Tous les articles par carolineaubry

Pause estivale

Pour mieux se retrouver au début du mois de septembre.

L’actualité du risque, du risk management et du Risk Manager est toujours aussi dense. J’ai déjà des idées d’articles : baromètre des risques des PME / gestion du risque de fraude / rôle du Risk Manager / communication de crise et communication en temps de crise…

Découvrir le blog via les mots-clés ou les archives.

Une lecture conseillée par la Presse (Le Monde Informatique, La Tribune de l’Assurance par exemple) : « Risk Management. Organisation et positionnement de la Fonction Risk Manager. Méthodes et Gestion des risques. » Editions Gereso. 293 pages, 18,99 à 27 euros

https://librairie.gereso.com/livre-entreprise/risk-management-fris2.html

Voir Retour Presse
22 Juin 2022
Journaliste : Bertrand Lemaire
http://www.lemondeinformatique.fr p. 1/2


« Guide sur la fonction de gestionnaire de risques
Caroline Aubry et Nicolas Dufour viennent de publier chez Gereso « Risk Management – Organisation et positionnement de
la Fonction Risk Manager – Méthodes de gestion des risques ».

L’ ouvrage « Risk Management » vient de paraître chez Gereso.
Les DSI ont tendance à ne voir que les risques de type cyber-menaces, risques qui ne méritent plus tellement leur nom tant leur certitude est aujourd’hui absolue. Or les risques pouvant affecter un SI sont bien plus vastes : risques fournisseurs, risques physiques (incendies, inondations..), etc. La gestion des risques doit donc impérativement faire partie de leur
périmètre, en partenariat avec le spécialiste de leur entreprise, le gestionnaire de risques. Pour comprendre les ressorts de cette gestion des risques, la lecture « Risk Management – Organisation et positionnement de la Fonction Risk Manager – Méthodes de gestion des risques » qui vient de paraître chez Gereso, sous les signatures de Caroline Aubry et Nicolas Dufour, pourra leur être très utile. Cet ouvrage leur permettra en effet à la fois d’apprendre les méthodes de gestion des risques mais aussi de comprendre le travail du gestionnaire de risques et ainsi de savoir comment travailler avec lui.

L’ouvrage débute par les fondamentaux sur la gestion des risques et le travail du gestionnaire de risques. Un chapitre est ensuite consacré aux différentes classes de risques et ce qu’implique cette classification en matière de réponses. La méthode de gestion des risques occupe bien sûr un important chapitre ainsi que la bonne insertion dans les process et l’organigramme du gestionnaire de risques. Pour terminer, un chapitre se consacre aux compétences nécessaires pour bien gérer des risques.
Le texte est clair, sans jargon inutile, et est illustré de tableaux et de schémas autant que nécessaire dans un but pédagogique.

A propos de l’ouvrage Risk Management – Organisation et positionnement de la Fonction Risk Manager – Méthodes de gestion des risques, par Caroline Aubry et Nicolas Dufour (Editions Gereso, 293 pages, 18,99 à 27 euros) »

Criticité des métaux rares : quels risques pour la transition écologique

Je vous propose de lire cet article en ayant en tête une démarche « classique » de gestion des risques et de construction d’une cartographie telle que Nicolas Dufour et moi-même la proposons dans notre ouvrage « Risk Management. Organisation et positionnement de la Fonction Risk Manager. Méthodes de gestion des risques » ; https://librairie.gereso.com/livre-entreprise/risk-management-fris2.html ) ; Chapitre 4, Méthodes, démarches et outils des Risk Managers, p.155.

