21 minute read
Le processus de gestion du risque d’entreprise
Définition du cygne noir :
Les événements de type cygne noir sont considérés comme rares et difficiles à prévoir. Il s’agit d’événements qui ont des répercussions sur les entreprises. La pandémie ou l’arrivée de plusieurs tornades dans une région qui n’est pas connue pour ses tornades sont des exemples de cygnes noirs. Ces deux types de cadres mettent en évidence les incidences potentielles sur les objectifs et la manière de les gérer. Ils sont considérés comme les principes fondateurs d’un bon système de gestion du risque d’entreprise.
Le processus de gestion du risque d’entreprise
Le risque est défini dans le cadre d’un processus de gestion du risque et est généralement évalué, classé par ordre de priorité et, selon la probabilité, l’ampleur et l’importance du risque, transmis à l’équipe de direction et au conseil d’administration, le cas échéant. La gestion du risque doit suivre un processus structuré précis, utilisant des critères et une terminologie établis, afin de permettre l’identification, l’évaluation et la comparaison cohérentes du risque. Le succès de la GRE dépend en partie d’un langage commun pour identifier, décrire et gérer le risque.
La tolérance face au risque aide les décideurs à comprendre ce que l’on attend d’eux lorsqu’ils font des compromis entre les objectifs de l’entreprise, à améliorer la compréhension des objectifs stratégiques et à aider à définir et à maintenir la tolérance face au risque.
L’équipe de direction d’une entreprise fixe généralement l’appétit pour le risque «cible», un compromis de résultat pour chaque objectif stratégique, qui correspond le mieux à la mission, à la vision et aux valeurs de l’entreprise. Il s’agit de l’expression de la volonté de l’entreprise de mettre en risque chaque objectif stratégique dans la poursuite de la valeur.
Le processus résumé suivant est appliqué à l’identification et à la gestion du risque «conventionnel» (c’est-à-dire qui n’est pas un cygne noir) de l’entreprise.
Figure 1 .0 Processus de gestion du risque d’entreprise
Contexte de l'entreprise Évaluation du risque Traitement du risque Suivi Rapports
Identi cation du risque | Analyse du risque | Évaluation du risque (Évaluation de la tolérance)
Contexte de l’entreprise
La stratégie de gestion du risque doit être alignée sur les objectifs stratégiques et les activités de l’entreprise. Une telle stratégie ne doit jamais être considérée comme une activité autonome. Les éléments suivants doivent être pris en compte lors de la définition des critères :
• Nature et type de risque
• Délais de la cause
• Engagements réglementaires et contractuels
• Alignement stratégique
• Intégration dans les procédures • Probabilité et incidence du risque
• Risques complexes, liés à d’autres
• Gravité et incidence
• Vélocité du risque
• Réponse face au risque
Évaluation du risque
L’évaluation du risque est une analyse exhaustive du risque par l’identification, l’analyse et l’évaluation. Il est essentiel que l’équipe responsable du risque identifie le plus grand nombre possible de risques et leurs incidences. Un registre du risque est un outil couramment utilisé pour faciliter la gestion du risque.
Éléments du processus Description
Identification du risque Identifie les incidences, les causes et les répercussions de l’incident lié au risque. Processus de collecte des renseignements sur les risques au moyen d’entretiens avec les dirigeants, de séances de remue-méninges et de recherches sur les principaux risques de l’entreprise.
Analyse du risque Contribue au processus d’évaluation et détermine si et comment le risque doit être traité.
Évaluation du risque Contribue au processus décisionnel pour sélectionner les besoins en matière de traitement et de hiérarchisation du risque et la priorité correspondante de chaque risque.
Traitement du risque
Un processus continu d’évaluation et de sélection des options permettant de modifier le risque d’une entreprise. Le traitement du risque peut prendre différentes formes, comme l’évitement et le transfert. Consultez la section «Offrir de la valeur » pour plus de renseignements sur le traitement du risque.
Suivi
Le suivi doit être une partie planifiée du processus de gestion du risque qui intègre le suivi et l’évaluation continue du risque, ainsi que des techniques de traitement appliquées au sein de l’entreprise. Ce processus aidera l’équipe responsable du risque à déterminer si et quand les stratégies de risque ne sont plus alignées sur les stratégies de l’entreprise.
