CA BOUGE DU COTE DU CYBER-RISQUE (4) COMMENT SE PREMUNIR CONTRE UNE CYBERATTAQUE.

🏅Le cyber risque, risque n°1 pour les entreprises.
Un risque nouveau aux modalités multiples, un risque subjectif qui le rend difficile à appréhender et à gérer, un risque difficile (« illusoire ») à assurer, un risque amplifié par le régulateur-législateur
❓Evaluation du risque : une probabilité élevée (voir causes nombreuses) ; un impact fort (voir coût élevé)
 🚴 Comment agir ?
👉 Indispensable, a minima complémentaire à l’assurance, mieux que l’assurance, mettre en place des plans d’actions pour gérer le cyber risque :
–          Le prévenir
–          L’atténuer
–          L’accepter sous sa forme résiduelle

👉 L’Agence Nationale de Sécurité des Systèmes d’Information (ANSII) propose des plans d’action et cinq mesures préventives pour gérer le cyber-risque.

🏔 En savoir plus : à relire sur le blog
Plans d’action / fraude au président
https://gestiondesrisques.net/2021/12/09/le-risque-variable-strategique-de-la-reflexion-des-entreprises-3-un-nouveau-risque-la-fraude-au-president-suite-un-exemple-de-plan-dactions/
Plans d’action / cyber-risques liés au télétravail
https://gestiondesrisques.net/2021/10/06/teletravail-risques-et-plans-dactions-ou-quels-plans-dactions-pour-gerer-les-risques-lies-au-teletravail-et-selon-quelle-approche-2/
https://gestiondesrisques.net/2021/09/29/quels-plans-dactions-pour-gerer-les-risques-lies-au-teletravail/
Nécessaire implication des salariés / gestion du cyber-risque
https://gestiondesrisques.net/2018/10/19/implication-des-collaborateurs-dans-la-demarche-de-gestion-des-risques-lexemple-du-cyber-risque/
🏔 En savoir plus : à découvrir ci-dessous un article sur les plans d’actions préconisés par l’ANSII

Comment se prémunir d’une cyberattaque ?

Depuis quelques années, les cyberattaques se multiplient, en particulier en temps de crise, qu’elle soit sanitaire ou sécuritaire. L’occasion de faire le point sur les recommandations de l’Agence nationale de la sécurité des systèmes d’information (ANSSI) pour vous protéger en ligne.

Vous recevez un courriel estampillé Trésor public vous demandant de fournir vos coordonnées bancaires pour procéder à un remboursement ?

Un service de transport vous demande par sms de cliquer sur un lien pour régler les taxes douanières d’un colis ?

Vous recevez un courriel de la part de la gendarmerie nationale vous accusant d’un délit et vous demandant de répondre sous peine de poursuites ?

Soyez vigilant : les demandes adressées de manière autoritaire ou intimidante, par courriel ou par SMS, dissimulent parfois des tentatives d’arnaques.

Outre la bonne pratique qui consiste à séparer ses usages personnels et professionnels, voici les recommandations de l’ANSSI pour vous prémunir des attaques cyber.

1. Utilisez des mots de passe robustes

L’un des premiers réflexes consiste à définir des mots de passe robustes, à la fois difficiles à trouver par un système automatisé et à deviner pour une tierce personne.

Privilégiez des mots de passe longs, complexes et composés de différents types de caractères (des chiffres, des lettres majuscules, des lettres minuscules et des caractères spéciaux).

2. Préservez votre identité numérique

Préservez votre identité numérique en vous montrant vigilant en ligne et les réseaux sociaux : prenez soin de vos données personnelles et ne communiquez pas vos informations sensibles (numéro de téléphone, adresse ou numéro de carte bleue).

3. Protégez votre messagerie

Si vous recevez un message d’une personne que vous connaissez bien, mais que le contenu est étonnant (un titre en anglais ou dans une autre langue, une demande inhabituelle), faites preuve de prudence !

Vous devez garder en mémoire que l’identité de l’expéditeur peut être usurpée. Soyez attentif à tout indice mettant en doute l’origine réelle d’un courriel : incohérence de forme ou de fond entre le message reçu et ceux que votre interlocuteur légitime vous envoie habituellement.

Dans le même sens, ne répondez pas aux demandes suspectes d’expéditeurs inconnus.

Les demandes d’informations confidentielles sont rarement faites par courriel. Soyez donc attentifs à ces tentatives dites d’hameçonnage, aussi appelées phishing. Par exemple, le règlement de vos impôts passe uniquement par votre profil de contribuable sur le site impots.gouv.fr : le Trésor public ne vous demandera jamais vos coordonnées bancaires par courriel.

Vérifiez les liens qui figurent dans vos courriels avant de cliquer dessus. Si vous avez un doute, saisissez vous-même l’adresse du site dans la barre d’adresse du navigateur.

Assurez-vous également qu’en passant la souris au-dessus du lien proposé, l’adresse du site soit conforme à l’expéditeur annoncé. Souvent, le contenu des sites frauduleux comporte des fautes de français, mais de plus en plus, les tentatives d’hameçonnage emploient un français correct.

Enfin, soyez vigilant avant d’ouvrir les pièces jointes. Elles constituent le principal vecteur d’attaque et peuvent véhiculer des programmes malveillants.

4. Mettez à jour vos équipements

Votre ordinateur doit être équipé d’un antivirus efficace, ainsi que d’un système d’exploitation et de logiciels à jour pour se protéger des cyberattaques.

Les hackers ciblent les ordinateurs utilisant des logiciels qui ne sont pas à jour pour exploiter les vulnérabilités non corrigées.

5. Évitez la connexion aux réseaux non sécurisés

Évitez aussi les réseaux publics ou inconnus. Privilégiez la connexion de votre abonnement téléphonique (3G ou 4G) lorsque vous êtes en déplacement.

Les réseaux wi-fi publics sont souvent mal sécurisés, et peuvent être contrôlés ou usurpés par des pirates qui pourraient ainsi voir passer et capturer vos informations personnelles ou confidentielles (mots de passe, numéro de carte bancaire…).

Si vous n’avez d’autre choix que d’utiliser un wi-fi public, veillez à ne jamais y réaliser d’opérations sensibles et utilisez si possible un réseau privé virtuel (VPN).

6. Sauvegardez régulièrement vos données

Enfin, il faut penser à sauvegarder vos fichiers régulièrement sur un support externe à votre équipement (clé ou disque USB) que vous débranchez une fois la sauvegarde effectuée. En cas de piratage de votre ordinateur, vous risquez de perdre des données (photos, fichiers, contacts, messages…).

Si vous êtes victime d’une cyberattaque

Prévenez vos contacts, changez vos mots de passe, obtenez de l’assistance auprès de cybermalveillance.gouv.fr, déposez plainte.

ANSII. 16/03/2022

Cybersécurité : 5 mesures préventives préconisées par l’ANSSI pour protéger les entreprises

Face aux tensions liées au contexte international actuel, les entreprises doivent rester vigilantes et mettre en place une série d’actions de prévention.

L’ANSSI recommande aux entreprises de rester en alerte face aux cybermenaces.

Alors que la guerre entre la Russie et l’Ukraine gagne aussi le terrain du cyberespace, avec des cyberattaques qui se multiplient des deux côtés, Guillaume Poupard, directeur général de l’Agence nationale de la sécurité des systèmes d’information (ANSSI), recommande aux organisations françaises de redoubler de vigilance.

Les tensions internationales actuelles, notamment entre la Russie et l’Ukraine, peuvent parfois s’accompagner d’effets dans le cyberespace qui doivent être anticipés. Si aucune cybermenace visant les organisations françaises en lien avec les récents événements n’a pour l’instant été détectée, l’ANSSI suit néanmoins la situation de près. Dans ce contexte, la mise en œuvre des mesures de cybersécurité et le renforcement du niveau de vigilance sont essentielles pour garantir la protection au bon niveau des organisations, explique Guillaume Poupard dans un post LinkedIn.

Concrètement, le directeur général de l’ANSSI demande aux entreprises et aux administrations françaises de suivre avec attention les alertes ainsi que les avis de sécurité publiés et mis à jour régulièrement par le Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques (CERT-FR). Chaque organisation est également invitée à mettre en place « à court terme » une série de mesures pour « limiter la probabilité d’une cyberattaque ainsi que ses potentiels effets ». L’ANSSI rappelle également que, pour que ces actions soient réellement efficaces, elles doivent « s’inscrire dans une démarche de cybersécurité globale et de long terme ».

