Risques émergents et interconnectés : élaborer une stratégie résiliente

Polycrise^[1]. Sans précédent. Historique. Extrême. Ce ne sont là que quelques-uns des titres qui arrivent dans la boîte de réception de tous les dirigeants. Le monde évolue à un rythme effréné, les régulateurs et les actionnaires ajoutent de nouvelles exigences de gouvernance, et vous coordonnez certainement des actions sur plusieurs business models, marchés et fuseaux horaires.

Les 100 plus grandes entreprises au monde produisant 17,7 milliards USD de chiffre d’affaires^[2], les valeurs en jeu à la suite d’une mauvaise décision - ou pire d’une inaction - nécessitent une compréhension commune et une stratégie unifiée. Il n’est pas surprenant que les plus grandes entreprises du monde accordent une attention particulière à la manière dont elles peuvent identifier les tendances émergentes à l’origine de risques en cascade et d’opportunités, afin d’explorer comment elles peuvent influencer leur profil de risque, mais aussi découvrir des sources de croissance.

Risques et opportunités

L’intelligence artificielle (IA) se dresse actuellement comme un leurre, avec des projections suggérant que l’IA générative pourrait créer 13 000 milliards USD^[3] de valeur économique avec un appel clair aux entreprises : évoluer avec l’IA ou risquer d’être laissé pour compte. L’histoire est jalonnée d’exemples d’organisations qui ont raté des opportunités de faire évoluer leurs business model, ou des conseils d’administration qui n’ont pas su reconnaître des risques importants tels que les risques réputationnels, avec le même engagement que pour des opportunités commerciales. Personne ne veut être le prochain Kodak et être confronté à l'issue fatidique de son business model. Ce qui aurait pu être évité en imaginant des avenirs plausibles que leur concurrents avaient eux-mêmes envisagés.

L’urgence de répondre à de multiples parties prenantes internes et externes peut empêcher les organisations de regarder au-delà de leurs défis les plus immédiats. En comparant les rapports annuels 2007 des 10 plus grandes entreprises du classement Fortune 500 à ceux d’aujourd’hui, on constate qu’une seule d’entre elles avait mentionné le mot « pandémie ». En 2022, la pandémie était dans les 10 risques les plus importants, certains rapports dédiant des sections entières à ce risque maintenant familier. Qu’est-ce qui a changé depuis ? L’expérience. Les périodes post pandémie n’ont pas changé. Les statistiques ont toujours indiqué qu’une autre pandémie pouvait survenir, mais ces données n’étaient pas disponibles ou récentes.

Le risque de pandémie n’a pas disparu simplement parce que nous en avons connu une récemment. Les chercheurs qui modélisent le risque de pandémie futures estiment qu’il existe une probabilité de 47 à 57 % qu’une autre pandémie mondiale aussi mortelle que la COVID-19 survienne au cours des 25 prochaines années^[4].

L’Intelligence de vos risques

L’examen des risques émergents et la préparation à l’avenir ne se limitent pas à la tenue d’un registre des risques ou à l’évaluation de leur probabilité, de leur impact et de leur capacité à évoluer rapidement. Pour exploiter pleinement le potentiel des travaux en matière de risques émergents, il convient d’adopter une approche axée sur la maturité du risque, et d’établir des liens entre les différentes fonctions de l’entreprise afin de renforcer les connaissances en matière de risque ainsi que d’obtenir l’adhésion de tous. De même qu’aucun risque n’est isolé, les dirigeants doivent tendre vers une plus grande compréhension des impacts au-delà de leur fonction.

Les directeurs généraux, et l’ensemble de la C-Suite (directeurs des risques, des ressources humaines, de l’IT, des opérations, de la stratégie et des finances) ont besoin d’une approche et de référentiels communs pour faire coïncider la prise de décision en matière de gestion des risques et de priorités financières. Par exemple, les risques émergents autour de la propriété intellectuelle pourraient avoir des points de contact multiples dans l’organisation :

• L’expérience des salariés et leur engagement dans la culture de l’entreprise peuvent contribuer à la gestion et à l’atténuation des risques.
• Les choix en matière de technologie et de gouvernance peuvent influencer la façon dont la propriété intellectuelle est intégrée dans les process d’innovation et d’achats.
• Avoir une vision financière des risques et des opportunités, ici liés à la propriété intellectuelle, peut faciliter la prise de décisions sur la manière de protéger les investissements, qu’il s’agisse d’accéder à des capitaux alternatifs ou de transférer les risques sur le marché de l’assurance.

