MPact » Article vedette

Prévision des risques : que réservent les prochaines années pour le milieu des affaires canadien?

Par Richard Arthurs

Leader national, Audit interne

Communiquez avec Richard

Puisque la COVID-19 représente de moins en moins une préoccupation majeure, les entreprises doivent se tourner vers l’avenir. Le prochain défi à surmonter n’est jamais bien loin. En acceptant que les risques soient une réalité, vous pouvez préparer votre organisation à affronter tout ce que l’avenir lui réserve.

[points de vue]

  • Les technologies numériques offrent des possibilités formidables, mais les organisations doivent évaluer d’un œil critique leur état de préparation et leurs capacités en interne sur le plan de la cybersécurité.

  • Les organisations font appel à des tiers qui peuvent améliorer leur efficacité. Les dirigeants doivent évaluer leurs contrats pour vérifier que leurs fournisseurs font le nécessaire pour réduire les risques.

  • Les problèmes de main-d’œuvre sont là pour durer. Les organisations doivent planifier à long terme, déterminer quelles fonctions sont névralgiques pour leurs activités et examiner les possibilités de développer les compétences de leur personnel existant.

Pandémie. Polarisation et instabilité politique. Conditions météorologiques extrêmes. Exigences de transparence, de responsabilisation et de solutions durables à l’échelle mondiale.

Sur une longue période, le risque de crise est inévitable. En revanche, quatre points de rupture marquant l’histoire en seulement 12 mois? Impensable.

Les événements de ces dernières années étaient imprévisibles, et personne ne sait ce qui nous attend au détour des suivantes. Les réflexions suivantes ont pour but d’explorer les possibilités qui s’offrent à nous dans le contexte de cette explosion de risques déclenchée par la pandémie, le progrès technologique, les changements de comportements, et par cette incertitude insidieuse face à l’avenir.

De nombreux dirigeants n’ont eu de cesse de le répéter cette année : il faut toujours apprendre d’une bonne crise. Il y a beaucoup à tirer des événements extrêmes. Des avertissements à prendre en note. Des erreurs à éviter. Des occasions à saisir pour faire mieux.

Que les tendances dont nous allons parler se réalisent ou pas, une chose est sûre : approcher les risques au cas par cas ne fonctionnera pas, d’autant plus que le monde se complexifie, se dynamise et devient de plus en plus instable. Heureusement, vous pouvez saisir les occasions qui s’offrent à vous, et apporter de la valeur aux organisations en comprenant comment naviguer les risques.

Cette sortie de pandémie pourrait bien faire les affaires des pirates informatiques, qu’ils se cachent dans votre organisation ou non

Les pirates informatiques prospèrent dans les situations et les changements extrêmes : les gens sont distraits, prennent des décisions basées sur des craintes et font d’autant plus d’erreurs. Les dirigeants, eux, drainent souvent des ressources assignées à des fonctions vitales, comme la sécurité et la surveillance, pour combattre des problèmes qui affectent leur organisation. Cette approche peut rapidement faire surgir des failles dans une posture de cybersécurité autrement très efficace.

Alors qu’une nouvelle phase de la pandémie s’annonce, il est important de comprendre que nous ne faisons que passer d’une période d’intenses changements à une autre. La situation restera très déstabilisante et dynamique, et risque, à bien des égards, d’être encore plus chaotique et difficile à naviguer.

Lors du retour au bureau, les organisations doivent partir du principe que les habitudes de sécurité concernant le verrouillage des appareils, la protection des mots de passe, l’impression de documents et le fait de discuter de sujets confidentiels sont parfois des souvenirs lointains pour les employés. Le travail hybride ou la poursuite du télétravail posera aussi des problèmes de ressources. En plus d’encadrer des procédures de sécurité plus complexes, les plans doivent prendre en compte les employés qui perdent leur motivation ou qui nourrissent de la rancune à cause des aménagements dont certains bénéficient. Ces phénomènes peuvent faire de la cybersécurité et de la confidentialité les plus grandes sources de risque.

Quelles questions se poser? Comment se positionner?

  • Votre organisation a-t-elle réévalué les risques de cybersécurité associés au retour en présentiel?
  • Quelles autres ressources seront nécessaires aux équipes de sécurité pour s’adapter à la charge de travail supplémentaire apportée par un mode de travail hybride?
  • Votre organisation a-t-elle mis à jour ses politiques et ses formations pour que ses équipes soient mieux préparées aux nouveaux risques? 