Rappel des étapes

  • Identifier les risques, passés, présents et émergents ;

Le nommer / avec l’aide ou non d’une typologie / à partir de la typologie de l’AMRAE, ce pourrait être :

CATEGORIE RISQUES STRATEGIQUES & EXTERNES / SOUS CATEGORIE ENVIRONNEMENT / Rubrique Matières Premières

Le qualifier : risque nouveau ; difficile à assurer

Le décrire : voir détails dans l’article ;

  • Evaluer le niveau de criticité des risques en tenant compte de leur probabilité de survenance et de leur impact ; pour rappel CRITICITE = PROBABILITE x IMPACT ; ici :

Eléments de Probabilité : « forte dépendance des filières bas-carbone » ; « couverture limitée contre le risque d’approvisionnement »

Elément d’Impact : « dommages environnementaux suffisamment importants pour compromettre la pertinence écologique de leur production » ;

  • Hiérarchiser les risques ;
  • Identifier les zones de risques insuffisamment couvertes par le dispositif de maîtrise ;
  • Mettre en place des plans d’actions et des outils de reporting. Les auteurs proposent en conclusion des plans d’actions pour réduire la criticité du risque.

Faire le point sur le risque climatique : lire et/ou écouter sur le blog  / cliquez sur les liens ci-dessous

Criticité des métaux rares : quels risques pour la transition écologique

L’enjeu crucial de la décennie à venir est de réduire nos émissions de gaz à effet de serre en mobilisant, d’une part, des énergies décarbonnées et en améliorant, d’autre part, l’efficacité énergétique de nos économies dans le but de « faire autant avec moins ».

La priorité donnée au déploiement des technologies des énergies renouvelables a fait émerger de nouvelles problématiques liées aux matières premières. Si le soleil ou le vent sont certes des énergies primaires renouvelables, les technologies permettant de les transformer en énergie utile à nos sociétés sont dépendantes, entre autres, aux métaux. Cette réalité englobe l’ensemble des technologies de l’énergie bas carbone qui, en comparaison des technologies fossiles, sont plus intensives en métaux(1).

Parmi ces dépendances nouvelles, c’est celle aux métaux rares (large catégorie de métaux incluant les terres rares) qui a fait couler le plus d’encre. Suite à la forte croissance des marchés des énergies renouvelables, des articles académiques ont alerté sur le risque pour la transition énergétique que constitue une rupture d’approvisionnement en terres rares(2) et des institutions se sont saisies de la question(3). Enfin, un ouvrage publié en 2018 par Guillaume Pitron intitulé « La Guerre des métaux rares » a également participer à inscrire cette question dans le débat public – opération renouvelée avec la diffusion en 2021 d’un documentaire adapté de ce même ouvrage.

Les métaux rares sont jugés « critiques » à l’échelle mondiale et pour les filières bas carbone s’ils :

  • sont importants pour le développement de ces filières ;
  • subissent un risque de rupture d’approvisionnement ;
  •  induisent des dommages environnementaux suffisamment importants pour compromettre la pertinence écologique de leur production.

La facture environnementale de la transition est-elle une question ?

La facture environnementale des énergies renouvelables est-elle réellement plus élevée que celle du maintien d’un système énergétique fondé sur les énergies fossiles ? Pour y répondre, il faut tenir compte de l’ensemble des étapes de production de ces technologies et des pollutions qui y sont associées. C’est l’approche suivie par les analyses de cycles de vie qui portent sur le sujet(4) et qui ne laissent pas de place au doute en concluant à un bilan écologique positif pour les énergies renouvelables.

Cela ne signifie pas qu’elles ne polluent pas mais qu’en comparaison des énergies fossiles, elles permettent un système énergétique avec une empreinte écologique moindre. Ainsi, laisser penser que la pollution liée aux terres rares que contient l’aimant permanent d’une éolienne offshore est d’une importance comparable à celle que génère une centrale à charbon revient à confondre les ordres de grandeur.

À titre d’illustration, on peut comparer les émissions de gaz à effet de serre imputables à l’énergie éolienne avec celles des énergies fossiles. Un kWh d’électricité d’origine éolienne émet entre 6,4 et 8,5 g de CO2 sur l’ensemble de son cycle de vie. Ce chiffre monte à 530 g de CO2/kWh pour le gaz et 930 g de CO2/kWh pour le charbon.

