Intégrer la gestion des risques cyber dans l'ERM (Enterprise Risk Management)

L'évolution de l'ERM et sa convergence avec la gestion des risques cyber

Les origines et le concept de gestion intégrée

Le concept de gestion intégrée des risques a commencé à prendre forme au début des années 1990. James Lam, largement reconnu comme le tout premier Chief Risk Officer (CRO) et pionnier de l'ERM, a introduit l'idée de "gestion des risques à l'échelle de l'entreprise". Sa vision est née du constat que gérer les risques dans des silos isolés — crédit, marché, risques opérationnels — était inefficace et souvent trompeur. Il a plutôt défendu une approche holistique où les risques sont gérés de manière intégrée, utilisant des outils comme le capital économique pour traiter les interdépendances de manière cohérente à travers l'entreprise. Cela a posé les bases de ce que nous appelons aujourd’hui l’Enterprise Risk Management (ERM).

Formalisation et standardisation industrielle de la gestion des risques

Le livre de Lam publié en 2003, Enterprise Risk Management: From Incentives to Controls, est devenu une pierre angulaire dans la formalisation de la gestion des risques d'entreprise et l'adoption par les entreprises. Dans cet ouvrage, Lam a prédit plusieurs tendances clés qui se sont depuis matérialisées :

• L'ERM comme standard de l'industrie : Aujourd'hui, la majorité des grandes entreprises cotées avec des revenus dépassant 1 milliard de dollars ont mis en place des programmes ERM.

• L'essor du rôle de CRO : Toutes les industries ont adopté le rôle de Chief Risk Officer, en plus des institutions financières.

• L'institutionnalisation de la formation aux risques : La gestion des risques fait désormais partie des programmes de formation d'entreprise, développant la sensibilisation et l'expertise dans toute l'organisation.

Une attention renforcée des conseils et un périmètre élargie

Au cours des deux dernières décennies, les conseils d'administration ont connu un changement radical dans leur approche de la supervision des risques. Autrefois reléguées au second plan, les discussions sur les risques occupent maintenant une place centrale. Les administrateurs considèrent de plus en plus l'ERM comme un mécanisme essentiel pour influencer la prise de décision stratégique et protéger la création de valeur à long terme.

Le périmètre de l'ERM s'est également considérablement élargi, couvrant désormais :

• La gouvernance et la supervision au niveau du conseil d'administration

• Les risques stratégiques

• La cybersécurité

• Les risques disruptifs et existentiels

Comprendre le risque comme un éventail de possibilités

Le risque se comprend mieux non pas comme un résultat unique mais comme un éventail de résultats potentiels, chacun avec sa propre probabilité et son impact.

Cette perspective reflète la méthodologie FAIR, où le risque est défini comme la fréquence et l'amplitude probables de pertes futures. Dans cette optique, l'objectif de la gestion des risques n'est pas d'éliminer le risque, mais de réduire l'incertitude et de permettre une meilleure prise de décision.

Principes clés

• La prise de risque est essentielle : Toute entreprise doit prendre des risques pour survivre et croître. La question n'est pas s'il faut en prende mais lesquels prendre et dans quelle mesure.

• Vision équilibrée des opportunités et des menaces : Si le risque peut entraîner des pertes, il est aussi source d'innovation, de croissance et d'avantage concurrentiel.

• Focus sur la variabilité, pas sur les absolus : Mesurer et gérer la distribution des résultats, particulièrement les risques extrêmes inattendus, crée de la stabilité et soutient la création de valeur à long terme.

La nature interconnectée des risques

Les risques cyber, opérationnels, financiers, de conformité et juridiques sont profondément interconnectés, et les traiter en silos expose les organisations. Une approche ERM moderne met en évidence comment ces catégories de risques convergent et pourquoi les conseils d'administration doivent les traiter ensemble.

Pourquoi les interdépendances sont importantes

Il n'est plus pertinent de gérer la cybersécurité séparément des autres risques d'entreprise. Les interdépendances sont partout :

• Perturbation opérationnelle : Un incident cyber peut impacter les systèmes critiques, les chaînes d'approvisionnement et endommager la confiance des clients.