Les 5 mesures cyber préventives recommandées par l’ANSSI

Le message relayé par Guillaume Poupard s’accompagne d’un document réalisé par l’Agence nationale de la sécurité des systèmes d’information présentant les « mesures cyber préventives prioritaires » liées aux « tensions internationales actuelles ».

Dans ce diaporama d’une dizaine de pages, l’ANSSI détaille ses 5 recommandations à destination des entreprises, afin de renforcer leur niveau de sécurité informatique :

  1. Renforcer l’authentification sur les systèmes d’information : il s’agit ici de mettre en œuvre une authentification forte pour les comptes particulièrement exposés (administrateurs, personnel de direction, cadres dirigeants…), nécessitant 2 facteurs, soit « un mot de passe, un tracé de déverrouillage ou une signature», soit « un support matériel (carte à puce, jeton USB, carte magnétique, RFID) ou a minima un autre code reçu par un autre canal (SMS) ».
  2. Accroître la supervision de sécurité : un système de supervision des événements journalisés devra être mis en place pour « détecter une éventuelle compromission et de réagir le plus tôt possible ».
  3. Sauvegarder hors-ligne les données et les applications critiques : les sauvegardes effectuées doivent être réalisées en étant déconnectées du système d’information « pour prévenir leur chiffrement », et des solutions de stockage à froid (disques durs externes, bandes magnétiques) peuvent être utilisées afin de « protéger les sauvegardes d’une infection des systèmes et de conserver les données critiques à la reprise d’activité ».
  4. Établir une liste priorisée des services numériques critiques de l’entité : l’ANSSI conseille de réaliser un inventaire des services numériques d’une organisation en les listant par type de sensibilité, et d’identifier les dépendances vis-à-vis des prestataires externes.
  5. S’assurer de l’existence d’un dispositif de gestion de crise adapté à une cyberattaque : les entreprises doivent déterminer les contacts d’urgence et établir un plan de réponse adapté à la gestion des cyberattaques.

Alexandra Patard / 2 mars 2022.

CA BOUGE DU COTE DU CYBER-RISQUE (3) UN PROJET DE LOI PERMETTANT A L’ASSUREUR DE REMBOURSER LES CYBER-RANCONS

🏅Le cyber risque, risque n°1 pour les entreprises.

Un risque nouveau aux modalités multiples, un risque subjectif qui le rend difficile à appréhender et à gérer, un risque difficile (« illusoire ») à assurer, un risque amplifié par le régulateur-législateur

❓Evaluation du risque : une probabilité élevée (voir causes nombreuses) ; un impact fort (voir coût élevé)

 🚴 Comment agir ?

👉 Un projet de loi permettant le remboursement par l’assureur des cyber-rançons

Le post très pédagogique de Paul Berger de Gallardo, avocat, pour faire un point sur le projet de loi

Deux articles pour vous positionner. Et vous quel est votre avis sur ce projet de loi ? Une bonne solution pour les assureurs ? Une solution pour gérer le cyberrisque ?  

👉Les plans d’action préconisés par l’ANSII pour gérer le cyberrisque – dans 15 jours sur le blog

LE POST TRES PEDAGOGIQUE DE PAUL BERGER DE GALLARDO, AVOCAT, POUR FAIRE UN POINT SUR LE PROJET DE LOI.

🔐 Le remboursement par l’assureur des cyber-rançons conditionné à un dépôt de plainte ?

🚨 Un projet de loi prévoit d’encadrer les clauses de remboursement des rançongiciels par les #assurances, en rendant obligatoire le dépôt d’une plainte par la victime dans les 48h après le paiement de cette rançon.

🔹 Quoi ? Le rançongiciel ou ransomware est ainsi défini par l’ANSSI – Agence nationale de la sécurité des systèmes d’information : « envoi à la victime d’un logiciel malveillant qui chiffre l’ensemble de ses données et lui demande une rançon en échange du mot de passe de déchiffrement ».

🔸Pourquoi ? 20 % des entreprises françaises déclarent avoir subi au moins une attaque par rançongiciel au cours de l’année 2020, atteignant souvent l’activité économique et perturbant parfois la production.

🔕 L’absence fréquente de plainte des victimes, par crainte de reconnaître leur vulnérabilité et de ternir leur image, empêche toute investigation.

🔹Est-ce légal de payer une rançon, et d’être remboursé par son assurance ? Ainsi que l’a rappelé récemment le HCJP (Haut Comité Juridique de la Place Financière de Paris), le paiement d’une rançon par la victime d’une extorsion ne constitue ni un délit ni un acte de complicité dès lors que le consentement au paiement n’est pas libre mais résulte de la contrainte.

➡️ L’assurance du risque de rançongiciel ne paraît se heurter à aucun obstacle juridique majeur.

🔸 Quelles sont les solutions possibles ? L’étude d’impact du projet de loi a analysé trois solutions : 1️⃣ assujettir le remboursement d’une rançon versée par un assureur au dépôt de plainte 2️⃣ rendre obligatoire la déclaration à TRACFIN de tout paiement d’une rançon 3️⃣ promouvoir au niveau européen l’interdiction du paiement des rançons par les assureurs suite à une #cyber-attaque.

⁉️ Pourquoi retenir la première solution ? L’interdiction du paiement des rançons et de leur #assurance pèserait de manière démesurée sur les entreprises qui jouent parfois leur survie. Le dépôt d’une plainte rapide permettrait aux autorités compétentes de bénéficier des informations nécessaires à la poursuite des infractions et de « casser » le modèle de rentabilité des cyber‑attaquants.

🔹 Comment ? Par la création d’un article L. 12-10-1 du Code des assurances prévoyant cette condition de garantie au sein d’un nouveau chapitre « L’assurance des risques de cyber-attaques ».

🕰 La règle envisagée serait d’application immédiate et entrerait en vigueur également pour les contrats en cours.

⬇️ Que pensez-vous du paiement des cyber-rançons, de leur assurabilité et de ce projet de condition de garantie ? ⬇️

DEUX ARTICLES POUR VOUS POSITIONNER / ET VOUS QUEL EST VOTRE AVIS SUR CE PROJET DE LOI ? SOLUTION POUR GERER LE CYBERRISQUE ? 

Loi LOPMI : pour payer la rançon, il faudra déposer plainte

Sécurité : Le nouveau projet de loi d’orientation et de programmation encadre notamment la transition numérique des forces de l’ordre et propose un régime encadrant le paiement des rançons dans les affaires de rançongiciels.

Le projet égrène une douzaine de mesures, dont une partie concerne le développement des capacités des policiers et des gendarmes en matière de réponse aux crimes et délits en lien avec le numérique, ainsi que des dispositions visant à équiper les forces de l’ordre de nouveaux équipements.

Parmi les nouvelles dispositions, le gouvernement propose une première approche visant à encadrer le paiement des rançons suite à des attaques au ransomware. Comme le précise l’article 5 du projet de loi, le versement d’une rançon couverte par l’assureur de la société victime est possible si la victime accepte de déposer plainte dans les 48 heures après le paiement de la rançon.

Pas d’interdiction du paiement des rançons

Une manière de trancher le débat qui faisait rage depuis plusieurs mois autour du paiement des rançons exigées par les groupes de rançongiciels. Le directeur de l’Anssi avait allumé la mèche en fustigeant publiquement les « intermédiaires » qui acceptaient de payer les rançons, mais il avait également reconnu que cette possibilité devait rester ouverte dans certains cas. Depuis, les assureurs étaient nombreux à réclamer « une clarification » des règles sur le sujet, certains ayant choisi de cesser de proposer leurs assurances cyber prévoyant le paiement de rançons dans les affaires de ransomware.

En la matière, le gouvernement a donc choisi de s’aligner sur la proposition émise par le haut comité juridique de la place financière de Paris, qui avait été saisi du sujet et a publié un rapport à la fin du mois de janvier sur la question. Le haut comité recommandait de ne pas interdire purement et simplement le paiement des rançons, mais de conditionner celui-ci à un dépôt de plainte. Cette approche laisse donc une certaine marge de manœuvre aux victimes et à leurs assureurs, en leur permettant d’envisager le paiement d’une rançon pour espérer récupérer l’accès aux données. Et elle donne un coup de pouce aux forces de l’ordre qui ont du mal à convaincre les entreprises de déposer plainte après une attaque informatique.

