Les enjeux de la gestion des risques en 2023 : solidifier la gestion des risques opérationnels, accompagner la décarbonation et les changements climatiques, éclairer les gouvernances

Dans les grandes entre­prises et les ETI, la ges­tion des risques est deve­nue robuste. Grâce entre autres au risk mana­ge­ment, elles ont sur­mon­té plus faci­le­ment que d’autres la pan­dé­mie, ont redé­mar­ré rapi­de­ment leurs acti­vi­tés en embar­quant équipes et par­ties pre­nantes. L’agenda des risk mana­gers est celui de l’économie et de l’entreprise : pré­ven­tion et finan­ce­ment des risques, décar­bo­na­tion, attentes de la gou­ver­nance, Oli­ver Wild, pré­sident de l’Amrae fait le point.

Ges­tion des risques rime tou­jours avec pro­tec­tion des équipes et des actifs maté­riels et imma­té­riels dans une éco­no­mie en pleine trans­for­ma­tion numé­rique. Ses nou­veaux para­digmes sont désor­mais la très haute sen­si­bi­li­té à l’environnement géo­po­li­tique, la décar­bo­na­tion de l’économie et l’impact des chan­ge­ments cli­ma­tiques dans des orga­ni­sa­tions où ont évo­lué les rap­ports au tra­vail, voire le tra­vail lui-même. 

Face aux ten­sions per­sis­tantes sur le mar­ché de l’assurance et de la réas­su­rance, les entre­prises qui ne cessent de ren­for­cer leurs poli­tiques de pré­ven­tion des risques, uti­lisent, au côté de l’assurance, des outils alter­na­tifs et com­plé­men­taires de finan­ce­ment désor­mais plus faci­le­ment mobi­li­sables en France. Avec la publi­ca­tion du décret du 7 juin 2023 sur les pro­vi­sions pour rési­lience, la repré­sen­ta­tion natio­nale et les pou­voirs publics ont ren­for­cé les moyens d’une sou­ve­rai­ne­té finan­cière pour que les entre­prises fran­çaises prennent encore mieux leurs risques en charge.

Éclairer les organes de direction

La ges­tion des risques est de plus en plus pré­gnante dans les comi­tés de direc­tion. Les exi­gences des comi­tés spé­cia­li­sés des conseils d’administration sont désor­mais en phase avec les méthodes et apports de la ges­tion des risques des risk mana­gers. Conti­nui­té d’activité, risque cli­ma­tique, cyber rési­lience et finan­ce­ment des risques sont les sujets phares de ces comi­tés. Dans les ter­ri­toires, les orga­ni­sa­tions pro­fes­sion­nelles comme le Medef, mettent à dis­po­si­tion de leurs adhé­rents un risk mana­ger pour les aider à orga­ni­ser leur ges­tion des risques et orga­ni­ser les condi­tions de leur résilience.

Servir la double matérialité

Pour les entre­prises res­pon­sables, la car­to­gra­phie uti­li­sée pour détec­ter les risques, oppor­tu­ni­tés et enjeux aux­quels elles doivent faire face à court, moyen et long terme a élar­gi son péri­mètre pour ser­vir une per­for­mance plu­rielle. Cette car­to­gra­phie, cen­trée ini­tia­le­ment sur l’écoute des par­ties pre­nantes internes à des fins de per­for­mance finan­cière, sert aus­si désor­mais la per­for­mance envi­ron­ne­men­tale, sociale et socié­tale. Le risk mana­ger élar­git ain­si son exer­cice de car­to­gra­phie pour avoir une contri­bu­tion des par­ties pre­nantes internes et désor­mais en dehors de l’entreprise. Il doit éga­le­ment y inté­grer les récents déve­lop­pe­ments régle­men­taires ESG et suivre ceux à venir.

Partager le risque cyber : les clés de la confiance numérique

La confiance numé­rique est un actif imma­té­riel clé pour les orga­ni­sa­tions. Les grandes entre­prises et ETI ont inves­ti mas­si­ve­ment et de façon struc­tu­rée sur la sécu­ri­té de leurs sys­tèmes d’information, à l’aune des direc­tives NIS 1 et NIS 2 (en cours de trans­po­si­tion) et des régle­men­ta­tions pour les opé­ra­teurs d’importance vitale ou de ser­vices essentiels.

Les méthodes, outils, équipes, réfé­ren­tiels et guides (comme « La maî­trise du risque numé­rique » écrit avec l’Amrae) de l’Agence Natio­nale de la Sécu­ri­té des Sys­tèmes d’information (Ans­si) sont un fac­teur clé de la confiance numé­rique du tis­su éco­no­mique français.