Rapports
Le conseil d’administration (ou les comités responsables du risque au niveau du conseil) établit la politique de risque qui doit être transmise à tous les niveaux de l’entreprise. Les équipes responsables du risque et de la gestion présenteront des rapports sur les plans de réponse face au risque, les incidents et les répercussions financières. Cela fournit des renseignements essentiels au conseil d’administration ou au comité responsible du risque, leur permettant de prendre des décisions judicieuses. Les rapports peuvent également se concentrer sur les indicateurs clés de risque (ICR) et leurs tendances. Ces ICR donneront une idée des répercussions sur les objectifs stratégiques de l’entreprise et des tendances émergentes susceptibles de faire du risque un événement réel, ce qui permettra à l’entreprise de réagir en temps opportun, à condition que les rapports soient concis, ponctuels et exhaustifs.
Que peut faire la direction
Les pratiques de la GRE dans l’industrie de l’électricité sont répandues dans les services de l’entreprise, notamment la gestion des actifs et les activités. Elles analysent le risque lié à la perte d’actifs, à l’augmentation des coûts due à la conformité réglementaire, à la santé et à la sécurité du personnel, etc.
Pour que la GRE soit efficace au sein d’une entreprise, il faut obtenir la participation et le soutien actifs de la direction et un renforcement actif auprès de tout le personnel grâce à une communication constante. Chez Électricité Canada, le Comité de gestion du risque d’entreprise a recommandé qu’il incombe à tout le personnel d’identifier les risques et les façons de les réduire dans le cadre de la GRE. L’une des méthodes utilisées par une entreprise pour y parvenir est le processus d’évaluation du rendement des objectifs qui existe dans de nombreuses entreprises. Chaque employé peut avoir un objectif de risque.
La gestion du risque doit être intégrée à la culture d’entreprise et aux objectifs de rendement, avec l’aide d’un champion de la gestion du risque qui bénéficie du soutien des cadres de l’entreprise et du conseil d’administration. Ces entreprises ont plus de chances d’atteindre leurs objectifs stratégiques et de fournir leurs produits ou services plus efficacement.
Les membres du conseil d’administration comprennent l’importance de la gestion du risque d’entreprise. Toutefois, selon une étude récente de McKinsey and Company, seuls 40 % des 1500 conseils d’administration consultés ont indiqué que leur entreprise était préparée à la prochaine crise. Par ailleurs, seuls 7 % ont indiqué que leur conseil d’administration était efficace en matière de gestion du risque.
Cette situation est particulièrement préoccupante lorsque l’un des mandats d’un conseil d’administration est de s’assurer que la direction identifie et traite les risques prévisibles qui auront des répercussions sur l’ensemble de l’entreprise.3
Figure 2 .0 Résultats de l’enquête sur la GRE pour la fonction critique
12
10
8
6
4
2
0 La GRE est considérée par notre direction, notre directeur général et notre conseil d'administration comme une fonction essentielle de notre entreprise
Importance de la fonction essentielle
1 2 3 4 5
Direction Directeur général Conseil d’administration
Considérations relatives à la direction
Une bonne pratique pour les membres du conseil d’administration et les champions du risque est de considérer les risques susceptibles de se produire comme s’ils se produisaient au lieu de tenir compte des possibilités. Cela permettra à votre entreprise d’être toujours prête.
Les spécialistes du risque doivent également élaborer des scénarios dans lesquels ils ne traitent pas seulement un risque, mais plusieurs. Nous avons constaté une diminution du nombre de COVID-19 en 2022, avant de connaître une augmentation soudaine. En même temps, les services publics sont confrontés à des pressions accrues de la part des gouvernements, qui souhaitent que le réseau soit prêt pour la carboneutralité d’ici 2035. Tout cela se produit alors qu’il existe un engorgement de la chaîne d’approvisionnement en puces électroniques et en métaux de terres rares, ainsi qu’une pénurie de main-d’œuvre et des taux d’inflation croissants.
Le risque se présente sous toutes les formes et les dirigeants doivent être conscients de ce qui peut arriver et tenir compte que cela se produira.
Les champions du risque doivent préparer le conseil d’administration à l’aide de simulations de risques. Ces essais doivent être menés périodiquement et doivent être exhaustifs pour identifier la résolution d’un risque. Un exercice post-mortem doit être réalisé pour s’assurer que la prise de décision a été efficace dans l’exercice de scénario.