On pourra opposer à cette comparaison de ne s’intéresser qu’aux émissions de GES qui ne constituent hélas pas la seule menace qui pèse sur les écosystèmes, mais l’empreinte écologique de l’éolien reste également moindre en comparaison des énergies fossiles pour d’autres types de pollutions (écotoxicité, particules, acidification terrestre, etc.). Dans ce contexte, quelle est la contribution des métaux rares à la pollution que génèrent les énergies renouvelables ? Faible en comparaison des autres matières premières utilisées comme les métaux structurels tels que le cuivre ou l’aluminium. En effet, les 150 kg de terres rares (néodyme) utilisés dans l’aimant permanent d’une éolienne offshore ne pèsent qu’environ 0,05 g de CO2/kWh, soit moins d’un pourcent de son empreinte carbone globale.

L’importance économique des métaux rares

Évaluer l’importance économique des métaux rares pour les filières bas carbone conduit à un paradoxe. Si les propriétés particulières des métaux rares en font dans certains cas des ressources nécessaires à ces filières, sans perspectives de substitution à court terme, le fait est que les métaux rares sont des coproduits. Leurs productions dépendent donc des autres métaux dont elles sont les coproduits. Par exemple, il n’existe pas de mine d’indium mais des mines de zinc dont on pourra extraire une fine proportion d’indium.

La demande pour les métaux rares est ainsi assujettie aux dynamiques d’offres en place sur d’autres marchés, ce qui se traduit par une forte volatilité des productions et des prix. Ces derniers offrent alors une information relativement pauvre aux acteurs économiques qui décourage la mise en place d’une gestion soutenable de ces ressources.

De ce statut de coproduit découle des caractéristiques bien spécifiques. Parmi celles-ci, la plus inquiétante est la faible proportion de métaux rares étant recyclée. Ces métaux si particuliers souffrent d’usages fortement dissipatifs. Par exemple, dans les produits du numérique, ils sont présents en une quantité trop petite pour justifier le coût du traitement des déchets et leur recyclage à des fins de récupération des métaux rares(5). Concrètement, il demeure moins coûteux d’extraire des métaux rares en tant que coproduits que de les recycler, malgré les différences des deux opérations en termes d’empreintes écologiques.

Le risque de rupture d’approvisionnement

L’organisation actuelle des marchés des terres rares ne permet qu’une couverture limitée contre le risque d’approvisionnement. Tout d’abord, il n’existe pas de bourses organisées pour des contrats à terme qui porteraient sur la fourniture d’une certaine quantité de métaux rares à une date et un prix fixés à l’avance sur le marché de manière publique.

Les contrats à terme sur les métaux rares sont donc conclus de gré-à-gré, faisant ainsi des quantités échangées et des prix de vente des informations privées. Cette organisation génère une forte volatilité des prix sur les marchés au comptant, dits marchés spots, qui se retrouvent exposés à d’importants déséquilibres de court terme entre l’offre et la demande. Par ailleurs, les marchés des métaux rares sont fortement affectés par les dynamiques des marchés de métaux de base en période de faible volatilité ainsi que par celles des marchés financiers en période de forte volatilité, rendant la prédictibilité des prix d’autant plus délicate(6).

Le quasi-monopole de la Chine sur la production des terres rares, qui avoisinait 90% de la production mondiale à la fin de la décennie 2000, participe également à accroitre le risque de rupture d’approvisionnement. Dès 2006, le gouvernement chinois a mis en place des mesures visant à renforcer son contrôle sur l’industrie chinoise des terres rares. Mais ce n’est qu’en 2010 que les importateurs de terres rares réalisent soudainement l’ampleur du pouvoir de marché chinois. La mise en place de quotas d’exports par la Chine, équivalant dans un premier temps à 55% de la demande étrangère, couplée à la levée de taxes sur ces exports et à un embargo sur le Japon entre septembre et novembre contribueront à l’explosion des prix des terres rares, mettant les pays industrialisés face à leur dépendance.

