Incendie, inondation, accidents du travail, défaillance d’un gros client : le Covid a rebattu les cartes de la gestion des risques. Aux risques traditionnels, les entreprises doivent aujourd’hui faire face à des risques nouveaux, intenses et mondialisés. La crise sanitaire et les cyberattaques ont surpris une majorité d’entreprises, dont les PME, moins bien préparées à la gestion de crise.
Qu’il s’agisse d’arrêt d’activité par décision gouvernementale, de chute d’activité par défaut de fournisseurs, du développement du télétravail et des risques psychosociaux associés, ou encore du déploiement du numérique et des risques de cyberattaques qui vont avec, les risques ont radicalement changé, devenant systémiques et complexes à gérer, obligeant les entreprises à revoir leur pilotage des risques.
Hausse des risques financiers
Un dirigeant sur deux déclare ressentir cette nouvelle donne. C’est ce que révèle le baromètre QBE-OpinionWay sur la gestion des risques des PME et des ETI françaises, publié en février 2021. Sans surprise, c’est le risque financier qui connaît la plus forte hausse (+ 10 points en un an). Pour 70 % des répondants, les risques financiers ont émergé avec la crise sanitaire. Et notamment le risque de crédit (24 % des cas) et de cessation de paiements (23 %).
Toutefois, ce sont les risques humains (arrêts maladie, accident du travail) qui restent en tête des préoccupations des dirigeants, suivis des risques matériels et de marché, les risques financiers n’arrivant qu’en quatrième position. Suivent les risques réglementaires, puis en sixième position seulement, les risques immatériels, comme les cyberattaques.
La gestion des risques toujours complexe pour les PME
Malgré cette prise de conscience accrue sur les nouvelles menaces, 63 % des dirigeants de PME admettent ne maîtriser que partiellement leurs risques. Raisons évoquées : la complexité du sujet, le manque de temps et de personne dédiée (contrairement aux grandes entreprises), la difficulté à suivre l’évolution constante des normes et de la réglementation.
"La gestion des risques est un dispositif qui peut être mis en œuvre dans toutes les entreprises, y compris les PME, assure Xavier Migeot, délégué général de l’Union des Entreprise 35, à l’initiative du guide "PME-ETI, la gestion des risques est aussi pour vous", mis sur pied avec le Medef 79 et l’Association pour le management des risques et des assurances de l'entreprise (Amrae).
Première étape : cartographier les risques. À chaque entreprise son diagnostic, puisque l’univers des risques auquel elle est exposée lui est spécifique, lié à son secteur d’activité, son organisation, ses valeurs, son écosystème et sa filière. Une fois la cartographie réalisée, on applique une échelle de gravité et de fréquence à chaque risque. Puis, pour chacun, on mesure le niveau de maîtrise qu’a l’entreprise.
Un outil d’analyse rapide et gratuit en ligne
Une application en ligne élaborée par l’Amrae et le Medef des Deux-Sèvres, permet de s’autodiagnostiquer gratuitement en une demi-journée. Cet outil est très opérationnel, puisque construit directement avec des chefs d’entreprise et un président de tribunal de commerce, rompus aux problématiques de terrain. Les questions concrètes permettent de passer en revue les dangers de sept univers distincts : risques stratégiques, financiers, opérationnels, sécurité-cyber, gestion de crise, réglementation, RH. L’occasion pour un dirigeant de disposer d’une vision à 360 degrés des risques.
20 à 30 % des risques sont assurables
Une fois connu son univers de risques, l’entreprise détermine des priorités et met en place un plan d’action. Selon la nature des risques, on cherchera à les supprimer, à les réduire ou à les transférer à des assureurs. Mais seuls 20 à 30 % des risques sont assurables. Certains outils déjà existants peuvent se révéler de bons leviers d’action. Par exemple, un document unique d’évaluation des risques professionnels mis à jour est un excellent moyen d’accroître la sécurité dans l’entreprise et d’intégrer le risque de nouvelles menaces, épidémiques par exemple.
Provisionner pour se prémunir des épidémies ?
Des évènements comme les pandémies sont impossibles à éviter. Après le Covid, y aura-t-il d’autres événements épidémiques ? La frilosité des assureurs sur ce type de risque est palpable. Des formules copiées des captives d’assurance pourraient se développer. Créée par l’entreprise qui provisionne elle-même des réserves, la captive jouer le rôle d’assureur en ne garantissant que les risques supportés par l’entreprise. Des formats de captives mutuelles sont envisageables, si elles sont détenues par plusieurs entreprises, sans lien entre elles, mais de même secteur d’activité et exposées aux mêmes types de risques. "Créons des dispositifs pour inciter les PME à s’autoassurer pour ce genre de risques pandémiques", propose Xavier Migeot.
S’assurer contre les risques cyber ?
Avec la multiplication des attaques informatiques depuis le déclenchement de la crise sanitaire, le risque cyber est désormais identifié par les PME. Mais il n’est pas toujours traité à la hauteur des menaces qu’il fait peser. Avec la digitalisation croissante, le développement du télétravail et la déportation des systèmes d’information, l’environnement est de plus en plus propice aux attaques de phishing et à la multiplication des ransomwares. Les risques cyber sont devenus stratégiques. Ils peuvent se transférer pour partie aux cabinets d’assurance, qui développent des produits spécifiques – les risques cyber étant sortis des contrats généraux. Néanmoins, l’entreprise devra y adjoindre un socle de sécurité technique robuste, des compétences à la pointe (DSI ou externalisation) ainsi qu’une politique de sensibilisation des collaborateurs. Car le risque cyber est polymorphe et en perpétuelle évolution.
Des entreprises mieux préparées que d’autres
Pendant que des entreprises souffraient du confinement, d’autres maintenaient leur activité. "C’est le cas des entreprises ayant sécurisé, c’est-à-dire diversifié et sécurisé, leur approvisionnement avant la crise, sans savoir qu’elle surgirait", remarque Xavier Migeot. Éviter qu’une crise soudaine et volatile ne brise la supply chain de l’entreprise est vital. S’en sont mieux sorties des entreprises ayant repensé leur organisation (avant la crise) en insérant un échelon d’encadrement intermédiaire quand il n’existait pas. Échelon opérationnel et agile, qui s’est avéré précieux pendant la crise, pour épauler solidement la direction.
Il revient au chef d’entreprise d’impulser la stratégie de gestion des (nouveaux) risques, car c’est un point clé de résilience, voire de développement. Pour la partie opérationnelle, un ou plusieurs "propriétaires de risques" seront nommés : le directeur de production, le DSI… Il importe aussi que l’esprit de prévention soit largement partagé au sein des équipes, de façon permanente. Car la gestion des risques ne se règle pas une fois pour toutes. C’est un processus permanent, à réajuster régulièrement, d’autant plus que de nouveaux risques polymorphes émergent.
