Les enjeux de la gestion des risques en 2023 : solidifier la gestion des risques opérationnels, accompagner la décarbonation et les changements climatiques, éclairer les gouvernances
Dans les grandes entreprises et les ETI, la gestion des risques est devenue robuste. Grâce entre autres au risk management, elles ont surmonté plus facilement que d’autres la pandémie, ont redémarré rapidement leurs activités en embarquant équipes et parties prenantes. L’agenda des risk managers est celui de l’économie et de l’entreprise : prévention et financement des risques, décarbonation, attentes de la gouvernance, Oliver Wild, président de l’Amrae fait le point.
Gestion des risques rime toujours avec protection des équipes et des actifs matériels et immatériels dans une économie en pleine transformation numérique. Ses nouveaux paradigmes sont désormais la très haute sensibilité à l’environnement géopolitique, la décarbonation de l’économie et l’impact des changements climatiques dans des organisations où ont évolué les rapports au travail, voire le travail lui-même.
Face aux tensions persistantes sur le marché de l’assurance et de la réassurance, les entreprises qui ne cessent de renforcer leurs politiques de prévention des risques, utilisent, au côté de l’assurance, des outils alternatifs et complémentaires de financement désormais plus facilement mobilisables en France. Avec la publication du décret du 7 juin 2023 sur les provisions pour résilience, la représentation nationale et les pouvoirs publics ont renforcé les moyens d’une souveraineté financière pour que les entreprises françaises prennent encore mieux leurs risques en charge.
Éclairer les organes de direction
La gestion des risques est de plus en plus prégnante dans les comités de direction. Les exigences des comités spécialisés des conseils d’administration sont désormais en phase avec les méthodes et apports de la gestion des risques des risk managers. Continuité d’activité, risque climatique, cyber résilience et financement des risques sont les sujets phares de ces comités. Dans les territoires, les organisations professionnelles comme le Medef, mettent à disposition de leurs adhérents un risk manager pour les aider à organiser leur gestion des risques et organiser les conditions de leur résilience.
Servir la double matérialité
Pour les entreprises responsables, la cartographie utilisée pour détecter les risques, opportunités et enjeux auxquels elles doivent faire face à court, moyen et long terme a élargi son périmètre pour servir une performance plurielle. Cette cartographie, centrée initialement sur l’écoute des parties prenantes internes à des fins de performance financière, sert aussi désormais la performance environnementale, sociale et sociétale. Le risk manager élargit ainsi son exercice de cartographie pour avoir une contribution des parties prenantes internes et désormais en dehors de l’entreprise. Il doit également y intégrer les récents développements réglementaires ESG et suivre ceux à venir.
Partager le risque cyber : les clés de la confiance numérique
La confiance numérique est un actif immatériel clé pour les organisations. Les grandes entreprises et ETI ont investi massivement et de façon structurée sur la sécurité de leurs systèmes d’information, à l’aune des directives NIS 1 et NIS 2 (en cours de transposition) et des réglementations pour les opérateurs d’importance vitale ou de services essentiels.
Les méthodes, outils, équipes, référentiels et guides (comme « La maîtrise du risque numérique » écrit avec l’Amrae) de l’Agence Nationale de la Sécurité des Systèmes d’information (Anssi) sont un facteur clé de la confiance numérique du tissu économique français.
Face aux conséquences d’un rançongiciel ou d’une paralysie d’un informatique commercial ou de production, la prévention et l’entraînement sont les meilleurs premiers boucliers.
Quant aux réponses et à l’accompagnement de l’assurance, ils sont inégaux et pas toujours à la hauteur des besoins du marché. Ainsi, en 2021, pour combler le déficit de la branche cyber du marché de l’assurance des grandes entreprises, les assureurs ont réduit leur capacité, augmenté les tarifs et franchises, voire diminué l’étendue des couvertures. En réaction, les entreprises se sont moins assurées, voire pas ou plus du tout, recherchant des solutions alternatives de financement (captive de réassurance, adhésion à une mutuelle spécialisée sur le risque cyber ou encore portage total du risque sur leurs fonds propres).
En 2023, selon la seconde étude « Lumière sur la cyberassurance – LUCY » de l’Amrae, les ETI connaissent à leur tour les mêmes difficultés, alors que les tensions se sont un peu apaisées pour les grandes entreprises.
L’engagement des pouvoirs publics
Enfin, il faut noter l’engagement profond et durable des services de l’État sur la gestion du risque cyber.
