Risques d`entreprise et systèmes d`information

Risques d’entreprise et systèmes
d’information
Denis KESSLER
Président de SCOR
7ième symposium de la Gouvernance des systèmes d’information
Paris, 16 juin 2009
Introduction
L’entreprise est de plus en plus sommée de prendre en charge
les risques de nos contemporains. Le législateur, le juge, les
médias transfèrent ainsi chaque jour de nouveaux risques et
de nouvelles responsabilités à la charge de l’entreprise.
Quelles sont les raisons de cette évolution ? Quelles
contraintes celle-ci impose-t-elle aux entreprises ? Quelle est
la place des systèmes d’information dans cette nouvelle
configuration ? Telles sont les questions auxquelles on
répondra à partir des trois constats suivants :
¾ L’univers des risques est en expansion
¾ L’entreprise est devenue la grande gestionnaire
des risques
¾ Les systèmes d’information sont au cœur des
risques d’entreprise
7ième symposium de la gouvernance des systèmes d’information – Paris, 16 juin 2009
2
1.
Un univers des risques en expansion
7ième symposium de la gouvernance des systèmes d’information – Paris, 16 juin 2009
3
1. Un univers des risques en expansion
Un univers des risques en croissance
z Des anciens risques plus présents que jamais
– Les risques naturels restent prédominants (75 % des destructions de valeur) ;
– Concentration de la population dans des zones urbaines et dans les zones les
plus risquées de la planète (=> risque accru de pandémie, etc.) ;
– Croissance des pertes potentielles du fait de l’enrichissement économique.
z Des nouveaux risques qui se multiplient
– Disparition d’anciens risques (peste, rage)… remplacés par de nouveaux
risques (vache folle, SIDA, grippe aviaire,…) ;
– Apparition de nouveaux risques : développement des réseaux, nucléaire,
champs électromagnétiques, OGM, changement climatique) ;
– Extension continue mais difficilement prévisible de la responsabilité civile
(imputable à la jurisprudence et à la pression médiatique autant qu’à la loi ou
qu’à la réglementation) ;
7ième symposium de la gouvernance des systèmes d’information – Paris, 16 juin 2009
4
1. Un univers des risques en expansion
Un univers des risques en mutation
z Des risques de plus en plus complexes
– Des risques plus « endogènes » qu’«exogènes», liés aux comportements
(conséquences des attitudes des entreprises et des ménages) ;
– Des risques plus «progressifs» qu’«accidentels » (santé, dépendance,
amiante);
– Des risques plus « interdépendants » (responsabilité civile, incidents de
réseaux, atteinte à la propriété intellectuelle, pertes d’exploitation) .
z Des risques de moins en moins contrôlables
– Des risques aux conséquences plus « durables » voire « irréversibles »
(changement climatique)
– Des risques «moins visibles » et plus insidieux (terrorisme, virus informatiques)
– Des risques «globalisés» (crise financière, criminalité, pillage économique)
– Des risques dont nous n’avons aucune expérience (grippe aviaire)
7ième symposium de la gouvernance des systèmes d’information – Paris, 16 juin 2009
5
1. Un univers des risques en expansion
Une perception aggravée des risques
z Un sentiment croissant de « vulnérabilité »
– Doutes sur la technique, l’expertise et les scientifiques : l’effet Frankenstein
– Interdépendance accrue entre les personnes et les Etats (disparition de
l’économie autarcique)
– Un monde perçu comme plus « inquiétant » et plus « insidieux », dont les
menaces sont à la fois plus proches et moins maîtrisées.
– L’effet totalement anxiogène des risques invisibles (terrorisme, amiçante, vache
folle, trou d’ozone, …
z Un sentiment amplifié par deux évolutions, objective et subjective
– La crise du « Welfare State » : les filets de sécurité paraissent troués….
– Une « aversion accrue au risque » avec l’enrichissement : un paradoxe !
