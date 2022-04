Si les assureurs entendent les appels des autorités de contrôle, on peut se demander s’ils les écoutent. C’est ce que semble penser Jean-Paul Faugère, vice-président de l’Autorité de contrôle prudentiel et de résolution (ACPR), qui insiste sur la nécessité pour le management et les conseils d’administration des entreprises d’assurance de prendre le risque cyber «très au sérieux».

A l’occasion d’une table ronde organisée pour la publication d’un guide sur la gouvernance des entreprises d’assurances, de l’Institut français des administrateurs (IFA), il a expliqué qu’«il ne serait pas absurde de considérer le responsable de la sécurité des systèmes d’information comme un quasi responsable d’une des fonctions clés du groupe». «Il faut que les compétences de sécurité des systèmes montent en valeur et en puissance aussi dans les conseils d’administration», a résumé Jean-Paul Faugère. L’ancien président du conseil d’administration de CNP Assurances a par ailleurs insisté sur la distinction entre président et directeur général, obligatoire dans la banque mais pas dans l’assurance, qui est une «une règle de bon fonctionnement». Il appelle les assureurs à leur responsabilité en la matière.

Ces derniers se montrent plus tempérés. Invitée à une table ronde quelques minutes plus tard, Patricia Lacoste, PDG du groupe Prévoir, a ainsi tenu à rappeler que ce n’était pas parce qu’elle occupait ce poste qu’elle était «une personne seule». Pour le risque cyber, «notre devoir est de nous y préparer le mieux possible mais il est aussi de ne pas s’illusionner sur le fait qu’une bonne préparation signifierait aucune attaque», a précisé Thierry Derez, président-directeur général du groupe Covéa, expliquant par exemple avoir dispensé des formations après l’attaque qui a touché MMA en 2020.

Alors que le changement climatique, les taux bas persistants, les risques nouveaux et la directive Solvabilité 2 ont largement participé à complexifier le rôle des administrateurs, l’évolution ne fait que commencer. «Le secteur des assurances est à un tournant, avec des décisions stratégiques fortes aux mains des administrateurs et un renforcement des besoins d’anticipation à la suite de la crise sanitaire», écrivent ainsi les auteurs du rapport de l’IFA, Nicole Gesret et Hervé Bouclier. Aussi, «la gouvernance doit évoluer également en prenant en compte ces nouveaux défis dans les réflexions stratégiques du conseil d’administration (ou de surveillance), dans son appétence au risque comme dans la conformité et le reporting réglementaire et extra-financier». «La montée générale des risques et leur recomposition interpellent», confirme Florence Lustman, la présidente de France Assureurs.

Pour la dirigeante, l’utilisation de l’Orsa – processus interne d’évaluation des risques et de la solvabilité par l’organisme (ou le groupe) – pourrait participer d’une meilleure appréhension de ces risques : «Il s’agit d’un superbe outil, qui projette la situation financière dans le futur sous des ‘scenarii’ différents. Mais le temps passé sur les sujets réglementaires laisse peu de temps pour l’utiliser (…). Il faut faire attention à ne pas être noyé sous les charges administratives.» «Je pense que cela renvoie la balle au management, qui doit donner du sens à chacune des présentations et ne pas en faire un formulaire qu’on coche sans avoir lu. Il faut donner du sens à ces actes obligés», abonde Jean-Paul Faugère.

Une chose est certaine : face à la complexification et à l’évolution des risques, la formation des administrateurs est un enjeu bien réel.