Avant de parler précisément des ETI, il est important de cerner la fonction de risk manager. Qui est-il ? Que fait-il ? A qui reporte-t-il dans l’entreprise ? Est-il possible d’établir une typologie des risk managers ? Enfin, avez-vous le sentiment qu’il y a une reconnaissance suffisante du RM dans l’entreprise ?

Gilles Proust, président d’Arengi : Je pense que la fonction de risk manager se structure de plus en plus mais reste variée en fonction de la taille des organisations, de leur histoire. C’est la personne dans l’entreprise qui est en charge de déployer et d’animer un dispositif formel d’identification, de suivi, de veille et de traitement des risques. Il y a trois grandes fonctions associées à cette tâche : d’abord le rôle d’animateur notamment dans le déploiement des cartographies des risques. Ensuite, celui de consultant interne car c’est la personne qui va accompagner les opérationnels pour traiter et améliorer un risque. Et enfin, un rôle d’alerte. Le RM doit être capable de faire remonter un sujet au niveau de la direction générale, afin que cette dernière puisse agir rapidement.

Le risk manager peut aussi avoir en charge une fonction propre du traitement du risque comme l’assurance, le contrôle interne ou la sécurité des biens, des personnes et de l’environnement. Par ailleurs, de plus en plus de risk managers doivent désormais présenter les risques, les arbitrages de la direction auprès des conseils d’administration via les comités d’audit.

Frédéric Lucas, directeur du développement de Gras Savoye : Je distingue trois grands types de risk manager qui sont liés à l’historique du métier. Or le premier métier a été le transfert du risque. La population de RM qui est arrivée dans les années 1980 était donc composée de spécialistes de l’assurance. Dans les années 2000, nous avons vu arriver des personnes venant du contrôle audit interne. Et il y a une autre catégorie qui perdure, particulièrement dans les ETI : ce sont des patrons opérationnels, des gens qui ont dirigé une usine et qui se retrouvent avec une mission de RM. Car toutes les entreprises font du risk management et beaucoup de sociétés ont monté une structure de risk management.

Mais il n’y a pas partout des RM. Qui a la casquette ? Qui est le possesseur du risque, de l’animation ? C’est un autre point. L’une des clés du risk management réside dans l’animation. C’est ainsi que l’on va faire remonter les risques car dans toute entreprise, il y en a. Les organisations vivent de plus en plus avec des concurrents, des marges serrées. Elles ont besoin de prendre des risques. C’est leur métier mais elles doivent faire attention aux risques externes qu’elles ne maîtrisent pas forcément bien. Nous sommes dans l’articulation entre risques propres et risques externes : comment faire apparaître tous les risques ? Les cartographies ne font pas apparaître beaucoup de choses nouvelles mais les curseurs bougent beaucoup.

David Vigier, group director, insurance and risk management d’EuropCar : Concernant la question des risk managers et de leur parcours, il faut distinguer en effet, les grandes entreprises et les ETI. Dans les grands comptes, nous voyons beaucoup de RM qui viennent du monde du courtage et de l’assurance. Ils capitalisent sur l’expérience acquise dans les différents maillons de cette chaîne de valeur en matière notamment de financement des risques et c’est une professionnalisation qui me semble créer de la valeur. Ce que l’on peut en revanche noter, c’est le risque de consanguinité et ce sont peut-être là les limites de l’exercice. La question que l’on peut se poser est de savoir jusqu’à quel point la fonction est ouverte à d’autres profils.

Personnellement, je viens du monde de l’assurance et j’ai transposé mon savoir-faire dans l’entreprise qui m’a accueillie. Une entreprise très connotée risques automobiles qui n’était pas mon secteur d’expertise. Mais cela m’a amené à creuser de façon systématique la question des risques liés à cette activité spécifique, des processus de gestion des sinistres et de la prévention des risques. Et la façon dont je dois influencer mes collègues, quelle que soit leur fonction, dans les différents pays afin qu’ils préviennent les risques. Je dois travailler à identifier quels segments de business peuvent être les plus ou les moins accidentogènes. C’est un facteur primordial dans une activité où le coût des risques est la deuxième ligne de coût du P&L.