Renforcer les forces de l’ordre sur le numérique

Outre cette disposition, le projet de loi prévoit également d’étendre les enquêtes sous pseudonyme, jusqu’alors réservées à certains délits concernant le trafic de drogues et d’armes, à l’ensemble des crimes et délits punis d’une peine d’emprisonnement. Le projet de loi prévoit également d’ouvrir aux forces de police la saisie « d’actifs numériques », terme utilisé pour décrire les cryptomonnaies et autres actifs basés sur une blockchain, aujourd’hui fréquemment utilisés dans le blanchiment d’argent et les affaires de rançongiciels.

Le texte reprend des mesures annoncées par le président de la République lors du discours de clôture du Beauvau de la sécurité, comme la place d’un « numéro 17 » dédié à la fraude informatique, la création de 1 500 postes de cyberpatrouilleurs et la création d’une agence du numérique des forces de sécurité, chargée de superviser l’équipement des policiers et gendarmes en smartphones et accessoires nécessaires aux enquêtes. Le montant prévu de ces différents investissements est estimé à 8 milliards d’euros.

Adopté en conseil des ministres, le texte doit maintenant être soumis au vote du parlement. Mais, calendrier oblige, celui-ci ne sera présenté qu’après l’élection présidentielle, donc pour la prochaine législature. Un timing relevé par le Conseil d’Etat dans son avis sur la loi, qui remarque le calendrier « pour le moins habituel » pour un projet de loi de ce type.

Par Louis Adam. Mars 2022

Cyberattaques : les assureurs rassurés sur la possibilité de couvrir les rançons

Un projet de loi prévoit qu’une entreprise victime d’une cyberattaque et contrainte de payer une rançon devra déposer plainte pour obtenir la prise en charge de ce paiement par son assureur. Une bonne nouvelle pour les représentants du secteur.

Les promesses ont mis du baume au coeur des syndicats de policiers mais aussi… des assureurs. Le plan de modernisation des moyens des forces de l’ordre , présenté par le gouvernement à la mi-mars, est en effet considéré par la profession comme une bonne nouvelle pour le développement dans l’Hexagone des assurances contre les cyberattaques.

Le projet de loi, dit LOPMI, prévoit notamment d’obliger les entreprises victimes d’un rançongiciel à porter plainte dans les 48 heures suivant le paiement d’une rançon pour obtenir sa prise en charge par l’assurance. Et ce, afin « d’améliorer l’information des forces de sécurité et de l’autorité judiciaire, et de ‘casser’ le modèle de rentabilité des cyberattaquants », note le projet.

Pas de changement sur le fond

« La France, comme les autres pays dans le monde, ne veut pas interdire l’incorporation de la garantie sur le paiement des rançons dans les contrats d’assurance cyber », a salué la semaine dernière, lors d’une conférence de presse, la présidente de la fédération France Assureurs, Florence Lustman, se félicitant d’une telle clarification.

La portée de cette disposition est à relativiser. Déposé à quelques semaines de l’élection présidentielle, le projet de loi n’est à ce stade pas à l’étude au Parlement et son avenir dépendra du résultat du scrutin. Par ailleurs, si la mesure était adoptée, elle ne changerait pas les habitudes. Elle « ne change rien sur le fond car les assureurs imposaient déjà un dépôt de plainte », explique Mickaël Robart, expert chez le courtier Diot-Siaci.

« Mais elle montre que le risque cyber est plutôt traité par les assureurs de façon responsable. » Ceux-ci veulent croire qu’avec ce projet de loi, il n’y a plus d’insécurité juridique : les services de l’Etat ont tranché, notamment Bercy qui a lancé l’été dernier des travaux sur la cyberassurance .

Autrement dit, ils n’iront pas dans le sens du patron de l’Agence nationale de la sécurité des systèmes d’information (ANSII) et de la vice-procureure en charge de la cybersécurité au parquet de Paris. Au printemps dernier, ces derniers avaient estimé que la prise en charge des rançons par l’assurance pouvait encourager la cybercriminalité.

Pas de changement chez AXA France

En octobre, un rapport parlementaire avait préconisé l’interdiction du paiement des rançons. Au contraire, en début d’année, des experts avaient mis en garde contre les effets d’une telle interdiction.

Signe que le sujet est sensible, Generali France a décidé en début d’année de tourner le dos au paiement des rançons. Quant à AXA France, qui avait décidé de suspendre sa garantie rançon l’an dernier, il n’a pas changé de politique avec la loi LOPMI, indique un porte-parole.

Solenn Poullennec. Avril 2022.

CA BOUGE DU COTE DU CYBER RISQUE (2) QUEL IMPACT ? QUEL COUT ?

Nouvelles publications sur le Blog consacrées au cyber risque et à la cyber sécurité.
ERM, Gestion des Risques, Analyse du risque, Evaluation du cyber risque.
  • Après l’avoir décrit, contextualisé et identifié ses modalités, un résumé des causes et conséquences du cyber risque (risque cyber) ;
  • Deux articles proposant une estimation de son coût. Ces études font écho à celles déjà menées sur le risque réputation.
A lire et à relire sur le blog dans la catégorie Risque et la sous-catégorie Cyber risque et cyber sécurité :
Rappel de ce qu’est le cyber risque – analyse du risque / description, contextualisation, modalités ; dernières attaques – :
Estimations / évaluation du risque / coût du risque de réputation :
Le cyber risque dans les classements de risques :  
https://gestiondesrisques.net/2022/01/20/un-2eme-classement-des-risques-par-les-entreprises-le-barometre-dallianz/ https://gestiondesrisques.net/2022/01/17/classement-des-risques-par-les-entreprises/
La réticence des assureurs à assurer le cyber risque :
https://gestiondesrisques.net/2021/03/09/risques-assurances-marche-des-assurances-cyberrisque-et-assurances/
 Le RGPD dans le rôle d’amplificateur de risque et la nécessité de mettre en place une démarche de gestion des risques (ERM) :
https://gestiondesrisques.net/2021/01/26/rgpd-best-practices-et-plans-dactions/
Le cyber risque et le télétravail. Démarche de gestion des risques (ERM) et plans d’actions :
https://gestiondesrisques.net/2021/10/06/teletravail-risques-et-plans-dactions-ou-quels-plans-dactions-pour-gerer-les-risques-lies-au-teletravail-et-selon-quelle-approche-2/
https://gestiondesrisques.net/2021/09/14/teletravail-et-risques-2/

Cyber risque : causes et conséquences

Pour compléter l’analyse (étape d’identification) du cyber risque, nous pouvons citer comme causes de sa survenance :

  • la mauvaise protection des réseaux locaux ;
  • l’absence de mise à jour par les utilisateurs ;
  • des systèmes et logiciels anciens et vulnérables ; une mauvaise sécurisation des données ;
  • l’augmentation des activités en ligne, notamment avec le télétravail ;
  • la prise en compte insuffisante du risque par manque de moyens financiers, de personnel qualifié, de sensibilisation et de culture du risque notamment dans les municipalités ;
  • le sous-contrôle du risque…

Ses conséquences sur l’organisation sont multiformes et peuvent être lourdes :

  • interruption du fonctionnement d’un service et détermination nécessaire d’un délai de retour à la normale qui peut prendre la forme d’une paralysie pendant plusieurs semaines de l’accueil dans les mairies et dans les hôpitaux avec un impact sur les rendez-vous, les interventions, l’imagerie, les actes…et les patients eux-mêmes, l’arrêt de la production de certains sites dans les entreprises…

Quel Impact ? Quel coût ?

 Risque cyber : une société mal préparée peut perdre jusqu’à 20 % de sa valeur 

Investisseurs et repreneurs tiennent compte des risques cyber dans l’évaluation des entreprises qu’ils convoitent. Une société mal préparée peut perdre jusqu’à 20 % de sa valeur. Alors avant d’ouvrir son capital ou de vendre, un audit informatique complet s’impose.

Les cyberattaques ont augmenté de 13 % l’année dernière, selon la société Orange cyberdefense. Et ce sont les TPE et PME qui sont le plus souvent visées. Elles font l’objet de 3 attaques sur 4. Quant au risque le plus élevé, il s’agit du ransomware ou rançongiciel qui constitue 38 % des incidents enregistrés. Les conséquences de ces attaques sont, elles, très difficiles à évaluer.

