Tout le dossier Tout le dossier
-
Spécial Amrae 2018 : les entreprises et leurs courtiers
-
Les distributeurs
Cyber et supply chain, le défi de ces risques les plus redoutés
-
Interviews exclusives
Brigitte Bouquot (Amrae) : « L'assurance dommages est clairement secouée »
-
Risque cyber, l'assurance devient prestation de services
-
Les formations Amrae en risk management font le plein
-
Comment les DAF achètent l'assurance
-
Les spécialités, levier de diversification
-
La garantie actif-passif a le vent en poupe
-
Les TPE, cible privilégiée des agents et courtiers
-
Gras Savoye Willis Towers Watson lance risk & analytics
-
Portraits
Benoît Goureau (Beazley France) : preneur de risques
Cyber et supply chain, le défi de ces risques les plus redoutés
L’attaque cyber et la rupture des chaînes d’approvisionnement constituent les deux menaces qui effraient le plus les entreprises. D’envergure internationale, elles génèrent des dommages financiers directs et surtout indirects. Prévention, coconstruction des couvertures, chiffrage des dégâts : deux risk managers, un assureur, un courtier et un expert mettent cartes sur table.
«Le dénominateur commun entre les grands risques cyber et supply chain, c’est qu’ils caractérisent les effets de la globalisation, poussée par la technologie », explique Brigitte Bouquot, présidente de l’Association pour le management des risques et des assurances de l’entreprise (Amrae). Impossible, pour les entrepreneurs, de se soustraire aux impératifs de compétitivité qui dictent la loi économique, « mais ils doivent avoir conscience des risques associés », insiste-t-elle. Il y a, en effet, urgence à agir tant ces deux risques les plus redoutés (1) – éminemment complexes à cartographier, variables selon les secteurs d’activité, et techniques à tarifer – augmentent, en fréquence comme en intensité. Selon la Fédération française de l’assurance (FFA), le nombre de sinistres supérieurs à 2 M€ liés à la supply chain a progressé de 25 % entre 2012 et 2015. Quant aux risques cyber, 2017 a marqué les esprits avec l’attaque du « rançongiciel » Wannacry et la contamination, en 24 heures, de plus de 300 000 entreprises dans 150 pays. Sa réplique, Notpetya, a causé au seul groupe Saint Gobain 220 M€ de pertes, soit 1,1 % de son CA ! En France, deux tiers des entreprises seraient, chaque année, victimes d’un hacker.
L’avant-après Recticel
« C’est un cas d’école », selon Stanislas Chapron, directeur général IARDde Siaci St Honoré. « Un mot qui va raisonner longtemps à l’oreille des gens qui travaillent dans l’industrie automobile européenne et de leurs assureurs », témoigne Michel Josset, directeur assurances de l’équipementier Faurecia. Recticel ? Une usine située en République tchèque qui fabrique des peaux de planches de bord et des panneaux de portes de véhicules. Le 22 janvier 2017, un incendie est survenu dans un de ses halls de production, détruisant les moules permettant de créer les peaux. « Il fallait plusieurs mois pour les reconstruire », explique Michel Josset. À l’arrêt, cet unique fournisseur a paralysé l’ensemble des constructeurs et équipementiers automobiles du vieux continent, entraînant des pertes d’exploitation importantes, surtout sans dommage. « En direct, ce sont quelques dizaines de millions d’euros, couverts par nos garanties », confie le risk manager. S’ajoutent les conséquences économiques... « Cela a sifflé la fin de la récréation, la nécessité de revoir nos process et le montant des capacités nécessaires. »
Double peine
De surcroît, ces deux menaces mondiales, imparfaitement appréhendées par l’ensemble des acteurs de la chaîne du risque, ont un double effet : aux pertes d’exploitation importantes se greffent des dégâts immatériels vertigineux s’agissant, par exemple, de l’atteinte à la réputation d’une marque ou la perte de pans entiers de clients. Une nouvelle donne sur le marché de l’assurance des entreprises qui nécessite de mettre en place ce que l’Amrae appelle une « cyber gouvernance », voire une « supply chain gouvernance », intégrant donc le comité de direction, le risk management, mais aussi la conformité, la DSI, l’audit interne, les achats… bref, l’ensemble des compétences professionnelles, éparses, d’une entreprise.
