1 63 Table of Contents 65 90

ATOUT RISK MANAGER N°24

ATOUT RISK MANAGER N°24 I PRINTEMPS 2020 64 À L’AFFICHE REVUE DE PRESSE L’ARGUS DES RENCONTRES DU RISK MANAGEMENT AMRAE AUX PRISES DE PAROLE DE L’ASSOCIATION À L’AUNE DU COVID_19, UNE ACTUALITÉ PRESSE TRÈS DENSE. LA TRIBUNE DE L’ASSURANCE NOUVEL ECO 28 Le nouvelEconomiste - n°2003 -Du 31 janvier au 6 février 2020 - Journal d’analyse& d’opinion paraissant le vendredi L es risques climatiques et les risques cyber sontdeplusenpluspris au sérieux (voir enca- dré).Et pour cause. 2019 a apporté son lot de catastrophes naturelles et d’attaques cyber tous azimuts. Des phénomènes qui devraient per- durer à l’avenir et contre lesquels il convientde seprémunir.Plus facile àdirequ’àfaire,notammentpour les risques liés au climat.En revanche, des solutions existentd’ores etdéjà pour lesrisquescyber. “La prise de conscience par les entre- prises de leur vulnérabilité face au risque cyber n’a cessé de croître dans les 5 dernières années. Lamédiatisa- tion des attaques a également contri- bué à sensibiliser les entreprises face à ce risquequipeut s’avérerdramatique pour leur activité” , estime Brune Costes, directrice commerciale d’AIGenFrance,quiproposedepuis 2012desgarantiescyberdansl’Hexa- gone. Pourtant, selon l’Autorité de contrôleprudentiel etde résolution (ACPR), les contrats enmatière de cyber-assurancesontencoretroppeu développés en France.Entre outre, les risques cyber se poursuivant et s’étendant,pour lapremière fois en 2019, les franchises et les primes d’assurance les concernant ont aug- menté,selon l’étudedemarchéassu- rances Iard (incendie, accidents et risquesdivers)2019de l’Amrae. Uncasse-têtepourlesentreprisesqui doivent trouver la bonne assurance cyber,mais aussipour les assureurs, quidoivent faire faceàune sinistra- litédeplusenplus importante sans disposer d’un historique de sinistra- lité,ni de bases de donnéesfiables. “La gestion du risque repose sur deux piliers: la définition du périmètre des risques et ladéfinitiondes risquesaux- quels une entreprise s’expose.Or dans le domaine de la cybersécurité, la dif- ficulté principale pour les assureurs et pour leurs clients est la connaissance des risques cyber qui évoluent sans cesse” ,estimeFabienRech,directeur généralFrancedeMcAfee. “Certains risques sont difficilement assurables, voire inassurables. Les risques cyber, qui peuvent être systémiques, posent unproblèmedegestiondescumulsaux assureursetréassureurs.L’adaptation des garanties face aux évolutions des risques doit tenir compte de ces contraintes” , explique Renaud de Pressigny, directeur général de QBEFrance.Autrement dit, l’assu- reur doit être en capacité de pou- voir indemniser l’assuré en cas de sinistre. “Les risques enmatière de changements climatiques sont plus difficiles à intégrer dans une police d’assurance; nos clients sont de plus en plus demandeurs de conseils en la matière, poussés par l’évolution de la société et la réglementation. Il s’agitd’unequestionderéputationde l’entreprise et de changement de son businessmodel” , indiqueDessislava Nouveauxrisques Commentrassurer l’assureur? Entreprisesetassureursavancentàtâtonspours’adapterettrouver lesmeilleuresgaranties “Lesentreprisesdoiventavoir lacerti- tudeque lescompagniesd’assurances sontprêtesàcouvrir lesrisquescyber etque lespolicesd’assurancesont rédigéesdetellemanièreque lesrisques cybersoientbiencouverts.” DessislavaSavova,CliffordChance. Souscrireuncontratcyber nécessitedecommencerpar uneréflexioncommunedes partiesconcernées,en fonction dusecteurd’activitéetde l’organisationde l’entreprise Gestiondesrisques Nouveaux risques, réglementations plus contraignantes, les équipesde riskmanage- ment des entreprises doivent s’adapter aux changements rapides intervenant à la fois dans lagestiondes risquesetdans celledes assurances.Les clauses semodifient et cer- tainsrisquesneeneffetsontplusassurables. L’adaptation