La gestion des risques : Cédric de
Serpos, président de Novasecur, société spécialisée en la matière, n’hésite pas
à parler de « révolution ». Si la vision des entreprises a changé, le
secteur est également en constante mutation – aujourd’hui avec l’intelligence
artificielle, bientôt avec la blockchain.
Pouvez-vous nous présenter
votre parcours jusqu’à Novasecur ?
J’ai d’abord suivi une formation en droit des
affaires à Paris I puis obtenu un master en finance. Je suis également
passé par l’ESSEC. Aujourd’hui, cela fait plus de 25 ans que je travaille
dans la gestion des risques. Avant de créer Novasecur, j’ai occupé plusieurs
postes à responsabilité dans l’analyse des risques opérationnels, l’assurance
ou encore la banque d’affaire, notamment chez Thomson-Reuters, FICO et Norkom.
Au début, j’ai plutôt suivi une orientation bancaire : face à des clients
de ce secteur, j’étais confronté à des problématiques de gestion des risques en
gestion réelle. J’ai donc eu l’obligation d’être performant et alerte, et j’ai
été sensibilisé très tôt à la notion de risque. Puis, au fil de mon expérience,
je suis passé d’une approche financière à une approche mathématique. Par
nécessité mais aussi par goût, puisqu’en dépit de ma formation académique
classique de « grande école » sur papier, j’ai toujours été
très matheux. D’autant que mon expérience constituée au fil du temps m’a permis
de me rendre compte qu’il y avait à la fois un besoin opérationnel pour les
entreprises de protéger leurs actifs, mais aussi une réglementation qui allait
être, pour elles, de plus en plus contraignante, à l’image de celle appliquée
aux banques, notamment dans le cadre de la lutte anti-blanchiment et de la
lutte contre le financement du terrorisme, étendue peu à peu à l’assurance.
J’ai constaté cela en 2008, au moment de la crise, et pour moi il était évident
que cette « vague » allait continuer et toucher les entreprises.
Cela a été le point de départ de Novasecur.
L’appréhension actuelle de
la gestion des risques par les entreprises est sûrement bien différente d’il y
a quelques années. Comment l’expliquer ?
On peut même véritablement parler de
révolution ! À l’origine, pour faire face au risque, les entreprises
mettaient de côté, et attendaient majoritairement qu’un problème survienne pour
agir. Mais le scandale Enron a changé la donne. Quand le géant américain de
l’énergie a fait faillite après la découverte de ses comptes truqués, il a
entraîné dans son sillage un cabinet d’audit et des milliers de salariés et de
retraités qui n’avaient rien vu venir : c’était trop tard pour agir.
L’autre électrochoc est directement lié à l’évolution de l’économie numérique
et la digitalisation de l’entreprise. En entreprise, les échanges sont devenus
systémiques et internationaux. De fait, les risques sont devenus de plus en
plus complexes à gérer. Il y a eu une prise de conscience de la nécessité de se
structurer de façon industrielle pour répondre à des problématiques nouvelles.
En parallèle, la réglementation est devenue de plus en plus stricte en matière
de conformité réglementaire. Et puis il y a eu un troisième électrochoc, avec
des cyberattaques fortement relayées, je pense notamment aux ransomwares
Petya et WannaCry, qui ont bloqué des groupes mondiaux. Cela a effrayé les
entreprises quelles qu’elles soient, des gros groupes aux PME, et a achevé de
les convaincre de davantage investir dans la gestion des risques. Même un
expert-comptable qui n’a pas de protection solide contre le ransomware
s’expose à de nouveaux risques, car, par son biais, une centaine de sociétés
peuvent être paralysées. Aujourd’hui, la capillarité est plus large : elle
touche tout le tissu industriel. La gestion des risques est donc mobilisée à
tous les niveaux.
Cela a donc assez
logiquement bouleversé l’activité de risk manager...
