Dans beaucoup d’organisations, la cartographie des risques et la gestion des assurances coexistent sans réellement se parler. Pourtant, elles traitent au fond d’un même sujet : l’exposition de l’entreprise aux événements susceptibles d’affecter ses activités, ses actifs, ses responsabilités ou sa trajectoire financière.
En théorie, le lien est évident. La gestion des risques vise à identifier, analyser, évaluer et traiter les risques, tandis que l’assurance constitue l’un des leviers de traitement, en particulier sur le volet de financement des conséquences résiduelles. En pratique, les démarches restent souvent séparées : d’un côté une cartographie ERM, globale et managériale ; de l’autre une approche assurance plus ciblée, technique, structurée par branches, contrats et cycles de renouvellement.
Cette déconnexion n’est pas neutre. Elle conduit fréquemment à des programmes d’assurance construits sur une vision partielle ou datée des expositions réelles, tandis que les cartographies de risques intègrent encore trop peu la question du financement du risque, de l’assurabilité ou du retour d’expérience sinistres.
La première raison est simple : l’entreprise ne peut plus piloter ses assurances uniquement comme un exercice de renouvellement annuel. Dans un environnement marqué par la multiplication des interruptions d’activité, des risques cyber, des tensions de chaînes d’approvisionnement, des enjeux de responsabilité et de conformité, les arbitrages d’assurance doivent s’appuyer sur une lecture plus stratégique et plus dynamique du profil de risque.
C’est précisément ce que permet une cartographie des risques assurables. Elle apporte une vision transverse, lisible pour le management, et aide à mieux articuler les décisions de transfert, de rétention, de prévention et de protection. Elle permet aussi d’élargir le champ d’analyse aux risques non assurés, partiellement assurés, mal assurés, ou situés à la frontière de l’assurable. Enfin, elle améliore la qualité des décisions sur les garanties, les franchises, les limites, les exclusions, les sous-limites ou encore l’allocation du budget assurance. Il ne s’agit pas seulement d’acheter de l’assurance “au bon prix”, mais de s’assurer que le programme reflète réellement les scénarios de perte les plus pertinents pour l’entreprise.
La difficulté vient du fait que les deux disciplines n’ont ni le même langage, ni les mêmes objets, ni les mêmes temporalités.
La cartographie des risques couvre l’ensemble des risques de l’entreprise, y compris stratégiques, opérationnels, financiers, réputationnels ou de conformité. Elle repose souvent sur des démarches internes, des entretiens, des auto-évaluations, des matrices de criticité. Elle déclenche des plans d’actions pilotés dans le temps. Elle sert avant tout à éclairer la décision managériale.
À l’inverse, la gestion des assurances raisonne plus volontiers par lignes de couverture — dommages, responsabilité civile, cyber, transport, etc. — avec une logique de structuration contractuelle et financière, en interaction avec un écosystème externe de courtiers, assureurs, réassureurs, ingénieurs ou actuaires qui manient un langage et des concepts parfois peu accessibles aux non-initiés (dont le management).
Le sujet n’est donc pas de fusionner artificiellement les deux approches, mais de les faire dialoguer de manière méthodique.
Une cartographie des risques assurables n’est pas une simple liste de polices à revoir. C’est une démarche structurée qui vise à :
En pratique, deux approches peuvent être envisagées.
La première consiste à lancer une démarche dédiée de cartographie des risques assurables. Elle est souvent adaptée aux entreprises qui ne disposent pas encore d’une fonction risk management structurée, ou dont la cartographie existante est trop partielle pour nourrir les décisions d’assurance. Cette approche permet de repartir des expositions réelles, de construire un registre de scénarios assurables et de le confronter directement aux polices en place.
La seconde consiste à réconcilier un dispositif ERM existant avec le programme d’assurance. Dans ce cas, il ne s’agit pas de refaire une cartographie complète, mais de retraiter les risques déjà identifiés sous l’angle de l’assurabilité, de consolider leur part assurable, d’élaborer des scénarios-types et d’évaluer le niveau de couverture associé.