L’intelligence des données relatives aux risques doit être mobilisée, exploitée et mise au service du financement des risques. Pour la part des risques transférés au marché de l’assurance, il faut savoir «broker» ses risques. Et en même temps, passer du temps avec les opérationnels de chaque pays afin d’en comprendre des risques proprement dits. Quant à savoir à qui rapporte le risk manager, personnellement, je suis rattaché à la directrice financière du groupe, membre du board et directement intéressé à la performance économique des risques. Ce rattachement me paraît être bon car, du fait du poids du coût des risques, il me donne une vraie capacité d’action. En matière de stratégie de gestion des risques et de plan d’actions, je cherche toujours à obtenir l’adhésion du board mais aussi de l’actionnaire.

David Balme, CEO de Challenge Optimum : Chez Challenge Optimum, nous observons que davantage que la fonction risk manager, c’est la fonction risk management des entreprises qui est en pleine mutation. Il y a une répartition du portefeuille des risques en fonction de leur nature et du contexte réglementaire dans lequel l’entreprise intervient. Il y a des risk managers aux prises avec les risques opérationnels tandis que ce qui est du ressort de l’extérieur sera aux mains d’un spécialiste du transfert de risque quand cela est nécessaire. On voit ce cas quels que soient la taille et le secteur de l’entreprise, même si l’on constate que certaines sont plus mûres que d’autres, notamment celles qui opèrent dans le secteur financier ou dans le secteur des assurances.

Loïc Le Dréau, directeur de souscription et clientèle pour l’opération Europe du Sud de FM Global : Concernant le profil du risk manager, une des tendances de fonds est qu’il reporte de plus en plus au directeur financier. Avant, le risk manager était plutôt rattaché à la direction juridique. Cela signifie que son rôle est de plus en plus stratégique au sein des organisations puisqu’il est rattaché à la personne responsable des objectifs financiers de l’entreprise. C’est particulièrement vrai dans les ETI où le DG ou le DAF peuvent endosser le rôle de risk manager. Clairement, la fonction de management du risque est de plus en plus cruciale. Le risk manager n’est pas forcément expert dans tous les domaines mais il est le communicant, l’animateur. Il se doit d’êtrevisionnaire et d’anticiper et de cerner dans quel environnement son entreprise évolue. Or celui-ci évolue très vite tandis que les risques sont de plus en plus variés.

C’est pourquoi, les risk managers doivent savoir développer une vraie vision. Pour notre part, nous voyons également le risk manager évoluer et monter dans l’entreprise. Nous commençons à le voir participer aux comités de direction. Mais l’une de ses grandes qualités est sa capacité à redescendre la vision stratégique au niveau opérationnel, notamment pour la mise en place dans les usines des plans d’action qui ont été décidés. C’est une tâche assez compliquée, et les entreprises où le risk management fonctionne bien sont celles où le risk manager arrive à combiner ce travail de haut niveau à une efficacité opérationnelle. C’est important car il a besoin d’une légitimité partout dans l’entreprise, non seulement au niveau des comités de direction mais aussi au niveau des usines.

Laurent Barbagli, administrateur de l’Amrae : Pour ma part, je voudrais définir ce que serait le risk manager théorique, voire idéal. Je crois que le risk manager idéal est celui qui ne traite pas de risque mais s’assure d’avoir une visibilité au niveau du groupe la plus nette possible des risques et qui vérifie qu’il y a un propriétaire pour chacun des risques. C’est-à-dire qu’il n’y a pas de risques orphelins, que les propriétaires en ont conscience et que chacun a son plan de traitement... En fait, c’est une espèce de gestionnaire des propriétaires de risque. Certains groupes, peu, ont déjà développé ce schéma. Dans les autres entreprises, il y a des risk managers qui viennent de l’assurance et qui sont vendeurs de risques. Il y a ceux qui sont nés avec les exigences réglementaires et légales (par exemple comment avoir des référentiels en ligne avec ce que veut le législateur).

