Pour François Beaume, le risk management occupe une place prépondérante dans la stratégie des entreprises. Il évoque pour Décideurs les principaux risques auxquels elles sont exposées et s’exprime sur le marché de la cyber-assurance.

Décideurs. Comment avez-vous géré la crise sanitaire chez Sonepar? Y étiez-vous finalement bien préparé?

François Beaume. Bien que nous ayons été surpris, comme beaucoup, par l’ampleur des conséquences de la crise sanitaire, nous avons très rapidement pris les mesures adaptées pour y faire face. Au vu de la situation et de notre organisation, Sonepar étant un groupe décentralisé présent dans de nombreux pays, une cellule de veille et de suivi, complémentaire des cellules locales, a été mise en place au niveau du groupe. Encore effective à ce jour, elle interagit avec les entités locales amenées à prendre des décisions différentes, notamment en fonction des contextes sanitaires et réglementaires des pays où elles se trouvent. Tout ceci nourrit également le retour d’expérience.

Selon vous, cette crise a-t-elle contribué au renforcement de la fonction du risk manager au sein de l’entreprise?

Au-delà du risk manager, l’activité de risk management a dans cette crise aidé les entreprises à mieux comprendre les risques auxquels elles étaient confrontées et à mieux les gérer. La gestion des risques a prouvé du fait de cette crise toute sa valeur ajoutée: capable d’organiser la veille qui fournira les informations nécessaires à la prise de décision, d’élaborer une cartographie des risques pour les anticiper et les réduire, de préparer et d’organiser la gestion de crise et le retour d’expérience, d’adapter le financement des risques, etc. Force est de constater que les entreprises ayant le moins souffert sont celles qui ont su mettre en place les outils adaptés, dont une gestion des risques efficace. 

La fonction de risk manager est-elle ainsi devenue aujourd’hui un véritable pilier dans l’écosystème de l’entreprise?

Elle l’est devenue, mais reste toutefois encore réservée à des entreprises d’une certaine taille ainsi qu’à certaines entreprises plus petites exerçant une activité risquée par définition. Si la fonction n’existe pas au sein de l’entreprise, le risk management va être pris en charge par les dirigeants, ce qui leur permet de structurer et de sécuriser leur résilience. Cette crise a mis en lumière l’intérêt d’investir dans la gestion des risques.

"Cette crise a mis en lumière l’intérêt d’investir dans la gestion des risques"

Quels sont les nouveaux défis auxquels le risk manager doit-il faire face?

Notre principal défi est d’accompagner les entreprises dans un monde de plus en plus complexe sur de nombreux plans: digital, sociétal, géopolitique, etc. Beaucoup d’entre elles ont dû revoir leur façon d’interagir avec leurs clients et leurs écosystèmes, par exemple via une transformation numérique, entamée ou accélérée du fait de la pandémie. Elles sont également de plus en plus nombreuses à vouloir intégrer le développement durable dans leur stratégie. Le risk manager doit être donc en mesure de prendre en compte tous ces aspects dans sa réflexion mais également dans la politique de gestion et de financement des risques pour sécuriser la prise de décision et la résilience de l’organisation.

Vous êtes également vice-président de l’Amrae chargé de la transformation digitale. Pouvez-vous nous en dire plus?

L’Amrae rassemble 1600 membres répartis sur le territoire national et également quelques-uns à l’étranger. La pandémie est une situation exceptionnelle à laquelle nous nous sommes adaptés pour continuer à réfléchir et travailler ensemble, renforçant notamment l’efficacité de nos outils numériques. Les commissions et les groupes de travail se sont réunis en ligne pour mener à bien des ateliers de réflexion ou des webinaires. Les sessions de formation ont également basculé en distanciel. Nous avons aussi réinventé notre congrès annuel les Rencontres du risk management, qui n’a pu cette année se tenir en présentiel, en proposant deux jours de conférences en ligne, accessibles à tous gratuitement, ce qui nous a permis d’élargir notre public et de diffuser plus largement les principes du risk management. Le site internet amrae.fr a également été refondu pour plus de clarté avec des contenus plus riches et facilement accessibles à nos membres nos membres. Nous élaborons de nouveaux modes de fonctionnement pour échanger avec nos membres dans les régions. L’objectif est de simplifier et dynamiser l’animation à l’échelle nationale et régionale grâce au numérique.