Face aux consé­quences d’un ran­çon­gi­ciel ou d’une para­ly­sie d’un infor­ma­tique com­mer­cial ou de pro­duc­tion, la pré­ven­tion et l’entraînement sont les meilleurs pre­miers boucliers.

Quant aux réponses et à l’accompagnement de l’assurance, ils sont inégaux et pas tou­jours à la hau­teur des besoins du mar­ché. Ain­si, en 2021, pour com­bler le défi­cit de la branche cyber du mar­ché de l’assurance des grandes entre­prises, les assu­reurs ont réduit leur capa­ci­té, aug­men­té les tarifs et fran­chises, voire dimi­nué l’étendue des cou­ver­tures. En réac­tion, les entre­prises se sont moins assu­rées, voire pas ou plus du tout, recher­chant des solu­tions alter­na­tives de finan­ce­ment (cap­tive de réas­su­rance, adhé­sion à une mutuelle spé­cia­li­sée sur le risque cyber ou encore por­tage total du risque sur leurs fonds propres).

En 2023, selon la seconde étude « Lumière sur la cybe­ras­su­rance – LUCY » de l’Amrae, les ETI connaissent à leur tour les mêmes dif­fi­cul­tés, alors que les ten­sions se sont un peu apai­sées pour les grandes entreprises.

L’engagement des pouvoirs publics

Enfin, il faut noter l’engagement pro­fond et durable des ser­vices de l’État sur la ges­tion du risque cyber.

La mise en œuvre de la loi d’orientation et de pro­gram­ma­tion du minis­tère de l’Intérieur (LOPMI) impose désor­mais à toute entre­prise, vic­time d’une intru­sion dans son sys­tème d’information, une fois celle-ci consta­tée, de por­ter plainte sous 72 heures auprès des pou­voirs publics pour que les assu­reurs concer­nés, dont l’assureur cyber, puissent indem­ni­ser ce sinistre. Avec cette plainte, les ser­vices de l’État peuvent dili­gen­ter leur enquête, la sous-direc­tion du Tré­sor en charge des assu­rances et France Assu­reurs peuvent quan­ti­fier au réel.

Trois questions à Christel Heydemann (X94), directrice générale d’Orange

Qu’attendez-vous de la gestion des risques et des risk managers du groupe ?

Orange four­nit des ser­vices de télé­com­mu­ni­ca­tion à des mil­lions de clients à tra­vers le monde. Notre sec­teur, celui des nou­velles tech­no­lo­gies, est très com­pé­ti­tif. Nous gérons enfin notre propre infra­struc­ture réseaux et opé­rons dans un cadre extrê­me­ment régle­men­té. Dans ce contexte, la ges­tion des risques est essen­tielle pour com­prendre où sont les menaces, nous adap­ter et nous trans­for­mer, ain­si que pour ren­for­cer la rési­lience de notre Groupe.

Chez Orange, je peux m’appuyer sur l’expertise et l’engagement de risk mana­gers qui pro­tègent nos actifs autant que notre répu­ta­tion. J‘attends d’eux une pos­ture d’anticipation afin d’identifier toutes les menaces jusqu’aux plus impro­bables et de dres­ser des scé­na­rios en com­bi­nant dif­fé­rents fac­teurs pour prendre les meilleures mesures avant que les risques ne se maté­ria­lisent. Face à une crise, je sais aus­si pou­voir comp­ter sur leur mobi­li­sa­tion pour réagir de façon effi­cace et professionnelle.

Cette rela­tion de confiance s’appuie sur la trans­pa­rence et l’objectivité. Elle est essen­tielle pour main­te­nir une com­mu­ni­ca­tion ouverte avec la direc­tion géné­rale et le conseil d’administration, afin de nous aider à prendre des déci­sions infor­mées sur notre stra­té­gie ou la conti­nui­té de nos acti­vi­tés. Je suis convain­cue qu’au-delà de la pro­tec­tion, une ges­tion saine des risques crée aus­si de la valeur pour l’ensemble de nos par­ties pre­nantes, y com­pris nos actionnaires.

Orange est au cœur de la transformation numérique de l’économie. Quels sont ses enjeux et actions pour sensibiliser ses clients particuliers et professionnels aux risques du digital ?

Notre objec­tif est de four­nir à tous nos clients le meilleur ser­vice pos­sible en matière de connec­ti­vi­té : les par­ti­cu­liers, les entre­prises, les ins­ti­tu­tions publiques. L’accès aux tech­no­lo­gies bou­le­verse leur fonc­tion­ne­ment et agran­dit l’horizon des pos­sibles, qu’il s’agisse du Très Haut Débit fixe ou mobile, de l’intelligence arti­fi­cielle ou encore du Cloud. Mais cette expo­si­tion numé­rique n’est pas sans risque, nous en fai­sons toutes et tous l’expérience au quotidien.

