La continuité d’activité en entreprise est à la croisée des chemins, au travers de son histoire et des problématiques de légitimité de la discipline. Même si la crise Covid a démontré le caractère essentiel de leur management, la recrudescence des risques cyber conduit nécessairement à une évolution de l’approche de gestion des risques.
Le risque d’entreprise est difficile à appréhender au vu du caractère mouvant des risques, des secteurs et experts qu’il requiert. La continuité d’activité en entreprise est par essence composé d’un ensemble de documents (Plan de Continuité d’Activité, Plan de Continuité de Métiers, Plan de Reprise d’Activité, Business Impact Analysis). Cette documentation construite par les entreprises doit être portée par une dynamique d’analyse des risques propre à leur secteur d’activité mais également à l’environnement global. La gestion des risques comprend généralement 4 secteurs : risques opérationnels, de crédit, concurrentiel et de cybersécurité.
Pour comprendre la complexité actuelle de la discipline du risque en entreprise, il faut revenir sur les origines de sa création.
La gestion des risques est créée dans les années 80, suite à un cumul d'événements dans le secteur bancaire. Le but initial était de calculer les risques potentiels et de les catégoriser afin de les éviter en établissant une stratégie au préalable. Cette dynamique est directement liée à une transposition des grilles d’estimation, empruntées au secteur des assurances. Les entreprises qui subissaient des sinistres devaient satisfaire aux exigences des mêmes assurances. Bien qu'initiée dans les années 80, la discipline ne s’est instaurée de façon effective qu’au milieu des années 2000.
Prenant en compte ces schémas de construction et la rapidité avec laquelle ils ont été instaurés, la structuration de la gestion des risques dans les entreprises a été poussée par les normes fondatrices ISO 31000, Bâle III, Solvency II, etc. Par ailleurs, la gestion des risques a eu énormément de mal à trouver sa légitimité dans les entreprises. Il a fallu une application rigoureuse, notamment avec la crise Covid, pour que cette légitimité se fasse. Selon PWC, 60% des entreprises disent avoir eu recours à un plan de gestion de crise. La vision pragmatique et commerciale des grosses entreprises ne considère pas la gestion des risques comme centrale pour l’activité lors de périodes prospères et calmes. La gestion des risques revêt aujourd’hui un caractère obligatoire et non lucratif. Son bon management comprend également la prévention, organisée par les équipes du Plan de Continuité d’Activité, avec des procédures telles que des replis sur site, des exercices divers (connexion, évacuation, mise en situation de risque, formations, MOOC, etc).
Les postes liés à la gestion des risques (Responsable de la continuité d’activité, gestionnaire des risques ou responsable de la continuité informatique) depuis les années 2000 ont été en grande partie nommés au sein des collaborateurs de l’époque. Ces professionnels, bien que peu qualifiés initialement en matière de gestion des risques, ont contribué à identifier un large panel qui a permis d’établir un socle efficace dans l’appréciation potentiel des risques, multipliant par 4 l’efficacité dans leur gestion.
Cependant, la continuité d’activité a ses limites. Le caractère passif et onéreux de sa mise en place fait que seules les entreprises ayant un chiffre d'affaires important peuvent se le permettre. Les deux postes de dépense pour assurer une continuité d’activité efficace sont l’investissement pour la primo-structuration (soit par l’entreprise elle-même soit par un prestataire) et l'entretien des procédures mises en place.
La problématique actuelle est liée à l’appréhension des risques. La montée des incidents cyber contribue à faire émerger la fusion de la gestion des risques jusqu’alors distinctes de la Sécurité des systèmes d’information Cyber et de la continuité d’activité. En effet, la recrudescence des cyberattaques (42 par mois en 2021, soit une augmentation de 13 % par rapport à 2020) contribue à occulter de plus en plus les autres risques. Leur gestion est, comme évoqué précédemment, fondée historiquement sur des notions d’assurance. Plus le risque est connu et récurrent, moins l’entreprise peut s’autoriser à subir des dégâts liés aux risques cyber. Ainsi, le risque cyber est devenu dominant, captant l’essentiel des experts et investissements de l’entreprise.
En somme, il semble nécessaire d’attirer l’attention sur les dynamiques actuelles liées à la gestion des risques qui poseront des problèmes pour les entreprises d'ici quelques années. On y trouve entre autres la généralisation d’une mauvaise approche pédagogique auprès des collaborateurs, une mauvaise image de la discipline, la gestion extérieure des risques par des entreprises de conseil, et enfin la croissance du cyber comme risque majeur qui occulte et diminue les ressources allouées. Au vu de ces problématiques naissantes, la gestion des risques se situe à un moment déterminant dans leur évolution au sein des entreprises.
L.Lecam pour le Club Risques AEGE
Pour aller plus loin :