7ième symposium de la gouvernance des systèmes d’information – Paris, 16 juin 2009
6
2. L’entreprise, la grande gestionnaire
des risques
7ième symposium de la gouvernance des systèmes d’information – Paris, 16 juin 2009
7
2. L’entreprise, la grande gestionnaire des risques
La remise en cause des protections traditionnelles
z La grande transformation de la famille
– «Dual careers families» (essor du taux d’activité des femmes)
– Fragilisation de la famille (baisse des mariages, réduction de la taille de la
famille, hausse des divorces et remariages)
z La crise durable de l’Etat providence
– Incapacité perçue des Etats à gérer les risques modernes
– Incapacité des Etats à indemniser les nouveaux risques
z Le transfert de la responsabilité collective sur le chef d’entreprise
– Omniprésence de l’entreprise dans les événements de la vie quotidienne
– Lien du salarié à l’entreprise plus durable que le lien du mariage…
– La seule structure économique réellement solvable à travers le temps
– Une propriété exploitée par la jurisprudence et jamais contredite par la loi
– Une cible aisée pour les « stakeholders » : associations de victimes, de
consommateurs,
de salariés, etc.
ième
7
symposium de la gouvernance des systèmes d’information – Paris, 16 juin 2009
8
2. L’entreprise, la grande gestionnaire des risques
L’entreprise « responsable de tout devant tous »
z Une responsabilité au-delà des frontières de l’entreprise
– Vis-à-vis des salariés, anciens salariés, clients, fournisseurs et actionnaires
– Vis-à-vis de son environnement et de la cité (entreprise citoyenne)
– Vis-à-vis des générations futures (réchauffement climatique)
z Une responsabilité de plus en plus étendue
– Extension du contenu (responsabilité de moyens mais aussi de bonne fin)
– Extension à des domaines nouveaux (responsabilité produit, éthique)
– Extension dans le temps (rétro-activité de la jurisprudence : cf. amiante)
– Extension dans l’espace (conséquence de la globalisation)
z Une responsabilité de plus en plus sanctionnée
– De la réparation du sinistre à la prévention des risques connus et à la
précaution en cas de doute (l’entreprise n’a plus le bénéfice du doute)
– Multiplication des contrôles externes (juges, AMF, ACAM, concurrence….)
– Sanctions pécuniaires, pénales et « réputationnelles » accrues
7ième symposium de la gouvernance des systèmes d’information – Paris, 16 juin 2009
9
2. L’entreprise, la grande gestionnaire des risques
La nouvelle gestion des risques par l’entreprise
z Le « risk management » global et intégré
– L’identification et cartographie des risques
– La définition de procédures internes de gestion et de contrôle des risques
– L’optimisation de la stratégie de couverture (portage / cession) des risques
– L’accumulation d’un capital suffisant pour faire face au risque (Value at Risk)
z Les solutions assurantielles
– Une solution fondée sur la mutualisation des risques
– La responsabilisation de l’entreprise vis-à-vis du risque (franchise)
– Le développement d’une offre innovante d’assurance de responsabilité
z Le transfert des risques au marché financier
– Une solution fondée sur la pulvérisation des risques (« cat bonds »)
– Un transfert du coût financier du risque mais pas de la responsabilité du risque
– Un transfert facilité par la décorrélation par rapport aux risques financiers
7ième symposium de la gouvernance des systèmes d’information – Paris, 16 juin 2009
10
3. Les systèmes d’information sont au
cœur des risques d’entreprise
7ième symposium de la gouvernance des systèmes d’information – Paris, 16 juin 2009
11
3. Des systèmes d’information au cœur des risques
d’entreprise
Les des entreprises risques se structurent de plus en plus autour des
systèmes d’information
z Rôle primordial des systèmes d’information dans la vie de l’entreprise
– Pour la communication interne : messagerie et des réseaux internes
– Pour l’accumulation d’informations pertinentes : informatiques
– Pour l’intelligence économique : internet
– Pour la méthode de travail : logiciels performants et conviviaux
z Risques majeurs liés aux systèmes d’informations dans l’entreprise
– Les systèmes d’information sont devenus une cible privilégiée : les cyberattaques et virus informatique peuvent paralyser l’entreprise
– Les systèmes d’information sont aussi devenus un moyen privilégié de
pénétration de l’entreprise : espionnage industriel etc. (cf. « blackberry »)
– La défaillance des systèmes d’information des entreprises constitue une source