Ce sont deux métiers différents qui parfois convergent. Mais il ne faut pas que l’un s’impose sur l’autre. Mais le risk manager idéal dépend aussi beaucoup de la culture de l’entreprise et de son secteur (B-to-B/B-to-C). Pour un voyagiste, la moindre réclamation RC peut avoir un impact capital sur l’entreprise. Le process assurantiel est clé. Pour aider les entreprises, l’Amrae a conçu un référentiel du risk manager qui essaye de définir les tâches de ces professionnels et les compétences qui sont associées. Il y a le RM transfert de risk, le responsable de la gestion de crise, etc. Ce référentiel a pour objectif d’aider à déterminer les profils. Globalement, on peut dire que c’est une des rares fonctions corporate qui aient autant de contact opérationnel.

Frédéric Lucas : J’aime bien l’idée du risk manager qui n’est pas possesseur d’un risque mais un animateur de communauté. Dans la pratique, il est toujours détenteur d’un risque : il s’occupe du contrôle interne, de l’assurance. Il est identifié très souvent avec une autre fonction que celle de risk manager. Mais le risk manager doit se retrouver dans une position transversale. Il doit pouvoir réunir les différentes entités (DAF/directeur juridique/DRH) quand il y a un impact des uns sur les autres afin de voir avec eux tous comment réduire le coût global de risque. Tant que l’on est dans un risque précis comme le risque juridique, c’est le directeur juridique qui est le mieux placé. Mais quand il y a un impact des uns sur les autres, il faut quelqu’un qui ait une vision transversale comme le risk manager. Dans ce cas, c’est à lui de montrer les interactions entre les parties et d’être l’animateur qui va permettre de résoudre les problèmes. En cela, il va s’appuyer sur la cartographie qui fait ressortir les risques et permet de voir comment les réduire par de la prévention, de la protection et du transfert.

Sur les risques rencontrés principalement aujourd’hui dans les entreprises : voyez-vous une évolution depuis quelques années ? Et comment les risk managers s’adaptent-ils à ces évolutions ?

Laurent Barbagli : Il y a une évolution. Quand une entreprise part en Asie installer des usines, le risque n’est pas le même que d’aller prospecter en France, en Allemagne ou en Italie. L’internationalisation entraîne un accroissement des risques qui existaient déjà. Il y a aussi la différence de maturité et du niveau d’assurance des pays émergents. Comment aligner les standards et les bonnes pratiques du groupe dans ces pays émergents ? Il y a aussi les risques politiques, les risques de crédit qui sont liés également à cette internationalisation. Un autre facteur d’évolution des risques tient à l’intégration du business : par exemple si l’entreprise a de plus en plus de sous-traitants ou si elle externalise une partie de son activité. Dans ce cas, le type de business est le même mais ce n’est plus l’entreprise qui produit. Elle écrit les spécifications. Cela a un impact sur la gestion de risque car l’organisation dépend de structures qui n’ont pas la même gestion de risque qu’elle. On peut citer aussi l’évolution des technologies et l’émergence des cyber-risques. Globalement, nous assistons à un accroissement de la complexité.

Loïc Le Dréau : En réalité, il n’y a pas beaucoup de nouveaux risques mais la conjoncture actuelle, notamment économique, aggrave les risques. Avec une supply chain de plus en plus tendue, moins de redondances et des marges plus réduites, le moindre incident peut se traduire par une perte de confiance des clients et des fournisseurs. Au final, cela peut entraîner très vite une perte de contrats et impacter le chiffre d’affaires. Dans ce contexte, l’incident, même mineur, peut rapidement mettre en jeu la pérennité de l’entreprise. La globalisation de l’économie et l’externalisation font que les entreprises se développent là où il y a de la croissance (dans les BRICS notamment), et près des voies de communication (ports, estuaires) qui sont souvent des zones inondables ou des lieux où il y a des ouragans.