En cas de cyberattaque, les pertes de données mais aussi les pertes financières varient d’une entreprise à l’autre, selon le degré de préparation ou d’impréparation plutôt de chaque entreprise. Peu d’études ont tenté jusque-là d’en évaluer précisément le coût direct, et surtout indirect.

Un vol de données dévalorise l’actif

Une enquête réalisée par Bessé, en partenariat avec PwC France, avec Guy-Philippe Goldstein, chercheur et spécialiste des questions de cyberdéfense, apporte un éclairage nouveau sur cette question. L’étude analyse 30 incidents majeurs de cybersécurité s’étant produits dans 28 entreprises mondiales entre 2008 et 2017.

Les deux tiers de ces sociétés ont vu leur valeur boursière affectée avec, en moyenne, plus d’un an après l’incident, une perte de la valeur patrimoniale de 10 %, et même de 20 % pour les entreprises les moins réactives et les moins bien préparées. Au bout de douze mois, la diminution globale du cours de l’action est de 19,5 %, ce qui peut être vu comme une perte structurelle pour l’entreprise, et génère de facto un déficit de confiance.

Si la variation du cours de Bourse traduit l’impact du cyberrisque sur les entreprises cotées, quel est l’indicateur pour les entreprises non cotées ? Investisseurs et repreneurs potentiels analysent et estiment les risques cyber dans leur calcul de valorisation. « La menace cyber impacte la valeur des actifs. Un entrepreneur qui achète des données clients, et qui n’est pas certain de leur sécurité, va généralement défalquer 20 % de la valeur de la société cible », rapporte Laurent Bernier, dirigeant de la société Les Oies du Cyber, spécialisée dans la cybersécurité pour les PME.

L’ampleur des enjeux plaide donc pour une stratégie d’anticipation et une analyse amont du risque cyber. « La cybermenace concerne aussi bien la réputation de l’entreprise que la perte de confiance, poursuit Laurent Bernier. Si l’entreprise se voit piller dix ans d’historique clients, un secret de fabrication dans un vol de données, si une cyberattaque remet en cause la relation avec l’un de ses principaux clients à la suite d’une fuite d’informations, le nouvel acquéreur va perdre une partie de la jouissance future du bien ».

Auditer le système d’information

Un investisseur ou un repreneur va donc s’efforcer de comprendre comment l’entreprise qu’il convoite se protège, se prépare et cherche à diminuer l’impact d’une éventuelle attaque. Pour cela, il va analyser en profondeur les dispositifs de prévention et les outils de réponse. Notamment en menant un audit. « Plus l’entreprise est digitale, plus l’audit est complexe », prévient Laurent Bernier. Il convient de détailler la politique de mots de passe et d’autorisations, les conditions de connexion sur site et en dehors de l’entreprise.

Un audit devrait aussi comporter un scanner des vulnérabilités pour identifier les points faibles des infrastructures matérielles et logicielles afin de détecter rapidement les failles de sécurité qui pourraient être exploitées par une personne malveillante. Enfin, il faut s’assurer que l’entreprise a bien mis au point un plan de continuité efficace en cas d’incident majeur

Pour que cette analyse soit la plus pertinente, l’investisseur ou le repreneur s’entoure en général d’un expert qui devra s’assurer de la qualité des outils informatiques et évaluer le dispositif technique de détection des attaques. Evidemment, cette analyse devrait aussi être conduite par toute entreprise qui souhaite ouvrir son capital ou trouver un repreneur. « Pour prouver sa fiabilité, un vendeur a tout intérêt à anticiper. Cette démarche demande du temps, environ un an. Une entreprise bien protégée, dotée d’une approche globale et structurée, va augmenter sa valeur de 10 à 15 % », conclut l’expert en cybersécurité Laurent Bernier.

Mallory Lallane  Le 22/03/ 2022

78 % des entreprises françaises ont subi une attaque par ransomware au cours de cinq dernières années

Et 69 % d’entre elles ont versé une rançon, selon une étude d’ExtraHop

La nouvelle enquête Cyber Confidence Index d’ExtraHop révèle que les décideurs en matière de sécurité et d’informatique ont confiance dans la posture de sécurité de leur entreprise malgré la fréquence des attaques

Parmi les autres principaux résultats de l’enquête :

  • Coût élevé des ransomwares : 69 % des participants admettent avoir déjà versé une rançon tandis que 36 % des entreprises victimes d’une attaque par ransomware déclarent avoir payé la somme demandée dans la plupart ou la totalité des cas. En outre, les victimes de ransomwares font état d’autres préjudices, parmi lesquels une interruption de l’activité (45 %) ou du travail des utilisateurs (40 %) ou encore une perte de propriété intellectuelle et une atteinte à leur image de marque (41 %).
  • Dommages causés à l’activité : les attaques de ransomwares touchent l’ensemble de l’entreprise. 45 % des participants déclarent avoir subi une interruption d’activité résultant d’attaques contre l’infrastructure informatique (IT), 32 % à la suite d’attaques contre l’infrastructure opérationnelle (OT) et 40 % déplorent une interruption du travail des utilisateurs causée par des attaques ciblant ceux-ci.

Sandra Coret. Le 10 mars 2022.

RISQUE-GESTION DES RISQUES-RISK MANAGER : UNE ACTUALITE CHARGEE

Il y a des semaines où les alertes se multiplient. Nous vivons une de ces périodes.

EN RESUME :

🏅Une multiplication des cyberattaques…

🏅Le cyber risque qui peut devenir risque de réputation (Voir Emma) ; le risque opérationnel qui se peut se transformer en risque de réputation (Affaires Buitoni et Kinder à deux jours d’intervalle)…Transversalité du Risque.

https://www.linkedin.com/feed/update/urn:li:activity:6915342632881725440/

🏅Le risque éthique dans sa dimension gouvernance amplifié par le régulateur-législateur (loi sur le devoir de vigilance) : Mac Donald’s

https://www.linkedin.com/posts/caroline-irigoyen-hse_travail-forc%C3%A9-harc%C3%A8lement-sexuel-abus-de-activity-6917002519051157504-BxF9?utm_source=linkedin_share&utm_medium=member_desktop_web

🏅Le rapport GIEC qui positionne le risque climatique comme risque majeur sur les cartographies…

https://www.linkedin.com/posts/caroline-aubry-_climat-le-mode-demploi-du-giec-pour-activity-6917012187194552320–L0L?utm_source=linkedin_share&utm_medium=member_desktop_web

🏅La guerre en Ukraine qui « révèle » le risque géopolitique…

🏆 Cette actualité rappelle, s’il en est besoin, que le risque est (doit être) une variable stratégique de la réflexion des organisations, que la mise en place d’une gestion des risques de type ERM est incontournable et que la fonction qui est (doit être) à la manœuvre est la Fonction Risk Manager.

C’est ma thématique de recherche. Riche et passionnante.

Bonne lecture.

Ci-dessous un article sur « l’affaire » Buitoni.

E. coli dans les pizzas Buitoni : ouverture d’une enquête pour « homicides involontaires »

Le parquet de Paris a entamé des investigations pour « homicides involontaires », « tromperie » et « mise en danger d’autrui ». Mercredi, la Direction générale de la santé a confirmé qu’il existait un lien entre l’apparition de plusieurs cas graves de contamination d’enfants par la bactérie E. coli et la consommation de pizzas Fraîch’up de Buitoni.

Le groupe Nestlé, propriétaire de la marque Buitoni, fait face à une enquête. Le parquet de Paris a indiqué ce vendredi avoir entamé des investigations après plusieurs cas graves de contamination d’enfants par la bactérie Escherichia coli et des décès, Mercredi, les autorités sanitaires avaient annoncé avoir établi un lien entre la consommation des pizzas surgelées de la gamme Fraîch’up de Buitoni et des cas graves de contamination.

Cette enquête confiée au pôle santé publique (PSP) du parquet de Paris dont la compétence est nationale, a été ouverte le 22 mars. « Le PSP, sur dessaisissement des parquets de Nancy et Saint-Malo et en application de sa compétence en matière d’infractions portant atteinte à la santé », s’est saisi de l’enquête, a ainsi précisé le parquet de Paris.