Avoir une approche collaborative permet d’obtenir une vision globale des risques, en permettant aux dirigeants et aux risk managers d’accéder à des analyses qualitatives et quantitatives. Faire travailler la gestion des risques avec d’autres fonctions permet de gérer les risques et les incertitudes de manière proactive plutôt que réactive.

Cette situation nécessite d’aller vers la reconnaissance d’un éventail plus large des risques, mais aussi vers une approche proactive de ces derniers. Des recherches suggèrent que les organisations qui ont investi dans la mise en place d’unités de prospection atteignent une rentabilité supérieure de 33 % et une croissance supérieure de 200 %^[5]. Il est important de raisonner en amont pour tirer les leçons de l’histoire et de raisonner en aval pour explorer les avenirs collectifs possibles.

Nous avons demandé à nos experts quels sont les risques émergents et interconnectés les plus importants et nous leur avons demandé « comment comprendre et agir sur les sources de ces risques émergents ? » :

Comment se préparer aux risques cyber actuels et futurs ?

Le paysage cyber évolue sans cesse. IBM estime que le coût moyen mondial d’une violation de données en 2023 était de 4,45 millions USD, soit une augmentation de 15 % sur trois ans^[6].

Derrière ces chiffres se cachent en réalité une grande diversité d’impacts.

La Banque mondiale a estimé qu’à l’échelle mondiale, de 2019 à 2023, environ 5 200 milliards USD de valeur mondiale étaient en danger en raison d’attaques cyber potentielles. Chaque mois, 10,5 millions d’informations sont perdues ou volées, soit environ 438 000 par heure^[7].

Ces événements peuvent avoir des conséquences très sérieuses pour les organisations complexes, avec des sources de risque très variées et complexes qui nécessitent une approche holistique pour les gérer. Prenons pour exemple l’expérience d’une chaîne hôtelière mondiale.

En 2018, cette chaîne a annoncé que des cyber criminels avaient volé environ 500 millions dossiers clients. Ces derniers ont obtenu un accès non autorisé à une société acquise par la chaîne hôtelière en 2014 et sont restés dans le système pendant 4 années. L’accès n’a été découvert qu’en 2018, et la chaîne hôtelière a été condamnée à une amende de 18,4 millions GBP pour violation de données à caractère personnel par le Bureau du commissaire à l’information du Royaume-Uni, en vertu du Règlement général sur la protection des données (amende de 99,2 millions GBP au départ qui a été réduite). Les conséquences à l’époque comprenaient : les coûts de recouvrement, les dommages à la réputation dus à la perte de confiance des clients et les ramifications juridiques par le biais de poursuites collectives intentées par les personnes touchées.

En 2022, 20 gigaoctets de données supplémentaires ont été volés via l’accès au compte d’un employé, une méthode d’attaque différente qui a permis d’infiltrer la société par un autre biais.

Lorsque les organisations sont confrontées à de tels événements, il est nécessaire de penser au-delà de risques spécifiques et au-delà de solutions uniques pour s’assurer de la résilience de l’entreprise.

Ce qu’il faut retenir

Ces chiffres sur les risques cyber ne tiennent compte que de la situation actuelle.

Il est nécessaire de penser à l’avenir et, avec l’afflux de programmes d’IA générative grand public, tels que Bard de Google et ChatGPT d’OpenAI, le marché de l’IA générative est sur le point d’exploser.

Bloomberg Intelligence estime qu’elle passera à 1 300 milliards USD au cours des 10 prochaines années, par rapport à une taille de marché de seulement 40 milliards USD en 2022^[8].

La technologie évoluant rapidement, les efforts de gouvernance seront essentiels, d’autant plus que les développeurs d’IA sont confrontés aux risques inhérents à leurs données d’entraînement. L’ensemble de votre organisation devra également prendre en compte les effets secondaires : les risques cyber en font partie.

