Au cœur de l’actualité avec la possible privatisation de la Française des jeux (FDJ), Thibault Bulabois, ingénieur de formation et dans le Groupe FDJ depuis cinq ans, est aujourd’hui en charge des fonctions de risk manager et du contrôle interne. Interrogé en avril 2019 par Décideurs, il revient sur les risques inhérents à l’activité des jeux, la digitalisation et le cyber-risque.

Décideurs. Quels sont les principaux risques auxquels sont exposées les ­sociétés de jeux comme la FDJ ?

Thibault Bulabois. En tant qu’opérateur de jeux, la FDJ est spécifiquement confrontée à trois formes de risques. La non-conformité au cadre légal et de régulation, porté pour l’activité en concurrence par les règles opérationnelles très spécifiques de l’Arjel, autorité des jeux en ligne, constitue un risque sectoriel. Un second risque concerne la qualité et la distribution de nos produits en distribution directe auprès de nos 30 000 points de vente partout en France. Le troisième sujet concerne la sécurité autour des opérations de jeu digitales ou en point de vente. Nous devons nous assurer que tout se déroule selon des procédures parfaitement définies et soit parfaitement enregistré dans nos systèmes afin de garantir à tout joueur la sécurité de la chaîne complète entre son achat et le paiement de son gain. Par ailleurs, la Française des jeux doit appréhender les principaux risques transverses qui peuvent toucher toute entreprise, comme notamment ceux relatifs au RGPD, à la loi Sapin 2 ou au risque cyber.

La privatisation de la Française des jeux est très médiatisée. Aura-t-elle un impact sur l’exercice de votre fonction ?

Il n’y aura pas nécessairement de changement fondamental dans la manière d’exercer mon métier. En qualité de risk managers, nous nous devons quotidiennement d’anticiper, de vérifier et d’être encore plus vigilants sur ce qui se dit de l’entreprise en ces temps forts de médiatisation au sujet de sa privatisation.

Existe-il des spécificités liées à la gestion des risques dans les entreprises publiques ?

Juridiquement, la Française des jeux est une société d’économie mixte de sorte qu’aujourd’hui, une part de notre capital est ouvert à des actionnaires historiques privés. FDJ est soumise à divers contrôles exercés par les autorités publiques au titre de sa qualité de titulaire de droits exclusifs et d’opérateur de jeux d’argent et de hasard. À ce titre, nous sommes soumis à des contrôles des ministres chargés du Budget et de l’Économie.

Quelle vision avez-vous de l’évolution du métier de responsable des risques et du contrôle interne ? 

Le rôle du risk manager est d’innerver les différents organes de l’entreprise afin de faire en sorte que chacun reçoive et puisse transmettre l’information, qu’elle concerne un risque opérationnel ou stratégique.

Le risk manager d’il y a vingt ans s’occupait, pour être caricatural, parfois exclusivement de risque industriel, de santé et de sécurité au travail. Nous sommes de plus en plus sollicités sur des domaines plus stratégiques avec de vrais enjeux d’avenir et nous constatons cette évolution dans les enquêtes professionnelles comme le baromètre du risk manager, réalisé tous les deux ans par l’Amrae. Le risk manager doit être capable d’appréhender de nombreux sujets, être apte à dialoguer le matin avec le responsable de la paie sur des thématiques très opérationnelles, tout en sachant échanger à midi avec le/la RSSI ou le/la DPO sur des sujets liés à la protection des données et enfin, pouvoir s’entretenir l’après-midi avec le Comex. En d’autres termes, nous devons orchestrer toutes les réponses de l’entreprise face aux dangers.

Aujourd’hui, j’interviens à la fois sur les sujets de risk management et de contrôle interne. Je constate qu’il y a au sein des grandes organisations une tendance à regrouper les deux fonctions sous l’égide d’une seule et même direction. C’est le cas de la Française des jeux qui, de cette manière, croise des visions plus opérationnelles et stratégiques. Ce positionnement constitue pour moi un point clé de l’évolution de notre métier.

Quel est le rôle du responsable des risques dans la montée en puissance de la digitalisation du groupe ?

La digitalisation a fait de grands pas en dix ans. Aujourd’hui, nous avons par exemple des outils au sein de la FDJ qui simplifient la vie des salariés ou bien le contrôle des process. Mais la digitalisation est aussi un vecteur de risque. Derrière les opportunités de ce phénomène, il y a toujours de nouvelles menaces qu’il convient d’appréhender. Sur ces sujets, le risk manager se doit d’être éclairant sans bloquer l’activité. Toutes les entreprises souhaitent se digitaliser, mais elles n’ont pas nécessairement connaissance des risques liés à la digitalisation. Notre métier ne consiste pas à les empêcher d’évoluer en ce sens, nous sommes là pour qu’elles prennent des décisions en connaissance de cause.

Quelle évolution législative va avoir un impact sur votre activité ?

Pour les sociétés cotées, ce qui pourrait être notre cas dans l’opération d’ouverture du capital, il existe des évolutions sur la partie risk management qui concernent par exemple le format du document de référence. Ces évolutions redonnent au risque une place encore plus prépondérante dans la communication externe notamment la communication imposée par l’AMF. À partir de juillet prochain, un texte entre en vigueur concernant la publication d’informations stratégiques, extra-financières et sur les facteurs de risques. Les risk managers de sociétés cotées devront présenter les risques dans un ordre particulier et en limitant leur nombre. C’est un vrai travail d’équilibriste pour eux, et encore plus pour ceux qui seront bientôt mis en cotation, entre transparence et nécessaire confidentialité.

"Les entreprises n’ont pas nécessairement connaissance des risques liés à la digitalisation"

 

Le risque cyber et les cyber-attaques sont aujourd’hui des réalités que les entreprises ne peuvent plus ignorer. Quel est votre sentiment sur ce sujet et quelles mesures avez-vous mises en place pour lutter contre ce phénomène ?

Les atteintes contre le système informatique sont justement le revers de la médaille de la digitalisation. Le coût des cyber-attaques dans le monde a augmenté de 70 % en seulement cinq ans. Une étude Accenture de début 2019 estime que leur conséquence financière s’élèverait en moyenne à 8,2 millions d’euros pour une entreprise française. Il y a aujourd’hui de nombreux actifs et activités dont le principal support est l’outil informatique. La Française des jeux est une société technologique inévitablement confrontée à cette nouvelle forme de risque. C’est un sujet que nous avons pris en compte, et ce, depuis plusieurs années dans le cadre de l’élaboration de nos process de sécurité informatique et de sûreté. Nécessairement, les entreprises doivent avoir en tête toutes les mécaniques d’attaque possibles afin de mieux les anticiper et les contrer. Elles doivent être proactives. Nous amendons, par conséquent, au quotidien nos process et réflexes en fonction de l’actualité et de ce qui se passe au sein de notre écosystème.

Alexandre Lauret

Newsletter Flash

Pour recevoir la newsletter du Magazine Décideurs, merci de renseigner votre mail

GUIDE ET CLASSEMENTS

> Guide 2023