Les enjeux de la gestion des risques en 2023 : solidifier la gestion des risques opérationnels, accompagner la décarbonation et les changements climatiques, éclairer les gouvernances

Dans les grandes entre­pris­es et les ETI, la ges­tion des risques est dev­enue robuste. Grâce entre autres au risk man­age­ment, elles ont sur­mon­té plus facile­ment que d’autres la pandémie, ont redé­mar­ré rapi­de­ment leurs activ­ités en embar­quant équipes et par­ties prenantes. L’agenda des risk man­agers est celui de l’économie et de l’entreprise : préven­tion et finance­ment des risques, décar­bon­a­tion, attentes de la gou­ver­nance, Oliv­er Wild, prési­dent de l’Amrae fait le point.

Ges­tion des risques rime tou­jours avec pro­tec­tion des équipes et des act­ifs matériels et immatériels dans une économie en pleine trans­for­ma­tion numérique. Ses nou­veaux par­a­digmes sont désor­mais la très haute sen­si­bil­ité à l’environnement géopoli­tique, la décar­bon­a­tion de l’économie et l’impact des change­ments cli­ma­tiques dans des organ­i­sa­tions où ont évolué les rap­ports au tra­vail, voire le tra­vail lui-même. 

Face aux ten­sions per­sis­tantes sur le marché de l’assurance et de la réas­sur­ance, les entre­pris­es qui ne cessent de ren­forcer leurs poli­tiques de préven­tion des risques, utilisent, au côté de l’assurance, des out­ils alter­nat­ifs et com­plé­men­taires de finance­ment désor­mais plus facile­ment mobil­is­ables en France. Avec la pub­li­ca­tion du décret du 7 juin 2023 sur les pro­vi­sions pour résilience, la représen­ta­tion nationale et les pou­voirs publics ont ren­for­cé les moyens d’une sou­veraineté finan­cière pour que les entre­pris­es français­es pren­nent encore mieux leurs risques en charge.

Éclairer les organes de direction

La ges­tion des risques est de plus en plus prég­nante dans les comités de direc­tion. Les exi­gences des comités spé­cial­isés des con­seils d’administration sont désor­mais en phase avec les méth­odes et apports de la ges­tion des risques des risk man­agers. Con­ti­nu­ité d’activité, risque cli­ma­tique, cyber résilience et finance­ment des risques sont les sujets phares de ces comités. Dans les ter­ri­toires, les organ­i­sa­tions pro­fes­sion­nelles comme le Medef, met­tent à dis­po­si­tion de leurs adhérents un risk man­ag­er pour les aider à organ­is­er leur ges­tion des risques et organ­is­er les con­di­tions de leur résilience.

Servir la double matérialité

Pour les entre­pris­es respon­s­ables, la car­togra­phie util­isée pour détecter les risques, oppor­tu­nités et enjeux aux­quels elles doivent faire face à court, moyen et long terme a élar­gi son périmètre pour servir une per­for­mance plurielle. Cette car­togra­phie, cen­trée ini­tiale­ment sur l’écoute des par­ties prenantes internes à des fins de per­for­mance finan­cière, sert aus­si désor­mais la per­for­mance envi­ron­nemen­tale, sociale et socié­tale. Le risk man­ag­er élar­git ain­si son exer­ci­ce de car­togra­phie pour avoir une con­tri­bu­tion des par­ties prenantes internes et désor­mais en dehors de l’entreprise. Il doit égale­ment y inté­gr­er les récents développe­ments régle­men­taires ESG et suiv­re ceux à venir.

Partager le risque cyber : les clés de la confiance numérique

La con­fi­ance numérique est un act­if immatériel clé pour les organ­i­sa­tions. Les grandes entre­pris­es et ETI ont investi mas­sive­ment et de façon struc­turée sur la sécu­rité de leurs sys­tèmes d’information, à l’aune des direc­tives NIS 1 et NIS 2 (en cours de trans­po­si­tion) et des régle­men­ta­tions pour les opéra­teurs d’importance vitale ou de ser­vices essentiels.

Les méth­odes, out­ils, équipes, référen­tiels et guides (comme « La maîtrise du risque numérique » écrit avec l’Amrae) de l’Agence Nationale de la Sécu­rité des Sys­tèmes d’information (Anssi) sont un fac­teur clé de la con­fi­ance numérique du tis­su économique français.