L’activité se trouve concentrée dans des zones à risques. Plusieurs zones géographiques sont connues pour cela, comme la rivière de Shanghai. Et nous pouvons nous attendre à ce qu’un incident sérieux arrive un jour. Dans une étude que FM Global a réalisée auprès de 100 directeurs financiers de grands groupes mondiaux, 87 indiquaient que leur production passait par la Chine, et en grande majorité par la région de Shanghai. Aujourd’hui, près de 100 % de la production automobile a au moins un élément qui dépend de sites de production à Shanghai. On voit qu’il y a donc une concentration de risques qui peut avoir un impact lourd sur les entreprises. D’où l’intérêt de la prévention. Les entreprises qui ont mis en place des plans de prévention, qui ont su anticiper, sont beaucoup plus résilientes et pérennes. Dans certains cas, elles peuvent même en faire un avantage concurrentiel et gagner des parts de marché.

David Balme : Les risques opérationnels n’ont pas tellement changé. Ce que l’on voit en revanche, c’est une spécialisation progressive des métiers qui passe par l’externalisation d’une partie des savoir-faire de l’entreprise et de la gestion des risques associés auprès de tiers spécialisés. A titre d’exemple, l’évolution réglementaire dans le secteur de l’énergie impose aux entreprises de développer de nouveaux marchés comme l’éolien. Les décisions d’investissement qui en découlent requièrent parfois de faire appel à des compétences extérieures et exigent une gouvernance à toute épreuve pour justifier clairement du bien-fondé des choix effectués. Ces systèmes de gouvernance doivent permettre en particulier d’accompagner plus efficacement les directeurs généraux dans leurs choix stratégiques.

David Vigier : Les risques en tant que tels ne me semblent pas fondamentalement différents. En revanche, si l’entreprise n’a pas mis en place la gouvernance et l’organisation adéquates, elle peut être affectée plus rapidement et dans des proportions plus importantes que dans le passé. Des échanges d’expérience comme ceux que nous avons dans le cadre de l’Amrae sont autant d’opportunités pour nous de nous sensibiliser à d’autres questions, aux problèmes d’autres secteurs. Le risque de réputation lié par exemple aux réseaux sociaux est particulièrement fort pour une entreprise B-to-C. L’entreprise doit maîtriser l’information qui circule sur elle et être vigilante sur les mauvaises expériences client qui peuvent être relayées sur les réseaux sociaux.

Gilles Proust : Les réseaux sociaux ont effectivement changé le rapport de force entre le client et l’entreprise. Plus généralement, nous constatons une montée en puissance des risques stratégiques. De moins en moins d’entreprises sont capables de dire aujourd’hui qu’elles ont un business model protégé et stable sur le long terme. Il y a de moins en moins de secteurs préservés. Nous le constatons sur les cartographies actualisées récemment : le poids des risques stratégiques est plus fort. C’est un axe qui intéresse d’ailleurs les ETI qui se lancent dans le risk management car en général elles sont en forte croissance et l’une des missions du risk manager va être de contribuer à sécuriser l’exécution du business plan. C’est pourquoi je suis persuadé que le lien entre gestion des risques et planification stratégique va être amené à se renforcer à l’avenir. Ce n’est pas la vision actuelle mais c’est une des tendances à anticiper.

Laurent Barbagli : Cela m’amène à parler du risque de réputation dans la gestion des risques qui est difficile à maîtriser. Si un risque était prévisible, même si vous parvenez à le gérer, cela pose un problème et cela va se savoir. Mais si vous n’avez pas prévu de gérer le risque, c’est pareil : vous avez un problème de réputation et de gouvernance. Et vous vous posez la question : que peut-on me reprocher en tant que risk manager de ne pas avoir fait pour gérer ce risque ? Ce type de risque s’est accru avec la visibilité de plus en plus grande des entreprises et c’est surtout vrai pour les ETI qui sont moins dotées d’outils de gestion. Une entreprise peut n’avoir aucun risque juridique et avoir de gros problèmes à cause d’un risque de réputation. Ça, c’est assez nouveau.