« La communauté des achats surveille nos fournisseurs sous l’angle de leur robustesse financière et de leur performance, mais pas du risque incendie ou climatique de leurs usines. Dans les grades – orange, vert… – que nous leur accordons, ces paramètres doivent désormais faire partie du calcul. Depuis l’épisode Recticel (lire encadré), nous menons un chantier visant à renforcer la collaboration entre les acheteurs et les risk managers du groupe », témoigne Michel Josset, directeur assurances, prévention et immobilier de l’équipementier automobile Faurecia. « C’est un tamis que nous voulons utiliser pour chercher les nœuds de cette supply chain », ajoute ce spécialiste qui partage ce nouveau procédé de gestion des fournisseurs avec son assureur. Et les faits lui donnent raison. Le moindre problème survenant dans une usine de rang 3 en Thaïlande peut, aujourd’hui, perturber l’ensemble de la chaîne de sous-traitance européenne des constructeurs automobiles, jusqu’à l’arrêt de la production d’un modèle. Le cumul des expositions pour le constructeur PSA Peugeot-Citroën serait ainsi démesuré. Jugez plutôt : ses 1 600 fournisseurs sur le seul vieux continent s’approvisionnent auprès de 2 000 usines qui travaillent elles-mêmes avec des centaines de sous-traitants, souvent hyperspécialisés… « Des zones du monde deviennent des usines de production !, note ainsi Corinne Cipière, directrice générale d’Allianz Global Corporate & Specialty (AGCS), deuxième assureur grands risques en France. La situation est analogue dans le cyber, si une entreprise comme OVH qui fournit des solutions d’infrastructures aux sociétés françaises était attaquée, nous nous retrouverions avec un impact sur quasiment tous nos clients en portefeuille. D’où la complexité pour les assureurs liée à l’accumulation des risques. Nos clients doivent les maîtriser et nous devons être en mesure de déterminer ce qu’une catastrophe provoquerait. »
La complexité tient au cumul des risques. Nos clients doivent les maîtriser comme nous devons déterminer ce qu’une catastrophe provoquerait .
Corinne Cipière, directrice générale d’Allianz Global Corporate & Specialty (AGCS)
Enclencher le cercle vertueux
La donne assurantielle est telle qu’il est inutile d’espérer, pour les entreprises, se protéger en achetant un produit supply chain ou cyber standardisé, « sur étagère ». Ces couvertures, forcément sur mesure, s’élaborent après un long travail d’identification, de quantification, de cartographie des risques via des scénarios. Il faut, en effet, circonscrire le périmètre assurable et revisiter, sans cesse, la police cyber ou l’extension des garanties dommages pour coller à leur évolution. D’autant que, comme l’exprime Corinne Cipière, le cyber et la supply chain s’interconnectent à mesure que les usines dites 3.0. voient le jour. Rien de fictif à ce qu’une attaque informatique déclenche un incendie dans une chaîne de fabrication. « Il est indispensable de faire cette approche analytique qui prend du temps », reconnaît Léopold Larios, directeur des risques du groupe Mazars. Et d’ajouter : « Or, beaucoup d’entreprises sont encore dans le déni par rapport au cyber. Et si les assurés ne se couvrent pas, l’effet de mutualisation associée à la vente en masse de polices ne fonctionne pas. »
Mais cela s’agite ! AGCS qui totalisait, fin 2017, une vingtaine de clients en cyber a reçu, l’an dernier, deux fois plus de saisines qu’en 2016 et les demandes grimpent en flèche. « Les clients déjà équipés nous demandent également d’augmenter les capacités. En garantie pertes d’exploitation sans dommage, nous couvrons une dizaine de clients, mais l’intérêt est croissant », affirme Corinne Cipière. Pour enclencher le cercle vertueux de l’offre et de la demande, les entreprises et les assureurs travaillent donc main dans la main. AGCS dénomme clairement les périls associés à la PE sans dommage