Gérer la dépendance aux tierces parties et les risques associés

L’avènement du nuage et du logiciel-service a révolutionné le paysage technologique. Les organisations de toutes tailles peuvent maintenant profiter de logiciels toujours à niveau, répartir leurs coûts sur l’année et y accéder de partout. Les économies d’échelle permettent aussi aux distributeurs de logiciels en ligne d’offrir une cybersécurité plus fiable. Cette tranquillité d’esprit n’est toutefois pas gratuite.

Avec l’essor des services infonuagiques et des logiciels-services, les organisations sont maintenant vulnérables aux attaques ciblant n’importe lequel de leurs fournisseurs. La moindre de ces intrusions pourrait impliquer la même procédure de signalement, la même perte de données confidentielles ou de propriété intellectuelle, et les mêmes répercussions sur le plan juridique et de la réputation que si l’organisation elle-même s’était fait pirater. Le cybercriminel pourrait aussi exploiter une faille d’un fournisseur pour accéder à n’importe lequel de ses clients.

La pandémie a déclenché une avalanche de transformations numériques au fur et à mesure que les organisations ont adapté leur modèle d’affaires, notamment à la nouvelle réalité du travail à distance. Compte tenu de la précipitation dans laquelle ces changements se sont déroulés, il est probable que de nombreux fournisseurs de logiciels-services n’aient pas adéquatement évalué les risques de préjudice aux tiers ni inclus dans leur contrat de clause de responsabilité en cas d’atteinte. Les dirigeants et les responsables de l’information doivent dorénavant en faire une priorité.

Quelles questions se poser? Comment se positionner?

Évaluez-vous bien le risque associé aux tierces parties? Vous devez constamment adapter vos méthodes à cet égard. Les approches ne sont pas les mêmes selon que votre organisation achète un produit de manière ponctuelle ou souscrit à un service à long terme pour atteindre ses objectifs. Dans les deux situations, l’analyse de données permet d’évaluer les risques, et la conclusion de contrats béton permet de les atténuer. Toutefois, plus votre organisation dépend du fournisseur ou de ses produits, plus l’évaluation des risques doit être approfondie.

Des technologies numériques qui se perfectionnent : risques et avantages

La transformation numérique se poursuit depuis des dizaines d’années, de l’apparition des premiers ordinateurs de bureau, d’Internet et des courriels aux outils sophistiqués d’aujourd’hui comme les procédures analytiques, le nuage informatique et l’apprentissage machine. De nombreuses organisations s’y sont naturellement adaptées au fur et à mesure. Par contre, tout le monde n’a pas été si diligent pour mettre à jour les cadres, politiques et programmes de formation par rapport aux exigences de compétences et aux nouveaux risques qui existent aujourd’hui.

Les technologies novatrices ne font pas que simplifier le travail et le rendre plus efficient. Elles redéfinissent carrément la nature de certains emplois. Des rôles qui n’existaient pas il y a 10 ans sont maintenant au cœur du succès de nombreuses organisations. De nouveaux postes ont été créés, mais beaucoup de nouvelles responsabilités ont aussi été assignées à des postes existants sans considération pour la nature unique et complexe des besoins auxquels elles répondent, ni des risques qui en découlent.

Dans un monde de changements technologiques, les dirigeants doivent prendre du recul et réévaluer entièrement la structure organisationnelle avec ses rôles, ses politiques, ses procédures et ses systèmes de vérification, comme s’il fallait tout créer à partir de rien avec l’optimisation stratégique en tête.

Quelles questions se poser? Comment se positionner?

  • Avez-vous évalué le risque pour les objectifs de l’organisation qu’entraîne le manque de compétences ou de formation des employés concernant les nouvelles technologies?
  • La gestion des changements apportés par la transformation numérique a-t-elle été évaluée?
  • Les dirigeants ont-ils évalué toutes les politiques, les procédures, les documents de vérification et les formations qui pourraient être obsolètes en raison de cette transformation?

La chasse aux talents – pensez aux besoins futurs

Les organisations sont en recherche permanente de ressources compétentes et de jeunes diplômés. Malheureusement, ces derniers manquent parfois de formation, et ceux qui n’en manquent pas sont déjà pris.