• Impact financier : Les violations ou défaillances de conformité se traduisent directement en coûts financiers : amendes réglementaires, litiges, volatilité du cours de l'action ou perte de revenus.

• Retombées sur la réputation : Clients, partenaires et régulateurs perçoivent les défaillances de manière globale. Même si la cause première est technique, elles sont interprétées comme un échec de gouvernance et de culture.

• Exposition légale et de conformité : Un incident cyber peut rapidement s'intensifier, nécessitant des déclarations réglementaires.

• Arbitrages stratégiques : Les décisions dans un domaine peuvent réduire certains coûts opérationnels tout en introduisant de nouvelles dépendances cyber et risques tiers.

Inefficacités et angles morts

Quand le risque cyber est géré en silo sans considération des autres risques d'entreprise, des inefficacités et des angles morts émergent inévitablement. Par exemple, des contrôles redondants peuvent entraîner un gaspillage de ressources, tandis qu’un manque de cohérence entre la planification cyber et opérationnelle peut laisser les organisations insuffisamment préparées.

ERM et cyber : l'argument pour la quantification

L'Enterprise Risk Management s'est toujours appuyé sur la quantification pour rendre les décisions de risque cohérentes à travers l'entreprise. Des modèles tels que le capital économique ont été conçus pour répartir les ressources entre différents types de risques de manière comparable, permettant aux dirigeants de décider où allouer le capital et quel niveau de risque accepter.

Dans de nombreuses grandes organisations, le cyber est encore géré avec des cartographies de chaleur ou des listes de contrôle ne servant qu'à cocher des cases de conformité. Elles paraissent claires dans un rapport, mais n’apportent pas d’éléments pour soutenir des décisions solides. Elles ne permettent ni de comparer les résultats à l’échelle de l’entreprise, ni de déterminer les priorités d’action.

La quantification des risques cyber

La Quantification des Risques Cyber (CRQ) et le standard Open FAIR modélisent et mesurent les risques cyber et technologiques en termes financiers, utilisant le même type de distributions de probabilité appliqué aux risques de marché, de crédit et opérationnels. La CRQ traduit l'incertitude dans un langage que les dirigeants comprennent déjà. Cela rend le risque cyber directement comparable au sein de l'ERM, permettant des décisions plus cohérentes sur l'investissement, la priorisation et l'appétit pour le risque.

Pourquoi la quantification est importante

• Intégration : Le cyber peut être évalué aux côtés des risques financiers, opérationnels et stratégiques dans les mêmes termes

• Prise de décision : Les KRI et KPI guident les décisions d'investissement, d'assurance et d'appétit pour le risque

• Création de valeur : L’analyse fondée sur les données et les risques permet aux organisations de saisir les opportunités numériques, à condition que le rendement attendu compense le niveau de risque.

En incluant le risque cyber dans l'ERM, les organisations passent de jugements subjectifs à une stratégie guidée par les données. Cette intégration permet aux dirigeants de réaliser des arbitrages en toute confiance, garantissant que le risque cyber n'est pas seulement géré, mais exploité pour créer de la valeur.  

Alignement méthodologique et référentiels communs

L'un des plus grands obstacles à l'intégration du cyber dans l'Enterprise Risk Management est la fragmentation des méthodologies. Les équipes utilisent souvent des cadres, des terminologies et des formats de reporting différents. Cela peut conduire à des doublons, à des interprétations erronées des rapports ou à l’apparition d’angles morts. Pour surmonter cela, les organisations doivent mesurer et gérer le risque cyber en utilisant le même langage, les mêmes métriques et le même cycle de gouvernance que les autres risques d'entreprise.

