Léopold Larios de Pina, responsable de la gestion des risques de Mazars, revient sur son positionnement au sein du groupe et nous expose son approche de la résilience de l’entreprise, notamment face aux menaces cyber.

Décideurs. Le risque cyber figure au premier rang des préoccupations des grandes entreprises. De quels moyens dispose le risk manager pour faire face à cette menace grandissante et insaisissable ?

Léopold Larios de Pina. Le risque cyber fait définitivement partie des grands enjeux auxquels doivent faire face toutes les organisations aujourd’hui. Ce risque est d’abord de la responsabilité de l’IT, « risk owner » qui doit l’identifier et le réduire. Le risk management va compléter cette ligne de défense à la fois pour apporter un second avis, pour challenger l’IT d’un point de vue de la méthode, et pour rechercher des couvertures d’assurance si cela n’est pas déjà fait. D’où la transversalité du risk manager qui ne peut gérer seul tous les risques, et notamment celui cyber. La particularité du risque cyber c’est d’être l’une des rares menaces pouvant aussi bien porter atteinte à la réputation qu’au cœur d’activité de l’entreprise. Il a également la capacité de bloquer complètement une organisation, tout comme la pandémie de Covid-19 le démontre. D’ailleurs, ce confinement extraordinaire a forcé toutes les organisations à tester la continuité de leur activité qui s’appuie sur l’IT, surtout dans le secteur des services.

La responsabilité de la résilience de l’entreprise incombe-t-elle uniquement au risk manager ?

Le rôle du risk manager consiste à, entre autres, prévenir les risques qui peuvent peser sur l’organisation et ses activités. En pratique, le risk manager intervient pour faciliter la prise de décisions stratégiques. Mais ce sont les dirigeants de l’entreprise qui portent la responsabilité de la résilience. Ce sont eux les principaux risk managers puisqu’ils décident quels moyens seront mis en œuvre pour lutter contre les menaces auxquelles la société est confrontée. C’est le dirigeant qui décide ou pas d’investir dans un nouveau projet, une nouvelle géographie, céder un actif…

« Nous ne sommes que des facilitateurs pour la prise de décision »

Le marché de la cyber-assurance est en pleine structuration. Pensez-vous que ce que proposent les assureurs soit adapté aux besoins des entreprises ? 

L’observatoire des primes d’assurance pour l’Amrae, dont j’ai la charge, publie tous les ans un document synthétique qui donne une bonne visibilité du marché de l’assurance. Cette année, nous avons constaté un retournement de marché complet. Dans un tel contexte, et face à une sinistralité importante, l’appétit des assureurs à couvrir le risque cyber s’est réduit. Pourtant, le retournement de marché permet une augmentation des primes et des franchises. Du côté de la demande, de plus en plus d’entreprises souhaitent souscrire une cyber-assurance. Heureusement, dans les faits, certaines entreprises arrivent à obtenir des garanties acceptables lorsqu’elles sont en mesure de fournir des données précises à leurs assureurs. Il convient de souligner la maturité des entreprises face à cette problématique. Nous attendons maintenant que la Fédération française de l’assurance (FFA) mette en place une ligne spécifique dédiée au risque cyber, ce qui traduira une maturité de cette branche cyber.

Vous êtes vice-président de l’Amrae en charge de la formation. Pouvez-vous nous en dire plus ? 

L’Amrae propose une série de trois formations destinées à des professionnels parmi lesquels des auditeurs, des assureurs et des juristes. La première, appelée Cefar, est diplômante et confère un niveau master reconnu par l’État. Cette certification bénéficie également d’un équivalent au titre européen de risk manager (le Rimap). Ensuite, nous proposons un second bloc de formation qui confère le titre d’associate in risk management (ARM) en partenariat avec l’organisme américain de référence en la matière, The institutes. Ce programme est principalement orienté vers les problématiques assurantielles. Enfin, nous animons des stages thématiques sur mesure pour accompagner les entreprises dans les besoins de professionnalisation de leurs équipes sur les métiers du risque. Le risk manager doit en permanence apprendre pour maintenir sa compréhension des enjeux et des risques de demain.

Propos recueillis par Yannick Tayoro

Prochains rendez-vous

02 octobre 2024
Sommet du Droit en Entreprise
La rencontre des juristes d'entreprise
DÉJEUNER ● CONFÉRENCES ● DÎNER ● REMISE DE PRIX

Voir le site »

02 octobre 2024
Rencontres du Droit Social
Le rendez-vous des acteurs du Droit social
CONFÉRENCES ● DÉJEUNER  

Voir le site »

Newsletter Flash

Pour recevoir la newsletter du Magazine Décideurs, merci de renseigner votre mail

{emailcloak=off}

GUIDE ET CLASSEMENTS

> Guide 2025