Frédéric Lucas : L’acceptation du risque n’est plus la même dans la société. Nous sommes dans une société de communication où l’information circule très vite. Ce qui était acceptable avant ne l’est plus. Dans les pays occidentaux, on met de la réglementation et s’il n’y en a pas (comme au Bangladesh où plus de 1 000 personnes ont péri dans une usine de confection), toutes les grandes entreprises occidentales vont vouloir s’assurer que tous les salariés du Bangladesh ont une assurance décès. Car en termes de communication, ce qui s’est passé est tout simplement inacceptable. Ce n’est pas un coût économique majeur, mais nous sommes dans une inacceptation du risque qu’il soit sociétal, environnemental. C’est ça qui fait bouger le curseur. Le risque d’image n’est jamais un risque propre. C’est la mauvaise appréciation d’un risque qui a eu lieu, qui dégénère en risque d’image. Et ce risque va très vite. Cela se traite avec de la prévention, de la protection, des contre-feux.

Par rapport aux ETI : quelles sont leurs spécificités en termes de risques ? Parviennent-elles, alors qu’elles ont moins de ressources que les grands comptes, à bien appréhender leurs risques ? Quel est le rôle de leurs donneurs d’ordres dans la prise de conscience ?

Gilles Proust : Le portrait-robot d’une ETI est difficile à tracer car cela regroupe une grande variété d’entreprises. Celles qui s’intéressent actuellement au risk management, ce sont souvent des organisations en forte croissance, notamment à l’international. Ce sont des sociétés qui ont des structures de décisions assez courtes et qui sont en général en phase de structuration : la gestion des risques vient alimenter les schémas directeurs d’évolution des grandes fonctions corporate (RH, finance, achat, pilotage, etc.). L’un des objectifs du risk management est donc clairement de les accompagner dans cette phase de croissance et structuration. Dans ce schéma, ce sont d’ailleurs parfois les administrateurs indépendants d’une ETI qui peuvent pousser à la mise en place d’une démarche de risk management et vers la réalisation d’une première cartographie.

Frédéric Lucas : Il y a plusieurs axes dans les ETI. Il y a par exemple les sous-traitants de grandes entreprises. Certaines font le geste d’elles-mêmes ou parce que dans le processus de supply chain, leur donneur d’ordres leur demande d’avoir un plan de continuité d’activité. C’est l’aspect contrainte externe ou réglementaire qui amène une amélioration de la prise en compte. Si je suis dirigeant d’une ETI et que j’ai un fonds d’investissement dans mon actionnariat, celui-ci va vouloir que j’aie une démarche de cartographie. Les éléments externes facilitent la démarche. Ensuite, il y a les ETI qui s’aperçoivent qu’elles sont fragiles. Quand une ETI commence une cartographie, elle constate qu’il y a des éléments sur lesquels elle ne peut pas absorber une perte financière majeure, et il lui faut donc se reposer des questions sur sa gestion de risque.

Les premières cartographies dans une ETI sont généralement générées lors d’une acquisition, d’un changement stratégique : un projet majeur dans lequel il y a un risque perçu. Dans ce cas, elle utilise généralement un conseil pour l’aider à identifier ses fragilités. Et les ETI se posent de vraies questions sur le transfert de risques qu’elles n’avaient pas identifiés qui et redeviennent flagrants. La cartographie fait progresser l’entreprise dans la qualité de ce qu’elle doit transférer. L’assurance pour une ETI sans cartographie n’est trop souvent qu’une question de coût. Pour le directeur financier, c’est un coût fixe. L’intérêt du transfert vient avec la maturation de l’entreprise par rapport à ses risques.