Référentiels de cybersécurité

La cybersécurité dispose d'un riche écosystème de référentiels, chacun servant un objectif différent. Le NIST Cybersecurity Framework (CSF) et l'ISO/IEC 27005 sont largement utilisés par les DSI et RSSI comme guides opérationnels. Ils fournissent des approches structurées pour les contrôles, processus et gestion quotidienne des risques de sécurité de l'information. Ces référentiels sont inestimables pour les praticiens, mais ils ne répondent pas à la question qui préoccupe le plus les conseils d'administration et les dirigeants : quel est notre niveau de risque, et qu'est-ce que cela signifie en termes métier ?

C'est là que FAIR apporte une valeur critique. FAIR complète les référentiels opérationnels en traduisant l'exposition cyber en termes financiers. Il s'aligne avec des standards comme NIST CSF et ISO 27005, créant un cadre analytique commun qui permet de mesurer, comparer et communiquer le risque cyber aux côtés d'autres risques d'entreprise. Grâce à FAIR, les responsables de la sécurité peuvent soumettre aux dirigeants et aux conseils d’administration des recommandations décisionnelles appuyées sur une base financière solide.

Au niveau de l'entreprise, les référentiels ISO 31000 et COSO ERM définissent les structures de gouvernance dans lesquelles toutes les catégories de risques — financiers, opérationnels, stratégiques et cyber — doivent s'inscrire. Ils établissent des principes pour l'appétit pour le risque, le reporting et l'alignement avec la stratégie.

Une fois harmonisés, ces référentiels fonctionnent ensemble :

• NIST CSF / ISO 27005 pour la gestion opérationnelle des risques de cybersécurité

• FAIR pour la quantification analytique en termes financiers

• ISO 31000 / COSO ERM pour la gouvernance à l'échelle de l'entreprise et l'intégration stratégique

Outils partagés pour la gestion des risques cyber

Tout aussi important est l'utilisation d'un outil commun pour gérer le risque digital. Une plateforme unifiée de gestion des risques cyber pour soutenir la gestion des risques tiers, les risques de conformité, les nouvelles initiatives, les fusions et acquisitions, etc.

• Métriques et référentiels partagés qui éliminent la duplication et assurent un enregistrement cohérent des expositions et incidents

• Tableaux de bord consolidés qui intègrent les risques cyber dans la vue ERM globale, donnant aux administrateurs une image claire des vulnérabilités, contrôles et tendances

Le recours à des métriques partagées garantit que les risques cyber demeurent intégrés à la gestion globale des risques, permettant aux dirigeants de mieux arbitrer leurs decisions.

Adopter une approche centrée sur la valeur cyber peut conduire à des décisions business-justifiées, comme accepter une exposition accrue au risque cyber pour le lancement d’un produit ou service innovant, lorsque le bénéfice attendu dépasse clairement le risque et reste dans les limites de l’appétit pour le risque.

Étapes pratiques pour l'intégration du risque cyber

Le parcours d’une cybersécurité en silo vers une valeur cyber intégrée ne se fait pas du jour au lendemain. Les organisations qui intègrent avec succès le risque cyber dans leurs programmes ERM tendent à suivre un chemin délibéré :

• ‍Commencer par l'alignement du leadership 

L'intégration commence au sommet. Les dirigeants et les administrateurs doivent partager une compréhension commune du risque cyber en tant qu’élément de la stratégie d’entreprise. Cela signifie dépasser les récits alarmistes sur les hackers et les violations pour aller vers des discussions cadrées en termes de tolérance au risque, d'arbitrages d'investissement et de création de valeur. Lorsque la direction générale et le conseil d’administration abordent le risque cyber dans le même langage que les risques de marché, de crédit ou opérationnels, son intégration à l’ERM devient naturelle plutôt que contrainte.

• ‍Développer la capacité de quantification 

Ce qui ne peut être mesuré en termes métier ne peut être géré efficacement. Développer des capacités de quantification des risques cyber nécessite des investissements dans les outils, mais aussi dans les personnes. Les professionnels du risque doivent apprendre à appliquer des méthodes quantitatives aux scénarios cyber, tandis que les équipes de cybersécurité développent leur expertise en modélisation des risques. L’objectif est de bâtir une base analytique commune reliant les aspects techniques à leurs impacts financiers et stratégiques.