La mise en œuvre de la loi d’orientation et de programmation du ministère de l’Intérieur (LOPMI) impose désormais à toute entreprise, victime d’une intrusion dans son système d’information, une fois celle-ci constatée, de porter plainte sous 72 heures auprès des pouvoirs publics pour que les assureurs concernés, dont l’assureur cyber, puissent indemniser ce sinistre. Avec cette plainte, les services de l’État peuvent diligenter leur enquête, la sous-direction du Trésor en charge des assurances et France Assureurs peuvent quantifier au réel.
Trois questions à Christel Heydemann (X94), directrice générale d’Orange
Qu’attendez-vous de la gestion des risques et des risk managers du groupe ?
Orange fournit des services de télécommunication à des millions de clients à travers le monde. Notre secteur, celui des nouvelles technologies, est très compétitif. Nous gérons enfin notre propre infrastructure réseaux et opérons dans un cadre extrêmement réglementé. Dans ce contexte, la gestion des risques est essentielle pour comprendre où sont les menaces, nous adapter et nous transformer, ainsi que pour renforcer la résilience de notre Groupe.
Chez Orange, je peux m’appuyer sur l’expertise et l’engagement de risk managers qui protègent nos actifs autant que notre réputation. J‘attends d’eux une posture d’anticipation afin d’identifier toutes les menaces jusqu’aux plus improbables et de dresser des scénarios en combinant différents facteurs pour prendre les meilleures mesures avant que les risques ne se matérialisent. Face à une crise, je sais aussi pouvoir compter sur leur mobilisation pour réagir de façon efficace et professionnelle.
Cette relation de confiance s’appuie sur la transparence et l’objectivité. Elle est essentielle pour maintenir une communication ouverte avec la direction générale et le conseil d’administration, afin de nous aider à prendre des décisions informées sur notre stratégie ou la continuité de nos activités. Je suis convaincue qu’au-delà de la protection, une gestion saine des risques crée aussi de la valeur pour l’ensemble de nos parties prenantes, y compris nos actionnaires.
Orange est au cœur de la transformation numérique de l’économie. Quels sont ses enjeux et actions pour sensibiliser ses clients particuliers et professionnels aux risques du digital ?
Notre objectif est de fournir à tous nos clients le meilleur service possible en matière de connectivité : les particuliers, les entreprises, les institutions publiques. L’accès aux technologies bouleverse leur fonctionnement et agrandit l’horizon des possibles, qu’il s’agisse du Très Haut Débit fixe ou mobile, de l’intelligence artificielle ou encore du Cloud. Mais cette exposition numérique n’est pas sans risque, nous en faisons toutes et tous l’expérience au quotidien.
C’est pourquoi Orange accompagne chaque client de façon personnalisée et en s’adaptant à ses besoins. Nous mettons l’expertise et les outils développés par notre filiale Orange Cyberdéfense au service des entreprises, des campagnes de sensibilisation et de formation sont régulièrement organisées pour les clients grand public autour des risques du numérique, des mesures de prévention sont proposées pour les publics les plus fragiles et une cellule spécialisée analyse les incidents et surveille l’évolution de l’écosystème des fraudes sur nos réseaux.
Nous mesurons pleinement notre responsabilité en matière de protection face aux risques numériques, de plus en plus nombreux et de plus en plus complexes. Notre ambition est d’être le partenaire de confiance de nos clients, c’est au cœur de notre raison d’être : « Orange est l’acteur de confiance qui donne à chacune et à chacun les clés d’un monde numérique responsable ».
L’Europe avec notamment Nis 2 est-elle, à vos yeux, suffisamment proactive ?
La cybersécurité et la résilience des infrastructures critiques sont au cœur des préoccupations de chaque état Membre de l’UE. Avec Nis 2, l‘objectif est d’aller encore plus loin et de franchir un cap en matière de compréhension et de collaboration entre états pour renforcer notre résilience collective. Nis 2 prend acte des interdépendances entre états, entre la spécialisation de certains d’entre eux sur des questions spécifiques, et le rôle transnational voire systémique de certains opérateurs d’autre part.
En s’appuyant sur Orange comme sur d’autres entités, qu’elles soient « essentielles » ou « importantes », l’UE renforce son maillage territorial, définit un seuil minimal de résilience et d’organisation de chaque état membre et adopte une approche proportionnelle en matière d’exigences, de contrôles et de sanctions.
