Raphaëlle Duchemin : Bienvenue dans Décryptages ! Ce podcast, c'est à vous, chef d'entreprise, qu'il est d'abord destiné. Que vous soyez à la tête d'une PME ou d'une ETI, quel que soit votre business et la taille de votre société, elle est de près ou de loin secouée par les transformations actuelles. Le monde change, les modèles aussi. Alors, pour vous aider à garder une longueur d'avance et vous permettre de vous réinventer, nous vous ouvrons la boîte à outils de PwC. Je suis Raphaëlle Duchemin et je vais recevoir des experts de PwC France et Maghreb. Ensemble, nous allons aborder les sujets qui impactent l'entreprise et qui lui demandent toujours plus d'agilité pour s'adapter et imaginer de nouvelles stratégies.
Raphaëlle Duchemin : Bonjour Rami Feghali !
Rami Feghali : Bonjour !
Raphaëlle Duchemin : Merci d'être avec nous. Vous êtes Associé, responsable de l'activité gestion des risques et réglementations chez PwC France et Maghreb. Le risque, on le met au pluriel ou au singulier ? Aujourd'hui, j'ai envie de dire plutôt au pluriel, non ?
Rami Feghali : Il a toujours été au pluriel, mais il s'est un peu développé récemment. D'ailleurs, on n'entend pas une seule conversation aujourd'hui, où il n'y a pas le mot risque qui apparaît.
Raphaëlle Duchemin : Quelle est votre définition du risque ?
Rami Feghali : Un risque est une opportunité. Le risque, c'est globalement que quelque chose se passe mal, c'est simple. Une fois qu'on a dit ça, il faut ensuite arriver à l'identifier, le suivre, le déterminer, l'anticiper, l'intégrer dans les projets de développement. C'est là où il y a tout le challenge.
Raphaëlle Duchemin : Justement dans les épisodes précédents, un chiffre est revenu, celui du nombre de dirigeants français qui pensent que leur entreprise ne survivra pas au-delà de 10 ans si elle ne se transforme pas : 6 sur 10 dans la CEO Survey. Je crois que c'est la première des peurs : le risque de disparaître, l'avenir incertain.
Rami Feghali : C'est ça qui est assez fondamentalement différent d'il y a 10 ans, parce qu'on n'avait pas ce type de réaction des CEO.
Raphaëlle Duchemin : La prise de conscience ?
Rami Feghali : La prise de conscience qu'on peut disparaître.
Raphaëlle Duchemin : Si vous le voulez bien, on va prendre ces risques un par un. Premier des risques : le risque cyber qui entre dans la catégorie de ce que vous appelez, les risques digitaux. Il apparaît tout en haut de la liste pour les patrons, dans la CEO Survey, parce qu'il y a cette fameuse prise de conscience qu'une faille dans le système peut désormais mettre à mal l'entreprise et même durablement.
Rami Feghali : Durablement et de manière significative. Je connais un dirigeant d'entreprise qui à cause du risque cyber a eu un mois d'arrêt d'activité. Il a fallu tout refaire à la main, appeler les clients et leur expliquer. Donc, on voit à peu près l'impact que ça peut avoir sur le business. On peut disparaître à cause de ça, on peut avoir des clients qui disent : « Finalement, non. Vous n'êtes pas capable de vous protéger, de protéger mes données, de me donner un service. Donc, je ne vais plus travailler avec vous. » Plus on va, plus ce risque augmente, parce qu'on digitalise l'économie. Le risque cyber, il y en a partout. On va utiliser le Cloud, donc ce risque augmente, il ne peut être que croissant.
Raphaëlle Duchemin : Ces attaques qui peuvent, et vous l'avez très bien expliqué, obérer une capacité de production, détruire une e-réputation, par exemple, elles viennent souvent de l'étranger. Vous voyez probablement où je veux en venir, parce que ça nous conduit au deuxième risque. Il suffit d'ouvrir la télé, la radio ou les journaux pour comprendre que le contexte géopolitique est instable, et que ça devient aussi un risque à prendre en considération.
