Risques n° 123

Septembre 2020

N° ISBN : 978-2-35588-094-0

Risques et solutions – Cyber(in)sécurité !

Philippe Cotelle, Le risque cyber est-il le virus de la pandémie de demain ?

Le risque cyber n’est plus un risque technique mais bien un risque stratégique. Il affecte toutes les entreprises et organisations quelles que soient leur taille et leur activité. Une prise de conscience de tous les dirigeants est indispensable afin que les mesures de gestion de risque nécessaires soient décidées, non seulement pour protéger l’entreprise mais également pour qu’elle reste un partenaire économique de confiance. Les autorités publiques doivent également s’attaquer aux mesures qui permettront d’éviter que ce risque potentiellement systémique ne devienne la pandémie de demain.

Pauline Vacher, Julien Soupizet, Jérôme Chartrain et Virginie Monteiro, Risque cyber des entreprises et assurances

Depuis la fin des années 1990, le monde a assisté à l’extraordinaire évolution des technologies de l’information et de la communication (TIC). Celle-ci a bouleversé non seulement la société mais également le modèle même des entreprises : nouveaux usages, nouveaux outils et nouveaux clients mais aussi nouveaux risques et nouvelles vulnérabilités.

Emilie Quema et Mary-Cécile Duchon, Face au risque cyber, le défi de l’adaptation

Loin d’être nouveau, le risque cyber suscite chaque jour davantage d’intérêt et de préoccupations : la nature des risques de sécurité évolue constamment, les menaces se développent dans le même temps, obligeant les entreprises à avoir une approche complète, méthodique et pragmatique. La réglementation doit aussi s’adapter et le cadre de supervision intégrer les meilleures pratiques, et ce afin de renforcer la résilience globale du secteur financier.

Nicolas Arpagian, Cyberattaques : vous vous pensiez victimes, vous serez jugés coupables

Longtemps seulement considérées comme des victimes, les cibles de cyberattaques (entreprises, administrations, collectivités, etc.) voient de plus en plus leur responsabilité mise en cause. Alors que la menace cyber semblait incontrôlable, les législations et les contrats imposent désormais des pénalités et permettent des poursuites contre les entités qui ont subi les assauts des assaillants numériques. Quand la victime devient quasi-coupable… et ne peut plus invoquer une spécificité du risque cyber pour s’exonérer de ses responsabilités de protection.

Jacques Pelletan, Cybercriminalité : une grille de lecture économique

La cybercriminalité et les moyens pour y faire face demeurent aujourd’hui des objets mal connus. L’analyse économique apporte une grille de lecture à cette problématique. Comment la puissance publique et les entreprises peuvent-elles bâtir une offre de sécurité répondant au risque cyber ? Répondre à cette question nécessitera un approfondissement des réflexions autour de trois enjeux : l’évaluation des préjudices, l’évaluation de l’efficience des technologies de protection et le défaut de coordination des acteurs.

Pierre Martin, Cybersécurité et risque de guerre

« La guerre est un caméléon. » Dans Penser la guerre, Clausewitz (1976), Raymond Aron précise : « Prenons pour point de départ l’historicité de toutes les guerres et la complexité interne de chaque guerre. Clausewitz insiste sur un des facteurs de cette historicité, la relation entre l’armée et le peuple, il n’ignore pas les autres : les inventions de la science, l’organisation des pouvoirs publics, la nature des entités politiques, les limites et les règles de la société des États. » La guerre illustre probablement le risque majeur réalisé, quoique exclu de l’assurance. Mais si la guerre change, la nature du risque aussi.

Analyses et défis – Le risk management de la sphère publique

Patrick Thourot, Les risques de la sphère publique. Essai de nomenclature

L’exposition de la sphère publique au risque est aujourd’hui considérée comme essentiellement le fait des risques extrêmes, tels que les événements naturels. Les pouvoirs publics sont en réalité exposés à un univers de risques en pleine expansion : risques de type industriel, risques liés à l’action régalienne de protection multiforme de la société, risques de responsabilité du fait des autorisations administratives que multiplient les réglementations. Ne faut-il pas instituer un Chief Risk Officer pour donner une vision globale de l’exposition de la sphère publique aux risques et développer la culture du risque dans les administrations publiques ?

