Risques d`entreprise et systèmes d`information
Transcription
Risques d`entreprise et systèmes d`information
Risques d’entreprise et systèmes d’information Denis KESSLER Président de SCOR 7ième symposium de la Gouvernance des systèmes d’information Paris, 16 juin 2009 Introduction L’entreprise est de plus en plus sommée de prendre en charge les risques de nos contemporains. Le législateur, le juge, les médias transfèrent ainsi chaque jour de nouveaux risques et de nouvelles responsabilités à la charge de l’entreprise. Quelles sont les raisons de cette évolution ? Quelles contraintes celle-ci impose-t-elle aux entreprises ? Quelle est la place des systèmes d’information dans cette nouvelle configuration ? Telles sont les questions auxquelles on répondra à partir des trois constats suivants : ¾ L’univers des risques est en expansion ¾ L’entreprise est devenue la grande gestionnaire des risques ¾ Les systèmes d’information sont au cœur des risques d’entreprise 7ième symposium de la gouvernance des systèmes d’information – Paris, 16 juin 2009 2 1. Un univers des risques en expansion 7ième symposium de la gouvernance des systèmes d’information – Paris, 16 juin 2009 3 1. Un univers des risques en expansion Un univers des risques en croissance z Des anciens risques plus présents que jamais – Les risques naturels restent prédominants (75 % des destructions de valeur) ; – Concentration de la population dans des zones urbaines et dans les zones les plus risquées de la planète (=> risque accru de pandémie, etc.) ; – Croissance des pertes potentielles du fait de l’enrichissement économique. z Des nouveaux risques qui se multiplient – Disparition d’anciens risques (peste, rage)… remplacés par de nouveaux risques (vache folle, SIDA, grippe aviaire,…) ; – Apparition de nouveaux risques : développement des réseaux, nucléaire, champs électromagnétiques, OGM, changement climatique) ; – Extension continue mais difficilement prévisible de la responsabilité civile (imputable à la jurisprudence et à la pression médiatique autant qu’à la loi ou qu’à la réglementation) ; 7ième symposium de la gouvernance des systèmes d’information – Paris, 16 juin 2009 4 1. Un univers des risques en expansion Un univers des risques en mutation z Des risques de plus en plus complexes – Des risques plus « endogènes » qu’«exogènes», liés aux comportements (conséquences des attitudes des entreprises et des ménages) ; – Des risques plus «progressifs» qu’«accidentels » (santé, dépendance, amiante); – Des risques plus « interdépendants » (responsabilité civile, incidents de réseaux, atteinte à la propriété intellectuelle, pertes d’exploitation) . z Des risques de moins en moins contrôlables – Des risques aux conséquences plus « durables » voire « irréversibles » (changement climatique) – Des risques «moins visibles » et plus insidieux (terrorisme, virus informatiques) – Des risques «globalisés» (crise financière, criminalité, pillage économique) – Des risques dont nous n’avons aucune expérience (grippe aviaire) 7ième symposium de la gouvernance des systèmes d’information – Paris, 16 juin 2009 5 1. Un univers des risques en expansion Une perception aggravée des risques z Un sentiment croissant de « vulnérabilité » – Doutes sur la technique, l’expertise et les scientifiques : l’effet Frankenstein – Interdépendance accrue entre les personnes et les Etats (disparition de l’économie autarcique) – Un monde perçu comme plus « inquiétant » et plus « insidieux », dont les menaces sont à la fois plus proches et moins maîtrisées. – L’effet totalement anxiogène des risques invisibles (terrorisme, amiçante, vache folle, trou d’ozone, … z Un sentiment amplifié par deux évolutions, objective et subjective – La crise du « Welfare State » : les filets de sécurité paraissent troués…. – Une « aversion accrue au risque » avec l’enrichissement : un paradoxe ! 