B.Bouquot (Amrae) : "Il est essentiel d’avoir une vision holistique du risque"
Décideurs. Quel bilan tirez-vous des 27es Rencontres du Risk Management dont le thème était « Le risque au cœur de la transformation » ?
Brigitte Bouquot. Avec ce thème, nous ne nous sommes jamais sentis aussi proches de l’actualité, le risque étant au cœur des discussions sociétales des entreprises face à la transformation du monde. Ces rencontres ont également été un grand succès grâce aux intervenants, aux thématiques des conférences et à la cohérence du sujet scientifique en lui-même. Le risk manager dispose depuis quelques années maintenant d’une place plus importante au sein des entreprises, notamment au travers de l’élaboration de cartographies des risques et de la mise en place de politiques de prévention dès la stratégie. Il est en effet essentiel d’avoir une vision holistique du risque. Les dirigeants ont par ailleurs compris que, dans un monde hyperconnecté, leurs entreprises peuvent faire l’objet de cyber-attaques et qu’il est donc important de réagir très rapidement et d’apporter des réponses immédiates en matière de gestion et de communication de crise et de continuité d’activité. D’où le concept de l’entreprise résiliente qui commence à être de plus en plus repris.
Le risk manager est en effet au cœur de la résilience des entreprises. Comment cela se traduit-il en pratique ?
Plusieurs facteurs peuvent faire prendre conscience à l’entreprise que la résilience est nécessaire : la catastrophe naturelle, le cyber-risque ou encore par les risques de conformité, qui ne sont pas nécessairement assurables au premier chef. Nous sommes passés d’un monde d’experts, dont ceux assurantiels, à celui de la corporate governance. Les grands patrons parlent désormais ouvertement de réputation et de résilience et sont attachés à présider un comité des risques. Mais pour moi, cela ne suffit cependant pas.
Un nouveau monde émerge, dans lequel la capacité à gérer les risques sera déterminante. Certes, La résilience est déjà en elle-même une transformation puisqu’il s’agit d’oublier certaines choses pour repartir sur de nouvelles bases. Il est donc déjà remarquable de parler d’entreprises résilientes puisque cela signifie qu’elles sont agiles et capables de se réinventer. Mais comment ? En étant conscientes de leur impact, positif ou négatif, direct et indirect, afin de pour l’intégrer concrètement dans leur stratégie la gestion du risque.
"Le risk manager peut impulser une refonte de la stratégie de son entreprise"
Demain, quand les entreprises penseront résilience, elles penseront « raison d’être ». Elles se rendront ainsi compte que, dans un monde actuel incertain, elles vont devoir très rapidement se questionner sur leurs contributions à la résilience sociétale dont elles ont en partie la responsabilité. Les sociétés n’ont cependant pas toutes le même niveau de maturité.
Le RGPD est entré en application en mai 2018. Quel est son impact sur la cyber-assurance ?
Le RGPD a fait prendre conscience aux dirigeants d’entreprise du risque de rupture lié à la data privacy. Tant en matière de conséquences pécuniaires pour l’entreprise que de responsabilité pour eux. Les conséquences des cyber-attaques peuvent être importantes voire dramatiques. Il est indispensable de mettre en place des moyens de gestion de crise et être capable de les financer. C’est ce qui a contribué à l’émergence de la cyber-assurance.
Les risk managers travaillent sur la question cyber depuis près de cinq ans afin de modéliser les éventuels scénarios catastrophes. Je les exhorte à demander les budgets nécessaires pour la prévention puisqu’ils doivent veiller à la sécurité numérique de leur entreprise. Tant que les sociétés ne seront pas bien organisées en interne, les assureurs n’ouvriront qu’une capacité très inférieure aux besoins du marché.
Quels sont les risques qui préoccupent le plus les risk managers, hormis la cyber-criminalité ?
Les risques dépendent de la nature des industries, mais celui qui touche toutes les entreprises est le risque technologique. Il n’est certes pas nouveau, mais son intensité et sa fréquence doivent amener les dirigeants à agir. On commence en effet seulement à comprendre les externalités négatives liées à cette problématique. L’accélération du réchauffement climatique est également un sujet de discussions. Le risk manager peut impulser une refonte de la stratégie de son entreprise pour accompagner sa transition énergétique. En exposant les impacts aux dirigeants, son rôle est primordial pour éviter que la société ne prenne une mauvaise direction, chose dont on ne se rend compte que plusieurs années après.
"Les grands patrons parlent désormais ouvertement de réputation et de résilience"
Votre guide sur la gestion des risques à destination des PME et ETI, en collaboration avec le Medef Deux-Sèvres a été très bien accueilli. Sur quoi s’appuie-t-il ?
À la suite de multiples attaques cyber, dont la fraude au président, plusieurs entrepreneurs des Deux-Sèvres se sont fédérés afin de discuter des bonnes méthodes pour gérer au mieux les risques auxquels sont confrontées les petites et les moyennes entreprises. Ce Medef territorial s’est alors saisi de ce besoin et a décidé d’assister ses adhérents locaux sur cette problématique. Il s’est ensuite tourné vers l’antenne locale de l’Amrae pour rédiger un guide très opérationnel à destination des PME et des ETI. Cette publication se base sur les retours d’expérience de douze chefs d’entreprise du département qui révèlent certains de leurs problèmes, au contraire des dirigeants du CA C40. Il s’accompagne de macartodesrisques.fr une application en ligne gratuite et anonyme pour effectuer en trois heures seulement sa première cartographie des risques. Attention toutefois de ne pas opposer les risk managers des petites entreprises et ceux des grandes. Tous ont la même mission : prévenir les risques. L’approche par les risques est collégiale et transversale, crée du lien et permet de faire remonter les sujets qui méritent l’attention.