Réseaux sociaux JSS
Réseaux sociaux JSS
Réseaux sociaux JSS
Réseaux sociaux JSS
Réseaux sociaux JSS
Journal Spécial des Sociétés
Entretien avec Cédric de Serpos, président de Novasecur - « Le risk manager est passé d’empêcheur de tourner en rond à protecteur de l’entreprise, créateur de valeur »
Publié le 08/03/2018

La gestion des risques : Cédric de Serpos, président de Novasecur, société spécialisée en la matière, n’hésite pas à parler de « révolution ». Si la vision des entreprises a changé, le secteur est également en constante mutation – aujourd’hui avec l’intelligence artificielle, bientôt avec la blockchain.


Pouvez-vous nous présenter votre parcours jusqu’à Novasecur ?


J’ai d’abord suivi une formation en droit des affaires à Paris I puis obtenu un master en finance. Je suis également passé par l’ESSEC. Aujourd’hui, cela fait plus de 25 ans que je travaille dans la gestion des risques. Avant de créer Novasecur, j’ai occupé plusieurs postes à responsabilité dans l’analyse des risques opérationnels, l’assurance ou encore la banque d’affaire, notamment chez Thomson-Reuters, FICO et Norkom. Au début, j’ai plutôt suivi une orientation bancaire : face à des clients de ce secteur, j’étais confronté à des problématiques de gestion des risques en gestion réelle. J’ai donc eu l’obligation d’être performant et alerte, et j’ai été sensibilisé très tôt à la notion de risque. Puis, au fil de mon expérience, je suis passé d’une approche financière à une approche mathématique. Par nécessité mais aussi par goût, puisqu’en dépit de ma formation académique classique de « grande école » sur papier, j’ai toujours été très matheux. D’autant que mon expérience constituée au fil du temps m’a permis de me rendre compte qu’il y avait à la fois un besoin opérationnel pour les entreprises de protéger leurs actifs, mais aussi une réglementation qui allait être, pour elles, de plus en plus contraignante, à l’image de celle appliquée aux banques, notamment dans le cadre de la lutte anti-blanchiment et de la lutte contre le financement du terrorisme, étendue peu à peu à l’assurance. J’ai constaté cela en 2008, au moment de la crise, et pour moi il était évident que cette « vague » allait continuer et toucher les entreprises. Cela a été le point de départ de Novasecur.


 


L’appréhension actuelle de la gestion des risques par les entreprises est sûrement bien différente d’il y a quelques années. Comment l’expliquer ?


On peut même véritablement parler de révolution ! À l’origine, pour faire face au risque, les entreprises mettaient de côté, et attendaient majoritairement qu’un problème survienne pour agir. Mais le scandale Enron a changé la donne. Quand le géant américain de l’énergie a fait faillite après la découverte de ses comptes truqués, il a entraîné dans son sillage un cabinet d’audit et des milliers de salariés et de retraités qui n’avaient rien vu venir : c’était trop tard pour agir. L’autre électrochoc est directement lié à l’évolution de l’économie numérique et la digitalisation de l’entreprise. En entreprise, les échanges sont devenus systémiques et internationaux. De fait, les risques sont devenus de plus en plus complexes à gérer. Il y a eu une prise de conscience de la nécessité de se structurer de façon industrielle pour répondre à des problématiques nouvelles. En parallèle, la réglementation est devenue de plus en plus stricte en matière de conformité réglementaire. Et puis il y a eu un troisième électrochoc, avec des cyberattaques fortement relayées, je pense notamment aux ransomwares Petya et WannaCry, qui ont bloqué des groupes mondiaux. Cela a effrayé les entreprises quelles qu’elles soient, des gros groupes aux PME, et a achevé de les convaincre de davantage investir dans la gestion des risques. Même un expert-comptable qui n’a pas de protection solide contre le ransomware s’expose à de nouveaux risques, car, par son biais, une centaine de sociétés peuvent être paralysées. Aujourd’hui, la capillarité est plus large : elle touche tout le tissu industriel. La gestion des risques est donc mobilisée à tous les niveaux.


Cela a donc assez logiquement bouleversé l’activité de risk manager...