Philippe Trainar et Patrick Thourot, La prise en compte du risque dans la décision publique 

Cet article analyse et commente l’étude de l’assemblée plénière du Conseil d’État « La prise en compte du risque dans la décision publique » adoptée le 26 avril 2018 ; étude menée à la demande du Premier ministre, sous la direction de Jean-Ludovic Silicani. Le rapport du Conseil d’État analyse à la fois l’attitude des pouvoirs publics à l’égard des risques encourus par la société et les conditions de la prise de risque par les pouvoirs publics, en affirmant que le risque est au cœur des missions des agents publics et que le défi de l’État moderne est bien d’y préparer les décideurs, en vue d’une « action publique plus audacieuse ».

Bertrand Labilloy, L’État, réassureur en dernier ressort des grands risques de la nation

« L’univers des risques est en expansion » a l’habitude de proclamer Denis Kessler. De fait, nos sociétés modernes, qui se targuent de tout contrôler et de tout prévoir, se font régulièrement surprendre par des catastrophes qu’elles n’auraient jamais imaginées. Et à chaque fois, le même scénario se reproduit. On constate que les couvertures d’assurance indemnisent peu ou mal les dommages subis ; l’État finit par en payer tout ou partie afin de ne pas ajouter la crise à la catastrophe ; puis, il met en place une obligation de couverture assortie d’une garantie pour pallier les insuffisances du marché et éviter que pareille mésaventure ne se reproduise. Dans la foulée de la pandémie de Covid-19, ce scénario est en train de se reproduire. Aussi est-on en droit de s’interroger : ce scénario est-il fatal ? La solution à laquelle il conduit est-elle pertinente ? Deux questions clés sur le fonctionnement des marchés et le rôle de l’État.

Marie-Anne Barbat-Layani, La gestion des risques au sein des ministères financiers

La crise sanitaire que nous traversons est la matérialisation d’un risque : elle interroge donc à la fois notre capacité d’anticipation et d’identification des risques, et notre organisation. Il est trop tôt pour en faire un bilan, même si nous avons engagé un retour d’expérience dès la fin de la phase aiguë de la crise, mais c’est l’occasion pour moi de revenir sur mon expérience de la gestion crise. Par ailleurs, au-delà de cette phase de matérialisation d’un risque majeur, le ministère de l’Économie et des Finances se doit de renforcer sans arrêt sa capacité à identifier et maîtriser les risques de toute nature auxquels le confrontent ses activités. Ne serait-ce que par l’ampleur des enjeux financiers qui s’attachent à ses activités, les flux gérés atteignant ainsi 1 000 Md€ au cours d’une même année. La démarche de maîtrise des risques est donc une des activités clés pilotées par le secrétariat général qui a renforcé, au cours des dernières années, la gouvernance et les outils de cette gestion des risques.

Bénédicte Dollfus, Expériences étrangères en matière de risk management public

Dans un univers de risques croissants et parfois mondialisés, tels le risque cyber ou la crise sanitaire liée à la pandémie de Covid-19, et de populations toujours plus soucieuses de protection et de sécurité, les États réagissent différemment. Face à l’ampleur de crises comme celle que nous traversons actuellement, les gouvernements restent souvent démunis et gèrent la situation dans l’urgence. Au-delà de cette crise, les analyses et recommandations antérieures d’organismes internationaux comme l’Organisation de coopération et de développement économiques (OCDE) et la Banque mondiale refont surface avec l’utilité d’un risk management public, centré d’une part sur une fonction pivot de risk management pays, d’autre part sur les structures et mesures à mettre en œuvre pour prévenir et gérer au mieux les catastrophes et les crises. Quelques exemples étrangers montrent la sensibilité de certains États à une amorce de risk management intégré.

François Vilnet, Pour une refondation du risk management public

L’image du risk management public, au sens de la gestion globale des risques publics de toute nature, a été récemment écornée dans la gestion de la crise de Covid-19 par les autorités publiques et sanitaires, qui a donné lieu à des critiques et polémiques. Par son ampleur et ses conséquences à long terme, cette crise est aussi une occasion bénéfique de tirer des leçons dans la gestion des risques publics majeurs (analyse, besoins, prévention et limitation, gestion). Cet article constitue une introduction et propose des pistes de réflexion pour une nouvelle approche du risk management public qui se pose à tout État qui se veut autant stratège que gestionnaire.