Les conseils d’administration et la direction doivent se rappeler que les équipes de gestion du risque d’entreprise existent pour apporter de la valeur aux parties prenantes de l’entreprise, même en temps de crise.
L’enquête menée par Électricité Canada en 2021 auprès des services de la GRE souligne que les conseils d’administration et les équipes de direction considèrent le risque comme une fonction essentielle de leur entreprise. Cependant, la figure 2.0 montre que cette perception ne s’étend pas à la haute direction. Cela pourrait résulter d’une rupture de communication sur la GRE entre le conseil d’administration et les équipes de direction et la haute direction.
La norme ISO 3100 recommande à la direction de :
• définir et approuver publiquement la politique de gestion du risque; • s’assurer que la culture et la politique de gestion du risque de l’entreprise concordent; • déterminer des indicateurs de rendement de la gestion du risque qui s’alignent sur les indicateurs de rendement de l’entreprise; • aligner les objectifs de gestion du risque sur les objectifs et les stratégies de l’entreprise; • assurer la conformité légale et réglementaire; • attribuer des responsabilités et des obligations de rendre compte aux niveaux adéquats de l’entreprise; • veiller à ce que les ressources nécessaires soient affectées à la gestion du risque; • communiquer les avantages de la gestion du risque à toutes les parties prenantes; et • s’assurer que le cadre de gestion du risque reste pertinent.
Étude de cas : Une solution de GRE mal mise en œuvre
En 2016, Chipotle était reconnue pour son bon service et son innovation alimentaire avec des aliments frais et locaux L’entreprise était également connue pour des épidémies de salmonelle dans sa chaîne d’approvisionnement alimentaire, qui était finalement servie au client Chipotle n’a pas introduit de ressources adéquates pour la gestion du risque d’entreprise dans son entreprise Elle a également omis de révéler que ses mesures de protection étaient inadéquates pour préserver la santé de ses clients et de ses employés En raison du manque d’investissement de Chipotle dans la gestion du risque, le cours de son action a chuté de 35 %, ses ventes ont diminué de 30 % dans les mois qui ont suivi l’annonce, sa réputation a été entachée et l’entreprise a dû faire face à un procès civil Une approche de GRE aurait permis d’établir des contrôles de qualité robustes dans la chaîne d’approvisionnement afin de s’assurer que les risques étaient bien identifiés et ces contrôles auraient permis de réduire ou d’éviter complètement les peines réglementaires
Recommandations au conseil d’administration
Voici plusieurs recommandations que les conseils d’administration peuvent mettre en œuvre pour faciliter l’intégration de la gestion du risque d’entreprise au sein de l’entreprise.
Catégorie Description
Actualité
Les conseils d’administration ne se réunissent pas souvent. Le risque est une présence constante pour l’entreprise et les processus de GRE doivent être aussi à jour que possible pour le moment où le conseil d’administration se réunit afin d’éviter les écarts de connaissances. Les membres du conseil peuvent se réunir plus fréquemment (c’est-à-dire selon un calendrier régulier) pour examiner les risques et leurs mises à jour, l’équipe de la GRE peut mettre à jour son matériel plus fréquemment pour combler ces lacunes. Une autre option qui a été identifiée est la création d’un comité du risque composé de plusieurs membres du conseil d’administration et de la haute direction. Cette équipe serait plus flexible dans son calendrier et pourrait se réunir plus souvent pour s’assurer que les risques sont traités en temps opportun.
Normes communes Les entreprises ne développent pas un langage commun pour définir le risque. Il est devenu difficile au sein des entreprises de communiquer entre les services sur des normes communes de mesure du risque. Les entreprises de la même industrie sont invitées à adopter un langage commun en matière de gestion du risque. Les associations liées à l’industrie sont un canal qui peut faciliter l’élaboration de ces normes.
Cadres de travail
Renforcer la vérification interne
Litiges
Poser les questions difficiles
La majorité des processus de gestion du risque utilisés aujourd’hui ne disposent pas d’un processus formel d’identification des risques qui relie les risques aux objectifs stratégiques. Les équipes responsables des risques et les conseils d’administration doivent examiner les méthodes permettant de relier les risques aux objectifs stratégiques et d’identifier les moyens de réagir lorsque ces objectifs sont menacés.
