Risques d entreprise et systèmes d information

Transcription

1 Risques d entreprise et systèmes d information Denis KESSLER Président de SCOR 7 ième symposium de la Gouvernance des systèmes d information Paris, 16 juin 2009

2 Introduction L entreprise est de plus en plus sommée de prendre en charge les risques de nos contemporains. Le législateur, le juge, les médias transfèrent ainsi chaque jour de nouveaux risques et de nouvelles responsabilités à la charge de l entreprise. Quelles sont les raisons de cette évolution? Quelles contraintes celle-ci impose-t-elle aux entreprises? Quelle est la place des systèmes d information dans cette nouvelle configuration? Telles sont les questions auxquelles on répondra à partir des trois constats suivants : L univers des risques est en expansion L entreprise est devenue la grande gestionnaire des risques Les systèmes d information d sont au cœur c des risques d entreprised 2

3 1. Un univers des risques en expansion 3

4 1. Un univers des risques en expansion Un univers des risques en croissance Des anciens risques plus présents que jamais Les risques naturels restent prédominants (75 % des destructions de valeur) ; Concentration de la population dans des zones urbaines et dans les zones les plus risquées de la planète (=> risque accru de pandémie, etc.) ; Croissance des pertes potentielles du fait de l enrichissement économique. Des nouveaux risques qui se multiplient Disparition d anciens risques (peste, rage) remplacés par de nouveaux risques (vache folle, SIDA, grippe aviaire, ) ; Apparition de nouveaux risques : développement des réseaux, nucléaire, champs électromagnétiques, OGM, changement climatique) ; Extension continue mais difficilement prévisible de la responsabilité civile (imputable à la jurisprudence et à la pression médiatique autant qu à la loi ou qu à la réglementation) ; 4

5 1. Un univers des risques en expansion Un univers des risques en mutation Des risques de plus en plus complexes Des risques plus «endogènes» qu «exogènes», liés aux comportements (conséquences des attitudes des entreprises et des ménages) ; Des risques plus «progressifs» qu «accidentels» (santé, dépendance, amiante); Des risques plus «interdépendants» (responsabilité civile, incidents de réseaux, atteinte à la propriété intellectuelle, pertes d exploitation). Des risques de moins en moins contrôlables Des risques aux conséquences plus «durables» voire «irréversibles» (changement climatique) Des risques «moins visibles» et plus insidieux (terrorisme, virus informatiques) Des risques «globalisés» (crise financière, criminalité, pillage économique) Des risques dont nous n avons aucune expérience (grippe aviaire) 5

6 1. Un univers des risques en expansion Une perception aggravée des risques Un sentiment croissant de «vulnérabilité» Doutes sur la technique, l expertise et les scientifiques : l effet Frankenstein Interdépendance accrue entre les personnes et les Etats (disparition de l économie autarcique) Un monde perçu comme plus «inquiétant» et plus «insidieux», dont les menaces sont à la fois plus proches et moins maîtrisées. L effet totalement anxiogène des risques invisibles (terrorisme, amiçante, vache folle, trou d ozone, Un sentiment amplifié par deux évolutions, objective et subjective La crise du «Welfare State» : les filets de sécurité paraissent troués. Une «aversion accrue au risque» avec l enrichissement : un paradoxe! 6

7 2. L entreprise, la grande gestionnaire des risques 7

8 2. L entreprise, la grande gestionnaire des risques La remise en cause des protections traditionnelles La grande transformation de la famille «Dual careers families» (essor du taux d activité des femmes) Fragilisation de la famille (baisse des mariages, réduction de la taille de la famille, hausse des divorces et remariages) La crise durable de l Etat providence Incapacité perçue des Etats à gérer les risques modernes Incapacité des Etats à indemniser les nouveaux risques Le transfert de la responsabilité collective sur le chef d entreprise Omniprésence de l entreprise dans les événements de la vie quotidienne Lien du salarié à l entreprise plus durable que le lien du mariage La seule structure économique réellement solvable à travers le temps Une propriété exploitée par la jurisprudence et jamais contredite par la loi Une cible aisée pour les «stakeholders» : associations de victimes, de consommateurs, de salariés, etc. 8

9 2. L entreprise, la grande gestionnaire des risques L entreprise «responsable de tout devant tous» Une responsabilité au-delà des frontières de l entreprise Vis-à-vis des salariés, anciens salariés, clients, fournisseurs et actionnaires Vis-à-vis de son environnement et de la cité (entreprise citoyenne) Vis-à-vis des générations futures (réchauffement climatique) Une responsabilité de plus en plus étendue Extension du contenu (responsabilité de moyens mais aussi de bonne fin) Extension à des domaines nouveaux (responsabilité produit, éthique) Extension dans le temps (rétro-activité de la jurisprudence : cf. amiante) Extension dans l espace (conséquence de la globalisation) Une responsabilité de plus en plus sanctionnée De la réparation du sinistre à la prévention des risques connus et à la précaution en cas de doute (l entreprise n a plus le bénéfice du doute) Multiplication des contrôles externes (juges, AMF, ACAM, concurrence.) Sanctions pécuniaires, pénales et «réputationnelles» accrues 9

