Ils visent le cœur de l’économie connectée et lorsqu’ils frappent, ils peuvent compromettre la réussite, voire l’existence d’entreprises de toutes tailles et de tous secteurs : les interruptions d’activités (nº 1 avec 42 % des sondés / nº 1 en 2017) et les incidents cyber (nº 2 avec 40 % des sondés / nº 3 en 2017) sont les principaux risques pour les entreprises du monde entier, selon le Baromètre des risques d’Allianz.
L’augmentation des pertes dues aux catastrophes naturelles (nº 3 avec 30 % des sondés / nº 4 en 2017) suscite également une préoccupation croissante dans les entreprises. A cet égard, l’année 2017 a marqué un record, expliquant que le changement climatique et l’instabilité climatique croissante (nº 10) figurent pour la première fois parmi les dix principaux risques. Par ailleurs, le risque lié aux nouvelles technologies (nº 7 en 2018 / nº 10 en 2017) effectue une des plus fortes montées au classement. Les entreprises ont conscience que les innovations comme l’intelligence artificielle ou les véhicules autonomes peuvent générer de nouvelles responsabilités et des pertes élevées, en même temps que des opportunités pour l’avenir. A l’inverse, elles sont moins préoccupées que l’année dernière par les évolutions de marchés (nº 4 en 2018 / nº 2 en 2017).
Ces observations ressortent de la septième édition du Baromètre des risques 2018 d’Allianz publié chaque année par Allianz Global Corporate & Specialty (AGCS). Le rapport 2018 est basé sur les réponses données par un nombre record de 1.911 experts du risque dans 80 pays.
« Pour la première fois, les interruptions d’activités et les incidents cyber sont au coude à coude dans le Baromètre des risques d’Allianz, et ils sont de plus en plus interdépendants, a déclaré Chris Fischer Hirs, CEO d’AGCS. Qu’ils soient dus à des attaques comme celle de WannaCry, ou plus fréquemment aux défaillances de systèmes, les incidents cyber sont une cause majeure d’interruption d’activité pour les entreprises, toujours plus en réseau, dont les principaux actifs sont souvent les données, les plateformes de services ou encore leurs clients et leurs fournisseurs. Cependant, les catastrophes naturelles extrêmes de l’année dernière nous rappellent que l’impact des risques perpétuels ne doit pas non plus être sous-estimé. Les gestionnaires de risques font face à un environnement très complexe et instable, composé des risques d’entreprises traditionnels et des futurs dangers liés aux nouvelles technologies. »
Principaux risques des entreprises en Belgique en 2018
En Belgique, les incidents cyber se classent en 1ère position devant les interruptions d’activités et les évolutions législatives et réglementaires. De nouvelles préoccupations locales, l’atteinte à la réputation ou à l’image de marque et la pénurie de talents font leur entrée dans le Baromètres des Risques en Belgique.
« Comme presque partout dans le monde, l’interruption d’activité et les incidents cyber restent les principaux risques en Belgique, mais les entreprises belges sont également confrontées à une spécificité locale unique avec l’émergence d’une pénurie de talents que l’on ne voit pas dans les autres pays, » constate Patrick Thiels, CEO d’AGCS Belgique et CEO d’AGCS Région Méditerranée.
Emergence de nouveaux facteurs d’interruption d’activité
L’interruption d’activité est le risque le plus important pour la sixième année consécutive, figurant à la première place dans 13 pays, et plus globalement en Europe, en Asie-Pacifique, en Afrique et au Moyen-Orient. Aucune entreprise, même de taille modeste, n’y échappe. Les entreprises font face à un nombre croissant de scénarios, des risques classiques comme l’incendie, les catastrophes naturelles et les perturbations de la chaîne logistique, aux nouveaux risques, liés au numérique et à l’interconnexion, qui ne causent généralement pas de dommages matériels, mais des pertes financières élevées. Les pannes de systèmes informatiques essentiels, les actes de terrorisme ou de violence politique, les défaillances de qualité des produits ou les évolutions réglementaires imprévues peuvent provoquer des interruptions temporaires ou prolongées, aux conséquences graves sur le chiffre d’affaires.
Pour la première fois, les incidents cyber figurent également parmi les facteurs d’interruption d’activité les plus redoutés par les entreprises et les experts du risque. Or l’interruption d’activité est elle-même considérée comme le principal facteur de pertes après un incident cyber. Cyence, un spécialiste de la modélisation des risques avec lequel AGCS s’est associé, estime que le coût moyen d’une panne de cloud de plus de 12 heures représenterait, pour les entreprises des secteurs de la finance, de la santé et de la distribution, jusqu’à 850 millions de dollars en Amérique du Nord, et 700 millions en Europe.
L’interruption d’activité représente également le deuxième risque le plus sous-estimé dans le Baromètre des risques d’Allianz. « Les entreprises peuvent être surprises par la cause, l’ampleur et l’impact financier réels d’une perturbation et sous-estimer la complexité des opérations nécessaires pour “redémarrer”, explique Volker Muench, expert mondial en dommages aux biens et interruption d’activité chez AGCS. Elles doivent adapter régulièrement leurs plans de secours et de continuité d’activité afin de prendre en compte l’évolution de l’environnement et l’accroissement des cyber-risques en matière d’interruption d’activité. »
Evolution continue des cyber-risques
Les incidents cyber poursuivent leur progression dans le Baromètre des risques d’Allianz. Il y a cinq ans, ils étaient nº 15. En 2018, ils sont nº 2. Les multiples menaces, telles que la violation des données, la défaillance des réseaux, les attaques de hackers ou l’interruption d’activité liée aux cyber-risques, expliquent qu’ils constituent le premier risque pour les entreprises dans 11 pays sondés et dans la région Amériques, et le deuxième en Europe et en Asie-Pacifique. Ils représentent aussi le risque le plus sous-estimé et le principal danger à long terme.