Les vérificateurs internes doivent travailler en étroite collaboration avec l’équipe de gestion du risque pour déterminer les niveaux de risque qui peuvent dépasser ou ont dépassé les contrôles internes. Il faut s’assurer qu’ils examinent les processus de gestion du risque à l’échelle de l’entreprise, ainsi que leur incidence sur les objectifs stratégiques.
Ne pas identifier les risques peut exposer les entreprises à des répercussions juridiques. Veillez à ce que les mesures relatives aux litiges soient identifiées et décrites en détail dans l’évaluation du risque.
Les conseils d’administration et les équipes de direction doivent poser des questions difficiles aux cadres et aux champions du risque pour s’assurer que le risque pour les objectifs stratégiques est identifié et géré adéquatement.
Risque dans l’industrie
L’industrie des services publics au Canada est confrontée à de multiples risques à court et à long terme. On peut évaluer ces risques en examinant les répercussions économiques, politiques, sociétales, environnementales et technologiques des décisions prises ou des tendances émergentes. Chaque service public sera confronté à des risques différents par rapport aux autres services publics de l’industrie. Par exemple, les risques environnementaux seront différents selon la géographie locale. Même les risques technologiques seront différents en fonction des décisions de gestion et de l’adoption par les entreprises de nouvelles solutions technologiques.
Tableau 1 .0 Risques à court et à long terme
Court terme
Infrastructures (vieillissement, incidences climatiques) Long terme
Modifications aux systèmes financiers (déductibilité d’intérêts)
Réglementation gouvernementale (carboneutralité)
Exposition continue au changement climatique
Cybermenaces (rançongiciels)
Évolution rapide des solutions technologiques
Modifications des normes d’exploitation
Formation de la nouvelle génération
Exemple de risque connu dans l’industrie
• Technologies de rupture : Appareils intelligents, Internet des objets (IdO), capteurs, intelligence artificielle (IA)
• Transformation rapide : Mises à jour du micrologiciel, mégadonnées, 5G, changement de politique
• Cybersécurité : Rançongiciels, pirates informatiques malveillants, vol de données
• Fiabilité du réseau : Renforcement de la résistance aux tempêtes, attentes des clients
• Budgets contraints : Croissance lente, coûts en hausse, budgets réglementés
• Incidence sur le climat : Ouragans, feux de forêt, phénomènes météorologiques extrêmes
Maturité du risque : Le Comité de gestion du risque d’entreprise d’Électricité Canada a entrepris en 2021 une étude comparative pour évaluer les processus en place dans l’industrie canadienne. Parmi les membres participants, la moitié avait des programmes de GRE «établis» où les processus sont normalisés, appliqués et favorisés systématiquement et où l’information sur le risque est prise en compte dans la prise de décision, l’affectation des ressources et la gestion du rendement. Deux seuls répondants étaient en tête avec des capacités et des pratiques bien intégrées dans la planification et le rendement stratégiques, alors que les activités de gestion et l’appétit pour le risque sont clairement formulés. Dans ces entreprises, une forte culture de GRE efficace existe, avec une compréhension claire des rôles et des responsabilités, et les renseignements et les résultats sur le risque sont utilisés pour renforcer la culture du risque, améliorer le rendement et éclairer la prise de décisions.
Étude de cas : Ce que nous faisons!
Au sein de notre entreprise, les dirigeants et la direction générale reçoivent régulièrement des rapports trimestriels sur la gestion du risque Le conseil d’administration veille à ce que le profil de risque de l’entreprise soit bien compris et examine la stratégie en matière de risque annuellement L’équipe de direction s’assure également que les principaux risques sont portés à l’attention du Conseil à des fins de discussion et de prise de mesures, le cas échéant L’équipe de direction soutient l’équipe exécutive et regroupe des experts en la matière qui participent activement à la gestion quotidienne du risque Les membres de l’équipe de direction ont été nommés responsables de la gestion et de la communication du risque d’entreprise En collaboration avec l’équipe exécutive, l’équipe de direction supervise le profil de risque et son rendement par rapport à la stratégie de risque définie Les membres de ce groupe comprennent les changements dans l’état et les tendances du risque, identifient les possibilités et déterminent les réponses et les plans d’action qui sont ensuite mis en œuvre par l’entreprise Ils s’efforcent d’assurer un rapport efficace et exhaustif sur le risque à l’intention de l’équipe exécutive
Outils de gestion du risque
Cette section fournit plusieurs outils pour la boîte à outils du gestionnaire de risques.
