La prise de risques est inhérente à toute organisation. Il n’existe pas de croissance ni de création de valeur dans une entreprise sans prise de risques. Dans un monde globalisé, et vu l’ampleur qu’ils prennent aujourd’hui, si ces risques ne sont pas correctement gérés et maitrisés, ils peuvent affecter la capacité de l’entreprise à atteindre ses objectifs. En continuant à prévenir et gérer les risques, les dispositifs de gestion des risques et de contrôle interne jouent un rôle clé dans la conduite et le pilotage des différentes activités. par Abdelfettah ALAMI

Dans sa vie quotidienne, l’entreprise fait face particulièrement à deux risques majeurs : les risques politiques auxquels s’ajoutent les risques technologiques. L’entreprise repose aujourd’hui sur des flux de données car l’information est désormais le nerf de la guerre, et la rapidité avec laquelle ces données sont échangées sont analysées, pro-cessées en outputs est, souvent, condition de la compétitivité de l’entreprise. Mais, la technologie a aussi un revers, celui de la vulnérabilité. En 2015, on a estimé à 160.000 le nombre de cyber-attaques quotidiennes en hausse de 40% par rapport à 2014. Ces attaques contraignent souvent les entreprises à arrêter leurs transactions et surtout, elles entament la confiance des clients de l’entreprise. Toutes ces menaces, au-delà des traditionnels risques liés à l’économie, à l’investissement, à l’exploitation et la rentabilité, attendent des réponses appropriées. La réponse peut être financière ou par une couverture assurancielle. Là, la question est de savoir ce qui peut être couvert de ce qui ne l’est pas. La réponse doit être aussi organisationnelle mettant en place des systèmes de prévention et d’alerte des risques. Au-delà des moyens matériels, c’est auprès des gens de l’art, les risk managers que l’entreprise doit trouver des réponses appropriées. Quel est donc l’étendue de ces risques politiques et technologiques? Comment les mesurer ? Comment s’en prévenir ? Quelles sont les ressources clés ? Répondre à ces questions permet d’évaluer le modèle le mieux à même de protéger les données intégrant la cybersécurité.

Schémas d’une gestion globale des risques
L’objectif de ces quelques schémas est d’optimiser son profil de gestion de risques et de mettre des dispositifs, pour réduire au minimum les risques sur lesquels l’entreprise n’a aucune appétence, de prévention, de protection ou de contrôle interne qui permettent de réduire ces risques. On n’est jamais à l’abri d’un risque résiduel qui peut être un risque majeur. Tout l’enjeu pour l’entreprise est d’être capable de résister et survivre à des risques de pointe parfois à forte probabilité. La logique de l’entreprise est de prendre des risques stratégiques ou opérationnels qui sont nécessaires à la réalisation de son programme commercial. C’est la situation, très répandue on est appelé, par exemple, à développer une activité dans un environnement qui peut être à risques, mais parceque derrière, il y a des opportunités pour conquérir de nouveaux marchés, car l’entreprise qui ne prend pas de risques est une entreprise qui meurt à petit feu.
En fait, une des logiques de la gestion des risques est que les comités de direction de l’entreprise aient une vision claire des risques qu’ils prennent, qu’ils acceptent pour être capables de développer leurs activités.
S’agissant des risques à impact modéré mais à forte probabilité, la logique pour une entreprise qui veut optimiser son profil de gestion des risques c’est d’être en mesure d’avoir une bonne optimisation entre le niveau de risques et le niveau de prévention, d’assurance notamment.
Pour compléter cette vision et c’est là un des enjeux actuels de beaucoup d’entreprises, est d’Intégrer ce système de pilotage des risques dans la stratégie de l’entreprise. C’est là, l’un des grands axes des enjeux de la gestion des risques.
Encore faut-il s’organiser pour pouvoir atteindre ce résultat à travers une structuration pour mettre en place un dispositif de gestion des risques. Deux schémas peuvent être imaginés : cela passe d’abord par un cadre organisationnel capable d’identifier les différents acteurs qui vont interagir ensemble à différents moments de l’analyse de risques que ce soit en phase d’identification, de hiérarchisation, de traitement de ces risques de manière à contribuer, chacun à sa manière, dans la réflexion et l’analyse des risques qui peuvent être faites pour cette organisation. Ce prérequis suppose au préalable la prise en charge des attentes des instances de gouvernance et leurs moyens à mettre en œuvre pour définir ce dispositif. Ensuite, il s’agit de bien définir les responsabilités de manière à ce que les interactions se fassent de la meilleure manière possible. C’est un outil qui va permettre d’optimiser les ressources, les problématiques des contrats d’assurances et d’autres couvertures financières qui peuvent être utilisées. C’est un moyen aussi et surtout pour rassurer son écosystème : fournisseurs, clients qui demandent de justifier, de documenter le dispositif de gestion à mettre en œuvre de manière à leur donner la confiance sur la continuité de l’activité.