C’est pour­quoi Orange accom­pagne chaque client de façon per­son­na­li­sée et en s’adaptant à ses besoins. Nous met­tons l’expertise et les outils déve­lop­pés par notre filiale Orange Cyber­dé­fense au ser­vice des entre­prises, des cam­pagnes de sen­si­bi­li­sa­tion et de for­ma­tion sont régu­liè­re­ment orga­ni­sées pour les clients grand public autour des risques du numé­rique, des mesures de pré­ven­tion sont pro­po­sées pour les publics les plus fra­giles et une cel­lule spé­cia­li­sée ana­lyse les inci­dents et sur­veille l’évolution de l’écosystème des fraudes sur nos réseaux.

Nous mesu­rons plei­ne­ment notre res­pon­sa­bi­li­té en matière de pro­tec­tion face aux risques numé­riques, de plus en plus nom­breux et de plus en plus com­plexes. Notre ambi­tion est d’être le par­te­naire de confiance de nos clients, c’est au cœur de notre rai­son d’être : « Orange est l’acteur de confiance qui donne à cha­cune et à cha­cun les clés d’un monde numé­rique responsable ».

L’Europe avec notamment Nis 2 est-elle, à vos yeux, suffisamment proactive ?

La cyber­sé­cu­ri­té et la rési­lience des infra­struc­tures cri­tiques sont au cœur des pré­oc­cu­pa­tions de chaque état Membre de l’UE. Avec Nis 2, l‘objectif est d’aller encore plus loin et de fran­chir un cap en matière de com­pré­hen­sion et de col­la­bo­ra­tion entre états pour ren­for­cer notre rési­lience col­lec­tive. Nis 2 prend acte des inter­dé­pen­dances entre états, entre la spé­cia­li­sa­tion de cer­tains d’entre eux sur des ques­tions spé­ci­fiques, et le rôle trans­na­tio­nal voire sys­té­mique de cer­tains opé­ra­teurs d’autre part.

En s’appuyant sur Orange comme sur d’autres enti­tés, qu’elles soient « essen­tielles » ou « impor­tantes », l’UE ren­force son maillage ter­ri­to­rial, défi­nit un seuil mini­mal de rési­lience et d’organisation de chaque état membre et adopte une approche pro­por­tion­nelle en matière d’exigences, de contrôles et de sanctions.

En pre­nant de telles mesures tech­niques, opé­ra­tion­nelles et orga­ni­sa­tion­nelles en matière de ges­tion des risques, cela encou­rage effec­ti­ve­ment les entre­prises à anti­ci­per et à déve­lop­per le par­tage d’informations.

Cepen­dant, compte tenu de la nature en constante évo­lu­tion des cyber­me­naces, il est essen­tiel de conti­nuer à sur­veiller et amé­lio­rer nos dis­po­si­tifs. J’espère que l’UE déve­lop­pe­ra éga­le­ment une poli­tique exi­geante en matière de détec­tion et de cor­rec­tion des vul­né­ra­bi­li­tés vis-à-vis des four­nis­seurs y com­pris non euro­péens. Sans un rehaus­se­ment glo­bal de la sécu­ri­té des sup­ply chain, il semble illu­soire de faire por­ter tout le poids de la rési­lience sur les seuls opé­ra­teurs de ser­vice et de réseaux.

Captives à la française et en France : les obstacles sont levés

Par Bri­gitte Bou­quot (X76), Vice-pré­si­dente de l’Amrae, admi­nis­tra­trice des socié­tés d’assurance de Thales, copré­si­dente de l’association som­mi­tale d’Ag2r

Le mar­ché de l’assurance fait face à de nom­breux défis, notam­ment en rai­son de la vola­ti­li­té crois­sante des risques et des consé­quences sys­té­miques et poten­tiel­le­ment dévas­ta­trices des évé­ne­ments catas­tro­phiques. Dans ce contexte, les cap­tives de réas­su­rance ont émer­gé comme un outil essen­tiel pour les entre­prises dési­reuses de gérer leurs risques de manière proac­tive et de garan­tir leur résilience.

Le 7 juin 2023 était publié le décret d’application n° 2023–449 de l’article 6 de la loi de finances pour 2023 rela­tif aux règles de comp­ta­bi­li­sa­tion de la pro­vi­sion pour rési­lience consti­tuée par les entre­prises cap­tives de réassurance.