Quels sont actifs exposés à des pertes potentielles dans les différentes zones géographiques où nous opérons ? Combien d’événements peuvent survenir pendant une année?

En 2023, l’Administration nationale de l’océan et de l’atmosphère (NOAA) a calculé que les États-Unis, à eux seuls, avaient essuyé 28 événements climatiques avec des pertes dépassant 1 milliard USD, bien au-dessus de la moyenne depuis 1980 de huit événements par an et de la moyenne au cours des cinq dernières années de 18 événements par an. Aux États-Unis, les assureurs ont enregistré les tempêtes convectives sévères (SCS) les plus coûteuses, avec un total de réclamations dépassant 50 milliards USD^[9].

Les sinistres liés à des risques secondaires, principalement les tempêtes convectives sévères aux États-Unis et en Europe, ont contribué de manière substantielle aux sinistres d’assurance de l’année, soulignant leur influence croissante par des pertes cumulées dépassant celles causées par une saison d’ouragans.

D’autres catastrophes naturelles établissent également de nouveaux records, avec des impacts négatifs pour les assureurs qui remettent en question leur propre point de vue sur les agrégations, ainsi que pour les risk managers qui examinent de nouveau l’étendue de leur empreinte géographique. En 2023, le Canada a connu sa saison de feux de forêt la plus importante jamais enregistrée, avec 17,94 millions d’hectares brûlés.

En raison de l’ampleur des incendies, le gouvernement canadien a fermé plusieurs routes au Québec et de nombreuses entreprises ont dû réduire leurs activités. Face à l’augmentation du risque d’incendie de forêt, il sera nécessaire d’adopter une approche à multiples facettes combinant la prévision précoce et l’anticipation des incendies avec des infrastructures solides, une communication efficace, des politiques adaptables et la prise en compte de solutions basées sur la nature.

Ce qu’il faut retenir

Les événements qui étaient autrefois considérés comme rares sont de plus en plus probables ou se produisent à des échelles jusqu’alors inconnues.

Les données historiques ne permettent pas à elles seules d’appréhender l’ensemble des risques potentiels. En examinant les différents scénarios possibles, les organisations peuvent se faire une idée des vulnérabilités potentielles et ainsi développer des stratégies pour gagner en résilience. Pour obtenir une représentation précise des risques, il est nécessaire de vérifier si l’impact des risques récemment encourus n’éclipse pas ceux qui pourraient se produire à l’avenir. Des partenaires externes, tels que des administrateurs ou des personnalités issues du monde universitaire, peuvent avoir le rôle de remettre en question vos hypothèses et d’enrichir votre base de connaissances.

Comment appréhender les risques géopolitiques ?

L’année 2024 devrait être ce que l’Economist a appelé « la plus grande année électorale de l’histoire », avec des élections nationales prévues dans au moins 64 pays, plus l’Union européenne, représentant 4,1 milliards de personnes, soit près de la moitié de la population mondiale (49 %) qui représente un PIB mondial estimé à 57 000 milliards USD. En avril, ce nombre était de 83 dans 78 pays.^[10] Nombre d’entre elles auront des conséquences pour les années à venir, avec des impacts potentiels sur la stabilité sociale, la politique de relocalisation/délocalisation, les changements réglementaires et l’évolution des investissements internationaux. Les valeurs actuelles du PIB de la Banque mondiale (USD) pour 2023 ne sont pas disponibles pour le Bhoutan, la République populaire démocratique de Corée, les Palaos, la Corée du Sud, le Soudan du Sud, la République Arabe Syrienne, Taïwan et le Venezuela.

Des recherches récentes menées par WTW et Oxford Analytica, publiées dans l’Index Risques Politiques WTW, suggèrent que les alignements géopolitiques évoluent rapidement. Inévitablement, les changements de gouvernement sont l’occasion de réalignements géopolitiques importants. Les investisseurs ont tendance à détester l’incertitude ; d’une certaine manière, des évolutions négatives prévisibles sont préférables au fait de ne pas connaître l’avenir, ce qui rend difficile le calcul des rendements futurs. Les élections de 2024 apporteront leur lot d’incertitudes, d’où l’importance pour les organisations de s’interroger sur les sources d’information auxquelles elles peuvent faire appel pour s’assurer qu’elles sont informées des impacts étendus des risques géopolitiques.