Face aux con­séquences d’un rançongi­ciel ou d’une paralysie d’un infor­ma­tique com­mer­cial ou de pro­duc­tion, la préven­tion et l’entraînement sont les meilleurs pre­miers boucliers.

Quant aux répons­es et à l’accompagnement de l’assurance, ils sont iné­gaux et pas tou­jours à la hau­teur des besoins du marché. Ain­si, en 2021, pour combler le déficit de la branche cyber du marché de l’assurance des grandes entre­pris­es, les assureurs ont réduit leur capac­ité, aug­men­té les tar­ifs et fran­chis­es, voire dimin­ué l’étendue des cou­ver­tures. En réac­tion, les entre­pris­es se sont moins assurées, voire pas ou plus du tout, recher­chant des solu­tions alter­na­tives de finance­ment (cap­tive de réas­sur­ance, adhé­sion à une mutuelle spé­cial­isée sur le risque cyber ou encore portage total du risque sur leurs fonds propres).

En 2023, selon la sec­onde étude « Lumière sur la cyberas­sur­ance – LUCY » de l’Amrae, les ETI con­nais­sent à leur tour les mêmes dif­fi­cultés, alors que les ten­sions se sont un peu apaisées pour les grandes entreprises.

L’engagement des pouvoirs publics

Enfin, il faut not­er l’engagement pro­fond et durable des ser­vices de l’État sur la ges­tion du risque cyber.

La mise en œuvre de la loi d’orientation et de pro­gram­ma­tion du min­istère de l’Intérieur (LOPMI) impose désor­mais à toute entre­prise, vic­time d’une intru­sion dans son sys­tème d’information, une fois celle-ci con­statée, de porter plainte sous 72 heures auprès des pou­voirs publics pour que les assureurs con­cernés, dont l’assureur cyber, puis­sent indem­nis­er ce sin­istre. Avec cette plainte, les ser­vices de l’État peu­vent dili­gen­ter leur enquête, la sous-direc­tion du Tré­sor en charge des assur­ances et France Assureurs peu­vent quan­ti­fi­er au réel.

Trois questions à Christel Heydemann (X94), directrice générale d’Orange

Qu’attendez-vous de la gestion des risques et des risk managers du groupe ?

Orange four­nit des ser­vices de télé­com­mu­ni­ca­tion à des mil­lions de clients à tra­vers le monde. Notre secteur, celui des nou­velles tech­nolo­gies, est très com­péti­tif. Nous gérons enfin notre pro­pre infra­struc­ture réseaux et opérons dans un cadre extrême­ment régle­men­té. Dans ce con­texte, la ges­tion des risques est essen­tielle pour com­pren­dre où sont les men­aces, nous adapter et nous trans­former, ain­si que pour ren­forcer la résilience de notre Groupe.

Chez Orange, je peux m’appuyer sur l’expertise et l’engagement de risk man­agers qui pro­tè­gent nos act­ifs autant que notre répu­ta­tion. J‘attends d’eux une pos­ture d’anticipation afin d’identifier toutes les men­aces jusqu’aux plus improb­a­bles et de dress­er des scé­nar­ios en com­bi­nant dif­férents fac­teurs pour pren­dre les meilleures mesures avant que les risques ne se matéri­alisent. Face à une crise, je sais aus­si pou­voir compter sur leur mobil­i­sa­tion pour réa­gir de façon effi­cace et professionnelle.

Cette rela­tion de con­fi­ance s’appuie sur la trans­parence et l’objectivité. Elle est essen­tielle pour main­tenir une com­mu­ni­ca­tion ouverte avec la direc­tion générale et le con­seil d’administration, afin de nous aider à pren­dre des déci­sions infor­mées sur notre stratégie ou la con­ti­nu­ité de nos activ­ités. Je suis con­va­in­cue qu’au-delà de la pro­tec­tion, une ges­tion saine des risques crée aus­si de la valeur pour l’ensemble de nos par­ties prenantes, y com­pris nos actionnaires.

Orange est au cœur de la transformation numérique de l’économie. Quels sont ses enjeux et actions pour sensibiliser ses clients particuliers et professionnels aux risques du digital ?

Notre objec­tif est de fournir à tous nos clients le meilleur ser­vice pos­si­ble en matière de con­nec­tiv­ité : les par­ti­c­uliers, les entre­pris­es, les insti­tu­tions publiques. L’accès aux tech­nolo­gies boule­verse leur fonc­tion­nement et agrandit l’horizon des pos­si­bles, qu’il s’agisse du Très Haut Débit fixe ou mobile, de l’intelligence arti­fi­cielle ou encore du Cloud. Mais cette expo­si­tion numérique n’est pas sans risque, nous en faisons toutes et tous l’expérience au quotidien.