Totalement ! Au départ, la fonction de risk
manager était exclusivement un poste fonctionnel, comme l’audit et le
contrôle interne, avec une intervention ponctuelle. La gestion des risques est
une fonction qui s’est précisée ces dix dernières années. Aujourd’hui, le risk
manager est passé du statut d’empêcheur de tourner en rond à un statut de
protecteur de la société (dans son ensemble : collaborateurs, dirigeants,
actionnaires). Il a aussi acquis une fonction créatrice de valeur : en
travaillant sur les risques, le risk manager est au cœur de l’activité
de l’entreprise. Il essaie de mettre le doigt sur d’éventuels problèmes, pour
améliorer les processus. Il y a donc un travail de fond aujourd’hui en la
matière : cela permet d’avoir une situation plus saine, et une vision plus
claire et transparente des axes d’amélioration. En 2018, la gestion des risques
est une gestion continue et dans la durée. Par ailleurs, le fait de travailler
avec les entreprises est bien différent de la gestion des risques dans le
milieu de la banque et de l’assurance, dont le cœur de métier est justement le
risque, alors que le cœur de métier des entreprises est de vendre du mobilier,
des services, des transports. Il a donc fallu prendre cela en considération et
adapter notre pratique.
Quelles sont les menaces
contemporaines qui ont fait apparaître des risques inédits ?
On peut parler de menaces nouvelles à un double
niveau : dans leur chronologie, et dans leur façon de se constituer. Parmi
les menaces récurrentes, je pense notamment à la fraude au président, apparue
en 2010 : on a ici des batteries d’internautes malveillants qui se livrent
à une enquête sur une société, ses membres, ses dirigeants, et qui, par étapes,
vont récolter auprès de différentes personnes des informations pour ensuite
convaincre le collaborateur d’une entreprise d’effectuer un virement dans
l’urgence en se faisant passer pour l’un de ses dirigeants. En France,
plusieurs centaines de millions d’euros ont déjà été détournés de cette
façon : des entreprises sont victimes de cette arnaque quotidiennement. Je
peux aussi citer les fraudes cross-border, qui, comme leur nom
l’indique, traversent les frontières. Chez Novasecur, on a ainsi eu affaire à
une attaque cyber qui visait les structures en Angleterre d’un groupe
français : on a repéré que ces attaques avaient des corollaires, avec des
actions menées sur d’autres structures en Roumanie. Cela nous a permis
d’identifier le mode opératoire, et de mettre en œuvre des mesures immédiates
pour des structures situées en Norvège et en Suède.
Comment traitez-vous
aujourd’hui les risques pour les porter à la connaissance des entreprises, et avec
quels outils ?
Si les entreprises sont aujourd’hui de plus en plus
structurées et que les éléments anxiogènes ont été canalisés pour tout ce qui
relève du domaine du connu, la révolution numérique, en apportant des risques
nouveaux, a nécessité de mettre en place des outils nouveaux. C’est en cela que
l’intelligence artificielle est pertinente : elle apprend les risques et
elle apprend des risques – sa capacité intrinsèque. En 2012, il y a eu ce qu’on
pourrait appeler un virage data : comme nous étions déjà expérimentés en
traitement par l’analytics, les premières présentations de Watson par IBM nous
ont directement convaincus que l’intelligence artificielle allait être un outil
particulièrement adapté.
Jusqu’à présent, la gestion des risques avait tendance
à se baser sur des éléments connus, puis on mettait en place des
algorithmes : s’il se passe telle chose avec telle autre chose, alors
j’aurai telle action pour réduire risque. C’était une démarche réactive.
Aujourd’hui, chez Novasecur, toute la partie data analytics a permis
d’alimenter l’intelligence artificielle par d’autres outils et de réduire le
temps d’apprentissage de cette dernière. Pour être plus précis, le data
analytics donne un premier niveau d’intelligence – le niveau 2 – qui « mâche
le travail » le travail de l’intelligence artificielle, elle-même
située au niveau 3. Ce niveau est celui du machine learning, où
l’IA va apprendre ce qu’elle a autour d’elle et va créer des réponses.
Ceci dit, le problème avec l’intelligence artificielle est qu’elle
délivre des résultats sans produire de cheminement. Or, les entreprises ont
souvent besoin de savoir comment un logiciel aboutit à telle recommandation. On
a donc fourni un effort de transparence sur le mode opératoire : on
produit nous-mêmes le cheminement pour expliquer comment l’IA est arrivée à ce
résultat. Ensuite, l’entreprise peut choisir de suivre ou non la recommandation
fournie en temps réel. En cliquant sur des éléments présents sur le graphique,
l’entreprise va également avoir accès à une série de conseils, ce qui permet
d’accompagner ses décisions de façon très didactique.
