Transversal
8. Tous égaux face aux risques ?
Les grands groupes, aux moyens financiers et humains suffisants pour mettre en place des stratégies de gestion du risque, s’équiper d’outils et s’assurer, sont paradoxalement les plus exposés aux attaques informatiques. À l’inverse, les TPE, PME et ETI, moins fragmentées et souvent plus faciles à protéger, peuvent pâtir d’un manque de ressources et de connaissance des offres.
Bien que bénéficiant généralement d’une trésorerie conséquente pour multiplier les investissements et les projets, les grands groupes peuvent rapidement se retrouver dépassés par leur propre taille. Dans le cas d’une multinationale jouant de la croissance externe pour gagner des parts de marché, chaque implantation nécessitera une analyse des nouveaux fournisseurs, souvent longue et coûteuse. De même, chaque extension entraînera une révision de ses systèmes d’information, pour éviter que le nouveau maillon le plus faible puisse former un point d’entrée propice aux piratages par exemple. « Concrètement, il y a plein de façons de limiter le risque de défaillance, affirme Isabelle Badoc, responsable de l’offre supply chain de Generix Group. Nous savons mettre en place des architectures informatiques complètement redondées. En revanche leur installation demande de gros investissements et une bonne maturité d’exploitation de système d’information que toutes les entreprises n’ont pas. Le grand groupe possède les équipes et les profils, mais cela lui coûte cher de le faire en interne. La solution pour lui c’est d’externaliser son système d’information pour qu’il soit exploité par des gens formés en permanence et de se mettre à niveau de toutes les technologies, car l’externalisation des données entraîne des problématiques de sécurité. »
Les TPE, PME et ETI, qui font face aux mêmes problématiques dès lors qu’elles collectent et échangent de l’information, n’ont pas toujours les équipes compétentes pour répondre à ces sujets. Plus fragiles, mais aussi moins attractives, elles font l’objet de plus d’attaques mais ont pourtant une moindre exposition au risque, comme l’a illustré le journaliste Mathieu Lehot dans l’article La ruée vers le cyber est lancée du dossier « Spécial risques d'entreprises », publié fin janvier 2017 sur le site internet L'Argus de l'Assurance : « Dans une étude sur le spear phishing, un nouveau type d’escroquerie par email, l’expert en sécurité informatique Symantec a établi que si 65 % des attaques recensées en 2015 ont frappé des PME et des ETI, leur exposition au risque reste très en deçà de celui des grands groupes. Les chances d’être attaquées ne sont que de 3 % pour les PME contre 38 % pour les entreprises de plus de 2 500 salariés. L’évolution de l’appétence des petites et moyennes entreprises pour la cyber-assurance constitue donc un enjeu capital pour sécuriser le marché. Mais le chemin promet d’être encore long. En 2015, moins de 5 % des TPE et des PME françaises avaient une garantie cyber, selon PwC. »
L’appréhension du risque cyber monte chaque année
Le cabinet d’audit, dans son étude Le marché de la cyber-assurance : la révolution commence maintenant de janvier 2016, a constaté une corrélation entre la taille d’une entreprise et sa plus ou moins bonne préhension des menaces : « Le risque de cyber-criminalité est aujourd’hui encore peu appréhendé par les entreprises françaises toutes tailles confondues (sachant que le tissu d’entreprises françaises est principalement constitué de TPE/PME) : seules 17 % s’y sentent exposées, principalement au sein des entreprises du secteur industriel. Ce secteur, aux entreprises de taille plus importante et traditionnellement sensibilisées au risque d’intrusions et d’espionnage industriel, se montre plus sensible à cette question : un tiers (32 %) des dirigeants du secteur industriel ressent une vulnérabilité de leur entreprise face à ce risque. De manière plus générale, les entreprises les plus importantes partagent plus largement cette préoccupation : dès le seuil d’un million d’euro de chiffre d’affaires, on constate que le pourcentage de dirigeants d’entreprises qui se sentent directement exposés à la cyber-criminalité passe à 29 %. »
Allianz Global Corporate & Specialty, qui cible les grands comptes du CAC 40 et du SBF 120, a ainsi constaté une plus forte demande en cyber-assurance chez les grands groupes. « L’appréhension du risque cyber monte chaque année, poussée aussi par l’actualité (piratage de Yahoo, attaque des serveurs DNS de Dyn aux États-Unis…) qui aide à son aversion », affirme Jean-Baptiste Regnier, responsable des souscriptions risques industriels, dommages aux biens et perte d’exploitation sans dommage chez AGCS. Un besoin générant de nouvelles opportunités commerciales pour les assureurs dans un contexte de marché surcapacitaire, avec des clients déjà bien couverts dans d’autres domaines. « Les risques qui sont les plus maîtrisés aujourd’hui par les entreprises du CAC 40 et du SBF 120 sont l’incendie traditionnel et les bris de machine, qui sont les piliers fondateurs de l’assurance dommages, expose-t-il. Ce sont encore des éléments graves lorsqu’ils se produisent mais sur lesquels la prévention et la protection a fait ses effets depuis de nombreuses années. »
Plus en avance sur ces deux domaines que leurs petites soeurs, les grandes entreprises sont de plus en plus amenées à partager leur expérience et leur savoir-faire, mais aussi à financer des dispositifs de sécurité et de prévention de même niveau que les leurs à leurs partenaires directs. L’amélioration continue de la résilience des supply chains ne pourrait en effet se passer d’une entraide à tous les niveaux.