Ce qu’il faut retenir

Les véritables leaders prennent en compte les tendances géopolitiques pour identifier les opportunités de croissance, tout en se préparant à agir rapidement et de manière décisive lorsque des événements se produisent.

Le Geopolcast de WTW propose des discussions sous forme de podcasts qui suscitent la réflexion sur les problèmes géopolitiques les plus pressants, grâce notamment à des entretiens avec des experts. Lorsque l’on discute des risques et de la stratégie, les différentes perspectives jouent un rôle important, qu’il s’agisse de points de vue externes ou de la prise en compte de l’intelligence de vos équipes. Vos collaborateurs sont souvent une source inexploitée d’intelligence sur les risques, ils sont souvent confrontés aux réalités opérationnelles des décisions stratégiques, et peuvent très rapidement mettre en évidence les risques et les opportunités.

Agir et trouver sa voie

Les organisations importantes ne manquent pas d’approches pour relever ces défis. Cependant, il n’existe pas d’approche unique pour identifier, analyser, surveiller et répondre aux risques émergents. Les entreprises doivent en être conscientes et veiller à tenir compte de leur culture, de leur expérience, de leurs capacités technologiques et de l’attitude de leurs équipes lorsqu’elles conçoivent ou affinent leur approche.

Comment les grands groupes gèrent-ils leur portefeuille de risques et leur impact financier tout en veillant aux risques émergents ?

Analyse de l’environnement / renseignement sur les menaces / tour d’horizon

Adopter une approche proactive et multidimensionnelle pour analyser les changements et les influences des risques émergents sur leurs organisations, en intégrant des informations provenant de diverses sources, disciplines et parties prenantes afin d’améliorer leur intelligence du risque et leur résilience dans un environnement commercial de plus en plus incertain et dynamique.

1. Analyse de scénarios
2. Ateliers sur les risques et séances de brainstorming
3. Évaluations des risques et cartographie des risques
4. Entretiens avec des experts et méthode Delphi
5. Analyse des données et systèmes d’alerte précoce
6. Partenariats et collaborations

Analyser les changements et les influences des risques émergents

Adopter une approche proactive, fondée sur des données et intégrée pour optimiser les risques, en utilisant une combinaison de leviers stratégiques, technologiques et organisationnels pour améliorer leur résilience et leur potentiel de création de valeur.

1. Cadres de gestion intégrée des risques
2. Adopter l’innovation : analyse des données et intelligence artificielle (IA) / machine learning (ML)
3. Quantification et mesure des risques
4. Planification de scénarios et tests de résistance
5. Stratégies de transfert et de couverture des risques
6. Gestion de crise et planification de la continuité des activités
7. Cadres de gouvernance et de conformité
8. Collaboration et partenariats

Optimiser les risques : quels sont les leviers, outils et ressources ?

Grâce à des stratégies sophistiquées de gestion des risques pour traiter leurs portefeuilles de risques et atténuer les impacts financiers tout en tenant compte des risques émergents.

1. Évaluations complètes des risques
2. Diversification
3. Test de résistance
4. Analyse de scénarios
5. Transfert des risques
6. Surveillance et examen continus
7. Collaboration et partenariats

Prise en compte de leur portefeuille de risques et de leur impact financier

WTW estime qu’une approche efficace commence par établir et comprendre votre tolérance au risque. Cette étape vous permet d’identifier les risques émergents qui peuvent dépasser ce niveau de tolérance et qui nécessitent des mesures d’atténuation, tant sur le plan financier qu’organisationnel.

Au cœur de ces approches se trouve le besoin de comprendre ce que nous entendons par risques émergents

Les organisations utilisent une série de définitions différentes des risques émergents, affinées en fonction des horizons temporels, des seuils de tolérance au risque et de la stratégie. La récente publication de la norme ISO 31050 (directives pour la gestion des risques émergents afin d’améliorer la résilience) marque un moment crucial dans la gestion de ces risques à un moment où de nouvelles normes et exigences réglementaires sont mises en œuvre ou prises en compte.