passera notamment par une meilleureétudedesgarantiesetdes risques couverts,mais aussi unemeilleure préven- tion des risques et le développement d’une culturede lagestiondesrisques. D OSSIER PhotoparMindandi,Freepik 30 Le nouvelEconomiste - n°2003 -Du 31 janvier au 6 février 2020 - Journal d’analyse& d’opinion paraissant le vendredi Savova, associée en charge du groupe techpour laFranceet l’Eu- rope continentale chez Clifford Chance. Adapterlesgarantiesàses besoins CommepourtoutautrerisqueIard,il estessentieldedéfinir lesbesoinsde l’entreprise enmatière d’assurance cyber. “Parce qu’il est difficile dans le domaine ITdedéfinir lepérimètredes risques, il est essentieldedéciderpréci- sément avec son assureur le périmètre que l’onsouhaitecouvrir,etdedétermi- ner égalementquels servicesd’applica- tions l’entrepriseapporteàsesclientset doit donc assurer” , fait valoir Fabien Rech.Neserait-cequepouréviterun litigeavecsonassureur,commedans lecasMondelezInternational/Zurich (le groupe alimentaire a attaqué en justice l’assureur pour son refus de couvrir les dommages causés par la cyberattaqueNotPetya en 2017). Souscrireun contrat cybernécessite de commencer par une réflexion commune des parties concernées, en fonction du secteur d’activité et de l’organisation de l’entreprise. Renaud de Pressigny recommande aux assureurs, aux courtiers et à leursclientsdetravaillerdeconserve afin de faire face à l’évoltion des risques: “il s’agit d’un travail à trois pouradapter les garantiesd’assurance aux risques encouruspar l’entreprise” , commente-t-il.Les avocats sont éga- lemet présents pour ssister à la rédaction des plics d’assurance. “E matière d’assrance, le diabl est dans lesdétails.Lesentreprisesdoivent avoir la certitude que les compagnies d’assuraces sont prêtes àcouvrir les isques cybret que les polices d’assu- ranc sontrédigésdetellemaniè que les risqus cyber soient bien ouverts” , souligneDessislavaSavva. Culturedegestiondesrisques Sur le terrain, le risque cyber et les églementations n sontpas forcé- ment bien maîtrisés. “Les sociétés ont des difficultés à respecter les régle- mentations, la préventionne concerne pas forcément toutes les personnes qui devraient être impliquées au sein de l’entreprise, et les entreprises ne sont pas correctement préparées sur le plan juridique” , constate Dessislava Savova. “Pourêtreefficaceetvertueuse, la culturede lagestiondes risquesdoit être intégréepar tous lescollaborateurs et l’information partagée” , estime Renaud dePressigny.Parce que les risques cyber sont protéiformes et ceux liésau changement climatique aléatoires, les entreprises doivent apprendre à les prévenir et déve- lopper une culture de gestion des risques. Une manière de réduire la proba- bilité d’un incident, de rassurer les compagnies d’assurances et de mieux négocier à la fois les polices et les primes d’assurances, mais aussi de préserver la pérennité de lurs activités. “Le risque cyber est un risque commeunautre,mais il est encore trop sous-estimé.Par ailleurs, il s’agit d’un risque qui a de très fortes probabilités de se réaliser rapidement etquineferaqu’augmenteràl’avenir” , affirme l’avocate.Et de poursuivre: “il importedoncnon seulementde ras- surerlescompagniesd’assurances,mais aussi d’éviter les sanctions financières et toute expositionde la responsabilité de l’entreprise, qui peut avoir égale- ment un impact sur sa réputation et son image. Le risque cyber doit faire l’objetd’unevigilanceaccrue”. Pour ce faire, réaliser un audit ini- tialafindedétecterdes failleséven- tuelles en matière de sécurité et effectuer des tests d’intrusion s’im- pose. “Cela permet de signifier à l’as- sureurque l’entreprise gère le risque et tentede lemaîtriser.C’estunemanière de le rassurer” , estime FabienRech, qui recommande de faire suivre l’audit initiald’audits régulierspour inclure les nouvelles techniques d’attaques cyber.Ce