David Vigier : Il y a aussi la question de l’obligation qui fait loi et de la réglementation. Très souvent, la démarche découle de la sensibilité des dirigeants aux risques. La question qui se pose pour ce type d’entreprise est la suivante : quelles ressources veut-on allouer à ce type de problématique ? Veut-on avoir un risk manager ou pas ? D’où le rôle prépondérant des conseils, des courtiers, afin d’accompagner les entreprises dans leur démarche.

David Balme : Pour rebondir sur la notion de transfert, il y a deux cas que nous avons observés dernièrement : la capacité de transfert des grands groupes qui n’hésitent pas à transférer le risque d’image et donc celui de réputation sur une filiale dont le nom commercial local est différent de la marque connue au plan international. Et la capacité pour des organismes concurrents de mutualiser leurs ressources logistiques à travers des plateformes créées ex nihilo (centrales d’achat en coopétition).

Loïc Le Dréau : Pour les ETI, c’est l’environnement (politique et économique) dans lequel elles opèrent qui aggrave leurs risques car elles y sont plus sensibles. Par contre, la chaîne de décision est très courte et il y a une connaissance très forte de l’entreprise par le dirigeant qui est souvent le fondateur et qui a la volonté de pérenniser son activité. Une façon de faire du risk management sans le savoir en quelque sorte. Souvent, il arrive que ces dirigeants soient en avance sur les grands groupes car ils cherchent avant tout à protéger les biens et les actifs. Mais ils manquent de technicité et ils ont besoin de soutien, surtout quand ils vont à l’international car c’est un environnement qu’ils connaissent mal.

Monter un programme d’assurance international est beaucoup plus complexe qu’un programme local et demande des compétences particulières. Par ailleurs, ces ETI sont souvent très innovantes et la plupart du temps, leaders de leur marché. Il leur faut sécuriser leurs innovations et donc investir dans la protection des biens. Par exemple, quand il y a un nouveau bâtiment à construire, elles sont soucieuses de choisir un terrain hors zone inondable. Finalement, elles sont souvent sous-traitantes des grands groupes. Elles ne peuvent pas se permettre d’être défaillantes, ce qui les pousse à fiabiliser leur outil de production.

Laurent Barbagli : Les donneurs d’ordre ont intérêt à ce que leurs sous-traitants aient une bonne gestion des risques. D’abord dans une perspective de RSE. Mais aussi en termes de bilan opérationnel. Dans le cadre de la supply chain, une ETI qui n’a pas une bonne gestion des risques, cela a des retombées sur le donneur d’ordres. Quant au niveau des risques et à la maturité des ETI pour les appréhender, on note que globalement les ETI ont les mêmes risques que les grands groupes mais chacun de ces risques, par exemple un entrepôt qui brûle, peut avoir une répercussion terrible pour l’entreprise. Dans un grand groupe, c’est une mauvaise nouvelle. Dans l’ETI, ça peut la faire disparaître.

Par rapport à cette taille d’entreprise, il y a un besoin de conseil mais aussi de formation. C’est notamment l’un des objectifs de l’Amrae qui a aussi créé deux antennes régionales. Peu d’ETI ont des risk managers. Les ETI vont avoir besoin de former un DAF, un directeur juridique. L’enjeu du transfert de risque rend l’acuité de la clause d’assurance encore plus clé, d’où un besoin d’audit. La gestion de la performance du courtier peut être encore plus forte que dans une grande entreprise.

Les assureurs, les courtiers, les cabinets de conseils sont des éléments essentiels dans la politique de risk management des entreprises : quel est le rôle de chacun ? Comment accompagnent-ils les entreprises et particulièrement les ETI dans la mise en place de leur stratégie de RM ? Peuvent-ils se substituer au risk manager ?