Deux enfants décédés

Dans le détail, l’enquête porte sur les infractions de « tromperie sur une marchandise, exposition ou vente de produits alimentaires corrompus ou falsifiés et nuisibles pour la santé, mise sur le marché d’un produit préjudiciable à la santé, mise en danger d’autrui, blessures involontaires et homicides involontaires ».

Elle a été confiée à l’Office central de lutte contre les atteintes à l’environnement et à la santé publique (Oclaesp), la Direction générale de la gendarmerie nationale, le service des enquêtes de la Direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF) et la Brigade nationale d’enquêtes vétérinaires et phytosanitaires (BNEVP) du ministère de l’agriculture, a précisé le parquet.

La France connaît depuis fin février une recrudescence de cas de syndromes hémolytiques et urémiques (SHU) liés à une contamination à E. coli. Santé Publique France indiquait mercredi que 75 cas étaient en cours d’investigation, dont 41 pour lesquels des syndromes hémolytiques et urémiques « similaires » ont été identifiés, et 34 pour lesquels des analyses supplémentaires sont en cours. Les enfants malades sont âgés de 1 à 18 ans. Deux d’entre eux sont décédés, même si le lien avec les pizzas n’a pas été confirmé dans leurs cas.

Les premiers tests réalisés par Nestlé, propriétaire de la marque Buitoni, sur le site de Caudry, dans le Nord, où sont fabriquées ces pizzas, sont revenus négatifs . « On ne comprend pas ce qui a pu arriver, mais nous allons développer un protocole d’analyse que nous allons soumettre aux autorités », avait précisé Jérôme Jaton, directeur général industriel de Nestlé, lors d’une conférence de presse ce mercredi.

Source AFP

CA BOUGE DU COTE DU CYBER-RISQUE (1) Contextualisation et modalités des cyber-menaces. Entreprises, municipalités, hôpitaux, écoles…

Les publications sur le Blog seront consacrées pendant les semaines à venir au cyber risque. Rappel de ce qu’est le cyber risque (description du risque ; causes ; conséquences) à travers : 
  • Un article écrit par Cécile Desjardins qui décrit le risque ; dans cet article, elle le contextualise et en présente les différentes  modalités ;
  • Un article sur l’une des dernières victimes de cyber-attaques : l’ENAC ; après les entreprises, les municipalités ou encore les hôpitaux, les écoles… ;
  • Un résumé de ses causes et conséquences et un article sur son coût ;
  • Un point sur les préconisations de l’ANSII pour se prémunir contre une cyber-attaque ;
  •  Un regard vers l’avenir avec le projet de loi d’Orientation et de Programmation du Ministère de l’Intérieur (LOPMI) ;
A lire et à relire sur le blog dans la catégorie Risque et la sous-catégorie cyber-risque et cyber-sécurité :
Le cyber-risque dans les classements de risques :  
https://gestiondesrisques.net/2022/01/20/un-2eme-classement-des-risques-par-les-entreprises-le-barometre-dallianz/ https://gestiondesrisques.net/2022/01/17/classement-des-risques-par-les-entreprises/
La réticence des assureurs à assurer le cyber-risque :
https://gestiondesrisques.net/2021/03/09/risques-assurances-marche-des-assurances-cyberrisque-et-assurances/
 Le RGPD dans le rôle d’amplificateur de risque et la nécessité de mettre en place des plans d’actions :
https://gestiondesrisques.net/2021/01/26/rgpd-best-practices-et-plans-dactions/
Le cyber-risque et le télétravail. Plans d’actions :
https://gestiondesrisques.net/2021/10/06/teletravail-risques-et-plans-dactions-ou-quels-plans-dactions-pour-gerer-les-risques-lies-au-teletravail-et-selon-quelle-approche-2/
https://gestiondesrisques.net/2021/09/14/teletravail-et-risques-2/

CONTEXTUALISATION ET DIFFERENTES  MODALITES DU CYBER-RISQUE

Dix choses à savoir sur le risque cyber

Niveau de la menace, type d’attaques, maillons faibles et nouvelles voies d’entrées : tout ce qu’il faut savoir actuellement sur les actes malveillants envers les dispositifs informatiques.

1. Le risque numéro un

Le risque cyber est désormais considéré par de nombreuses organisations comme leur premier risque. Les « incidents cyber » se placent ainsi en tête du baromètre mondial des risques 2022 d’AGCS, mais aussi aux premiers rangs du classement de Davos, comme de ceux de PwC ou de France Assureurs . De fait, la prise de conscience semble enfin avoir eu lieu : la sécurité numérique est devenue stratégique, perdant ses qualificatifs de « direction technique » ou de « centre de coût » (étude Cesin et Eneid-Transition). Les trois quarts des DSI et RSSI se déclarent désormais confiants sur la capacité des dirigeants à évaluer le risque financier associé aux cyberattaques.

2. Un nombre considérable de victimes

Les chiffres diffèrent d’une étude à l’autre, mais la conclusion est identique : les organisations touchées sont extrêmement nombreuses. Selon le dernier baromètre du Cesin, plus d’une entreprise sur deux aurait subi entre une et trois attaques cyber au cours de l’année 2021 : on parle là des attaques réussies… Avec des conséquences très lourdes. « L’ampleur et la virulence ne cessent d’augmenter », souligne le Cesin, qui révèle que 6 entreprises sur 10 ont connu un impact sur leur business et en particulier une perturbation de la production (21 %), et/ou une compromission d’information (14 %), et/ou une indisponibilité du site web pendant une période significative.

3. Les attaquants sont de plus en plus structurés et spécialisés

Le mythe du jeune hacker a fait long feu. Les cyberattaques sont désormais le fait d’organisations criminelles extrêmement organisées, attirées par des taux de retour sur investissement de l’ordre de 200 à 800 %, selon le cabinet de conseil Wavestone. Certaines se sont spécialisées. Ainsi, le « ransomware as a service » (RaaS) se développe à vive allure. « Les business models ont changé, avec des ransomwares créés par des groupes qui louent leur utilisation à des spécialistes en matière d’entrée par effraction virtuelle, qui nécessite des compétences différentes », souligne Sophos dans son dernier rapport sur les menaces.

Le coût des rançons aurait atteint 500 millions de dollars sur le seul premier semestre 2021.

4. Les rançongiciels font toujours aussi mal

Aussi appelées « ransomware », ces attaques qui consistent à installer un logiciel sur un ordinateur pour en rendre illisibles les données, avant d’exiger une rançon, sont considérées comme la principale menace cyber en 2022 et auraient touché 1 entreprise sur 5 en France. Un récent rapport de l’Anssi constate une hausse de 255 % de ces attaques entre 2019 et 2020, avec pour premières cibles les secteurs de la santé et de l’éducation, les collectivités territoriales et les prestataires de services numériques. Lors de la dernière conférence Panocrim du Clusif, Gérôme Billois, associé cybersécurité et digital trust chez Wavestone, a rappelé que le trésor américain a identifié 5,2 milliards de dollars de transactions en bitcoins liées à l’écosystème des rancongiciels… dont 500 millions sur le seul premier semestre 2021.

5. Le cyberespionnage est un sujet croissant d’inquiétude

Révélée l’été dernier, l’affaire Pegasus a eu le mérite de braquer les projecteurs sur l’importance de la menace. Après, également, les nombreux avertissements lancés ces derniers mois par l’Anssi, plus d’une entreprise sur deux considère élevée la menace en matière de cyberespionnage. « Il y a probablement de nombreuses menaces persistantes avancées (ou attaques APT pour ‘advanced persistant threats’), issues de groupes de cyberespionnage liés à des Etats, qui ne sont pas découvertes », reconnaît Matthieu Faou, chercheur chez Eset.

L’hameçonnage a été le vecteur d’entrée de 73 % des attaques.