dernier estime égalementque laprotectiondu sys- tème cloud des entreprises est pri- mordiale: “il est crucial de connaître son périmètre, de prévenir le shadow IT et d’être accompagné pour bien connaître la fenêtre d’exposition au risquede soncloud,mettreenplaceun systèmedeprotectioncontre la fuitede données ou, le cas échéant, chiffrer des données sensibles”. De fait, selon le récent rapport 2020deCheckPoint Researchsur lacybersécurité,pblié en janvierdernir,plusde90%des entreprises utilisent des services dans le cloud.Or en 2019, selon ce rapport, l’amplur ds attaques et des faills de sécurité n’a cessé d’augmenterdans lecloud. Alliergaratiesetsensibilisation S’il estplus aisé pour les grands comptes qi disposnt de départe- ments diés au risk managmnt, de s’adpter aux nouveax risques tà lanouvlledonneréglementaire, les PME/ETI ne sont pas oublées. Elles disposnt d’outils mis à leur disposition parlesdifférets cteurs de l’assuranc. “LesPME/ETIdoivent ’appuyersur leurcourtierenassurance et leur ssureur,mais aussi sur leurs commissaires aux comptes et avocats, pour disposer des bons conseils et pro- cessus, souligeRnauddePressigny. QBE, grâce à son offre de cartographie des risques, permet aux PME/ETI de disposergratuitementduSIGR(système d’informationdegestiondes risques)de notre partenaire Arengi pendant deux ans.QBE propose aussi, associés à son offre d’assurance et d’assistance tech- nique en casde cyberattaques,des tests d’intrusiongratuits.” De son côté,AIG partage avec ses clients et leurs courtiers son exper- tise et ses retours d’expérience au traversde livresblancssur l’évolution de la sinistralité. “AIGadéveloppéun questionaire dynamique cyber per- mettant aux entreprises d’auto-évaluer leurniveaudematrité fceau risque, leur niveau de prévention encore le niveau e sécurité de leur système informatique” , indiqueBruneCosts. McAfeeproposepoursapartunvolet formation à la cybrsécurité, “mais aussides solutiospour le coachingdes salariés afin dedévelopper les bonnes pratiqueset laprévntio conre lafuite d’informaions” , fat valoir Fabien Rech. “En ce qui concerne les risques climatiques, les entreprises françaies ont lachance diposrdu régim de garntiedescatatrohesnaturelles,qui n’existepasdanstous spays” ,rappele RenaddePressigny. Sensiblisaion et prévention se dévloppent tat du côté de com- pagnies d’assurances que des entre- prises. Toutefois, selon l’Amrae, “la route s’annonce longue et sinueuse” vers une bonne indemnisation des sinistres causés par les incidents cyber.Et l’Amrae de conclure, dans sonétudeassurances Iard2019,“rai- son pour laquelle les riskmanagers et leurscourtiersont intérêtàrelever ce challenge formidable avec la pré- cieuseaidedumarchéde l’assurance et de la réassurance”.D’autant que d’autres risques émergent en raison dudéveloppementdesobjetsconnec- tésetdel’intelligenceartificielle.  S OPHIE S EBIROT “Réaliserunaudit initialetdestests d’intrusionpermetdesignifierà l’assu- reurque l’entreprisegère lerisqueet tentede lemaîtriser.C’estunemanière de lerassurer.”FabienRech,McAfee. Gestiondesrisques Parceque les risquescybersont protéifor esetceux liésauchangement climatiquealéatoires, lesentreprises doiventapprendre à lesprévenire développerune culturedegestiondes risques Selon une récente étude réalisée par The Economist IntelligenceUnit pour le cabinet d’avocats Clifford Chance intitulée “Comment l’attitude et l’ap- proche des conseils d’administration ont évolué en matière de manage- mentdes risquesdepuis2014?”,près de lamoitié (49%) des quelque 200 membresdeconseilsd’administration de grandes entreprises interrogées exprime une “préoccupation impor- tante”ausujetduchangementclima- tique. Ils n’étaient que 16% en 2014. Le risquecyberestégalementdevenu uneprioritépour47%despersonnes interrogées,contreseulement15%en 2014.Une progression qui s’explique tant par la mise en place de régle- mentations importantes, tellesque le RGPDouencore ladirectiveNIS,mais aussi de cyberattaques massives et trèsmédiatisées, tellesqueWannacry etNotPetya. Selon l’étude, lesadministrateursont également pris conscience de leur responsabilité personnelle et qu’ils devraient rendre personnellement compte en casd’utilisation illégale et contraire à l’éthique de la technolo- gie (90%). 