Matrice du risque
Une matrice du risque, ou carte du risque est un outil de mesure qui fournit une perspective visuelle du risque d’entreprise et de la hiérarchisation de ce risque. Les entreprises doivent élaborer une matrice du risque fondée sur les critères qui constituent la tolérance de l’entreprise face au risque. Les critères doivent définir des lignes directrices pour évaluer la probabilité et la portée du risque.
Figure 3 .0 Matrice de gestion du risque d’entreprise
L’étude comparative de la GRE d’Électricité Canada de 2021 a révélé que la majorité des services publics utilisent une matrice de risque de 5x5. D’autres options de matrice existent et les spécialistes de la GRE devraient utiliser la matrice qui convient le mieux à leur stratégie de gestion et à leur appétit pour le risque.
Probabilité
Presque certain Moyen Élevé Élevé Extrême Extrême
Probable Faible Moyen Élevé Élevé Extrême
Possible Faible Faible Moyen Élevé Élevé
Peu probable Faible Faible Faible Moyen Élevé
Improbable Faible Faible Faible Moyen Moyen
Insignificant Mineur Modéré Majeur Élevé
Incidence
Selon la tolérance face au risque de l’entreprise, la catégorisation du risque peut être modifiée dans la matrice du risque. Chaque entreprise peut vouloir prendre en compte différents éléments dans la catégorisation de la probabilité et de l’incidence. Ces données proviendront de diverses sources comme les données historiques, les environnements politiques et sociaux, et les incidences mesurées et estimées sur les systèmes en fonction des coûts de récupération estimés.
Incidence : Chaque incidence du risque peut avoir plusieurs résultats, chacun étant associé à une probabilité ou à une possibilité. Cependant, chaque risque d’entreprise est généralement évalué en fonction de l’ampleur de la pire incidence crédible.
Probabilité et possibilité : Évaluation de la probabilité que la pire incidence crédible se produise. Il est recommandé d’utiliser une échelle normalisée de probabilité, possibilité pour cette étape.
Figure 4 .0 Données sur le risque d’entreprise
Probabilité
• Données sur les événements historiques • Atmosphère politique • Fréquence des changements et des révisions de la réglementation • Atmosphère sociétale • Changement technologique • Évaluations du contrôle et de la surveillance
Incidence
• Changements de système • Perte de revenus • Augmentation des coûts • Perte d'infrastructure • Charge réglementaire supplémentaire • Sécurité et pertes de vie • Changements de personnel • Temps de rétablissement • Réputation
Modèle de risque de type nœud papillon
Le modèle de risque de type nœud papillon ou l’analyse de risque de type nœud papillon est un processus permettant d’identifier les secteurs où des contrôles nouveaux et améliorés ainsi que des techniques de surveillance peuvent être appliqués à l’entreprise.
Figure 5 .0 Modèle de type nœud papillon
Causes Événement Conséquences
Contrôles actuels
Identi er les écarts
Nouveaux contrôles Contrôles actuels
Identi er les écarts
Nouveaux contrôles
Registre du risque
Le registre du risque est généralement utilisé par les équipes responsables du risque pour identifier et hiérarchiser les risques susceptibles d’avoir une incidence sur votre entreprise, service, processus ou projet. Un registre du risque est consolidé au niveau de l’entreprise et est utilisé pour renseigner le conseil d’administration et la direction sur la probabilité et l’incidence du risque, ainsi que sur les mesures de résolution recommandées. Un registre du risque peut être élaboré à partir d’un profil de risque..
Figure 6 .0 Exemple de registre du risque
Scénario Description Responsable Probabilité Conséquences Niveau de risque Mesure Date de révision
Dommages causés par le vent
Dommages causés aux lignes par le vent Exploitation Haute 3 $ à 100 millions $ Haute Élaborer un plan de réparation, un plan d’intervention d’urgence, établir une couverture d’assurance 2/1/2022
Brèche de données
Vol de données des clients TI Juridique Client Moderate 10000 $ à 100 millions $ Moyenne Examiner la sécurité informatique; examiner la couverture d’assurance 8/1/2023
Profil de risque
Les principales activités de la pratique de la gestion intégrée du risque commencent généralement par la préparation d’un profil de risque organisationnel, ou d’un document équivalent4. Le profil de risque permet à l’organisation d’acquérir une vue d’ensemble de ses principaux risques ainsi qu’une compréhension de son contexte opérationnel et de ces objectifs en lien avec la gestion du risque.