7ième symposium de la gouvernance des systèmes d’information – Paris, 16 juin 2009 6 2. L’entreprise, la grande gestionnaire des risques 7ième symposium de la gouvernance des systèmes d’information – Paris, 16 juin 2009 7 2. L’entreprise, la grande gestionnaire des risques La remise en cause des protections traditionnelles z La grande transformation de la famille – «Dual careers families» (essor du taux d’activité des femmes) – Fragilisation de la famille (baisse des mariages, réduction de la taille de la famille, hausse des divorces et remariages) z La crise durable de l’Etat providence – Incapacité perçue des Etats à gérer les risques modernes – Incapacité des Etats à indemniser les nouveaux risques z Le transfert de la responsabilité collective sur le chef d’entreprise – Omniprésence de l’entreprise dans les événements de la vie quotidienne – Lien du salarié à l’entreprise plus durable que le lien du mariage… – La seule structure économique réellement solvable à travers le temps – Une propriété exploitée par la jurisprudence et jamais contredite par la loi – Une cible aisée pour les « stakeholders » : associations de victimes, de consommateurs, de salariés, etc. ième 7 symposium de la gouvernance des systèmes d’information – Paris, 16 juin 2009 8 2. L’entreprise, la grande gestionnaire des risques L’entreprise « responsable de tout devant tous » z Une responsabilité au-delà des frontières de l’entreprise – Vis-à-vis des salariés, anciens salariés, clients, fournisseurs et actionnaires – Vis-à-vis de son environnement et de la cité (entreprise citoyenne) – Vis-à-vis des générations futures (réchauffement climatique) z Une responsabilité de plus en plus étendue – Extension du contenu (responsabilité de moyens mais aussi de bonne fin) – Extension à des domaines nouveaux (responsabilité produit, éthique) – Extension dans le temps (rétro-activité de la jurisprudence : cf. amiante) – Extension dans l’espace (conséquence de la globalisation) z Une responsabilité de plus en plus sanctionnée – De la réparation du sinistre à la prévention des risques connus et à la précaution en cas de doute (l’entreprise n’a plus le bénéfice du doute) – Multiplication des contrôles externes (juges, AMF, ACAM, concurrence….) – Sanctions pécuniaires, pénales et « réputationnelles » accrues 7ième symposium de la gouvernance des systèmes d’information – Paris, 16 juin 2009 9 2. L’entreprise, la grande gestionnaire des risques La nouvelle gestion des risques par l’entreprise z Le « risk management » global et intégré – L’identification et cartographie des risques – La définition de procédures internes de gestion et de contrôle des risques – L’optimisation de la stratégie de couverture (portage / cession) des risques – L’accumulation d’un capital suffisant pour faire face au risque (Value at Risk) z Les solutions assurantielles – Une solution fondée sur la mutualisation des risques – La responsabilisation de l’entreprise vis-à-vis du risque (franchise) – Le développement d’une offre innovante d’assurance de responsabilité z Le transfert des risques au marché financier – Une solution fondée sur la pulvérisation des risques (« cat bonds ») – Un transfert du coût financier du risque mais pas de la responsabilité du risque – Un transfert facilité par la décorrélation par rapport aux risques financiers 7ième symposium de la gouvernance des systèmes d’information – Paris, 16 juin 2009 10 3. Les systèmes d’information sont au cœur des risques d’entreprise 7ième symposium de la gouvernance des systèmes d’information – Paris, 16 juin 2009 11 3. Des systèmes d’information au cœur des risques d’entreprise Les des entreprises risques se structurent de plus en plus autour des systèmes d’information z Rôle primordial des systèmes d’information dans la vie de l’entreprise – Pour la communication interne : messagerie et des réseaux internes – Pour l’accumulation d’informations pertinentes : informatiques – Pour l’intelligence économique : internet – Pour la méthode de travail : logiciels performants et conviviaux z Risques majeurs liés aux systèmes d’informations dans l’entreprise – Les systèmes d’information sont devenus une cible privilégiée : les cyberattaques et virus informatique peuvent paralyser l’entreprise – Les systèmes d’information sont aussi devenus un moyen privilégié de pénétration de l’entreprise : espionnage industriel etc. (cf. « blackberry ») – La défaillance des systèmes d’information des entreprises constitue une source majeure de risque opérationnel : une fois maîtrisés les systèmes d’information, la fraude devient furtive et aisée (cf. Kerviel) – La destruction des systèmes d’information en cas de catastrophe (inondation