La levée de taxes et des quotas en 2015 a marqué une nouvelle étape dans la reprise en main par Pékin de l’industrie des terres rares. Le scandale du Fanya Metal Exchange illustre en effet l’opacité de cette industrie. Cette plateforme d’échanges située à Kumming dans le sud de la Chine lancée en 2011 et active jusqu’en 2015 se vantait d’être la plus grande plateforme dédiée au trading des terres rares. Elle promettait des retours sur investissements généreux aux épargnants chinois jusqu’à être mise en examen pour défaut de paiement d’intérêts à 220 000 épargnants et un total de 6,2 milliards d’euros. La plateforme fonctionnait selon une chaîne de Ponzi et l’affaire a déclenché des vagues de protestations dans le pays pointant notamment le manque de régulation de la part du pouvoir central et les affaires de corruption qui entouraient ce montage financier. Il est en effet difficile pour Pékin de connaitre avec précision la quantité de terres rares produites et stockées sur son territoire. La production de contrebande est importante, elle représentait à minima 30% de la production nationale en 2017(7). Pékin a depuis lutté contre cette production de contrebande, mis en place des taxes sur les productions régionales et restructuré l’industrie en six opérateurs publics, avant d’annoncer une nouvelle restructuration avec uniquement deux firmes géantes et publiques qui géreront la production de matières premières.

Cette reprise en main par Pékin de l’industrie n’a pas vocation à calmer les tensions commerciales autour des terres rares mais bien à assurer que la mainmise sur les terres rares bénéficie aux industries chinoises. En effet, dès 2012 un Livre Blanc du Conseil d’État pointe la forte diminution des réserves de terres rares lourdes dans la province de Jiangxi, premier producteur de ces métaux au monde. La réussite de la stratégie « Made in China 2025 », mise en place en 2015 et qui vise à développer les capacités de production du pays dans les industries des nouvelles technologies (bas-carbone, robotique, IA, nouveaux matériaux), est donc conditionnée à un approvisionnement suffisant. La reprise en main de l’industrie des terres rares par Pékin marque la volonté de favoriser la demande intérieure(8).

Conclusion

À l’échelle globale, la disponibilité géologique des métaux rares tend à indiquer qu’ils ne seront pas critiques pour les technologies des énergies renouvelables. Leur déploiement à grande échelle est d’avantage compromis par la compétition géoéconomique des pays autour du leadership sur ces technologies ainsi que la prise de conscience tardive du poids de la Chine dans cette industrie.

Plusieurs options sont envisageables pour réduire ce risque de criticité. Elles doivent privilégier une approche systémique qui inscrit la transition énergétique dans le projet plus global de la transition écologique. Ainsi, il faut viser à renforcer la souveraineté technologique de l’Europe et à la mettre au service du développement de technologies les moins polluantes possibles. Par exemple, les éoliennes peuvent se passer d’aimants permanents et donc de terres rares. Cette filière des générateurs à électro-aimants doit être soutenue via des pénalités imposées aux générateurs à aimants permanents qui reflèteront le coût écologique des terres rares.

De même, dans un contexte de raréfaction des ressources minérales, des règlementations doivent être mises en place pour imposer aux concepteurs de technologies nouvelles d’intégrer dès la phase de développement l’enjeu du recyclage en vue d’en diminuer le coût. Enfin, la transformation du secteur électrique doit être guidée par l’objectif de réduction des pollutions associées à la génération d’électricité. Ainsi la question de la réduction de notre consommation d’énergie doit être posée avant de déployer des nouvelles capacités de production en vue d’éviter l’empilement des capacités énergétiques auquel nous assistons aujourd’hui.

Florian Fizaine et Clément Bonnet ; Maîtres de Conférences en Sciences Economiques. Paru le 20 juin 2022.

