Comment apprécier le risque ?
Comment apprécier le risque ?
La mise en place d’un processus de gestion des risques va permettre de mettre en évidence l’importance de développer la connaissance des risques. Cette « matière première » constitue l’assise sur laquelle s’appuieront ensuite la planification, l’organisation et la mise en œuvre de nombreuses actions et mesures destinées à réduire les risques et à répondre aux sinistres.
Pour prendre des décisions appropriées permettant la réduction des risques, une collectivité ou une organisation doit apprécier correctement les risques auxquels elle est exposée. Une démarche structurée et rigoureuse jumelée à des paramètres techniques précis permettra de dégager les risques et les actions selon leur importance respective.
Cette démarche comporte trois étapes particulières consistant à identifier, à analyser et à évaluer les risques. Ainsi, l’appréciation des risques représente un processus global intégrant les étapes de l’identification, de l’analyse et de l’évaluation des risques.
Faut-il prendre en considération le cyber risque ?
Le cyber risque est devenu la première menace des entreprises dans le monde, selon le baromètre Allianz.
Pourtant il est omniprésent.
Prenons un exemple :
Pour les dirigeants de Travelex, le premier réseau mondial de bureaux de change, le réveillon a dû être pénible. Le 31 décembre, des pirates ont injecté dans ses serveurs le virus informatique Sodinokibi et demandé une rançon ou menacé de publier des données privées de milliers de clients. Selon les médias, ils ont réclamé jusqu’à 6 millions de dollars. La société britannique dit avoir réussi à empêcher la propagation du virus, mais la révélation de l’attaque a fait chuter son cours de près de 17 % le 8 janvier.
Après l’attaque sur la banque américaine Capital One , qui s’est fait voler les données de 106 millions de clients l’été dernier, le cas Travelex illustre la montée des incidents cyber. Ceux-ci figurent pour la première fois en tête du baromètre annuel des risques qu’Allianz publie ce mardi (2700 experts du risque interrogés dans une centaine de pays). « Les incidents cyber et le changement climatique sont deux grands défis que les entreprises devront surveiller étroitement dans cette nouvelle décennie », annonce Joachim Müller, directeur général d’Allianz Global Corporate & Specialty (AGCS).
Mais alors que les risques cyber augmentent, les assureurs traînent des pieds. En France, Allianz constate ainsi une réduction des capacités disponibles par assureur et un début de hausse des primes. « C’est tout le paradoxe, regrette Léopold Larios de Piña, pilote de l’Observatoire des primes et assurances de l’AMRAE, l’Association pour le management des risques et des assurances de l’entreprise. Pendant dix ans, les assureurs ont voulu vendre des assurances cyber et au moment où les clients sont prêts à souscrire, ils commencent à voir les sinistres et excluent les risques à traiter. »
Est-ce un risque en augmentation ?
En 2017, Saint-Gobain a ainsi perdu 220 millions d’euros de chiffre d’affaires après la cyberattaque NotPetya. L’industriel n’était pas assuré contre ce risque précis et a revu depuis sa politique. Mais ceux qui l’étaient ont aussi gardé un goût amer. Attaqué par le même « ransomware » , le cabinet d’avocats américain DLA Piper a poursuivi son assureur, Hiscox, qui a refusé de payer le sinistre. Le géant de l’agroalimentaire Mondelez est lui aussi en litige avec son assureur, Zurich, qui refuse d’indemniser 100 millions de dollars de pertes et de dommages (se retranchant derrière le fait que l’attaque aurait été menée par un Etat, la Russie).
Or le risque ne cesse de croître. Selon IBM, une violation majeure de données, portant sur plus d’un million d’enregistrements compromis, coûte en moyenne 42 millions de dollars, soit 8 % de plus que l’année précédente. Les assureurs sont en train de prendre conscience de la dimension systémique du risque cyber. En réalité, il s’agit vraiment d’un risque global, plus encore que le nucléaire car, dans le cyber, la catastrophe est partout.