David Dubois, Repenser les choix de politique publique à l’aune de la gestion des risques

Entreprendre et vivre, c’est prendre des risques. Chacun de nous, chaque citoyen, chaque entrepreneur le sait bien, même si, à l’évidence, nous ne sommes pas toujours prêts à en assumer ni individuellement ni collectivement les conséquences. Si les entreprises ont été contraintes, tant par la réglementation que par les faits, de déployer l’ERM (Enterprise Risk management) en leur sein, les pouvoirs publics semblent encore loin d’avoir intégré une démarche ERM dans leurs processus décisionnels, qu’ils relèvent de changements réglementaires ou de l’administration du pays.

François Ewald et Laurence Barry, Petit cours de biopolitique théorique (Michel Foucault) et appliquée (Covid-19)

Dans les années 1970, Michel Foucault invente le concept de biopolitique pour décrire la transformation moderne (et statistique) de l’exercice du pouvoir. Ce concept a souvent été avancé au sujet de la crise du Covid-19. À l’initiative de Florence Picard, l’Institut des actuaires organisait le 6 mai 2020 une visioconférence pour repenser avec Foucault nos outils de gouvernement de l’épidémie. François Ewald, interrogé par Laurence Barry, poursuit ici cette réflexion.

Études et débats

André Renaudin, La dépendance, le risque démographique du XXIe siècle

Au sortir de la Deuxième Guerre mondiale, l’effort en faveur de la reconstruction se doubla d’un élan volontariste vers l’établissement d’un système intégral de protection sociale. Trois quarts de siècle plus tard, nous ne pouvons que constater à quel point les efforts conjugués de la solidarité nationale et des solidarités intermédiaires ont été porteurs de réussites pour couvrir les grands risques liés à l’existence, incarnés par les branches maladie, accidents du travail-maladies professionnelles et retraite. En soixante ans, grâce aux progrès sanitaires et sociaux et à l’amélioration globale des conditions de vie, l’espérance de vie a augmenté de près de 17 années, atteignant 79,8 ans chez les hommes et 85,7 ans chez les femmes. Revers de la médaille, ces progrès en matière de santé ont entraîné une multiplication des individus sujets aux pathologies liées à l’âge et aux maladies neurodégénératives, donnant du même coup une ampleur nouvelle à un risque rarement mentionné mais ayant toujours existé, le risque de dépendance lié au grand âge.

Arthur Charpentier et Laurence Barry, Concilier risques collectifs et décisions individuelles

Les débuts de la pandémie de SARS-CoV-2 (ou Covid-19) ont vu se multiplier les appels à la « responsabilité individuelle », en commençant par de fortes demandes (voire une obligation dans certains pays, dont la France) à rester chez soi autant que possible, au début du printemps 2020, avant qu’il ne soit obligatoire de porter un masque dans les lieux publics (et fermés ?) au cours de l’été. En paraphrasant Coluche : « Dire qu’il suffirait que les gens restent chez eux pour qu’on puisse sortir… » Cet appel à la responsabilité de chacun est lancé au nom de tous et pour le bien de tous, en venant symboliser cette solidarité toute particulière que nous rappelle la pandémie : le risque que je choisis de courir ne concerne pas seulement ma personne mais constitue aussi un risque pour ceux qui m’entourent. Pour le formuler en termes probabilistes, McKendrick [1926] affirmait : « La probabilité d’occurrence augmente avec le nombre de cas existants. » Assez intuitive a priori, cette conception de la responsabilité individuelle va en réalité à l’encontre de la conception classique en économie : l’individu rationnel (et responsable) fait des choix le concernant et ne concernant que lui. Le bien collectif se déduit par sommation des utilités individuelles, indépendantes les unes des autres. Seulement voilà, avec l’épidémie se crée une interdépendance des utilités qui fait que le bien-être d’untel, qui choisit de ne pas porter de masque, peut nuire à la santé et donc à l’utilité de beaucoup d’autres personnes. Comment penser alors en termes économiques cette « responsabilité individuelle » dans le contexte de l’épidémie ?