Si les définitions peuvent varier, quels sont les risques émergents ? D’après la norme ISO 31050, ils peuvent couvrir une série de caractéristiques :

Les risques émergents peuvent inclure, par exemple :

• Les risques découlant de changements non reconnus dans les contextes organisationnels.
• Les risques créés par l’innovation ou le développement social et technologique.
• Les risques liés à de nouvelles sources ou à des sources de risque précédemment non reconnues.
• Les risques liés à des processus, produits ou services nouveaux ou modifiés.

Source: ISO 31050

Il s’agit d’un point de départ utile, mais les organisations peuvent souhaiter simplifier cette définition pour rendre le langage plus clair et plus accessible. Une organisation peut choisir de considérer les risques émergents comme :

• Des circonstances qui modifient sensiblement le profil des risques déjà repérés.
• Des circonstances qui conduisent à de nouveaux risques jamais repérés auparavant.
• Des circonstances qui entraînent la combinaison de deux risques ou plus, qui se produisent simultanément ou créent un effet dominos.

Pour savoir si votre approche actuelle traite ces risques et ces opportunités de manière appropriée, posez-vous trois questions :

1. 01

   Avez-vous mis en place une méthode pour identifier et gérer les risques émergents ?

   On ne saurait trop insister sur l’importance de mettre en place un processus de gestion des risques émergents et de le relier au business model. Cela inclut le prisme de l’opportunité. L’examen des risques émergents consiste également à prendre en compte votre avantage concurrentiel et à recueillir des informations sur les nouvelles opportunités de marché, les besoins des clients et les avancées technologiques. Enfin, il est nécessaire de rester en veille à l’égard des évolutions réglementaires, des exigences de conformité et des normes sectorielles susceptibles d’avoir un impact sur vos activités et votre réputation.

   Action : instaurer une analyse de l’environnement qui dépasse les frontières traditionnelles, en se concentrant par exemple sur la nouvelle législation ou les normes d’information financière. Se poser la question « Quelles sont les nouveautés et qu’est-ce que cela signifie pour nous ? » Régulièrement, de nouveaux risques et opportunités peuvent apparaître bien plus tôt. En examinant les hypothèses par le biais de tests de scénarios, les organisations peuvent se faire une idée des vulnérabilités potentielles et développer des stratégies pour gagner en résilience. Le wargaming est un moyen de donner vie à cette idée, car le jeu se concentre sur les risques, mais aussi sur les acteurs – afin d’avoir une vision plus réaliste.

1. 02

   Dans votre environnement actuel et futur, quelles sont vos principales préoccupations ?

   Le rythme des changements dans nos contextes internes et externes est tellement soutenu qu’il est évident que des vrais « nouveaux » risques sont de plus en plus probables. Un élément important d’un processus efficace de gestion des risques émergents est la capacité à repérer ces risques à temps, à planifier et à hiérarchiser une réponse appropriée, compte tenu du profil de risque varié que l’organisation est susceptible d’avoir. Pour les organisations complexes composées de plusieurs secteurs et business models, la possibilité d’exploiter ces points de vue est de permettre l’analyse de l’environnement et de créer une vision holistique du risque. Mais la connaissance des risques doit être le moteur de la prise de décision et de la stratégie. La norme ISO 31050 fournit désormais un cadre standardisé pour traduire les données prévisionnelles en renseignements sur les risques qui peuvent être intégrés dans les processus de gestion des risques existants.

   Action : positionner la gestion des risques au cœur de la gouvernance d’entreprise, car elle est essentielle à la création d’une organisation durable et résiliente. Les organisations qui intègrent la réflexion sur les risques émergents dans leurs approches peuvent en exploiter les valeurs. Cela peut signifier jeter un regard neuf sur les sources de données existantes, telles que vos demandes d’indemnisation, remettre en question les dimensions du risque suivies par votre organisation ou se tenir au courant des dernières réflexions menées par les scientifiques, les universitaires, les groupes de réflexion et le secteur privé. C’est l’approche qu’utilise notre réseau de recherche WTW pour identifier les risques et améliorer leur compréhension et leur quantification dans l’intérêt de nos clients et de la société ; nous constatons qu’en regardant à gauche et à droite et en observant ce que d’autres industries envisagent, vous pouvez apporter un regard neuf à vos enjeux.