6. Le « phishing » reste le vecteur d’attaques le plus fréquent

L’enquête du Cesin montre que l’« hameçonnage » a été le principal vecteur d’entrée pour les attaques subies par 73 % des entreprises. Cybermalveillance.gouv.fr appelle à déjouer les pièges de ces messages frauduleux destinés à leurrer l’internaute pour l’inciter à communiquer des données personnelles (comptes d’accès, mots de passe…) et/ou bancaires en se faisant passer pour un tiers de confiance. En étant par exemple extrêmement attentif sur le « nom de l’expéditeur, une demande inhabituelle, l’incitation à cliquer sur un lien ou une pièce jointe, etc. »

7. Les vulnérabilités logicielles sont aussi beaucoup utilisées

L’exploitation de failles serait à l’origine de 53 % des entrées dans les systèmes (étude Cesin). C’était le cas avec Log4Shell , la faille décelée dans une bibliothèque des systèmes Java et qui s’est abattue en toute fin d’année 2021 sur le monde de la cybersécurité. L’occasion de rappeler la nécessité de réaliser les mises à jour de tous ses systèmes.

8. Les « doubles extorsions » se multiplient

Comme l’avait relevé l’Anssi dès le début 2021, les attaques qui associent chiffrements de systèmes et violations de données sont de plus en plus courantes. Menacer de divulguer ou de vendre les données au plus offrant est aussi un moyen d’accroître la pression sur les victimes : tous les moyens de pression possibles sont désormais utilisés.

9. La supply chain logicielle est un terrible maillon faible.

Preuve en a été faite en 2021, avec les affaires SolarWinds et Kaseya , les attaques sur des sous-traitants informatiques peuvent générer de terribles effets de chaîne et avoir des conséquences désastreuses sur des milliers d’entreprises. « Orchestrées par des criminels cherchant à dérober des données ou simplement à causer le plus de dommages possible auprès des grands fournisseurs SaaS et de leurs clients, ces attaques risquent de se multiplier en 2022 », juge Tom Kellermann, responsable de la stratégie de cybersécurité de VMware.

Les objets connectés sont ciblés par certains groupes d’attaquants.

10. Les systèmes Linux sont aujourd’hui ciblés

Moteur de nombreux grands projets de transformation numérique, le système d’exploitation Linux est aujourd’hui régulièrement visé par les attaquants. C’est aussi le cas de certains objets connectés qui utilisent Linux. « En raison de la grande disponibilité et du support assez médiocre de certaines marques d’appareils connectés bon marché et grand public, aucun obstacle n’est véritablement offert aux attaquants automatisés », relève Sophos, qui s’attend « à ce que les attaques ciblant les serveurs Linux et les produits électroniques grand public se poursuivent sans relâche en 2022 ».

Par Cécile Desjardins. Févr. 2022

L’École Nationale de l’Aviation Civile frappée avec le ransomware Hive

L’ENAC a été frappée, durant le week-end du 12 mars, par une cyberattaque impliquant le ransomware Hive. Ses activités sont fortement perturbées. Une rançon de 1,2 million de dollars est demandée.

Dénonçant le travail d’un chercheur, les cyberdélinquants ayant attaqué l’ENAC ont décidé de revoir à la hausse leurs prétentions, demandant désormais deux millions de dollars de rançon.  

L’une de nos sources vient de confirmer ce qui nous avait été précédemment suggéré, nous fournissant au passage une capture d’écran de l’espace de dialogue ouvert par les cyberdélinquants à l’intention de l’ENAC : l’école a été attaquée avec le ransomware Hive. Les assaillants réclament une rançon de 1 200 000 dollars, en bitcoin.

La direction de la communication de l’ENAC est revenue vers nous, confirmant l’implication d’un ransomware. L’impact de la cyberattaque est effectivement très important à ce stade, jusqu’à affecter la capacité à se déplacer physiquement sur les sites de l’école et à assurer les vols programmés. Les partenaires de l’ENAC ont été informés afin de pouvoir s’isoler de ses systèmes d’information, et la direction générale de l’Aviation civile (DGAC) accompagne l’école dans la gestion de l’incident. Une déclaration publique est en préparation.

C’est un tweet rapidement supprimé qui nous a mis la puce à l’oreille. L’École Nationale de l’Aviation Civile (ENAC) est à l’arrêt depuis ce week-end. Elle a été victime d’une cyberattaque. Compte tenu de l’étendue des effets observables, l’implication d’un ransomware apparaît plus que probable.

L’espace de dialogue ouvert par les cyber-délinquants pour l’ENAC.

De fait, de nombreux services numériques, qui répondaient encore parfaitement présents la semaine dernière, sont aujourd’hui aux abonnés absents, retournant des erreurs 503 (service temporairement indisponible), ou renvoyant sur des pages de maintenance. C’est ainsi notamment le cas pour les services de campus numérique de l’école, ou l’application dite HDA, de gestion des activités. Plus préoccupant, pour certains services numériques, l’erreur retournée est 404 (non trouvé), suggérant, au mieux, la déconnexion de certains systèmes de stockage, au pire leur endommagement, voire chiffrement, par l’attaquant. Un service d’accès distant au système d’information, quant à lui, ne répond tout simplement pas.

Au téléphone, le message est simple : « pour l’instant, nos outils téléphoniques et informatiques sont paralysés ». Et tous les appels sur les numéros fixes sont renvoyés vers un seul et unique poste. Certaines adresses e-mail professionnelles semblent toutefois opérationnelles. Nous avons ainsi tenté de joindre la direction de la communication de l’école, en vain – et cela aussi par téléphone, fixe comme mobile.

Problème, au moins une adresse IP associée à des services de l’ENAC semble également, selon les résolutions DNS, liée à la direction de la technique et de l’innovation (DTI) de la direction des services de la Navigation aérienne (DSNA) de la direction générale de l’Aviation civile (DGAC). De quoi suggérer de potentielles interconnexions, au moins limitées.

Valéry Rieß-Marchive. Mars 2022

LE LEGISLATEUR-REGULATEUR, AMPLIFICATEUR DE RISQUE. DEUX NOUVELLES ILLUSTRATIONS ISSUES DE L’ACTUALITE. (3) QUE SAIT-ON DE LA LOI SAPIN III ?

Cinq ans après la naissance de la loi Sapin2, la France donne son feu vert à ce qui ressemble à une nouvelle loi « Sapin 3 ». Alors que Sapin 2 a marqué un véritable tournant dans la lutte contre la corruption en France en introduisant des changements significatifs, en créant l’Agence Français Anticorruption (AFA), et en ajoutant une dimension préventive qui n’existait pas ailleurs : l’obligation pour certaines entreprises privées de mettre en place des mesures anti-corruption, la France propose une refonte sérieuse de sa législation.
Un nouveau projet de loi promet un nouveau souffle à la lutte contre la corruption en France. 

Dans leur rapport rendu le 7 juillet 2021, les députés Raphaël Gauvain et Olivier Marleix, corapporteurs de la Commission des lois de l’Assemblée nationale chargée de l’évaluation de la loi Sapin 2, dressent un bilan positif de la loi Sapin II, mais notent que la France n’a pas progressé dans les indices internationaux de perception de la corruption depuis 2015. Ils ont relevé qu’en 2020, la France était classée 23e sur l’IPC de Transparency International, au même niveau qu’en 2015.

Ils font donc 50 propositions pour donner un nouveau souffle à la loi Sapin 2 pour renforcer la lutte contre la corruption en France. Le projet de loi n°4586 est directement inspiré du rapport.

Certains des changements proposés sont certainement intéressants pour les responsables de la conformité et les praticiens de la lutte contre la corruption. Voici quelques extraits pertinents

1. Modification du périmètre de l’AFA et création d’une nouvelle Autorité

Alors que la performance de l’AFA a été saluée dans le rapport pour avoir permis  « d’installer et de crédibiliser le dispositif issu de la loi Sapin 2, tant du point de vue des entreprises que de nos partenaires étrangers », le rapport considère que la système devrait être encore renforcé.

Le rapport propose de redéfinir et de recentrer les missions de l’AFA sur la coordination administrative. L’AFA serait désormais principalement chargée de centraliser et de partager les informations pour prévenir et détecter la corruption. Le rôle de l’AFA en tant que conseiller stratégique serait aboli.

Il est proposé de transférer les fonctions de conseil et de contrôle de l’AFA sur les programmes de conformité anti-corruption à la Haute Autorité pour la transparence de la vie publique , ou la Haute Autorité pour la transparence de la vie publique en anglais (HATVP) – une agence actuellement chargée d’identifier et prévenir les conflits d’intérêts potentiels entre les fonctionnaires français.

Le rapport suggère de créer une agence administrative indépendante unique pour les questions d’intégrité.