Totalement ! Au départ, la fonction de risk manager était exclusivement un poste fonctionnel, comme l’audit et le contrôle interne, avec une intervention ponctuelle. La gestion des risques est une fonction qui s’est précisée ces dix dernières années. Aujourd’hui, le risk manager est passé du statut d’empêcheur de tourner en rond à un statut de protecteur de la société (dans son ensemble : collaborateurs, dirigeants, actionnaires). Il a aussi acquis une fonction créatrice de valeur : en travaillant sur les risques, le risk manager est au cœur de l’activité de l’entreprise. Il essaie de mettre le doigt sur d’éventuels problèmes, pour améliorer les processus. Il y a donc un travail de fond aujourd’hui en la matière : cela permet d’avoir une situation plus saine, et une vision plus claire et transparente des axes d’amélioration. En 2018, la gestion des risques est une gestion continue et dans la durée. Par ailleurs, le fait de travailler avec les entreprises est bien différent de la gestion des risques dans le milieu de la banque et de l’assurance, dont le cœur de métier est justement le risque, alors que le cœur de métier des entreprises est de vendre du mobilier, des services, des transports. Il a donc fallu prendre cela en considération et adapter notre pratique.


 


Quelles sont les menaces contemporaines qui ont fait apparaître des risques inédits ?


On peut parler de menaces nouvelles à un double niveau : dans leur chronologie, et dans leur façon de se constituer. Parmi les menaces récurrentes, je pense notamment à la fraude au président, apparue en 2010 : on a ici des batteries d’internautes malveillants qui se livrent à une enquête sur une société, ses membres, ses dirigeants, et qui, par étapes, vont récolter auprès de différentes personnes des informations pour ensuite convaincre le collaborateur d’une entreprise d’effectuer un virement dans l’urgence en se faisant passer pour l’un de ses dirigeants. En France, plusieurs centaines de millions d’euros ont déjà été détournés de cette façon : des entreprises sont victimes de cette arnaque quotidiennement. Je peux aussi citer les fraudes cross-border, qui, comme leur nom l’indique, traversent les frontières. Chez Novasecur, on a ainsi eu affaire à une attaque cyber qui visait les structures en Angleterre d’un groupe français : on a repéré que ces attaques avaient des corollaires, avec des actions menées sur d’autres structures en Roumanie. Cela nous a permis d’identifier le mode opératoire, et de mettre en œuvre des mesures immédiates pour des structures situées en Norvège et en Suède.


 



 


Comment traitez-vous aujourd’hui les risques pour les porter à la connaissance des entreprises, et avec quels outils ?


Si les entreprises sont aujourd’hui de plus en plus structurées et que les éléments anxiogènes ont été canalisés pour tout ce qui relève du domaine du connu, la révolution numérique, en apportant des risques nouveaux, a nécessité de mettre en place des outils nouveaux. C’est en cela que l’intelligence artificielle est pertinente : elle apprend les risques et elle apprend des risques – sa capacité intrinsèque. En 2012, il y a eu ce qu’on pourrait appeler un virage data : comme nous étions déjà expérimentés en traitement par l’analytics, les premières présentations de Watson par IBM nous ont directement convaincus que l’intelligence artificielle allait être un outil particulièrement adapté.


Jusqu’à présent, la gestion des risques avait tendance à se baser sur des éléments connus, puis on mettait en place des algorithmes : s’il se passe telle chose avec telle autre chose, alors j’aurai telle action pour réduire risque. C’était une démarche réactive. Aujourd’hui, chez Novasecur, toute la partie data analytics a permis d’alimenter l’intelligence artificielle par d’autres outils et de réduire le temps d’apprentissage de cette dernière. Pour être plus précis, le data analytics donne un premier niveau d’intelligence – le niveau 2 – qui « mâche le travail » le travail de l’intelligence artificielle, elle-même située au niveau 3. Ce niveau est celui du machine learning, où l’IA va apprendre ce qu’elle a autour d’elle et va créer des réponses.  Ceci dit, le problème avec l’intelligence artificielle est qu’elle délivre des résultats sans produire de cheminement. Or, les entreprises ont souvent besoin de savoir comment un logiciel aboutit à telle recommandation. On a donc fourni un effort de transparence sur le mode opératoire : on produit nous-mêmes le cheminement pour expliquer comment l’IA est arrivée à ce résultat. Ensuite, l’entreprise peut choisir de suivre ou non la recommandation fournie en temps réel. En cliquant sur des éléments présents sur le graphique, l’entreprise va également avoir accès à une série de conseils, ce qui permet d’accompagner ses décisions de façon très didactique.