Crédits photo : Business image created by D3images - Freepik.com
Focus
Un guide sur la gestion des risques pour les ETI et PME
Afnor, association française de normalisation qui oeuvre pour la création et la révision de normes volontaires, auxquelles n’importe quelle organisation peut se référer ou décider d’utiliser, a publié, suite aux travaux de la Commission nationale sur le management des risques, un guide intitulé Management des risques – Lignes directrices pour la mise en oeuvre dans les ETI/ PME et autres organismes. Rodolphe Civet, responsable du pôle management et services d’Afnor, revient sur le besoin d’accompagnement et de documentation des ETI et des PME sur ce sujet.
Comment la Commission nationale sur le management des risques se compose-t-elle et quelles sont ses missions ?
La principale activité de la commission nationale sur le management des risques est de suivre les travaux traitant de ce sujet, que ce soit au niveau national (avec l’élaboration du guide pour les ETI et PME, par exemple) ou international. Elle définit des positions nationales au regard des travaux internationaux, avec un programme de travail pouvant ainsi fluctuer sur ces deux niveaux en fonction de la feuille de route élaborée par les membres de la commission. Cette dernière se compose globalement de spécialistes du risk management, que ce soit des directeurs risque ou des consultants en risque, mais également de ministères, l’objectif d’Afnor étant d’avoir un tour de table représentatif sur le sujet.
Quelles raisons vous ont amené à rédiger un guide sur la gestion des risques adressé aux ETI et aux PME ?
Nous avons ressenti un besoin au sein de la commission d’aider les entreprises à s’acculturer au management des risques, car il y a de plus en plus de normes des systèmes de management (9001, 14001...) ayant une approche risque, conduisant ainsi à de plus en plus de questionnements sur le sujet. La commission a décidé de réaliser un guide, un document normatif, à orientation plutôt TPE au départ. Nous nous sommes cependant rendu compte que nous n’avions pas forcément de TPE pratiquant le management global des risques autour de la table ; le dirigeant fait en effet du management des risques au quotidien dans son pilotage d’organisation. Le document s’est alors orienté vers une aide à la prise de décision et nous sommes plutôt partis sur des ETI et des PME, avec des structures utilisant des normes de système de management ou pratiquant l’approche risque. Ce guide, plutôt destiné aux dirigeants d’entreprises, a tout de même vocation à être appliqué par tous : par une TPE, mais aussi par un grand groupe. Nous avions ainsi des grands groupes autour de la table qui l’employaient en consolidation de leurs business units. Le document est évolutif dans le temps. L’idée est de le faire tester par un maximum d’entreprises pour savoir si nous devons l’améliorer.
Quelles différences y a-t-il entre les grands groupes et les PME/ETI dans leur approche sur la gestion des risques ?
Il y a des avantages et des inconvénients à être un grand groupe. L’avantage est qu’ils ont les moyens, mais ils ont souvent plusieurs silos : business units, activités, domaines, etc. Plusieurs personnes vont ainsi faire du risk management, alors que dans une PME ou une ETI, le dirigeant possède une vision globale de son entreprise et de ses risques inhérents. Le guide sera plus facile à mettre en oeuvre pour une PME, une ETI voire une TPE que pour une grande entreprise, chez qui cela demandera un travail supplémentaire de consolidation, à plus grande échelle.