Les actualités et publications
26/01/2017 Dans la revue

Gestion des risques, trouver le bon équilibre

© Elodie Petit

 À la veille des rencontres 2017 de l'Association du management des risques et des assurances de l'entreprise 2017 (1 au 3 février), l'édition de Janvier-Mars 2017 de la revue Analyse financière publie un dossier sur la perception et la gestion des risques. Cette année, ces rencontres ont une forte composante centrée sur le risque cyber. François Beaume, président de la commission SI de l'AMRAE, Director, Risk and Insurance, Bureau Veritas, revient ici sur les enjeux pour les entreprises.

En 2017, l'AMRAE met l'accent sur le "risque cyber" ? Qu'entend-on exactement par "risque cyber" ?

Le « risque cyber » est un sujet abordé depuis plusieurs années mais il l'est plus encore cette année en raison du mouvement général de transformation numérique à l'œuvre dans l'économie. Il est encore souvent mal appréhendé et mal maîtrisé. La révolution par les usages, avec le BYOD (bring your own device) notamment, renforce les conséquences des sinistres liés à la cyber malveillance (hacking, crypto-rançonnage, etc.) et induit de nouveaux risques opérationnels. Par exemple, un hacker peut, en bloquant le système d'information d'une entreprise de transport de personnes, interdire l'émission de billets. Cela s'est passé il y a quelques mois à San Francisco : l'entreprise a dû transporter les voyageurs gratuitement pendant quelques jours, le temps que ses équipes informatiques résolvent le problème. Autre exemple, dans l'industrie cette fois, où les systèmes SCADA (Supervisory Control And Data Acquisition) ont montré leur vulnérabilité. De plus, la réforme européenne du droit de la protection des données personnelles, comprenant un nouveau règlement applicable en mai 2018, imposera une traçabilité exhaustive de toutes les données pour tout porteur de risques, des obligations de notification dans des délais courts, etc. Les politiques de compliance devront être adaptées pour répondre à ces nouvelles obligations.

Comment doit s'organiser la gouvernance en matière de risque cyber ? Doit-elle être supervisée par le Risk Manager ou par le DSI ?

La gouvernance en matière de risque cyber est la même que pour les autres risques. S'il appartient au Risk Manager d'identifier les risques en collaborant avec les directions opérationnelles, en matière de risque cyber, il s'appuiera davantage sur la DSI, le RSSI ou la direction juridique.

Comment réduire le fossé entre l'offre assurantielle et la demande des entreprises dans un domaine où l'imagination des cybercriminels est sans limite ? La matrice proposée en 2015 est-elle amenée à évoluer en ce sens ?

L'offre du marché d'assurance s'adapte aux demandes des entreprises capables de structurer leurs besoins. Depuis la matrice de 2015 (en deux dimensions), le groupe de travail a progressé et propose désormais une matrice en trois/quatre dimensions. Nous allons également publier, en partenariat avec diverses autres organisations, un document sur la modélisation du risque cyber à l'occasion des prochaines Rencontres de l'AMRAE.

Afin de répondre aux contraintes de Solvabilité 2, les assureurs exigent des Risk Manager davantage d'explications, de détail pour mettre en place des couvertures : comment l'AMRAE peut-elle aider les PME/ETI qui ne disposent pas d'un Risk Manager (alors qu'elles sont a priori plus vulnérables au cyber risque) ?

Les assureurs sont en effet de plus en plus attentifs à la qualité du risk management mené dans l'entreprise. Ils souhaitent éviter les cumuls de couverture pouvant remettre en cause leur solvabilité. Les PME peuvent se faire accompagner par leurs courtiers d'assurance pour appréhender ces sujets complexes, mais il doit y avoir une personne avisée dans l'entreprise (souvent le directeur général, mais cela peut être le responsable juridique, le directeur financier ou autre) pour définir ce qui doit être autofinancé ou non, ce qui doit être délégué ou non. L'AMRAE se démultiplie par ailleurs en région pour apporter un support au plus près de ces entreprises. L'animation du sujet cyber y est donc relayée avec des événements et communications adaptées.

Propos recueillis en janvier 2017

À lire ou à redécouvrir : le dossier « Risques » publié dans le numéro 62 de la revue Analyse financière

Utilisation par les salariés de leur matériel (ordinateur, téléphone…) personnel dans leur entreprise.

Cahier technique AMRAE élaboré en collaboration avec le Club des Experts de la Sécurité de l'Information et du Numérique : «Cyber risques, Outil d'aide à l'analyse et au traitement assurantiel».