Le profil de risque d’une organisation décrit les principaux risques auxquels elle est confrontée, y compris les menaces et les occasions, et fournit aux employés, aux partenaires externes et aux conseillers un aperçu clair des principaux risques de l’entreprise et, lorsqu’il est mis en œuvre, peut aider à identifier les secteurs d’efficacité et les possibilités. Cela permet ensuite d’établir des priorités stratégiques et d’allouer des ressources, de prendre des décisions éclairées en matière de tolérance face au risque et d’améliorer les résultats.
La manière de présenter les risques varie d’une organisation à l’autre, mais tous les profils de risque organisationnels comportent des caractéristiques qui en font un précieux outil de gestion. Un profil de risque conventionnel est un ensemble de caractéristiques communes à un risque. Consultez l’annexe B pour un exemple de profil de risque.
Valeur de l’introduction de la gestion du risque d’entreprise au sein de votre entreprise
Pour profiter des avantages de la gestion du risque d’entreprise, les dirigeants de l’entreprise doivent considérer la GRE comme un processus vivant à l’échelle de l’entreprise, actif et dynamique, avec des mises à jour et des améliorations continues dans tous les secteurs de l’activité. Toute possibilité et toute menace pour un service public comporte un risque. La GRE aidera à déterminer la valeur potentielle de la récompense par rapport au préjudice potentiel.
Valeur de la fonction de la GRE
• Informer la stratégie des activités principales des risques envisagés.
• Classer par ordre de priorité les risques à diminuer, réduire, transférer et conserver.
• Identifier le type et le nombre de ressources qui seront nécessaires pour gérer le risque.
«Comprendre la valeur de la gestion du risque, c’est comprendre la valeur à risque»
- Daniel Gent, Électricité Canada
Tableau 2 .0 Avantages
Avantage Description
Prendre des risques judicieux
Réduire les coûts liés aux risques de danger
Réduire les effets de dissuasion des risques de danger
Réduire et gérer le risque de perte
Beaucoup d’entreprises prennent des risques pour accroître leur activité. Par exemple, les services publics peuvent prendre des risques judicieux en investissant dans d’autres services publics ou en introduisant de nouveaux services en aval du compteur (c. -à-d. en saisissant des occasions). Déterminera si les récompenses possibles sont plus importantes que les dommages potentiels.
Les coûts liés à un actif ou à une activité particulière. En réduisant le coût du risque, on attend une augmentation des avantages ou une réduction des dépenses budgétaires.
Examiner les risques de pertes à venir en les rendant plus prévisibles lors de la planification des projets. Augmentera la faisabilité de projets.
Le risque est toujours présent, et les risques de perte peuvent être considérés comme le prix à payer pour mener des affaires. L’objectif est de réduire le risque et d’établir des protocoles pour surveiller ce risque. La stratégie de GRE mettra en place un seuil limite et, lorsque ce seuil est atteint, celui-ci deviendrait un élément d’action soumis à l’examen de la direction. L’établissement de mesures de l’indice de continuité et de fréquence moyenne d’interruption est un bon exemple de seuils dans l’industrie.
Gestion du risque d’entreprise
Enquête globale
Dans le cadre de l’enquête portant sur la GRE de 2020, 83 % des répondants ont indiqué qu’une surprise opérationnelle avait eu des répercussions sur leur façon de travailler. Cette valeur élevée a été attribuée à la COVID-19; les tendances précédentes sont restées dans les 60 %.
Étude de cas : Défaillance du risque d’Equifax
Equifax a été confrontée à de nombreuses poursuites judiciaires et à des pénalités financières en raison d’une brèche de données en 2017 que l’entreprise n’a pas immédiatement identifiée De plus, des renseignements ont été fournis à des entreprises tierces sans l’autorisation des clients Cet incident souligne la nécessité pour la direction d’être consciente des pratiques en vigueur dans son entreprise et des risques inhérents au non-respect des protocoles Depuis 2017, Equifax a accepté de payer plus de 380 millions de dollars américains pour résoudre les réclamations liées à la brèche de données Avec une pratique de GRE en place, la probabilité et l’incidence de la brèche de données auraient été identifiées et des mesures de réduction auraient pu empêcher cet événement