C’est pourquoi Orange accom­pa­gne chaque client de façon per­son­nal­isée et en s’adaptant à ses besoins. Nous met­tons l’expertise et les out­ils dévelop­pés par notre fil­iale Orange Cyberdéfense au ser­vice des entre­pris­es, des cam­pagnes de sen­si­bil­i­sa­tion et de for­ma­tion sont régulière­ment organ­isées pour les clients grand pub­lic autour des risques du numérique, des mesures de préven­tion sont pro­posées pour les publics les plus frag­iles et une cel­lule spé­cial­isée analyse les inci­dents et sur­veille l’évolution de l’écosystème des fraudes sur nos réseaux.

Nous mesurons pleine­ment notre respon­s­abil­ité en matière de pro­tec­tion face aux risques numériques, de plus en plus nom­breux et de plus en plus com­plex­es. Notre ambi­tion est d’être le parte­naire de con­fi­ance de nos clients, c’est au cœur de notre rai­son d’être : « Orange est l’acteur de con­fi­ance qui donne à cha­cune et à cha­cun les clés d’un monde numérique responsable ».

L’Europe avec notamment Nis 2 est-elle, à vos yeux, suffisamment proactive ?

La cyber­sécu­rité et la résilience des infra­struc­tures cri­tiques sont au cœur des préoc­cu­pa­tions de chaque état Mem­bre de l’UE. Avec Nis 2, l‘objectif est d’aller encore plus loin et de franchir un cap en matière de com­préhen­sion et de col­lab­o­ra­tion entre états pour ren­forcer notre résilience col­lec­tive. Nis 2 prend acte des inter­dépen­dances entre états, entre la spé­cial­i­sa­tion de cer­tains d’entre eux sur des ques­tions spé­ci­fiques, et le rôle transna­tion­al voire sys­témique de cer­tains opéra­teurs d’autre part.

En s’appuyant sur Orange comme sur d’autres entités, qu’elles soient « essen­tielles » ou « impor­tantes », l’UE ren­force son mail­lage ter­ri­to­r­i­al, définit un seuil min­i­mal de résilience et d’organisation de chaque état mem­bre et adopte une approche pro­por­tion­nelle en matière d’exigences, de con­trôles et de sanctions.

En prenant de telles mesures tech­niques, opéra­tionnelles et organ­i­sa­tion­nelles en matière de ges­tion des risques, cela encour­age effec­tive­ment les entre­pris­es à anticiper et à dévelop­per le partage d’informations.

Cepen­dant, compte tenu de la nature en con­stante évo­lu­tion des cyber­me­n­aces, il est essen­tiel de con­tin­uer à sur­veiller et amélior­er nos dis­posi­tifs. J’espère que l’UE dévelop­pera égale­ment une poli­tique exigeante en matière de détec­tion et de cor­rec­tion des vul­néra­bil­ités vis-à-vis des four­nisseurs y com­pris non européens. Sans un rehausse­ment glob­al de la sécu­rité des sup­ply chain, il sem­ble illu­soire de faire porter tout le poids de la résilience sur les seuls opéra­teurs de ser­vice et de réseaux.

Captives à la française et en France : les obstacles sont levés

Par Brigitte Bouquot (X76), Vice-prési­dente de l’Amrae, admin­is­tra­trice des sociétés d’assurance de Thales, coprési­dente de l’association som­mi­tale d’Ag2r

Le marché de l’assurance fait face à de nom­breux défis, notam­ment en rai­son de la volatil­ité crois­sante des risques et des con­séquences sys­témiques et poten­tielle­ment dévas­ta­tri­ces des événe­ments cat­a­strophiques. Dans ce con­texte, les cap­tives de réas­sur­ance ont émergé comme un out­il essen­tiel pour les entre­pris­es désireuses de gér­er leurs risques de manière proac­tive et de garan­tir leur résilience.

Le 7 juin 2023 était pub­lié le décret d’application n° 2023–449 de l’article 6 de la loi de finances pour 2023 relatif aux règles de compt­abil­i­sa­tion de la pro­vi­sion pour résilience con­sti­tuée par les entre­pris­es cap­tives de réassurance.