2. 03

   Tenez-vous compte de la nature interdépendante des risques émergents lorsque vous élaborez des plans qui répondent à vos préoccupations majeures ?

   Les cadres traditionnels d’évaluation des risques utilisent fréquemment des méthodes et des techniques statistiques pour identifier et isoler les tendances historiques dans le déclenchement, l’ampleur ou la fréquence d’un danger particulier. Bien que cela permette d’appréhender le risque un par un, cela ne permet pas d’appréhender de manière adéquate le risque associé à la connectivité entre les risques, qu’il s’agisse de risques co-occurrents, composés ou en cascade. Si un incident survient et dépasse la capacité de résistance de l’organisation, il s’agit d’un risque individuel avec de nombreux contrôles et scénarios étroitement définis. Il s’agit généralement de risques interconnectés ou de scénarios qui dépassent l’imagination.

   Action : mettre en place une approche structurée pour prendre en compte l’interconnectivité entre les risques pour partager la compréhension entre les parties prenantes. Les registres ont leur place, mais challenger ses perspectives peut avoir une vraie valeur ajoutée : ici nous avons demandé aux personnes interrogées d’indiquer les trois principales combinaisons de risques qui les préoccupent parmi une liste des 25 principaux risques (Graphique 1). Cette approche peut être utilisée pour faire émerger des connexions peu ou pas visibles, en encourageant la collaboration entre les fonctions de l’entreprise. Grâce à une méthode flexible et duplicable, l’entreprise acquiert une meilleure connaissance des connexions complexes entre les risques.

Graphique 1. Interconnectivité difficile

Source : Enquête sur les risques émergents WTW 2021

Interconnectivité difficile

• Défaillance d’un grand établissement financier Changements démographiques / longévité.
• Culture de l’espace de travail numérique
• Manque d’innovation
• Culture de la cybersécurité
• Incertitude réglementaire
• Effondrement de la valeur des hypothèques côtières
• Effondrement du prix des actifs
• Manque d’adaptation et d’atténuation
• Gestion / gouvernance des données
• Concurrence / technologie perturbatrice
• Retrait de la mondialisation
• Consommation de drogues divulgations des risques utilisation de restrictions sur l’usage de données
• Alimentation et obésité
• COVID-19 / incertitude à long terme
• Confiance dans la technologie
• Résistance antimicrobienne
• Perturbations de la supply chain / continuité
• Maladies infectieuses
• Bien-être
• Risques cyber / Cyber-entreprise int...
• Changement climatique

La prise en compte des risques émergents est essentielle pour une approche stratégique réellement efficace, qui apporte une valeur à long terme. Par conséquent, les organisations doivent s’assurer qu’elles accordent suffisamment d’attention aux risques émergents sous toutes leurs formes lorsqu’elles élaborent, améliorent et mettent en œuvre des cadres et des processus stratégiques.

Face au changement global, c’est le moment ou jamais de remettre en question votre approche des risques émergents. Êtes-vous prêt à faire face aux risques et aux opportunités qui se présentent ? Et êtes-vous prêt à saisir les opportunités ?

References

1. Covid-19, climate change, armed conflicts: world’s crises can lead to interconnected polycrisis. Return to article undo
2. The 100 largest companies in the world ranked by revenue in 2023. Return to article undo
3. The transformative role of AI for development data. Return to article undo
4. The Next Pandemic Could Come Soon and Be Deadlier. Return to article undo
5. Corporate foresight and its impact on firm performance: A longitudinal analysis. Return to article undo
6. Cost of a Data Breach Report 2023. Return to article undo
7. Cybersecurity Multi-Donor Trust Fund. Return to article undo
8. Generative AI to Become a $1.3 Trillion Market by 2032, Research Finds. Return to article undo
9. Natural Catastrophe Review July - December 2023. Return to article undo
10. All the Elections Around the World in 2024. Return to article undo

Auteurs

---

Jennifer Caldarella

Corporate Risk & Broking, Managing Director & Leader, Global Large Account Strategy

email e-mail

---

Lucy Stanbrough

Head of Emerging Risks and Business Engagement

email e-mail

---