Sous cette déno­mi­na­tion tech­nique, s’affiche une étape déci­sive pour ren­for­cer la rési­lience des entre­prises fran­çaises face aux défis de la ges­tion des risques et de leur financement.

« La France offre désormais de solides conditions réglementaires pour permettre aux entreprises de provisionner des risques futurs. »

La France offre désor­mais de solides condi­tions régle­men­taires pour per­mettre aux entre­prises de pro­vi­sion­ner des risques futurs.

Une cap­tive de réas­su­rance est une enti­té d’assurance déte­nue par une entre­prise ou un groupe, qui vise à cou­vrir – dans le temps – une part des risques propres à l’entreprise ou à ses filiales. En effet, il s’agit dans le cadre du trans­fert des risques de l’entreprise à ses assu­reurs, de réas­su­rer l’assureur sur une par­tie de ces risques par la cap­tive, qui col­lecte alors la part de prime cor­res­pon­dante. Ain­si la cap­tive accu­mule des fonds internes uti­li­sables pour indem­ni­ser les sinistres. Ce dis­po­si­tif qui alloue du capi­tal com­plé­men­taire à celui des assu­reurs pour le finan­ce­ment des risques per­met de ren­for­cer la rési­lience finan­cière des orga­ni­sa­tions dans un envi­ron­ne­ment du mar­ché de l’assurance et de la réas­su­rance qui se dur­cit (hausse des primes d’assurances, aug­men­ta­tion des fran­chises, nou­velles exclu­sions, baisse des capacités).

De plus, face à l’émergence de risques sys­té­miques mul­tiples, cet outil pré­sente l’intérêt majeur d’apporter à l’entreprise une vue glo­bale de l’ensemble de ses risques (iden­ti­fi­ca­tion, quan­ti­fi­ca­tion, pré­ven­tion, pro­tec­tion, trans­fert, retour d’expérience). En agis­sant comme une nou­velle ligne de défense interne, les cap­tives per­mettent aux entre­prises de réduire leur expo­si­tion à la vola­ti­li­té des cycles des mar­chés de l’assurance et de la réas­su­rance tra­di­tion­nels et sur­tout de mieux gérer leurs propres risques en allouant éga­le­ment des res­sources à la prévention.

Un dispositif très encadré pour des risques dénommés.

Ain­si les entre­prises, autres que des entre­prises finan­cières, dis­po­sant d’une cap­tive de réas­su­rance en France, peuvent consti­tuer, en fran­chise d’impôt, une pro­vi­sion des­ti­née à faire face aux charges affé­rentes aux opé­ra­tions de réas­su­rance accep­tées dont les risques d’assurance relèvent des caté­go­ries sui­vantes : dom­mages aux biens pro­fes­sion­nels et agri­coles, catas­trophes natu­relles, res­pon­sa­bi­li­té civile géné­rale, pertes pécu­niaires, dom­mages et pertes pécu­niaires consé­cu­tifs aux atteintes aux sys­tèmes d’information et de com­mu­ni­ca­tion et transports.

Au 30 mai 2023, la France recen­sait 10 cap­tives imma­tri­cu­lées sur son ter­ri­toire. Selon une enquête d’avril 2023 de l’Amrae, plus de 50 entre­prises ont un pro­jet de créa­tion d’un tel dispositif.

Sou­mis à Sol­va­bi­li­té 2, super­vi­sé par l’Autorité de Contrôle Pru­den­tiel et de contrôle (ACPR), la créa­tion d’une cap­tive ne s’improvise pas. Elle requiert un mini­mum de 1,5 MEUR de capi­tal ini­tial, sa gou­ver­nance ne se délègue pas à l’extérieur, et parce qu’elle ne se délègue pas, la rend pré­cieuse pour la connais­sance de la maî­trise des risques des ins­tances dirigeantes.

Il faut saluer la téna­ci­té des pou­voirs publics, des par­le­men­taires et des pro­fes­sion­nels de la ges­tion des risques, dont l’Amrae, qui ont mobi­li­sé toute leur éner­gie pour cette nou­velle brique pour la rési­lience des entre­prises, et aus­si leur souveraineté.

---

Articles similaires :

DSO Group : la ges­tion du poste client de A jusqu’à Z Cabi­net CARAKTERS : de l’anticipation des risques à l’opérationnel industriel Les data et l’intelligence arti­fi­cielle au ser­vice de la détec­tion des risques Ges­tion des risques : un besoin ren­for­cé d’innovation et d’agilité La confor­mi­té : une diver­si­té de métiers, une plu­ra­li­té de parcours