Rami Feghali : C'est d'autant plus intéressant. Le risque cyber et le risque financier existent dans les entreprises en termes d'analyse. Le risque géopolitique, c'est un peu nouveau. Jusqu'à maintenant, les entreprises optimisaient leur chaîne d'approvisionnement. Donc, qu'on ait quelque chose qui vienne d'une partie du monde, qui soit plutôt efficace en termes de coût ou de production, c'était quelque chose qui était poursuivi.
Rami Feghali : On n'avait pas intégré dès le départ le fait qu'il pouvait se passer quelque chose et du coup, revoir les chaînes d'approvisionnement. Peut-être que si demain, il se passe quelque chose entre Taïwan et la Chine, il y aura des problèmes avec les approvisionnements à Taïwan, et cetera.
Raphaëlle Duchemin : Ça veut dire que ce risque-là, non seulement il est nouveau, ou en tout cas, on a pris conscience qu'il fallait faire avec, mais en plus, il est mouvant.
Rami Feghali : Il est mouvant. Là, on est dans le cœur du risque, on est dans le cœur de l'aléa. Là où dans le passé, ça pourrait être un peu plus prévisible, on avait des choses qui se passaient, on avait le temps de vérifier. On voyait à peu près la direction dans laquelle on allait aller. Là, ce n'est pas le cas. Demain, il peut y avoir une crise qui peut venir de tel ou tel endroit dans le monde, et ça aura des répercussions sur l'entreprise directement, ce qui n'était pas le cas avant.
Raphaëlle Duchemin : Vous avez évoqué le climat. Vous avez identifié ça dans ce qu'on appelle la catégorie ESG, le sujet ESG, parce que les changements qu'elle impose peuvent entraîner, là encore, un risque de disparition pour certaines entreprises. Là aussi, ça n'était pas le cas avant, ce n'était même pas dans la colonne vertébrale de certaines entreprises.
Rami Feghali : Ce n'était même pas dans les analyses de risques de certaines entreprises. Là maintenant, il est intégré, il est un peu plus prospectif. On sait qu'il est là, on le voit. Il y a des changements climatiques qu'on peut observer. On sait qu'il y a une décarbonation qui est en cours. En revanche, il y a beaucoup d'aléas là-dessus. C'est là où il faut faire des scénarios, parce que la décarbonation va dépendre des clients, des compétiteurs, des réglementations.
Raphaëlle Duchemin : Des fournisseurs aussi, parfois.
Rami Feghali : Des fournisseurs. Là, on a quand même énormément d'incertitude. On sait qu'il faut agir, on sait qu'il va y avoir un changement majeur pour les entreprises, en termes de processus de production, sur la décarbonation. En revanche, le timing est clé, c'est la décarbonation, le net zéro, c'est d'ici à 2050. On a 26 ans devant nous pour faire la décarbonation, mais 26 ans, c'est long. On commence quand ? Maintenant ? Dans deux ou trois ans ? Quelle technologie ? Tout ça, c'est du risque.
Raphaëlle Duchemin : Vous avez évoqué, et ça recoupe les trois risques précédents : le risque normatif, 850 normes supplémentaires, je crois, entre 2017 et 2022 au niveau européen. Ça va dans le bon sens, parce qu'on essaye de faire changer les choses, mais parfois ça peut être contreproductif.
Rami Feghali : Vous avez mentionné la CEO Survey, il est indiqué que les normes et la réglementation peuvent être un frein, mais il est aussi indiqué que c'est un vecteur de transformation. Ce sont les deux. Dans un monde mouvant, tel qu'on est en termes de digitalisation, de transformation numérique, de climat, on voit qu'on ne peut pas faire sans réglementation. La réglementation arrive, elle est plutôt protectrice de ce point de vue. Après, il faut qu'elle soit bien maîtrisée au niveau des autorités publiques, l'Europe en particulier. Quand il y en a trop, on n'avance plus, on ne sait pas où on veut aller. Si elle est mal expliquée, et si on ne fait pas attention à l'impact que ça a en termes d'accompagnement, ça n'avancera pas.