majeure de risque opérationnel : une fois maîtrisés les systèmes d’information,
la fraude devient furtive et aisée (cf. Kerviel)
– La destruction des systèmes d’information en cas de catastrophe (inondation
etc.) peut donner une dimension systémique à la catastrophe
7ième symposium de la gouvernance des systèmes d’information – Paris, 16 juin 2009
12
3. Des systèmes d’information au cœur des risques
d’entreprise
Les systèmes d’information sont
une source de risque majeure
7ième symposium de la gouvernance des systèmes d’information – Paris, 16 juin 2009
13
3. Des systèmes d’information au cœur des risques
d’entreprise
Leur contrôle des risques d’entreprise repose aussi de plus en plus sur
des systèmes d’information efficients
z Le contrôle des risques suppose l’accumulation d’informations
– Pour mémoriser les activités passées de l’entreprise et lui permettre ainsi
d’assumer ses responsabilités juridiques
– Pour dresser le tableau de la situation de l’entreprise en temps réel et lui
permettre d’en avoir une vue en temps réel (exposition à tel actif)
– Pour détecter les anomalies (transaction non autorisée ou suspecte) : la lutte
contre le blanchiment passe par les systèmes d’information
– Pour contrôler les risques : la mesure des déviations par rapport aux
anticipations suppose le traitement d’une quantité importante d’information
z La maîtrise des risques repose sur l’efficience des systèmes d’information
– Pour anticiper les risques : cela suppose de développer des modèles utilisant
des systèmes d’information sophistiqués (cf. modèles internes des institutions
financières et leur simulations stochastiques)
– Pour tester les stratégies contingentes : cela suppose des modèles encore plus
complexe, intégrant des processus d’optimisation complexes encore plus
exigeant en matière de performance des systèmes d’information
7ième symposium de la gouvernance des systèmes d’information – Paris, 16 juin 2009
14
3. Des systèmes d’information au cœur des risques
d’entreprise
La protection des systèmes d’information est devenu un enjeu majeur
de la politique des risques de l’entreprise
z Un enjeu décisif dans la concurrence
– Du fait de la responsabilité croissante de l’entreprise et de systèmes
d’information devenus vitaux pour toutes les parties de l’entreprise, la
défaillance d’un système d’information peut entraîner la faillite de l’entreprise
– Or, les risques susceptibles d’entraîner la défaillance de ces systèmes non
seulement se multiplient mais ils se complexifient aussi (cf. cyber-attaques)
– la capacité à maîtriser les risques qui affectent les systèmes d’information
constitue un avantage comparatif majeur dans la concurrence
z Des coûts de protection croissants
– Ces coûts croissants sont directement liés à la course entre le canon et la
cuirasse pour la maîtrise des systèmes d’information
– La capacité à anticiper les risques concernés devient elle-même importante car
elle permet de limiter les coûts
– Au-delà de l’anticipation, il faut à tout moment veiller à optimiser les coûts de la
protection qui peuvent constituer un facteur de défaillance
7ième symposium de la gouvernance des systèmes d’information – Paris, 16 juin 2009
15
3. Des systèmes d’information au cœur des risques
d’entreprise
La sophistication croissante des cyber-attaques
7ième symposium de la gouvernance des systèmes d’information – Paris, 16 juin 2009
16
Conclusion
L’univers des risques est en expansion et en mutation. Il crée un sentiment
diffus de vulnérabilité qui induit une demande de protection accrue.
Les institutions que sont la famille et l’Etat ne sont plus en mesure de jouer le
rôle « protecteur » qu’elles ont joué auparavant.
C’est donc vers l’entreprise que nos contemporains se tournent pour trouver la
protection individuelle et collective qu’ils ne trouvent plus ailleurs.
L’entreprise est ainsi devenue le grand gestionnaire des risques, responsable
de tout devant tous. Et, la liste de ses responsabilités s’accroît chaque jour.
Cette responsabilité de l’entreprise constitue un défi auquel elle a répondu en
développant des stratégies sophistiquées de « risk management ».
Les systèmes d’ information sont au cœur de la gestion des risques, comme
source de risque et comme moyen de maîtrise des risques
La protection des systèmes d’information et son optimisation sont de ce fait
devenu des éléments clés du « risk management » de l’entreprise
7ième symposium de la gouvernance des systèmes d’information – Paris, 16 juin 2009
17