En prenant de telles mesures techniques, opérationnelles et organisationnelles en matière de gestion des risques, cela encourage effectivement les entreprises à anticiper et à développer le partage d’informations.
Cependant, compte tenu de la nature en constante évolution des cybermenaces, il est essentiel de continuer à surveiller et améliorer nos dispositifs. J’espère que l’UE développera également une politique exigeante en matière de détection et de correction des vulnérabilités vis-à-vis des fournisseurs y compris non européens. Sans un rehaussement global de la sécurité des supply chain, il semble illusoire de faire porter tout le poids de la résilience sur les seuls opérateurs de service et de réseaux.
Captives à la française et en France : les obstacles sont levés
Par Brigitte Bouquot (X76), Vice-présidente de l’Amrae, administratrice des sociétés d’assurance de Thales, coprésidente de l’association sommitale d’Ag2r
Le marché de l’assurance fait face à de nombreux défis, notamment en raison de la volatilité croissante des risques et des conséquences systémiques et potentiellement dévastatrices des événements catastrophiques. Dans ce contexte, les captives de réassurance ont émergé comme un outil essentiel pour les entreprises désireuses de gérer leurs risques de manière proactive et de garantir leur résilience.
Le 7 juin 2023 était publié le décret d’application n° 2023–449 de l’article 6 de la loi de finances pour 2023 relatif aux règles de comptabilisation de la provision pour résilience constituée par les entreprises captives de réassurance.
Sous cette dénomination technique, s’affiche une étape décisive pour renforcer la résilience des entreprises françaises face aux défis de la gestion des risques et de leur financement.
« La France offre désormais de solides conditions réglementaires pour permettre aux entreprises de provisionner des risques futurs. »
La France offre désormais de solides conditions réglementaires pour permettre aux entreprises de provisionner des risques futurs.
Une captive de réassurance est une entité d’assurance détenue par une entreprise ou un groupe, qui vise à couvrir – dans le temps – une part des risques propres à l’entreprise ou à ses filiales. En effet, il s’agit dans le cadre du transfert des risques de l’entreprise à ses assureurs, de réassurer l’assureur sur une partie de ces risques par la captive, qui collecte alors la part de prime correspondante. Ainsi la captive accumule des fonds internes utilisables pour indemniser les sinistres. Ce dispositif qui alloue du capital complémentaire à celui des assureurs pour le financement des risques permet de renforcer la résilience financière des organisations dans un environnement du marché de l’assurance et de la réassurance qui se durcit (hausse des primes d’assurances, augmentation des franchises, nouvelles exclusions, baisse des capacités).
De plus, face à l’émergence de risques systémiques multiples, cet outil présente l’intérêt majeur d’apporter à l’entreprise une vue globale de l’ensemble de ses risques (identification, quantification, prévention, protection, transfert, retour d’expérience). En agissant comme une nouvelle ligne de défense interne, les captives permettent aux entreprises de réduire leur exposition à la volatilité des cycles des marchés de l’assurance et de la réassurance traditionnels et surtout de mieux gérer leurs propres risques en allouant également des ressources à la prévention.
Un dispositif très encadré pour des risques dénommés.
Ainsi les entreprises, autres que des entreprises financières, disposant d’une captive de réassurance en France, peuvent constituer, en franchise d’impôt, une provision destinée à faire face aux charges afférentes aux opérations de réassurance acceptées dont les risques d’assurance relèvent des catégories suivantes : dommages aux biens professionnels et agricoles, catastrophes naturelles, responsabilité civile générale, pertes pécuniaires, dommages et pertes pécuniaires consécutifs aux atteintes aux systèmes d’information et de communication et transports.
Au 30 mai 2023, la France recensait 10 captives immatriculées sur son territoire. Selon une enquête d’avril 2023 de l’Amrae, plus de 50 entreprises ont un projet de création d’un tel dispositif.
Soumis à Solvabilité 2, supervisé par l’Autorité de Contrôle Prudentiel et de contrôle (ACPR), la création d’une captive ne s’improvise pas. Elle requiert un minimum de 1,5 MEUR de capital initial, sa gouvernance ne se délègue pas à l’extérieur, et parce qu’elle ne se délègue pas, la rend précieuse pour la connaissance de la maîtrise des risques des instances dirigeantes.
Il faut saluer la ténacité des pouvoirs publics, des parlementaires et des professionnels de la gestion des risques, dont l’Amrae, qui ont mobilisé toute leur énergie pour cette nouvelle brique pour la résilience des entreprises, et aussi leur souveraineté.