Tout cela est assez technique, pour autant Novasecur
essaie de démocratiser l’usage de nouvelles technologies complexes. Les outils
que l’on utilise dans la gestion du risque sont des outils dits « SIGR »,
ou « GRC ». Dans ces solutions globales, on a recours à un
traitement par cartographie des risques. Comment cela fonctionne ? On va
d’abord récupérer des informations par le biais d’audits, de questionnaires, de
données d’état (données financières de type bilan), de données
transactionnelles (flux – achats, ventes…), de données comportementales
(risques psycho-sociaux par données comportementales de qualité de travail, de
tension, de charge de travail), ou encore de données externes (sur Internet).
Lorsque ces données sont récupérées, elles sont agrégées. On procède alors par
étapes : on les traite par des pratiques mathématiques scientifiques, à
l’aide d’algorithmes, pour découvrir des atypiques. Ces atypiques sont ensuite
transformées en informations opérationnelles, livrées de façon simple, sous
forme de tableaux de bord ou d’alertes, pour accompagner les entreprises dans
leurs décisions. Encore une fois, il ne faut pas oublier qu’on ne s’adresse pas
forcément à des professionnels du risque ! On identifie par ailleurs une
cartographie des risques, et si les risques sont particulièrement sensibles,
l’entreprise va mettre en place, avec Novasecur, un plan d’action, qui peut
être accompagné d’un contrôle et d’un audit pour vérifier que le plan d’action
est bien appliqué. La gestion de risque pourrait être représentée comme
boucle : nous identifions, nous cartographions, nous traitons, nous
produisons des résultats, et nous vérifions que le risque est bien traité. Puis
nous recommençons cette boucle à l’infini.
Quels sont, selon vous,
les aspects de la gestion du risque qui vont être amenés à se développer ces
prochaines années ?
À mon sens, deux éléments vont bientôt jouer un
rôle fondamental dans la gestion du risque : le collaboratif et la blockchain.
Sur le collaboratif, je vise ici le partage d’informations, de façon
anonyme, sur les typologies de risques. Au lieu de travailler tout seul dans
son coin, le gestionnaire de risques confronte sa typologie à celle d’autres
gestionnaires de risques. Cette confrontation est particulièrement intéressante
dans le cadre d’une décision immédiate ou à très court terme. On est justement
en train de mettre en place des plateformes collaboratives chez Novasecur. Et
je fais le pari qu’avec les nouvelles générations décisionnaires, il y aura
d’ici un ou deux ans beaucoup plus de collaboration dans ce secteur
ultra-sensible.
L’autre aspect concerne la blockchain, qui va
rendre et qui rend déjà service là où on ne peut pas faire autrement. En effet,
face au risque, plusieurs solutions sont possibles. On peut décider de mettre
en place un plan d’action, demander à un courtier de chercher un assureur, ou
provisionner son risque. Mais il y a des risques pour lesquels ces options ne
sont pas satisfaisantes. Alors comment faire ? On s’est rendu compte qu’en
« coupant » le risque en petits morceaux, on pouvait utiliser
les technologies blockchain. Par exemple, prenons une compagnie maritime :
pour naviguer, celle-ci va utiliser l’IA pour vérifier les variations
climatiques, et saura en temps réel comment va évoluer le bateau. Mais en cas
de cyclone, si elle fait dévier sa route à son bateau, il se peut alors qu’elle
longe des côtes zones de conflits : cela fait apparaître un nouveau risque.
Dans ce cas, la compagnie inscrit sur la blockchain la trajectoire du
bateau, en « coupant en tranches » le processus de transport.
Ainsi, ce dernier est visible et inaltérable, et ses partenaires de risques
peuvent lui proposer des contrats momentanés. Autant d’atouts qui font qu’à mon
avis, la blockchain va avoir une grande place dans le monde du risque
d’ici l’année à venir. Car le risque est composé de trois éléments :
impact, probabilité, coût. Si on limite l’aléa avec la blockchain, le
coût va réduire. Par ailleurs, cela offre une traçabilité, et la capacité de
restaurer l’original : autant de manières d’authentifier et de sécuriser,
la clef de voûte de la gestion du risque.
Propos recueillis par Bérengère Margaritelli