risque
  • mise en place d’une formation « maison » sur le campus de l’université d’entreprise à Massy pour développer une culture du risque
(4) Ipsen
  • risque de contrefaçon de médicaments
  • étape d’identification et de quantification de ce risque majeur porté par un membre du comité exécutif
  • mise en place d’une nouvelle organisation : comité transversal dédié, piloté par la direction juridique et la direction de la supply chain chargé « d’accélérer, de compléter et de superviser les plans d’action, de coordonner les actions en réponse aux cas de contrefaçon et d’en rendre compte régulièrement à la DG. »

Prise de conscience des risques dans les ETI 

Voir étude signée du groupe ACE (devenue Chubb).

La FRM se développe. L’Association pour le Management des Risques et Assurance de l’Entreprise (AMRAE) estime qu’un tiers de ses membres sont des représentants d’ETI.

La Fonction Risk Manager  

  • A venir l’étude biannuelle de la FERMA (Federation of European Risk Management Associations). FERMA lance son enquête biannuelle « European Risk and Insurance Survey 2016 » le 8 août 2016. Les résultats seront présentés lors de la semaine FERMA 2016 à Malte les 3 et 4 octobre 2016.
  • La description d’une FRM Business Partner de la DG est bien présente dans les études destinées aux professionnels de la gestion des risques. Mythe ou réalité ?

          Voir dernier baromètre RM publié par l’AMRAE  en septembre 2015

             

 

ACTUALITES – Recherche

Nouvel article publié :

Aubry C., « La place des ‘risk managers’ dans l’organisation. Analyse sur la période d’émergence de la fonction ‘risk manager’ en France », Revue Recherches en Sciences de Gestion, n°120, p.101 à 119.

https://www.cairn.info/revue-recherches-en-sciences-de-gestion-2017-3-p-101.htm

Travail en cours :

  • Co-écriture d’un ouvrage intitulé « La Fonction Risk Manager » ; publication mars 2017.
  • Article à soumettre à une revue à comité de lecture « La Fonction ‘risk manager’ en France : proposition d’une typologie sur la période d’émergence ».