34% des administrateurs ont “fortement” augmenté le temps consacréaumanagementdes risques et 41% y consacrent “un peu” plus de temps. Selon l’étude, l’intelli- gence artificielle (IA) est un risque sous-estimé. “Seuls36%desboards ont pris des mesures concrètes de supervision et de gestion de toutes les conséquences liées à l’utilisation de l’IA.Les risques liésà l’intelligence artificielle ne sont pas encore bien appréhendés et il en est de même pour ceux liés aux objets connectés. La prise de conscience devrait être toutefois plus concrète à l’avenir, la Commissioneuropéenneenvisageant dans les mois qui viennent la mise en place d’un nouveau cadre régle- mentaire pour l’IA” , juge Dessislava Savova,associéeenchargedugroupe tech pour la France et l’Europe conti- nentalechezCliffordChance.  Lesadministrateurs ontégalement prisconsciencede leurresponsabilité personnelleencas d’utilisation illégaleet contraireà l’éthiquede la technologie D OSSIER Pouvez-vousnousprésenterces28 e rencontres? Cette 28e édition des Rencontres de l’Amrae – l’événement le plus important d’Europe en matière de gestion des risques –, rassemblera plus de 3000 professionnels de la gestion des risques en provenance de 30 pays, dont 700 gestionnaires de risquesenentreprise (“riskmana- gers”).Plusde60heuresdecontenu sont proposées, réunissant les 77 partenairesexposantscetteannée. Quelssont les“risquesen puissance”? Outre les risques “macros” parmi lesquels nous évoluons, notamment la fragmentation des accords poli- tiques et commerciaux multilaté- raux, la transitionécologiqueoudes entreprises mondiales qui devien- nent des puissances à part entière, des risques systémiques affectent désormais lesentreprises:vulnérabi- lité cyber, fragilité des supply chain, effet papillon des risques juridiques et manquements à l’éthique. La puissancede l’impactde ces risques peut, à court oumoyen terme, être destructrice pour les entreprises, leurs salariés et autres parties pre- nantes; car les entreprisesontdoré- navantà rendredescomptessurdes domainesplusvastesqueceluide la seuleperformance. Commentaméliorer leriskmanage- mentpour lesrisquesémergents? La question n’est pas d’améliorer le riskmanagement de ces risques, maisdepratiquersystématiquement l’approche par les risques dans la conduite de l’entreprise. Cette der- nière sécurise la stratégiequidonne lecap, l’éthiquequiendonne lesens, ainsique lesprocessusclésde l’orga- nisation.Uneentrepriseresponsable, qui veut rester dans la compétition nationale ou mondiale, doit systé- matiquementévalueràcourt,moyen et long terme tousses impactset les risques associés en termes finan- ciers, techniques, juridiques, de réputation ou de RH, et mettre en place des dispositifs de prévention, definancementetderésilienceadap- tés. Le riskmanagement est le socle de l’entreprise responsable.  *5du7 février2020 Deauville,CID www.amrae-rencontres.fr “Leriskmanagement est lesoclede l’entreprise responsable” En2020, lemarchéde l’assurance cyber devrait représenter 8 à 9Mds$deprimes. En 2025, il devrait atteindre les 20Mds$ . Source:MunichRé. Chiffresclés Laconsciencedesnouveauxrisquesaugmenteà latêtedesgrandesentreprises AnnePiotd’Abzac, secrétairegénéralede l’Amrae, organisatricedes28 e RencontresAmrae* “LesPME/ETIdoivents’appuyersur leur courtierenassuranceet leurassureur, maisaussisur leurscommissairesaux comptesetavocats,pourdisposerdes bonsconseilsetprocessus.” RenauddePressigny,QBE. STRATEGIC RISK L’OPINION INSURANCE TIME LES ECHOS COMMERCIAL RISK

RkJQdWJsaXNoZXIy MTkzNjg=