Sous cette dénom­i­na­tion tech­nique, s’affiche une étape déci­sive pour ren­forcer la résilience des entre­pris­es français­es face aux défis de la ges­tion des risques et de leur financement.

“La France offre désormais de solides conditions réglementaires pour permettre aux entreprises de provisionner des risques futurs.”

La France offre désor­mais de solides con­di­tions régle­men­taires pour per­me­t­tre aux entre­pris­es de pro­vi­sion­ner des risques futurs.

Une cap­tive de réas­sur­ance est une entité d’assurance détenue par une entre­prise ou un groupe, qui vise à cou­vrir – dans le temps – une part des risques pro­pres à l’entreprise ou à ses fil­iales. En effet, il s’agit dans le cadre du trans­fert des risques de l’entreprise à ses assureurs, de réas­sur­er l’assureur sur une par­tie de ces risques par la cap­tive, qui col­lecte alors la part de prime cor­re­spon­dante. Ain­si la cap­tive accu­mule des fonds internes util­is­ables pour indem­nis­er les sin­istres. Ce dis­posi­tif qui alloue du cap­i­tal com­plé­men­taire à celui des assureurs pour le finance­ment des risques per­met de ren­forcer la résilience finan­cière des organ­i­sa­tions dans un envi­ron­nement du marché de l’assurance et de la réas­sur­ance qui se durcit (hausse des primes d’assurances, aug­men­ta­tion des fran­chis­es, nou­velles exclu­sions, baisse des capacités).

De plus, face à l’émergence de risques sys­témiques mul­ti­ples, cet out­il présente l’intérêt majeur d’apporter à l’entreprise une vue glob­ale de l’ensemble de ses risques (iden­ti­fi­ca­tion, quan­tifi­ca­tion, préven­tion, pro­tec­tion, trans­fert, retour d’expérience). En agis­sant comme une nou­velle ligne de défense interne, les cap­tives per­me­t­tent aux entre­pris­es de réduire leur expo­si­tion à la volatil­ité des cycles des marchés de l’assurance et de la réas­sur­ance tra­di­tion­nels et surtout de mieux gér­er leurs pro­pres risques en allouant égale­ment des ressources à la prévention.

Un dispositif très encadré pour des risques dénommés.

Ain­si les entre­pris­es, autres que des entre­pris­es finan­cières, dis­posant d’une cap­tive de réas­sur­ance en France, peu­vent con­stituer, en fran­chise d’impôt, une pro­vi­sion des­tinée à faire face aux charges afférentes aux opéra­tions de réas­sur­ance accep­tées dont les risques d’assurance relèvent des caté­gories suiv­antes : dom­mages aux biens pro­fes­sion­nels et agri­coles, cat­a­stro­phes naturelles, respon­s­abil­ité civile générale, pertes pécu­ni­aires, dom­mages et pertes pécu­ni­aires con­sé­cu­tifs aux atteintes aux sys­tèmes d’information et de com­mu­ni­ca­tion et transports.

Au 30 mai 2023, la France recen­sait 10 cap­tives imma­triculées sur son ter­ri­toire. Selon une enquête d’avril 2023 de l’Amrae, plus de 50 entre­pris­es ont un pro­jet de créa­tion d’un tel dispositif.

Soumis à Solv­abil­ité 2, super­visé par l’Autorité de Con­trôle Pru­den­tiel et de con­trôle (ACPR), la créa­tion d’une cap­tive ne s’improvise pas. Elle requiert un min­i­mum de 1,5 MEUR de cap­i­tal ini­tial, sa gou­ver­nance ne se délègue pas à l’extérieur, et parce qu’elle ne se délègue pas, la rend pré­cieuse pour la con­nais­sance de la maîtrise des risques des instances dirigeantes.

Il faut saluer la ténac­ité des pou­voirs publics, des par­lemen­taires et des pro­fes­sion­nels de la ges­tion des risques, dont l’Amrae, qui ont mobil­isé toute leur énergie pour cette nou­velle brique pour la résilience des entre­pris­es, et aus­si leur souveraineté.

---

Articles similaires :

La pro­tec­tion paramétrique con­tre les risques climatiques Apave : Agir pour un monde plus sûr, durable et por­teur de pro­grès partagé Les data et l’intelligence arti­fi­cielle au ser­vice de la détec­tion des risques Ges­tion des risques : un besoin ren­for­cé d’innovation et d’agilité La ges­tion des risques est clé pour les entreprises ! « L’adaptation au change­ment cli­ma­tique est aujourd’hui l’affaire de tous »