2. Sapin 2 s’appliquera à plus d’entités

Parmi les autres points à améliorer, le périmètre des entités soumises aux obligations de prévention et de détection prévues à l’article 17 de la loi Sapin 2 serait élargi. Actuellement, la loi permet aux « petites » filiales françaises (moins de 500 salariés, moins de 100 millions d’euros de chiffre d’affaires) de « grands » groupes étrangers de ne pas être soumises à l’article 17 de la loi Sapin 2.

Le rapport recommande de supprimer la condition relative à l’implantation en France du siège social de la société mère, afin de soumettre aux obligations prévues à l’article 17 les petites filiales de grands groupes étrangers établies en France, dès que la société mère dépasse les seuils prévus par la loi Sapin 2 (plus de 500 salariés et au moins 100 millions d’euros de chiffre d’affaires). 

Cela ouvrirait la porte à une égalité de traitement entre les petites filiales de grands groupes implantées en France, que la maison mère soit ou non établie en France.

Par ailleurs, les députés notent que l’article 3 de la loi Sapin 2 prévoit que la compétence de l’Agence française de lutte contre la corruption s’étend aux personnes publiques, mais la loi ne précise pas, la nature des obligations qui lui incombent ni ne prévoit de toute sanction en cas d’insuffisance ou de non-respect de ces obligations. 

Par conséquent, ils jugent nécessaire de créer des obligations de conformité adaptées aux administrations publiques, qui seraient adaptées à leur taille et aux risques auxquels elles sont exposées. 

3. En savoir plus sur la Convention judiciaire d’intérêt public  (CJIP)

Depuis sa mise en œuvre par la loi Sapin II, la CJIP (l’équivalent français du Deferred Prosecution Agreement, ou DPA) a connu un succès important. Les CJIP tout comme les DPA sont utilisées comme une alternative aux poursuites et permettent aux personnes morales soupçonnées d’infractions financières d’opter pour une solution négociée avec le parquet plutôt que d’encourir un procès pénal. Les rapporteurs ont insisté sur la nécessité de promouvoir la CJIP car elle assure la justice transactionnelle et assure la résolution rapide des litiges transfrontaliers.

Les rapporteurs souhaitent enrichir la CJIP en l’étendant au délit de « favoritisme » et en protégeant davantage les documents et informations communiqués par la personne morale aux autorités judiciaires lors de la phase de négociation.

Les rapporteurs n’ont pas recommandé d’étendre la CJIP aux particuliers. Ils favorisent la création d’une Comparaison sur reconnaissance préalable de culpabilité (CRPC) spécifique aux infractions de corruption, sous réserve de la divulgation volontaire et de la coopération de l’individu. .

Les rapporteurs ont suggéré que les enquêtes internes menées dans le cadre d’une CJIP soient encadrées en donnant au parquet la possibilité de désigner un mandataire ad hoc en charge de l’enquête interne et en introduisant de nouveaux droits pour les personnes interpellées (droit d’être assisté d’un avocat, droit de connaître les faits qui leur sont reprochés, etc.).

Enfin, la commission propose d’offrir plus de garanties aux entreprises lors des négociations, afin d’encourager les auto-divulgations volontaires. Des exemples de garanties pourraient inclure (i) une meilleure prise en compte du degré de coopération et (ii) une réduction de l’amende selon un barème qui serait rendu public.

4. Plus de protections pour les lanceurs d’alerte

Les rapporteurs ont estimé que les risques de représailles à l’encontre des lanceurs d’alerte et le manque de soutien financier constituent des obstacles à l’utilisation efficace des canaux d’alerte.

Le rapport a souligné qu’à l’heure où la France doit transposer la directive européenne du 23 octobre 2019 sur les lanceurs d’alerte, il est essentiel d’assurer une meilleure protection des lanceurs d’alerte pour renforcer le cadre d’alerte existant. Le projet de loi de transposition qui doit être discuté en novembre prochain à l’Assemblée nationale s’inspire directement du rapport Gauvain-Marleix et reprend un grand nombre de ses propositions.

Il a été suggéré dans le rapport de créer un système plus incitatif et d’offrir une meilleure protection aux lanceurs d’alerte en modifiant les critères d’admissibilité existants.

Le critère du « désintéressement », jugé trop vague, a été demandé de supprimer. Les procédures de signalement seraient simplifiées en supprimant l’obligation actuelle de faire d’abord signaler par le lanceur d’alerte les faits répréhensibles en interne, et en autorisant plutôt les lanceurs d’alerte à contacter directement les autorités, sous réserve que des conditions spécifiques soient remplies garantissant leur anonymat et la confidentialité des documents transmis.

Une liste de représailles contre lesquelles les lanceurs d’alerte seraient protégés a été détaillée, et la création d’une sanction civile dissuasive et d’un délit de « représailles contre un lanceur d’alerte » ont été suggérées. 

Le Défenseur des droits serait chargé de se prononcer sur la bonne foi d’un lanceur d’alerte, ainsi que de surveiller le traitement des alertes.


De Sapin 2 à Sapin 3 ?

Tous ces changements proposés promettent certainement de renforcer la lutte contre la corruption en France. Je suivrai attentivement les futures discussions parlementaires sur la prochaine loi « Sapin 3 » et donnerai des conseils sur ses résultats futurs.

LE LEGISLATEUR-REGULATEUR, AMPLIFICATEUR DE RISQUE. DEUX NOUVELLES ILLUSTRATIONS ISSUES DE L’ACTUALITE. (2) LOI SAPIN II – L’OCDE POINTE LES PROGRES DE LA FRANCE MAIS SOULIGNE LE CHEMIN LUI RESTANT A PARCOURIR POUR PROTEGER LES ENTREPRISES –

RAPPEL LOI SAPIN II

La loi Sapin II vise à prévenir les risques de blanchiment des capitaux, de financement du terrorisme et de la corruption – la corruption est le fait pour toute personne de solliciter une personne dépositaire de l’autorité publique, moyennant rémunération, un acte relevant de ses fonctions –. Elle propose six mesures pour cartographier le risque de corruption et le prévenir au niveau organisationnel et individuel. Cette loi n’oblige pas à une communication extérieure spécifique mais elle engage la responsabilité personnelle des dirigeants et celle de la société en tant que personne morale.

Nicolas Dufour et moi-même présentons davantage la loi Sapin II ainsi que les réglementations en vigueur et la soft-law (principe de précaution) dans notre ouvrage ; voir « La Fonction Risk Manager. Organisation. Méthodes et Positionnement », Ed Gereso, p.50. 

https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html

LIRE OU RELIRE

Vous pouvez également lire ou relire d’autres articles sur ce sujet sur le blog dans les rubriques corruption et/ou Loi Sapin II ou en recherchant par mots clés ou dans les archives mensuelles par date.

Par exemple, un article présentant les principaux résultats de l’enquête de l’Agence Française Anticorruption avec un lien pour y accéder, un article sur la cartographie des risques de corruption, un article intitulé « Trois ans après, où en sont les entreprises ? »

RISQUE DE CORRUPTION : LES PROGRES. LE CHEMIN A PARCOURIR

Cinq ans après la naissance de la loi Sapin 2, le cabinet de Bruno Le Maire donne son feu vert à ce qui ressemble à une nouvelle loi « Sapin 3 ». La loi Sapin 2 a marqué un véritable tournant dans la lutte contre la corruption en France en introduisant des changements importants dans la loi, en créant l’Agence française de lutte contre la corruption, et en ajoutant une dimension préventive qui n’existait pas ailleurs : l’obligation pour certaines entreprises privées de mettre en place des mesures anti-corruption.

Dans leur rapport rendu le 7 juillet 2021, les députés Raphaël Gauvain et Olivier Marleix, corapporteurs de la Commission des lois de l’Assemblée nationale chargée de l’évaluation de la loi Sapin 2, dressent un bilan positif de la loi Sapin II, mais notent que la France n’a pas progressé dans les indices internationaux de perception de la corruption depuis 2015. Ils ont relevé qu’en 2020, la France était classée 23e sur l’IPC de Transparency International, au même niveau qu’en 2015.

Je vous propose ci-dessous un article très complet qui fait le point sur les progrès accomplis et le chemin qui reste à parcourir avant d’aborder dans un prochain article ce que l’on sait de la loi Sapin III.

Risque de corruption : l’OCDE pointe les progrès de la France mais souligne le chemin lui restant à parcourir pour protéger les entreprises

Des progrès sont avérés mais la France doit encore intensifier ses efforts.