L’année n’a pas été uniquement marquée par la crise sanitaire, mais également par le nombre important de cyber-attaques. Comment appréhendez-vous ce risque?

Le risque cyber a encore pris de l’ampleur, notamment du fait du recours massif au télétravail, de l’accélération de la digitalisation et de la hausse du nombre d’attaques. Au niveau de l’Amrae, cela fait longtemps que nous travaillons dessus. Nous avons d’ailleurs publié fin 2019 un guide – La Maîtrise des risques numériques, l’atout confiance –, coécrit avec l’Anssi. Nous sommes également entrain de lancer le projet Lucy (Lumière sur la cyber-assurance) pour établir une référence objective et reconnue de l’état du marché français de l’assurance cyber. L’objectif est d’obtenir à terme une offre plus adaptée aux besoins des entreprises de toute taille, que ce soit en ce qui concerne les garanties, les limites ou les modalités de fonctionnement.

Le marché de la cyber-assurance est justement en plein essor. Pensez-vous que ce que proposent les assureurs soit adapté aux besoins des entreprises ?

Le marché est en réalité différent selon la taille de l’entreprise. Les grandes sociétés vont aller vers des solutions d’assurance sur mesure, alors que les plus petites se tournent vers des garanties standards qui leur conviennent. Bien que les produits des assureurs présents sur le marché soient intéressants, notamment en ce qu’ils proposent en général un volet de réponse à incident et un volet indemnitaire, certaines entreprises peuvent rencontrer des difficultés pour structurer certaines limites d’assurance importantes, notamment lorsque certains assureurs tendent, comme aujourd’hui, à réduire leur niveau d’engagement. D’autres vont rencontrer des difficultés pour mettre en place les garanties adaptées à leur profil de risques. Enfin, les assureurs ont montré une forte nervosité lors des derniers renouvellements des couvertures avec un dialogue parfois compliqué entre assuré et assureur.

"Une ‘pandémie cyber’ est un risque qui pourrait émerger, les entreprises se digitalisant de plus en plus"

Quels sont les autres principaux risques que les entreprises peuvent rencontrer aujourd’hui ?

Ils sont nombreux et évolutifs. Une "pandémie cyber" est par exemple un risque qui pourrait émerger les prochaines années, les entreprises se digitalisant de plus en plus. Il pourrait se réaliser sous la forme d’un risque cyber systémique affectant infrastructures de communication, fournisseurs d’accès et de cloud, si bien que de nombreuses entreprises dans le monde seraient touchées directement par une défaillance de l’un de leurs prestataires. À cela s’ajoutent des risques liés aux évolutions géopolitiques, aux tensions sociales et sociétales dans un certain nombre de pays, ainsi que les risques liés au dérèglement climatique et à la montée des catastrophes naturelles. Et bien d’autres plus spécifiques selon les secteurs.

Comment les entreprises peuvent-elles se prémunir contre ces risques ?

Investir dans le risk management permet d’anticiper les risques. Cela permet de mettre en place de nombreuses actions pour structurer la résilience des entreprises, ce qui garantit leurs performances dans le temps. L’Amrae a mis en place des outils, dont certains sont gratuits et accessibles à tous, donnant notamment la possibilité aux dirigeants de PME ou d’ETI de faire leur cartographie des risques et par là même de mieux se préparer aux crises futures. Aujourd’hui plus que jamais, le risk management a prouvé sa valeur ajoutée et sa pertinence : quand les risques sont gérés, l’entreprise est durable.

Propos reccueillis par Jessie Razafindrabe