Les organisations ont dû miser gros sur la transformation numérique pour survivre et s’adapter à ce nouveau climat. Faire machine arrière est impossible. D’ailleurs, il leur faudra probablement accélérer dans cette voie, car elle se montre de plus en plus prometteuse. La demande pour des employés formés, à l’aise avec les nouvelles technologies et capables de comprendre ce que l’avenir nous réserve dépasse l’offre, et de loin.

Et ce phénomène pourrait durer. Même les universités, véritables bastions d’innovation, ont du mal à suivre la cadence imposée par l’automatisation, la numérisation, l’intelligence artificielle et l’apprentissage machine. Même si cela changeait, il faudrait attendre des années avant de voir sortir de nouveaux diplômés répondant aux plus hautes exigences du marché.

Il reviendra aux organisations d’accompagner leurs employés dans l’acquisition de nouvelles compétences au fur et à mesure que les occasions se présentent. Certaines grandes organisations tentent déjà d’offrir à leurs employés la formation continue et la structure nécessaires à leur perfectionnement en mettant sur pied leur propre mini-université.

Au-delà des coûts considérables engagés, cette approche soulève tout de même des questions concernant l’équilibre entre formation et productivité. De plus, les organisations doivent prendre en compte le risque qu’un employé, après avoir été formé, parte chez la concurrence ou change radicalement de trajectoire pour échapper à une vie de formation constante.

Quelles questions se poser? Comment se positionner?

  • Avez-vous mesuré le temps moyen qu’il vous faut pour pourvoir les postes névralgiques?
  • Certains de ces postes sont-ils de plus en plus difficiles à pourvoir? Si oui, quels risques cela implique-t-il?
  • Sur quelles compétences votre équipe doit-elle se pencher pour évaluer adéquatement les risques associés dans les années à venir? Ces compétences sont-elles en forte demande? D’ailleurs, est-ce qu’il y a de l’offre?
  • De quelle façon comptez-vous recruter, perfectionner et retenir ces talents face à la concurrence?

La grande démission des millénariaux et le départ à la retraite des baby boomers

Alors que les Canadiens retournent au bureau, de nombreux experts du travail anticipent la plus grande vague de démissions jamais vue. Les craintes engendrées par la pandémie, les mois de travail à distance et la véritable métamorphose des descriptions de poste au cours des deux dernières années ont donné matière à réflexion aux employés. De nombreuses personnes dans la vingtaine ou la trentaine y voient une occasion de prendre un nouveau départ et de changer d’employeur, de secteur, voire de profession.

Un changement de cette ampleur n’aurait pas pu tomber plus mal. En effet, les entreprises canadiennes souffraient déjà d’un roulement de personnel sans précédent en raison des départs à la retraite des baby-boomers, une tendance qui pourrait d’ailleurs s’accélérer. Les baby-boomers les plus jeunes ont environ 55 ans – un âge auquel ceux qui ont tiré leur épingle du jeu se demandent s’il en vaut la chandelle : faut-il sacrifier le temps passé avec la famille et la poursuite de rêves trop longtemps laissés de côté, tout ça pour faire du neuf à cinq? Beaucoup répondront « non ».

Comme les plus susceptibles de partir sont les millénariaux et les baby-boomers, les organisations font face à un casse-tête : les premiers possèdent les compétences et la compréhension nécessaires pour naviguer dans la transition technologique, tandis que les autres occupent des postes de direction, siègent aux conseils d’administration et cumulent des décennies d’expérience. Si elle se réalise, cette fuite de cerveaux pourrait drainer de précieuses ressources humaines, augmenter les coûts de recrutement, d’intégration et de fidélisation, et déstabiliser des cultures qui ne se sont pas construites en un jour.

Quelles questions se poser? Comment se positionner?

  • Votre organisation a-t-elle évalué les risques associés aux démissions, aux retraites et plus généralement à la rotation de personnel?
  • En quoi les sondages sur l’engagement et la satisfaction des employés effectués pendant la pandémie ont-ils alimenté ces analyses?
  • Comment votre organisation se prépare-t-elle?

PRÉCÉDENT : Perspective

SUIVANT : Maîtriser la planification de scénarios dans un monde apparemment chaotique