Rami Feghali : Du point de vue des entreprises, c'est un challenge, parce qu'elle est là, il faut faire avec. Il faut pouvoir la décrypter, la rendre aussi opérationnelle que possible, l'intégrer. En revanche, c'est un vecteur de transformation parce que l'avantage de la réglementation, c'est qu'elle va obliger tout le monde à se mobiliser sur tel ou tel sujet. La résilience, c'est un vrai risque, un vrai sujet, donc la réglementation pousse à la résilience. Donc, les entreprises doivent mettre en place la réglementation. Attention ! Il ne faut pas juste se dire : je vais être conforme et assurer que je réponds à tous les sous-chapitres de la réglementation, mais réfléchir à ce que ça veut dire en termes de risque et de résilience, et mettre en place des projets qui permettent de les résoudre. C'est là où la réglementation peut être un frein et aussi un levier.
Raphaëlle Duchemin : Une fois l'ennemi cerné, son profil identifié, ses troupes comptées et ses plans imaginés, on peut en quelque sorte préparer la parade. S'il faut se battre sur plusieurs fronts, cela demande un plan de bataille et des armes efficaces pour livrer combat.
Raphaëlle Duchemin : Rami Feghali, j'ai filé la métaphore militaire, parce que c'est un peu ce qu'on va demander aujourd'hui et demain aux entreprises, avoir une vision à 360 de ce qui peut la cerner. Vous dites : « Le risque pour une entreprise, c'est de ne pas considérer le risque dans sa globalité. »
Rami Feghali : C'est vrai pour les entreprises comme pour nos sociétés. On a quand même des défis collectifs devant nous qui sont nouveaux. Collectifs et nouveaux en gestion des risques et en solution, c'est difficile à gérer. Donc, c'est technique. Il faut établir, créer la technicité nécessaire au sein des entreprises pour répondre à ces risques, que ce soit pour ce qu'on appelle les premières lignes, les métiers qui vont développer, ou les deuxièmes lignes, qui sont les professionnels de risques qui vont vérifier que la première ligne fait son travail.
Raphaëlle Duchemin : Il faut des spécialistes. On pense évidemment au CRO, le Chief Risk Officer, mais peut-être qu'il faut arrêter de penser qu'il est dans son couloir. Il faut l'associer, élargir son périmètre pour qu'il puisse peut-être lancer tout simplement les alertes quand elles se présentent.
Rami Feghali : Il y a deux dimensions clés pour un CRO. La première, c'est d'être au plus près et au cœur des métiers, là où se passe la transformation pour mettre la gestion des risques et les analyses de risques et les garde-fous au moment de la transformation. Lorsqu'on implémente un système, un move to cloud, on a intégré les sécurités, les contrôles de risques, les alertes, tout ce qui va devoir être construit au départ. Ensuite, c'est quelque chose que le CRO peut suivre, mais il faut être au cœur de l'activité. Si on est après la bataille, on ne pourra que constater qu'elle a été malmenée et ça sera peut-être trop tard.
Raphaëlle Duchemin : Vous parliez d'arriver après la bataille. Ça veut dire qu'il faut, quand on est une entreprise aujourd'hui, systématiquement avoir un plan B voire un plan C, si le risque potentiel survient, avoir déjà des réponses toutes prêtes ?
Rami Feghali : Je pense, oui. Le point de départ d'analyse, c'est de dire : je vais prendre des scénarios et je vais imaginer que je vais tomber. Une fois que je tombe, voilà ce que je vais faire. Rien que de se placer dans cette perspective « je vais tomber », je vais avoir un problème géopolitique à tel endroit. Qu'est-ce qui va se passer ? Ça m'oblige à penser aux solutions que je peux mettre en place. C'est là où par rapport à la direction des risques, on pouvait voir après la bataille dans sa tour d'ivoire, on est dans une dimension beaucoup plus stratégique et complète, avec une vision globale et très opérationnelle. Ça, c'est un changement assez important.