• ‍Établir un rythme de reporting régulier 

Le risque cyber doit suivre la même cadence et structure que les autres risques d'entreprise. Cela passe par des rapports périodiques au conseil d’administration fondés sur des métriques cohérentes, leur intégration dans les cycles de planification stratégique et un alignement explicite avec les déclarations d’appétit pour le risque d’entreprise. Un reporting régulier et harmonisé garantit que le risque cyber est évalué au même niveau que les autres risques.

• ‍Éduquer les collaborateurs pour reconnaître leur rôle 

Enfin, l'intégration repose en effet sur l’ensemble des employés, dont les décisions quotidiennes, la conception des processus et les initiatives stratégiques influencent directement la posture cyber de l’organisation.La formation doit aider les collaborateurs à comprendre comment leurs actions affectent à la fois le risque et la création de valeur. En inscrivant cette conscience dans la culture, la gestion des risques cyber devient une responsabilité partagée, alignée sur les objectifs de l’entreprise.

De la cybersécurité à la valeur cyber : une progression mesurée

La transition de la cybersécurité vers le risque cyber, puis vers la valeur cyber, illustre l’évolution naturelle de la manière dont les organisations appréhendent le risque numérique. Au lieu de traiter l'exposition cyber comme quelque chose à éviter à tout prix, les dirigeants commencent à la voir comme un facteur stratégique qui peut être mesuré, géré et équilibré face aux opportunités. En appliquant des méthodes basées sur les données pour réduire l'incertitude, les entreprises obtiennent une vision plus claire des arbitrages, renforcent leur résilience et prennent des décisions mieux informées qui soutiennent à la fois la protection et la croissance.

Bénéfices concrets de l'intégration ERM

Quand le risque cyber devient partie du cadre ERM, des bénéfices concrets émergent :

• Optimisation des ressources : Les organisations peuvent allouer les investissements de sécurité basés sur la réduction réelle du risque.

• Amélioration de la prise de décision : Les discussions du conseil d'administration et des dirigeants passent des vulnérabilités techniques aux impacts métier.

• Efficacité opérationnelle : Les référentiels communs et métriques partagées éliminent les évaluations en double et les notations de risque contradictoires.

Vers une vision unifiée du risque

Il n’existe pas de seuil de maturité unique pour commencer à intégrer le risque cyber dans l’Enterprise Risk Management. Les organisations disposant déjà de programmes ERM peuvent élargir leurs structures de gouvernance et leurs cadres d’appétit pour le risque afin d’y inclure le cyber comme une catégorie à part entière. Celles qui en sont à un stade plus précoce peuvent, au contraire, s’appuyer sur le risque cyber comme point de départ pour formaliser des processus de gestion des risques plus globaux, compte tenu de son impact métier évident et de l’attention qu’il suscite au niveau du conseil. De même, les entreprises disposant de fonctions de cybersécurité avancées mais d’une intégration ERM limitée peuvent amorcer la convergence en traduisant les mesures techniques en indicateurs business, par exemple en exprimant la performance du patching en termes d’exposition financière.

L'intégration est efficace quand elle est adoptée progressivement. Un projet pilote centré sur la quantification d’un scénario cyber unique, une preuve de concept limitée à une unité métier, ou encore l’alignement du risque tiers entre les fonctions cyber et opérationnelles peuvent démontrer concrètement la valeur d’intégrer le cyber dans l’écosystème ERM.

Les référentiels largement adoptés soutiennent ce processus : FAIR pour la quantification, NIST pour la gestion opérationnelle, et ISO 31000 ou COSO pour la gouvernance d'entreprise. Ces outils sont conçus pour se compléter et s’intégrer de façon progressive, plutôt que d’être déployés simultanément, afin de permettre une mise en place étape par étape. Il en résulte une vision du risque plus cohérente et comparable entre les différentes catégories, favorisant un reporting plus clair et des décisions mieux éclairées.