Les événements récents comme les attaques par ransomware de WannaCry et Petya ont entraîné des pertes financières importantes pour un grand nombre d’entreprises. D’autres, comme Mirai, la plus vaste attaque distribuée par déni de service (DDos) sur les sites de services et les plateformes Internet d’Europe et d’Amérique du Nord, à la fin 2016, a mis en évidence l’interconnexion des risques et l’interdépendance aux infrastructures de réseaux et aux fournisseurs de services Internet. Sur un plan individuel, les failles de sécurité récemment découvertes sur les microprocesseurs équipant presque tous les dispositifs modernes révèlent la cyber-vulnérabilité de nos sociétés. Le risque d’événements appelés “cyber ouragans”, au cours desquels des hackers perturbent un grand nombre d’entreprises en visant leurs infrastructures communes, continuera d’augmenter en 2018.
Parallèlement, les risques pour la vie privée sont à nouveau sous les projecteurs depuis les violations majeures de données qui se sont produites aux États-Unis. L’entrée en vigueur du Règlement Général sur la Protection des Données (RGPD) dans l’Union européenne, en mai 2018, renforcera la surveillance, entraînant la possibilité d’amendes plus nombreuses et plus élevées pour les entreprises qui ne seront pas en conformité. Le temps est compté pour se préparer au RGPD. « Par rapport aux États-Unis, où la réglementation est déjà stricte, en Europe les entreprises sont moins sensibilisées aux risques pour la vie privée, estime Emy Donavan, directrice mondiale de l’assurance cyber chez AGCS. Nombre d’entre elles comprendront vite, lorsque le RGPD sera pleinement applicable, que les questions de confidentialité peuvent engendrer des coûts élevés. L’expérience a montré que la gestion d’une crise cyber telle qu’une intrusion a un impact direct sur les coûts, mais aussi sur la réputation et la valeur boursière d’une entreprise. Ce sera encore plus le cas avec l’application du RGPD. »
Les cyber-risques varient également en fonction de la taille de l’entreprise ou du secteur d’activité. « Les petites entreprises peuvent être compromises si elles font l’objet d’une attaque par ransomware, tandis que les grandes entreprises sont généralement visées par des menaces d’une autre envergure, comme les attaques par déni de service, qui peuvent perturber gravement les systèmes », précise Emy Donavan.
Les résultats du Baromètre des risques d’Allianz montrent que la sensibilisation aux cyber-risques dans les PME progresse, avec un saut important de la 6e à la 2e place pour les petites entreprises, et de la 3e à la 1re place pour les entreprises moyennes. Concernant l’exposition sectorielle, les incidents cyber sont en première position dans les divertissements et les médias, les services financiers, les technologies et les télécommunications.
Hausse des risques climatiques et technologiques
Avec un montant record de 135 milliards de dollars de pertes assurées pour les seules catastrophes naturelles en 2017[1], le plus élevé de tous les temps, après le passage des ouragans Harvey, Irma et Maria aux États-Unis et dans les Caraïbes, les catastrophes naturelles reviennent parmi les trois principaux risques pour les entreprises du monde entier. « L’impact des catastrophes naturelles dépasse largement les dommages matériels causés aux équipements dans les régions touchées, explique Ali Shahkarami, directeur de la recherche sur le risque de catastrophe chez AGCS. En effet, avec l’interdépendance et l’interconnexion croissantes des entreprises, les catastrophes naturelles peuvent perturber un grand nombre de secteurs dans le monde, alors qu’à première vue, ceux-ci ne semblaient pas directement touchés. »,
Les sondés craignent que 2017 n’ait donné qu’un avant-goût de catastrophes naturelles toujours plus intenses et fréquentes. Le changement climatique et l’instabilité climatique croissante font leur entrée au top 10 du Baromètre des risques en 2018, alors que le risque de pertes pour les entreprises est encore accentué par l’urbanisation rapide des zones côtières.
Parallèlement, le risque lié aux nouvelles technologies est l’un de ceux qui progressent le plus dans le Baromètre des risques d’Allianz, passant de la 10e à la 7e place. Il figure également à la seconde place des risques à long terme, après le risque d’incidents cyber auquel il est étroitement lié. La vulnérabilité des machines automatisées, ou même autonomes ou à apprentissage automatique, augmentera à l’avenir en cas de défaillance ou d’acte malveillant, comme l’extorsion ou l’espionnage. Elle pourrait avoir un impact important si des infrastructures essentielles, telles que les réseaux informatiques ou électriques, sont touchées.
« Les sinistres mineurs pourraient être moins nombreux grâce à l’automatisation et à la surveillance qui réduit le facteur d’erreur humaine, mais un seul incident pourrait entraîner des pertes considérables, explique Michael Bruch, directeur des tendances émergentes chez AGCS. Les entreprises doivent également se préparer à de nouveaux risques et responsabilités, avec le transfert de fonctions de l’homme à la machine, c’est-à-dire au fabricant ou à l’éditeur de logiciels. La détermination et la couverture des responsabilités deviendront beaucoup plus complexes à l’avenir. »
[1] Munich Re NatCatSERVICE
Source : AGCS
2018 : L’interruption d’activité et les cyber-incidents sont les risques dominants pour les entreprises
16 janvier 2018