« Nous aurons plaisir à retrouver nos échanges habituels » s'est réjoui Oliver Wild, président de l'AMRAE (Association pour le Management des Risques et des Assurances de l'Entreprise), l'association professionnelle des risk managers, en présentant les prochaines Rencontres du Risk Management, la 29ème édition de cette manifestation phare de l'écosystème de la gestion du risque et des assurances. Cette édition aura lieu du 2 au 4 février 2022 à Deauville après une édition 2021 hybride en petit comité à Paris et à distance. La conférence de presse, au-delà de la présentation de l'événement elle-même, a permis de faire le point sur la situation, notamment sur les difficultés rencontrées avec les assureurs, en particulier pour les contrats de cyber-assurance.
Oliver Wild a voulu être rassurant sur l'événement lui-même. Les 2500 inscrits habituels sont bien là, tous les partenaires également. Le CID (Centre International de Deauville), où se déroule l'événement, est suffisamment vaste et haut de plafond pour sécuriser la participation de chacun étant donné que toutes les consignes sanitaires classiques seront respectées (passe sanitaire, tests, repas assis au lieu des cocktails debout, etc.). La thématique se veut aussi tournée vers l'avenir. « Le thème n'est pas le Covid mais le monde d'après » a relevé Oliver Wild. Il s'agira plus précisément de « Prenons le risque d'un nouvel élan ». Les tables rondes, la trentaine d'ateliers et les keynote speakers (notamment l'ancien Premier Ministre Edouard Philippe et Sophie Nerbonne, directrice adjointe des affaires juridiques, internationales et de l'expertise de la CNIL) s'attacheront ainsi à déchiffrer les enjeux climatiques, sociaux, géopolitiques, économiques, etc. pour tous les acteurs, Etat, entreprises et citoyens. Comme Oliver Wild l'a rappelé : « le risk manager n'est pas là pour tout bloquer mais au contraire pour rendre tout possible » en anticipant les risques afin que les organisations puissent agir en connaissance de cause, avec les précautions nécessaires pour être résilientes.
Renouer le dialogue avec les assureurs
Sur la trentaine d'ateliers organisés, le « Top 5 » des inscriptions concerne les risques climatiques, les risques émergents, la souscription de contrats d'assurances, l'hydrogène et... réagir à une attaque par ransomware. La souscription d'assurances, en particulier de cyber-assurance, est visiblement le grand sujet du moment. « Etre positif pour un nouvel élan », « renouer le dialogue avec les assureurs », « les Rencontres ne sont pas un lieu d'affrontement mais de dialogue »... Les bonnes intentions de l'AMRAE sont bien soulignées par Oliver Wild. Mais, pourtant, il ne peut également que constater que « le marché de l'assurance ne répond plus à la demande des entreprises qui vont devoir trouver de nouveaux modèles. »
Les gestionnaires de risques doivent donc trouver de nouveaux modèles. En particulier, l'AMRAE veut porter sur les fonts baptismaux une Fédération des Captives d'Assurances. Le principe d'une captive est de créer une mutuelle d'assurances, régulé comme un assureur normal, propre à un groupe, éventuellement à l'échelle mondiale. Chaque entité du groupe paye une prime à la captive comme elle le ferait à un assureur extérieur au groupe. La captive n'a pas vocation à faire de bénéfice et les éventuelles surprimes retournent donc aux entités du groupe. Une surévaluation des primes ou des risques n'a donc pas d'effet fiscal durable. L'outil fait d'ailleurs l'objet d'une importante législation que l'AMRAE espère voir allégée, beaucoup de reporting aux autorités de contrôle n'ayant guère de sens dans le contexte d'une mutualisation de risques au sein d'un seul groupe.
La cyber-assurance vidée de sa substance
Le cas de la cyber-assurance est à la fois celui qui intéresse le plus les DSI et l'un de ceux les plus significatifs. L'association a déjà eu l'occasion de se plaindre de l'évolution du marché et, au préalable, de l'étudier en détail. « Nous sommes en retrait par rapport à il y a cinq ans où les assureurs se bousculaient pour en vendre » a dénoncé Oliver Wild. Il n'a pas pu cacher que les risk managers ont le sentiment d'avoir été floués par les assureurs, certains se promettant d'être très virulents aux Rencontres. Les cyber-risques ont été exclus des autres contrats (où il y avait auparavant des clauses génériques les couvrant) puisqu'il y avait des contrats spécifiques de cyber-assurances.
« Mais, aujourd'hui, les contrats sont vidés de leur substance... quand ils sont toujours proposés » s'est offusqué Oliver Wild. Le marché s'est retourné. Les tarifs explosent. Et les risques acceptés par les assureurs se réduisent comme peau de chagrin avec d'innombrables clauses d'exclusion et des franchises colossales. De plus en plus souvent, l'offre de cyber-assurance n'est même plus proposée. Or les entreprises ont construit une stratégie avec, d'un côté, une politique d'investissement sur la cybersécurité mais aussi, de l'autre, un filet de sécurité, la cyber-assurance. Pour Oliver Wild, « aujourd'hui, le filet n'existe plus ». Il en conclut : « le marché de la cyber-assurance n'existera peut-être plus l'an prochain ». Il ne s'agit, pour l'assureur, même plus d'un problème de prix, qui avait pourtant beaucoup augmenté, mais de capacité à accepter de couvrir un risque.
Les risques et le numérique, une histoire souvent commune
Au-delà de la cyber-assurance, le numérique s'invite décidément beaucoup encore cette année aux Rencontres. Lors d'une Master Class du mercredi 2 février, le sujet de l'usage de la data au service de la gestion des risques sera ainsi longuement traité. Par ailleurs, parmi les keynote speakers, interviendra Sophie Nerbonne, directrice adjointe des affaires juridiques, internationales et de l'expertise de la CNIL, pour traiter des données personnelles dans la gestion des risques.
Il y a deux ans, l'AMRAE s'inquiétait des conséquences du confinement sur la cyber-sécurité. Le télétravail décidé dans l'urgence, l'adaptation brusquée pour ne pas dire bâclée, étaient porteurs de risques en eux-mêmes. Mais ce qui faisait le plus peur aux gestionnaires de risques était le retour d'ordinateurs soumis à des risques incontrôlés sur le réseau de l'entreprise à la fin du confinement. Il semblerait que, convenablement anticipé, ce retour ait fait l'objet des mesures appropriées (quarantaine, etc.) et qu'aucun incident d'ampleur n'ait été à déplorer.
Commentaire