Tout cela est assez technique, pour autant Novasecur essaie de démocratiser l’usage de nouvelles technologies complexes. Les outils que l’on utilise dans la gestion du risque sont des outils dits « SIGR », ou « GRC ». Dans ces solutions globales, on a recours à un traitement par cartographie des risques. Comment cela fonctionne ? On va d’abord récupérer des informations par le biais d’audits, de questionnaires, de données d’état (données financières de type bilan), de données transactionnelles (flux – achats, ventes…), de données comportementales (risques psycho-sociaux par données comportementales de qualité de travail, de tension, de charge de travail), ou encore de données externes (sur Internet). Lorsque ces données sont récupérées, elles sont agrégées. On procède alors par étapes : on les traite par des pratiques mathématiques scientifiques, à l’aide d’algorithmes, pour découvrir des atypiques. Ces atypiques sont ensuite transformées en informations opérationnelles, livrées de façon simple, sous forme de tableaux de bord ou d’alertes, pour accompagner les entreprises dans leurs décisions. Encore une fois, il ne faut pas oublier qu’on ne s’adresse pas forcément à des professionnels du risque ! On identifie par ailleurs une cartographie des risques, et si les risques sont particulièrement sensibles, l’entreprise va mettre en place, avec Novasecur, un plan d’action, qui peut être accompagné d’un contrôle et d’un audit pour vérifier que le plan d’action est bien appliqué. La gestion de risque pourrait être représentée comme boucle : nous identifions, nous cartographions, nous traitons, nous produisons des résultats, et nous vérifions que le risque est bien traité. Puis nous recommençons cette boucle à l’infini.


 


Quels sont, selon vous, les aspects de la gestion du risque qui vont être amenés à se développer ces prochaines années ?


À mon sens, deux éléments vont bientôt jouer un rôle fondamental dans la gestion du risque : le collaboratif et la blockchain.  Sur le collaboratif, je vise ici le partage d’informations, de façon anonyme, sur les typologies de risques. Au lieu de travailler tout seul dans son coin, le gestionnaire de risques confronte sa typologie à celle d’autres gestionnaires de risques. Cette confrontation est particulièrement intéressante dans le cadre d’une décision immédiate ou à très court terme. On est justement en train de mettre en place des plateformes collaboratives chez Novasecur. Et je fais le pari qu’avec les nouvelles générations décisionnaires, il y aura d’ici un ou deux ans beaucoup plus de collaboration dans ce secteur ultra-sensible.


L’autre aspect concerne la blockchain, qui va rendre et qui rend déjà service là où on ne peut pas faire autrement. En effet, face au risque, plusieurs solutions sont possibles. On peut décider de mettre en place un plan d’action, demander à un courtier de chercher un assureur, ou provisionner son risque. Mais il y a des risques pour lesquels ces options ne sont pas satisfaisantes. Alors comment faire ? On s’est rendu compte qu’en « coupant » le risque en petits morceaux, on pouvait utiliser les technologies blockchain. Par exemple, prenons une compagnie maritime : pour naviguer, celle-ci va utiliser l’IA pour vérifier les variations climatiques, et saura en temps réel comment va évoluer le bateau. Mais en cas de cyclone, si elle fait dévier sa route à son bateau, il se peut alors qu’elle longe des côtes zones de conflits : cela fait apparaître un nouveau risque. Dans ce cas, la compagnie inscrit sur la blockchain la trajectoire du bateau, en « coupant en tranches » le processus de transport. Ainsi, ce dernier est visible et inaltérable, et ses partenaires de risques peuvent lui proposer des contrats momentanés. Autant d’atouts qui font qu’à mon avis, la blockchain va avoir une grande place dans le monde du risque d’ici l’année à venir. Car le risque est composé de trois éléments : impact, probabilité, coût. Si on limite l’aléa avec la blockchain, le coût va réduire. Par ailleurs, cela offre une traçabilité, et la capacité de restaurer l’original : autant de manières d’authentifier et de sécuriser, la clef de voûte de la gestion du risque.


 


Propos recueillis par Bérengère Margaritelli


 


 


 


 


 


0 commentaire
9 + 5 =
Journal des sociétés - mensuel du droit

n° 169

décembre 2018

Blockchains & Cryptomonnaies : bouleversent-elles l’ordre juridique et économique ?

Journal Spécial des Sociétés - 8 rue Saint Augustin - 75002 Paris - Tél 01 47 03 10 10