La première bonne pratique consiste à raisonner en scénarios de perte et non uniquement en familles de polices. En finalité, une entreprise n’achète pas une garantie “dommages” ou “RC” dans l’absolu ; elle cherche à se protéger contre des scénarios concrets : incendie d’un site critique, cyberattaque avec interruption d’activité, défaut produit, pollution accidentelle, erreur de conception, défaillance d’un fournisseur clé, etc.
La deuxième est d’intégrer systématiquement la sinistralité. Les données de sinistres sont une source précieuse, trop souvent sous-exploitée. Elles permettent d’objectiver les expositions, de repérer des récurrences, d’alimenter la quantification et de sortir d’une approche purement déclarative.
La troisième est de ne pas réduire l’analyse à la seule question “assuré / non assuré”. Entre les deux, il existe tout un spectre : risque théoriquement couvert mais avec sous-limite insuffisante, extension absente, exclusion défavorable, franchise mal calibrée, périmètre territorial inadapté, définition de sinistre restrictive, ou encore dépendance à des conditions de mise en jeu difficiles à satisfaire.
La quatrième est de combiner criticité et marge d’amélioration. Un risque très critique mais déjà bien traité n’appelle pas les mêmes priorités qu’un risque moyennement critique mais mal maîtrisé et mal assuré.
La cinquième est d’associer les bonnes parties prenantes. Une cartographie des risques assurables ne peut pas être portée uniquement par la direction financière, le risk manager ou le courtier. Elle suppose de faire dialoguer opérations, juridique, achats, DSI, finance, assurance et parfois RH ou direction industrielle selon les expositions.
La sixième est de prendre en compte les interfaces entre prévention et transfert. Une faiblesse de continuité d’activité, une analyse fournisseur incomplète, l’absence de plan de succession ou un document de prévention obsolète peuvent dégrader l’assurabilité, limiter certaines garanties ou fragiliser l’économie générale du programme. Par exemple, une analyse fournisseur incomplète peut conduire à une liste de fournisseurs dénommés incomplète, donc à une sous-limite inadéquate ; une absence de PCA peut laisser certaines pertes d’exploitation hors couverture.
Enfin, la septième est d’aboutir à des fiches de synthèse actionnables par scénario : exposition, garanties mobilisables, niveau d’adéquation, angles morts, recommandations de traitement et arbitrages à instruire. C’est souvent ce format qui permet de passer d’un exercice technique à un véritable outil de décision pour le management.
Le risque le plus fréquent est de réduire le sujet à une simple revue documentaire des polices. C’est utile, bien sûr, mais insuffisant. Une police ne dit pas, à elle seule, si l’entreprise est bien protégée. Pour le savoir, il faut partir des activités, des processus critiques, des actifs, des dépendances, des scénarios de défaillance et des conséquences financières potentielles.
Autrement dit, la bonne question n’est pas : “Quelles garanties avons-nous ?” La bonne question est d’abord : “Quels scénarios de perte devons-nous être capables d’absorber, de prévenir ou de financer ?”
Conclusion
La cartographie des risques assurables est un excellent moyen de réconcilier deux mondes qui ont trop longtemps avancé en parallèle. Elle permet de faire des assurances non plus un sujet purement contractuel ou budgétaire, mais un levier plus stratégique de résilience, de protection financière et d’allocation des ressources.
Pour les entreprises matures, elle aide à reconnecter le programme d’assurance à la réalité du profil de risque. Pour les organisations plus petites ou moins structurées, elle offre un point d’entrée pragmatique pour mieux comprendre leurs expositions, professionnaliser progressivement leur approche.
Son objectif est simple : mieux décider. Décider de ce qu’il faut prévenir, de ce qu’il faut réduire, de ce qu’il faut transférer, de ce qu’il faut retenir — et à quelles conditions.
Benoît BOUGNOUX | Associé
Robin GRANIER | Manager