10 2. L entreprise, la grande gestionnaire des risques La nouvelle gestion des risques par l entreprise Le «risk management» global et intégré L identification et cartographie des risques La définition de procédures internes de gestion et de contrôle des risques L optimisation de la stratégie de couverture (portage / cession) des risques L accumulation d un capital suffisant pour faire face au risque (Value at Risk) Les solutions assurantielles Une solution fondée sur la mutualisation des risques La responsabilisation de l entreprise vis-à-vis du risque (franchise) Le développement d une offre innovante d assurance de responsabilité Le transfert des risques au marché financier Une solution fondée sur la pulvérisation des risques («cat bonds») Un transfert du coût financier du risque mais pas de la responsabilité du risque Un transfert facilité par la décorrélation par rapport aux risques financiers 10

11 3. Les systèmes d information d sont au cœur des risques d entreprised 11

12 3. Des systèmes d information d au cœur c des risques d entreprise Les des entreprises risques se structurent de plus en plus autour des systèmes d information Rôle primordial des systèmes d information dans la vie de l entreprise Pour la communication interne : messagerie et des réseaux internes Pour l accumulation d informations pertinentes : informatiques Pour l intelligence économique : internet Pour la méthode de travail : logiciels performants et conviviaux Risques majeurs liés aux systèmes d informations dans l entreprise Les systèmes d information sont devenus une cible privilégiée : les cyberattaques et virus informatique peuvent paralyser l entreprise Les systèmes d information sont aussi devenus un moyen privilégié de pénétration de l entreprise : espionnage industriel etc. (cf. «blackberry») La défaillance des systèmes d information des entreprises constitue une source majeure de risque opérationnel : une fois maîtrisés les systèmes d information, la fraude devient furtive et aisée (cf. Kerviel) La destruction des systèmes d information en cas de catastrophe (inondation etc.) peut donner une dimension systémique à la catastrophe 12

13 3. Des systèmes d information d au cœur c des risques d entreprise Les systèmes d information sont une source de risque majeure 13

14 3. Des systèmes d information d au cœur c des risques d entreprise Leur contrôle des risques d entreprise repose aussi de plus en plus sur des systèmes d information efficients Le contrôle des risques suppose l accumulation d informations Pour mémoriser les activités passées de l entreprise et lui permettre ainsi d assumer ses responsabilités juridiques Pour dresser le tableau de la situation de l entreprise en temps réel et lui permettre d en avoir une vue en temps réel (exposition à tel actif) Pour détecter les anomalies (transaction non autorisée ou suspecte) : la lutte contre le blanchiment passe par les systèmes d information Pour contrôler les risques : la mesure des déviations par rapport aux anticipations suppose le traitement d une quantité importante d information La maîtrise des risques repose sur l efficience des systèmes d information Pour anticiper les risques : cela suppose de développer des modèles utilisant des systèmes d information sophistiqués (cf. modèles internes des institutions financières et leur simulations stochastiques) Pour tester les stratégies contingentes : cela suppose des modèles encore plus complexe, intégrant des processus d optimisation complexes encore plus exigeant en matière de performance des systèmes d information 14

15 3. Des systèmes d information d au cœur c des risques d entreprise La protection des systèmes d information est devenu un enjeu majeur de la politique des risques de l entreprise Un enjeu décisif dans la concurrence Du fait de la responsabilité croissante de l entreprise et de systèmes d information devenus vitaux pour toutes les parties de l entreprise, la défaillance d un système d information peut entraîner la faillite de l entreprise Or, les risques susceptibles d entraîner la défaillance de ces systèmes non seulement se multiplient mais ils se complexifient aussi (cf. cyber-attaques) la capacité à maîtriser les risques qui affectent les systèmes d information constitue un avantage comparatif majeur dans la concurrence Des coûts de protection croissants Ces coûts croissants sont directement liés à la course entre le canon et la cuirasse pour la maîtrise des systèmes d information La capacité à anticiper les risques concernés devient elle-même importante car elle permet de limiter les coûts Au-delà de l anticipation, il faut à tout moment veiller à optimiser les coûts de la protection qui peuvent constituer un facteur de défaillance 15

16 3. Des systèmes d information d au cœur c des risques d entreprise La sophistication croissante des cyber-attaques 16

17 Conclusion L univers des risques est en expansion et en mutation. Il crée un sentiment diffus de vulnérabilité qui induit une demande de protection accrue. Les institutions que sont la famille et l Etat ne sont plus en mesure de jouer le rôle «protecteur» qu elles ont joué auparavant. C est donc vers l entreprise que nos contemporains se tournent pour trouver la protection individuelle et collective qu ils ne trouvent plus ailleurs. L entreprise est ainsi devenue le grand gestionnaire des risques, responsable de tout devant tous. Et, la liste de ses responsabilités s accroît chaque jour. Cette responsabilité de l entreprise constitue un défi auquel elle a répondu en développant des stratégies sophistiquées de «risk management». Les systèmes d information sont au cœur de la gestion des risques, comme source de risque et comme moyen de maîtrise des risques La protection des systèmes d information et son optimisation sont de ce fait devenu des éléments clés du «risk management» de l entreprise 17