Gilles Proust : Sur la partie conseil, en effet, le marché des ETI est assez récent pour nous par rapport aux «grands comptes». Cela représente aujourd’hui environ 20 % de notre chiffre d’affaires mais c’est une vraie tendance. Les deux tiers des nouveaux clients en 2013 ont d’ailleurs été des ETI. Il y a donc une vraie demande. Le consultant a un rôle de coaching, de montée en puissance de la notion de risk management. Nous aidons les entreprises à structurer cette nouvelle fonction. Nous avons un rôle aussi de benchmark. On nous demande par exemple de challenger de plus en plus les programmes d’assurances. Avec deux objectifs : améliorer l’adéquation des couvertures avec le profil de risque de l’entreprise et réduire le coût du risque. Autre tendance, nous faisons aussi de plus en plus d’outsourcing. En permettant aux ETI de déléguer le risk management. Dans ces entreprises, nos principaux interlocuteurs sont la direction financière et le secrétaire général. Mais la direction générale est bien sûr fortement impliquée.

Frédéric Lucas : Ça ne fonctionne que si la direction générale est partie prenante. Le vrai sujet, est que l’on rentre vite dans des informations confidentielles. Quand on fait de la cartographie des risques, il est nécessaire d’avoir une appréhension fine de l’entreprise. C’est pourquoi le côté relationnel et la confiance sont primordiaux. L’ETI ne s’inscrit pas dans l’embauche d’un risk manager. Elle va prendre quelqu’un dans l’entreprise qui va occuper cette fonction. Elle a besoin d’avoir des gens efficaces et d’avoir confiance. Le courtier intervient pour amener de la formation et du retour d’expérience. C’est une attente de leur part car l’entreprise se positionne toujours par rapport à ses concurrents. Mais il faut que nos solutions soient courtes. L’ETI a besoin d’efficacité : il lui faut une formation courte et une boîte à outils qu’elle va pouvoir s’approprier.

David Balme :Le rôle des courtiers et des consultants est complémentaire à celui des risk managers internes aux entreprises. Les trois parties doivent travailler en bonne intelligence pour identifier et maîtriser au mieux les risques. Si l’on compare les ETI aux autres entreprises, ce n’est pas le plus grand et le plus fort qui survit mais celui qui est apte au changement, quelle que soit sa nature (réglementaire, économique, technologique, concurrentiel). Le rôle du consultant est d’accompagner les entreprises dans les changements. Il doit faire en sorte que toutes les parties prenantes du risque associées au changement soient bien formées, disposent des bons outils et méthodologies afin que la transformation puisse se faire dans les bonnes conditions.

Loïc Le Dréau : En tant qu’assureur mutualiste, il y a trois axes sur lesquels nous travaillons particulièrement, pour tous les types d’entreprise. D’abord le conseil en risk management sur l’aspect dommage. Nous aidons l’entreprise à identifier et quantifier son exposition réelle aux risques, et ce en fonction du travail d’analyse de nos ingénieurs conseil et de nos souscripteurs qui comprennent les problématiques du client. Ils vont développer un programme d’assurance avec des couvertures adaptées au profil de risques de l’entreprise. Ensuite, c’est un soutien en ingénierie : il faut accompagner l’entreprise à la mise en place de plans de prévention et de protection pour mieux maîtriser les risques. Enfin, c’est de payer rapidement les sinistres. C’est particulièrement important pour les ETI qui ont des marges et des fonds moins importants que les grands groupes. Un seul sinistre peut faire disparaître l’entreprise et notre mission, c’est de l’aider à être plus résiliente. C’est d’avoir la capacité de répondre à un sinistre le plus vite possible de façon à minimiser l’arrêt de la production.

Laurent Barbagli : A propos du modèle courtier/assureur/conseil, nous pouvons comparer ce qui se fait en Allemagne et en France. Si l’on prend les exemples du modèle allemand, dans leurs grands groupes, tout est internalisé. Ils ont beaucoup moins recours aux courtiers. En France, nous utilisons les ressources externes. Un point clé, c’est le pilotage de la performance de ces entreprises. Pour les ETI, cela passe par le dialogue avec les pairs qui permet de mieux s’adresser aux courtiers. Une entreprise peut avoir des difficultés à échanger avec ses pairs sur ses risques mais elle peut échanger sur la méthodologie. Car le monde de l’assurance, c’est un monde d’expertise, qui peut paraître opaque pour un risk manager d’une ETI. Il peut parfois être démuni, d’où l’intérêt de rencontrer d’autres professionnels.