André Masson, Nos sociétés du vieillissement entre guerre et paix

Les sociétés du vieillissement ont émergé avec le recul de la mortalité à âge élevé, phénomène initié par le Japon à la fin des années 1970 qui s’est diffusé à l’ensemble des pays développés. Leur trait commun est une longue période senior (60 ans et plus), statistiquement inédite, qui correspond en moyenne à quelque 30 % de l’existence. La part des personnes âgées dans la population a augmenté en conséquence. La vieillesse s’est démocratisée. Aujourd’hui, ces sociétés revêtent néanmoins des configurations assez éloignées d’un pays à l’autre. L’expérience du Japon ou celle de la Corée du Sud (où la fécondité, naguère très élevée, s’est effondrée) diffère sensiblement de la nôtre, même si elle s’avère riche d’enseignements pour notre gouverne. Les réflexions qui suivent portent plutôt sur la France et les pays voisins, à la fécondité déjà hétérogène. Elles livrent deux messages majeurs. 1. La survie de nos sociétés, fragilisées par les défis redoutables, sociaux, écologiques et maintenant sanitaires qu’elles ont à surmonter, impose que des « retours de solidarité » soient demandés aux seniors (aisés). Ces derniers ont des droits ‒ à la retraite, par exemple ‒ qui doivent être respectés. Mais ils ont également des devoirs, surtout dans la période critique actuelle qui exige que les efforts soient partagés (entre générations). 2. Un enjeu clé est alors financier : retour de solidarité oblige, comment mobiliser l’épargne abondante des seniors pour les investissements d’avenir, source potentielle d’une croissance inclusive et soutenable ?

Arnaud Chneiweiss, Médiation de l’assurance : au cœur de la relation client

Avec 15 000 saisines par an, la Médiation de l’assurance (LMA) est la plus importante en France par le volume traité. Ces cas concrets de litige entre l’assuré et l’assureur permettent de se situer au cœur de la relation client, de la souscription au règlement du sinistre. Ils montrent les incompréhensions de l’assuré qui, à tort ou à raison, s’estime mal traité. Le médiateur doit notamment vérifier qu’il n’existe pas dans le contrat de clause abusive et que les clauses d’exclusion opposées par l’assureur sont valables (en particulier, elles doivent figurer en caractères très apparents et être « formelles et limitées »). Par la publication régulière d’études de cas, la Médiation de l’assurance doit contribuer aux efforts d’éducation financière et de compréhension du fonctionnement des contrats d’assurance.

André Babeau, En matière d’épargne, d’indispensables précautions

L’épargne des ménages est une grandeur souvent mentionnée, mais beaucoup plus complexe qu’on ne le pense. De nombreuses précautions s’imposent donc quand on y fait référence.

Jean Vincensini, Mutualisation de moyens et TVA : les nouvelles règles

Afin de limiter les frottements de TVA, les acteurs du monde de l’assurance recourent de manière extensive à des structures de mutualisation de coûts placées sous le régime spécial des groupements de moyens. Cependant, la Cour de justice de l’Union européenne (CJUE) a profondément bouleversé ce contexte juridique, imposant au législateur français la transposition d’un nouveau régime d’assujetti unique, issu de la directive TVA. Ces évolutions sont susceptibles d’avoir des impacts significatifs sur le secteur de l’assurance en France et devraient accélérer les rapprochements. Dans l’attente des textes définitifs, il est d’ores et déjà possible d’anticiper certains sujets, afin d’éviter tout ou partie des surcoûts potentiels liés à l’évolution des modalités fiscales de ces mutualisations de moyens. Qu’en est-il exactement ?

Actualité de la Fondation du risque

Marie Brière, Les robots-conseillers améliorent-ils les décisions des investisseurs individuels ?

Recensions

Emmanuel Saez et Gabriel Zucman, Le triomphe de l’injustice par Daniel Zajdenweber
Anton Brender, Capitalisme et progrès social par Carlos Pardo