dans ses contrats : grève, confiscation, insolvabilité d’un fournisseur, retrait d’agrément… suite à de vrais sinistres de ses clients. « Nous offrons jusque 100 M€ de garantie en supply chain et 25 M€ par ligne, en cyber, pour mutualiser notre exposition », précise Corinne Cipière qui entend, au préalable, comprendre l’organisation de ses assurés, tant logistique qu’informatique. AGCS met aussi la main à la pâte pour aider à l’appréhension de ces risques. Outre un accord, en cyber, avec une start-up de la Silicon Valley, Cyence – une plateforme de modélisation des vulnérabilités de l’entreprise – l’assureur a contracté un partenariat, fin 2016, avec le cabinet Deloitte et le courtier Siaci St Honoré pour modéliser les risques en supply chain. « Nous avons bâti une collaboration étroite sur un process avec plusieurs études en cours, qui demandent du temps et des investissements aux entreprises. Par rapport aux États-Unis, le sujet n’est pas encore mature. Outre-Atlantique, le marché de la supply chain représente, en effet, 2,5 Md€ de primes. En Europe, c’est moins de 500 M€ et les couvertures et les expositions sont totalement différentes selon les métiers. Notre rôle est de décliner les scénarios, mesurer, valoriser les impacts pour déterminer à quel niveau notre client doit s’assurer », intervient Stanislas Chapron, directeur général IARDT de Siaci St Honoré.
Nous menons un chantier visant à renforcer la collaboration entre les acheteurs des produits de nos fournisseurs et les risk managers du groupe.
Michel Josset, directeur assurances, prévention et immobilier de Faurecia
Investir en cas de sinistre
En cas de sinistre, ce sont les cabinets d’expertise grands risques qui sont aux premières loges. « Les premiers touchés par les attaques cyber sont les industriels qui ont des systèmes vieillissants, remarque Dominique Brossais, dirigeant du cabinet Naudet qui intervient auprès de 50 % des entreprises du CAC 40 et dont le flux d’indemnisation frôle les 4 Md€ par an. Nous travaillons avec deux sociétés partenaires certifiées par l’Ansi (Agence nationale de la sécurité informatique) pour déterminer les causes, et des ingénieurs chevronnés. Notre rôle se focalise sur la relation avec les assureurs, la compréhension de la police, de ses contours, des exclusions. Souvent, post-crise, ce sont les XP qu’il faut mettre à la poubelle, racheter des ordinateurs et implanter du Windows 10. » Or, à ce jour, les traités d’assurance ne garantissent pas l’amélioration. Ces frais, colossaux, sont à la charge du sinistré. « Mais remonter le même système revient à rester aussi vulnérable qu’avant… », avertit-il. La gestion des data centers constitue un autre sujet clé. D’où une feuille de route collective que propose Brigitte Bouquot : « définir des standards de sécurité, une donne contractuelle entre les acteurs de la chaîne de valeur de ces risques, avec le support des réglementations, pour obtenir des solutions d’assurance satisfaisantes ».
Notre rôle est de décliner les scénarios, mesurer, valoriser les impacts pour déterminer à quel niveau notre client doit s’assurer.
Stanislas Chapron, directeur général IARDT et de l’international de Siaci St Honoré
Beaucoup d’entreprises sont encore dans le déni par rapport au cyber. Or, si les assurés ne se couvrent pas, l’effet de mutualisation ne fonctionne pas.
Léopold Larios, directeur des risques du groupe Mazars
Les premiers touchés par les attaques cyber sont les industriels qui ont des systèmes vieillissants.
Dominique Brossais, directeur général du cabinet d’expertise Naudet
Base des organismes d'assurance
AbonnésRetrouvez les informations complètes, les risques couverts et les dirigeants de plus de 850 organismes d’assurance
Je consulte la baseCyber et supply chain, le défi de ces risques les plus redoutés
Tous les champs sont obligatoires
0Commentaire
RéagirPARCOURIR LE DOSSIER