Frédéric Lucas : Le risk manager est seul dans l’entreprise. Dans l’ETI, la difficulté est qu’il ne se considère pas comme risk manager. Amener les ETI au risk management, nous y parvenons. Mais amener les ETI à avoir un risk manager, c’est plus difficile ; et est-ce nécessaire ? La fonction nécessite-t-elle un temps plein ? D’où l’importance de rechercher de l’information et de regarder comment font les autres.

Que peut-on dire du cyber-risque qui est un risque récent et, comme tout ce qui touche à l’immatériel, difficile à cerner ? Où en est-on aujourd’hui, tant du côté des risk managers que des prestataires ?

David Vigier : C’est un vrai sujet surtout avec la directive européenne qui arrive et qui va obliger les entreprises qui se sont fait pirater les données personnelles de leurs clients à le notifier. Le cyber-risque est vécu comme un relais de croissance pour les assureurs et les courtiers. C’est un sujet qui est assez nouveau et, pour le risk manager que je suis, pose la question de savoir comment j’accélère la maturation du sujet en interne. Un risque juridique accru va peser sur l’entreprise très prochainement. Le service informatique de l’entreprise, architecte et agent de l’intégrité du système d’information et de la sécurité en matière de données, n’en a pas toujours pleinement conscience.

Le point important, c’est de mettre le directeur juridique et le DSI ou le responsable de la sécurité informatique ensemble, potentiellement avec l’aide de consultants/courtiers, pour mettre le sujet en perspective et les amener à réaliser cette urgence. Car c’est une question qui prend du temps en matière de compréhension du risque réel. La question se pose maintenant. Charge à moi d’accélérer cette prise de conscience par la mise en relation des bonnes personnes et de jouer un rôle structurant dans la démarche qui va nous amener à prévenir et à transférer le risque.

Loïc Le Dréau : Chez FM Global, nous considérons les données client comme un bien matériel. Tout dommage aux données et ses conséquences en perte d’exploitation sont couverts par la police standard, avec une capacité de plusieurs dizaines de millions d’euros. Par exemple, un virus qui endommagerait des données, entraînant un arrêt de production où le passage des commandes est assuré.

Laurent Barbagli : Pour un grand groupe, B-to-B, cela pose plusieurs questions : jusqu’où puis-je pousser mes contrats traditionnels ? Qu’est-ce que je dois acheter en plus ? Par ailleurs, qui dit cyber-risques, dit DSI… donc un nouvel interlocuteur pour le risk manager.

Gilles Proust : Nous constatons que les cyber-risques entraînent encore beaucoup de débats contradictoires au sein des comités de direction. Il y a des gens qui y croient, d’autres pas. Cela nécessite d’être objectif.

Frédéric Lucas : La notion de cyber-risque est très large et touche toutes les entreprises. Mais il y avait des risques qui existaient déjà et il y a eu des réponses de transfert de risques vers l’assurance. Nous ne partons pas de rien. Il y a un vrai sujet de produits. La problématique des entreprises, c’est une adaptation à ce monde des cyber-risques. Plus que jamais, nous avons besoin d’une vraie cartographie des risques afin d’établir ensuite des scénarios.

David Balme : Nous constatons que des entreprises ont échafaudé de magnifiques systèmes IT et il suffit d’un simple employé, comme Edward Snowden dans l’affaire Prism ou des courtiers dans les banques pour ouvrir des failles géantes dans l’accès aux données. Alors oui, le cyber-risque est un vrai problème que les systèmes de management peuvent contribuer à résoudre dans les entreprises.