etc.) peut donner une dimension systémique à la catastrophe 7ième symposium de la gouvernance des systèmes d’information – Paris, 16 juin 2009 12 3. Des systèmes d’information au cœur des risques d’entreprise Les systèmes d’information sont une source de risque majeure 7ième symposium de la gouvernance des systèmes d’information – Paris, 16 juin 2009 13 3. Des systèmes d’information au cœur des risques d’entreprise Leur contrôle des risques d’entreprise repose aussi de plus en plus sur des systèmes d’information efficients z Le contrôle des risques suppose l’accumulation d’informations – Pour mémoriser les activités passées de l’entreprise et lui permettre ainsi d’assumer ses responsabilités juridiques – Pour dresser le tableau de la situation de l’entreprise en temps réel et lui permettre d’en avoir une vue en temps réel (exposition à tel actif) – Pour détecter les anomalies (transaction non autorisée ou suspecte) : la lutte contre le blanchiment passe par les systèmes d’information – Pour contrôler les risques : la mesure des déviations par rapport aux anticipations suppose le traitement d’une quantité importante d’information z La maîtrise des risques repose sur l’efficience des systèmes d’information – Pour anticiper les risques : cela suppose de développer des modèles utilisant des systèmes d’information sophistiqués (cf. modèles internes des institutions financières et leur simulations stochastiques) – Pour tester les stratégies contingentes : cela suppose des modèles encore plus complexe, intégrant des processus d’optimisation complexes encore plus exigeant en matière de performance des systèmes d’information 7ième symposium de la gouvernance des systèmes d’information – Paris, 16 juin 2009 14 3. Des systèmes d’information au cœur des risques d’entreprise La protection des systèmes d’information est devenu un enjeu majeur de la politique des risques de l’entreprise z Un enjeu décisif dans la concurrence – Du fait de la responsabilité croissante de l’entreprise et de systèmes d’information devenus vitaux pour toutes les parties de l’entreprise, la défaillance d’un système d’information peut entraîner la faillite de l’entreprise – Or, les risques susceptibles d’entraîner la défaillance de ces systèmes non seulement se multiplient mais ils se complexifient aussi (cf. cyber-attaques) – la capacité à maîtriser les risques qui affectent les systèmes d’information constitue un avantage comparatif majeur dans la concurrence z Des coûts de protection croissants – Ces coûts croissants sont directement liés à la course entre le canon et la cuirasse pour la maîtrise des systèmes d’information – La capacité à anticiper les risques concernés devient elle-même importante car elle permet de limiter les coûts – Au-delà de l’anticipation, il faut à tout moment veiller à optimiser les coûts de la protection qui peuvent constituer un facteur de défaillance 7ième symposium de la gouvernance des systèmes d’information – Paris, 16 juin 2009 15 3. Des systèmes d’information au cœur des risques d’entreprise La sophistication croissante des cyber-attaques 7ième symposium de la gouvernance des systèmes d’information – Paris, 16 juin 2009 16 Conclusion L’univers des risques est en expansion et en mutation. Il crée un sentiment diffus de vulnérabilité qui induit une demande de protection accrue. Les institutions que sont la famille et l’Etat ne sont plus en mesure de jouer le rôle « protecteur » qu’elles ont joué auparavant. C’est donc vers l’entreprise que nos contemporains se tournent pour trouver la protection individuelle et collective qu’ils ne trouvent plus ailleurs. L’entreprise est ainsi devenue le grand gestionnaire des risques, responsable de tout devant tous. Et, la liste de ses responsabilités s’accroît chaque jour. Cette responsabilité de l’entreprise constitue un défi auquel elle a répondu en développant des stratégies sophistiquées de « risk management ». Les systèmes d’ information sont au cœur de la gestion des risques, comme source de risque et comme moyen de maîtrise des risques La protection des systèmes d’information et son optimisation sont de ce fait devenu des éléments clés du « risk management » de l’entreprise 7ième symposium de la gouvernance des systèmes d’information – Paris, 16 juin 2009 17