Business

Les cyber-risques, première préoccupation des risk-managers

---

Aux prochaines Rencontres de l'AMRAE, le club des gestionnaires de risques, les ateliers sur les cyber-risques sont particulièrement courus.

PublicitéL'AMRAE (Association pour le Management des Risques et des Assurances de l'Entreprise) organise ses prochaines Rencontres annuelles du 7 au 9 février 2018 à Marseille. L'association a présenté la manifestation le 18 janvier 2018 en faisant également un point sur son actualité et celle de la gestion des risques et des assurances. Le moins que l'on puisse dire est que les cyber-risques sont au coeur des préoccupations des gestionnaires de risques.
En effet, sur la trentaine d'ateliers organisés durant les Rencontres, ceux consacrés aux risques numériques sont pris d'assaut. Celui qui est consacré aux risques « cyber », aux nouveaux usages, au GDPR et à l'IoT a dépassé les 250 inscrits. « Aucune entreprise ne peut échapper aux cyber-risques » a constaté Brigitte Bouquot, présidente de l'AMRAE. Ceux qui vont s'intéresser à des sujets tels que la blockchain, l'audit interne numérique ou la cyber-gouvernance dépassent également les 200 inscrits. De manière évidente, le risque « cyber » au sens large est de loin le premier sujet d'intérêt si on en croit les inscriptions aux ateliers. Certains ateliers seront d'ailleurs très prospectifs avec des sujets autour des robots et des véhicules autonomes.

Un risque pas toujours assurable

Les gestionnaires de risques rencontrent des difficultés particulières sur les risques numériques. La première est évidemment une question de compétences techniques à acquérir. Pour cela, un travail avec les RSSI et les DSI semble bien une évidente nécessité. L'AMRAE a d'ailleurs constaté ces dernières années une évolution nette des profils des gestionnaires de risques. Jadis essentiellement juristes, ils sont désormais seulement le tiers à venir du Droit contre un tiers de formations de type écoles de commerce et un autre tiers avec des profils de type ingénieur. Une autre difficulté est que les cyber-risques ne permettent plus un travail risque par risque avec un contrat d'assurances en face de chacun : le risque numérique est transverse et aux impacts considérables sur l'ensemble de l'entreprise.
Du coup, faute de périmètre clair et défini, le cyber-risque peut ne pas être assurable. Cela n'est pas une nouveauté pour les gestionnaires de risques qui rencontrent régulièrement des difficultés de ce type, soit que le risque est délicat à circonscrire, soit que sa couverture par une externalisation via l'assurance n'est pas rentable.

La géopolitique du numérique

Des questions particulières sont quasiment géopolitiques. Par exemple, quels risques sont pris si l'on décide de confier des données ou une partie de son SI à des GAFAM ? Qu'en est-il de la conformité GDPR ? D'autres, à l'instar du questionnement sur les robots autonomes (y compris les drones tueurs militaires), auraient relevé de la science-fiction il n'y a pas si longtemps mais sont aujourd'hui de vraies difficultés pour les gestionnaires de risques qui doivent éviter l'engouement face au rêve de l'utopie comme la défiance de la nouveauté par une approche objectivée par les risques.
Les plénières des Rencontres seront d'ailleurs l'occasion d'élargir les sujets de préoccupation des participants, ce qui est classique dans ce genre de manifestations. Ainsi viendront en plénières des sujets comme les risques macro-économiques, l'état du système financier face à la nécessité de résilience du secteur de l'assurance, les risques géopolitiques... Au cours des Rencontres sera publié un cahier technique sur le GDPR. D'ici la fin du printemps, d'autres livres blancs de l'association paraîtront sur des sujets tels que le risque numérique, le risque de supply-chain et, en partenariat avec le MEDEF, un guide de gestion des risques à l'attention des PME.

Article rédigé par

Bertrand Lemaire, Rédacteur en chef de CIO

Partager cet article