Le Groupe de travail sur la corruption, qui regroupe 44 pays de l’OCDE, a publié fin 2021 un rapport évaluant les progrès effectués depuis 2012 par la France dans la mise en œuvre de l’infraction de Corruption d’Agent Public Etranger (CAPE).

Les progrès réels de la lutte anticorruption

Le verdict est globalement positif : en quelques années, la France est devenue un interlocuteur « crédible » en matière de lutte contre la CAPE, et ce grâce à une restructuration profonde de son cadre législatif anti-corruption.

Plusieurs réformes sont à l’origine de ces progrès. D’abord, la création en 2013 du PNF (Parquet National Financier) et d’un service de police judiciaire dédié à la criminalité financière (OCLCIFF) ont permis d’augmenter le nombre de sanctions pénales pour corruption.

Ensuite, la loi Sapin 2, qui a permis d’introduire dans le droit français une obligation de conformité pour les entreprises. Ces mesures préventives, alliées à l’introduction de la justice négociée par CJIP (Convention Judiciaire d’Intérêt Public) ont radicalement transformé la responsabilité des personnes morales. Désormais, les entreprises sont intégrées à la stratégie de lutte anticorruption, puisqu’elles sont tenues – en amont – de prévenir les cas potentiels et – en aval – de prendre des mesures correctives et de coopérer avec les autorités.

Depuis 2012, 14 affaires de CAPE ont été résolues, aboutissant à la sanction de 19 personnes physiques et 23 personnes morales. Parmi ces affaires, 5 ont été résolues hors procès, grâce à une CJIP. Au demeurant, ces poursuites ont ciblé des acteurs économiques de grande envergure comme entre autres Airbus, Bolloré SE ou Systra.

Selon le rapport, il s’agit d’un véritable progrès si l’on compare à la période pré-2012, au cours de laquelle seules 3 condamnations de personnes physiques (et aucune personne morale) avaient eu lieu, pour des affaires d’envergure mineure. Cependant, même si ces résultats sont encourageants, le rapport met aussi en lumière un certain nombre de vulnérabilités du modèle français.

Des acquis fragiles, à consolider d’urgence

Même si le nombre d’enquêtes ouvertes pour CAPE a été multiplié par 3,5 depuis 2012, seulement 13% d’entre elles ont donné lieu à des condamnations ou à un règlement par CJIP. Cette proportion est très faible par rapport aux économies européennes comparables, pour lesquelles 39% des enquêtes donnent lieu à une condamnation. Par ailleurs, un nombre important d’allégations n’ont donné lieu à aucune enquête.

Selon le rapport, cette insuffisance n’est pas liée à une absence de volonté politique, mais au manque de ressources affectées à l’ensemble des maillons de la chaîne pénale. L’augmentation de ces moyens est donc une condition sine qua non à l’efficacité de la lutte anticorruption en France.

Le Groupe estime aussi que les avancées de la France sont fragilisées par certaines réformes récentes ou en cours. En 2021, par exemple, la durée d’enquête préliminaire a été limitée à trois ans : le rapport recommande d’allonger cette durée, afin de s’assurer de disposer de tous les éléments nécessaires à une sanction rapide et efficace

Autre hic : la possible refonte de l’AFA et de ses missions, envisagée par la proposition de loi déposée fin 2021 par le député Raphaël Gauvain, suscite des inquiétudes quant à la poursuite du travail d’accompagnement et de contrôle des entreprises. Le Groupe recommande donc de tout faire pour préserver les missions et les moyens alloués à l’AFA.

Le reste des recommandations concerne surtout la poursuite des avancées entamées : préserver le rôle d’enquête du PNF (ciblé par des critiques après la condamnation de Nicolas Sarkozy), poursuivre les efforts afin de développer une justice négociée efficace grâce aux CJIP, et continuer à améliorer la coordination entre les différents services pour l’émergence d’une justice mieux coordonnée.

La France ne doit donc pas relâcher ses efforts, et cela semble en bonne voie à ce jour : parmi les chantiers actuels, on peut citer la loi pour la confiance dans l’institution judiciaire visant à renforcer l’indépendance du parquet (adoptée fin 2021), ou encore la transposition (en cours) de la dispositive européenne sur les lanceurs d’alerte. Fin 2023, la France présentera à l’OCDE un rapport détaillant les mesures prises pour mettre en œuvre ces recommandations.

Cas détectés : la partie émergée de l’iceberg ?

Plus globalement le rapport estime que le nombre de cas détectés est probablement dérisoire par rapport au profil économique de la France et au nombre d’allégations de corruption dans les médias.  En tant qu’acteur majeur dans l’économie mondiale, la France est en effet très présente dans des juridictions à haut risque comme l’Asie ou l’Afrique, et les entreprises françaises s’exposent dans des domaines risqués : aéronautique et spatial, production d’énergie nucléaire, industries manufacturières et extractives, armement, construction…

L’une des priorités, selon le rapport, doit donc être l’amélioration de la détection. La France a déjà pris certaines mesures afin d’améliorer la coordination entre ses services : par exemple en 2020, la circulaire Belloubet a enjoint les intervenants à « exploiter l’ensemble des canaux de signalement existants ». Mais ces canaux, comme les postes diplomatiques ou les lanceurs d’alertes, ont été très peu utilisés ; la grande majorité des affaires poursuivies étant toujours détectées par Tracfin, la cellule de renseignement française anti-blanchiment, on peut dire que la diversification des sources d’alerte n’a pas fonctionné.

Résultat : à ce jour, un grand nombre d’affaires n’ont pas été détectées par les autorités françaises… Mais par des autorités étrangères.

Aux entreprises d’agir à l’international

Ce cas de figure fréquent, en plus d’alerter sur l’efficacité relative des mesures déployées, peut être lourd de conséquences pour les entreprises françaises. Lorsqu’une autorité étrangère détecte un cas de CAPE, il est en effet d’autant plus probable que cela donne lieu à des poursuites contre des sociétés qui, à l’international, doivent naviguer dans une multiplicité de législations locales et extraterritoriales.

Pour se protéger d’une telle éventualité, la compliance reste la principale arme des firmes françaises. Et un grand nombre d’entre elles semble en avoir pris conscience : on peut ainsi voir, derrière le récent classement EcoVadis qui place les entreprises françaises à la 3ème position mondiale en matière de responsabilité sociale et d’achats responsables, l’influence de la loi Sapin 2 et l’importance accordée aux due diligences d’intégrité avant de s’associer à un partenaire commercial tiers.

Là  aussi, les progrès restent pourtant à relativiser. Fin 2020, un baromètre a révélé que les entreprises françaises peinent à développer une vision d’ensemble des risques à l’étranger : réglementations locales, coutumes et pratiques à risque, connaissance des partenaires locaux… Les entreprises ont, elles aussi, un long chemin à parcourir et de nombreux efforts à fournir.

Faciliter la détection et la sanction des infractions pour les services de l’Etat et mieux prendre en main les enjeux de conformité pour les entreprises : telles sont les deux conditions qui semblent aujourd’hui indispensables pour confirmer les progrès de la France dans la lutte contre la corruption internationale.

Brune Lange ; 20 janvier 2022

Partager sur print

Sources

SKAN1 Outlook : Loi Sapin 2 : succès et évolutions du modèle anticorruption français

Dalloz Actualités : Durée maximale des enquêtes préliminaires : de la lenteur à l’arrêt ?

SKAN1 Outlook : En route vers une loi « Sapin 3 » ? Retour sur le projet déposé par le député Raphaël Gauvain pour renforcer la lutte anticorruption

France Inter : Le Parquet national financier sous le feu des critiques

SKAN1 Outlook : Une nouvelle enquête du PNF sur Thales ravive le débat sur les lanceurs d’alerte

  • Justice négociée par CJIP

SKAN1 Outlook : La CJIP de l’affaire AIRBUS

SKAN1 Outlook : La CJIP Systra pour corruption en Asie Centrale

  • Entreprises françaises à l’international

SKAN1 Outlook : Extraterritorialité : année record du FCPA, enjeu prioritaire pour les autres acteurs

Ministère de l’Economie : palmarès Ecovadis des performances RSE

SKAN1 Outlook : Entreprises françaises : un bilan mitigé pour les dispositifs de conformité Sapin 2