Raphaëlle Duchemin : Ça veut dire que ça demande au CEO aussi de dire à tous les étages de la fusée : « Il va falloir identifier les maillons faibles dans l'entreprise. »
Rami Feghali : Il faut faire ça. Juste pour peut-être donner à nouveau un aperçu de ce qui pourrait se passer jusqu'à maintenant, on a souvent vécu une gestion des risques réactive, c'est le concept de l'imagino. On a vu l'ancienne guerre, pour reprendre votre métaphore, on met en place des tranchées très technologiques et très bien organisées, et le risque vient d'un autre endroit. On vit comme ça, naturellement, dans les entreprises, dans le monde. Le niveau de changement est tellement rapide qu'il faut réfléchir différemment. Il faut penser au fait qu'il peut y avoir des chars qui peuvent passer par le petit couloir qui n'a pas été sécurisé.
Raphaëlle Duchemin : Il faut être dans l’anticipation.
Rami Feghali : Il faut être dans l’anticipation. Donc, ça veut dire qu'il faut équiper l'entreprise avec des capacités d'anticipation de scénarios. Il faut équiper l'entreprise avec des équipes qui peuvent à la fois traiter le sujet très technique du risque cyber à tel endroit, mais aussi être capable de le mettre dans le contexte global de l'entreprise des opérations, du business, et faire remonter cette dimension technique dans une dimension stratégique, à la fois en termes d'analyse et d'outils. C'est toute une organisation à mettre en place qui a tout son rôle dans la direction des risques. Ça devient, pour un chef d'entreprise, la fonction qui lui permet de prendre des risques.
Raphaëlle Duchemin : Cette émission s'appelle Décryptage, Rami Feghali. On a parlé d'un certain nombre de risques. Ces risques qui existent aujourd'hui, ils peuvent encore évoluer dans les années qui viennent. Il faut se préparer. Il faut que l'entreprise se prépare systématiquement à voir émerger de nouvelles difficultés qu'elle ne connaît pas ou qu'elle ne connaît pas encore.
Rami Feghali : Mon expérience, c'est que les catastrophes viennent toujours de choses qu'on n'a pas vues. Tout ce qu'on a vu, plus ou moins, on arrive à le gérer, parce qu'on est habitué. Donc, on ne se trompe pas, de se dire : « Je vais avoir un problème, est-ce que ce problème va me faire perdre un million ou deux millions d'euros ? » Ça va être un ou 10, ce n'est pas ça le sujet. En fait, c'est un truc qu'on n'a pas vu du tout qui va venir nous percuter, et c'est là qu'il va y avoir une catastrophe à la fois, parce qu'on n'est pas préparé. Évidemment, on n'est pas préparé à y répondre non plus, d'où ce concept de résilience. C'est là où l'anticipation, prévoir que quelque chose va mal se passer, et ensuite regarder les réponses qu'on peut apporter, va faire la différence.
Rami Feghali : Ce qui est nouveau, c'est qu'on pouvait vivre avec ça avant, parce qu'il n'y avait vraiment rien de grave. Après, on a eu des problèmes, des crises bancaires assez importantes qui ont abouti à des crises plus larges. Là, on n'est pas seulement dans les banques, on est partout. Le climat est partout, le risque digital et géopolitique est partout, donc on ne peut plus se permettre d'être réactif.
Raphaëlle Duchemin : La bonne nouvelle, c'est qu'on a des clés pour répondre à ces risques.
Rami Feghali : On les a, c'est plutôt un sujet de mobilisation collective.
Raphaëlle Duchemin : Merci beaucoup, Rami Feghali d'avoir été avec nous dans ce nouvel épisode de Décryptage. Vous nous retrouvez, comme l'ensemble de nos podcasts, sur pwc.fr.