De quelques facteurs de risques et clés de succès
Les cyber-risques sont devenus un phénomène qui doit être appréhendé dans le cadre d’un projet global et perçu dans un contexte de transformation continue; la digitalisation, pour tous les secteurs est, certes, source d’innovation mais aussi de vulnérabilité pour les entreprises.
Quelques chiffres : à l’horizon 2018, plus de 600 MM$ seront dépensés au travers de smartphones, 99% des objets connectés ne le sont pas encore ; 85% des relations commerciales se feront sans l’interaction d’un humain d’ici 2020. Au regard de cela, seuls 36% des entreprises se sont parfaitement équipés pour faire face à une attaque cyber de nature sophistiquée.
Dans ce genre d’évolutions phénoménales, quelques facteurs de risques peuvent d’ores et déjà être identifiés dont le premier est lié à la nature propre des activités des opérateurs économiques : l’entreprise a besoin de transversalité, de partager à la fois l’information que ce soit dans sa production ou son utilisation. D’autres facteurs de risques peuvent être liés au comportement humain et peuvent fragiliser le dispositif de sécurisation de leurs données. Des exemples illustrent cette situation: en allant sur les réseaux sociaux, on apprend, dans beaucoup de cas, des projets extrêmement confidentiels sur lesquels les concurrents ont pu travailler en s’infiltrant dans ces réseaux, source d’information ; de ce fait, ils fragilisent le dispositif de risques de l’entreprise car il y a des aspects de communication qui figurent sur ces réseaux et qui n’ont pas été protégés. Dans d’autres cas, des entreprises parfois donnent de la facilité pour l’utilisation de leurs téléphones ou leurs ordinateurs et cela fragilise aussi l’entreprise. De même que la pratique actuelle de stockage des informations chez des tiers est aussi un facteur de risques à prendre en compte. Enfin, dernier point sur les facteurs de risques : les évolutions réglementaires et législatives qui, par essence élargissent le périmètre de ce risque cybercriminalité ; on ne peut pas ne pas faire le lien entre déréglementation qui est en train d’émerger dans ce qu’on appelle cybercriminalité et le big data dont toutes les dimensions restent aujourd’hui encore mal cernées.
En parallèle, quelques clés de succès ont pu être identifiées : la maîtrise des cyber-risques est d’abord un projet de groupe, transverse et pas seulement autocentré sur l’entreprise, mais aussi à l’extérieur c’est-à-dire au tour de son écosystème : clients, fournisseurs, etc. Les réponses à donner à ce projet en termes d’optimisation de la gestion des risques et partant de la compétitivité de l’entreprise dépendent de la capacité du top management à porter ce projet en tant qu’élément important de sa stratégie en se positionnant sur un scénario crédible, des critères d’évaluation des risques qui soient pertinents et qui permettent de dégager les priorités de l’entité.