  1. Kleijn et al., 2011 ; Vidal et al., 2017.
  2. Baldi et al., 2014 ; Stengen, 2015.
  3. World Bank, 2017 ; UE-JRC, 2011.
  4. Hertwich et al., 2015 ; Gibon et al., 2017.
  5. Fizaine, 2020.
  6. Reboredo et Ugolini, 2020.
  7. Mineralinfo, 2017.
  8. Seaman, 2019.

Baldi, L., Peri, M., & Vandone, D. (2014). Clean energy industries and rare earth materials: Economic and financial issues. Energy Policy, 66, 53-61Fizaine, F., 2013. Byproduct production of minor metals: threat or opportunity for the development of clean technologies? The PV sector as an illustration, Resources Policy, 38, 3, 373-383.

Fizaine, F., 2015. Les métaux rares. Opportunité ou menace ? Enjeux et perspectives associés à la transition énergétique., F. Fizaine, Edition Technip, Collection Géopolitique, septembre 2015, 192p.

 Fizaine, F., 2020. The economics of recycling rate: New insights from waste electrical and electronic equipment, Resources Policy, 67.

Fizaine, F., Court, V., 2015. Renewable electricity producing technologies and metal depletion: a sensitivity analysis using the EROI, Ecological Economics, 110, 106-118

Gibon, T., Arvesen, A., Hertwich, E. G. 2017. Life cycle assessment demonstrates environmental cobenefits and trade-offs of low-carbon electricity supply options, Renewable and Sustainable Energy Reviews, 76, 1283-1290.

Hertwich, E.G., Gibon, T., Bouman, E.A., Arvesen, A., Suh, S., Heath, G.A., Bergesen, J.D., Ramirez, A., Vega, M.I., Shi, L., 2015. Integrated life-cycle assessment of electricity-supply scenarios confirms global environmental benefit of low-carbon technologies. Proc Natl Acad Sci USA 112, 6277.

Kleijn, R., Van der Voet, E., Kramer, G. J., Van Oers, L., Van der Giesen, C., (2011). Metal requirements of low-carbon power generation, Energy, 36, 9, 5640-5648.

Reboredo, J. C., & Ugolini, A. (2020). Price spillovers between rare earth stocks and financial markets. Resources Policy, 66, 101647.

Seaman, J., 2019. Rare earths and China: A review of changing criticality in the New Economy. Notes de l’Ifri, Ifri, January 2019.

Stegen, K. S. (2015). Heavy rare earths, permanent magnets, and renewable energies: An imminent crisis. Energy Policy, 79, 1-8.

Vidal, O., Rostom, F., François, F., Giraud, G., 2017. Global trends in metal consumption and supply: the raw material-energy nexus, Elements, 13, 319-324

Analyse des Risques : une façon d’analyser l’ampleur des risques ou comment parler de l’ampleur des risques (2). Le risque géopolitique

L’actualité témoigne d’une ampleur inédite des risques sous l’effet des cinq facteurs à l’œuvre depuis les années quatre-vingt-dix, qui fait aujourd’hui de sa gestion une variable stratégique de la réflexion des organisations.

🏁 Un ouvrage / « Risk Management. Organisation et Positionnement de la Fonction Risk Manager. Méthodes de Gestion des Risques. » / Paru le 9 juin 2022 / Editions Gereso. https://librairie.gereso.com/livre-entreprise/risk-management-fris2.html

Sites FNAC…

Il s’agit de :

La 2ème édition de notre ouvrage « La Fonction Risk Manager. Organisation, Méthodes et Positionnement » (Editions Gereso, 2019)

Avec un titre plus « large » / La Fonction Risk Manager / La démarche de Gestion des Risques

 Avec de nouveaux exemples :

Comme, dans le chapitre I « Définition des notions et contextualisation de la Fonction Risk Manager, celui intitulé « Du Risque incendie au Risque éthique : l’incendie de l’usine Lubrizol »

Pour illustrer

  • l’imbrication des facteurs déjà mis en œuvre depuis les années quatre-vingt-dix
  • la transversalité du risque.

🎯 Aujourd’hui, après « Risque Ethique et Risque de Réputation » paru sur le blog (https://gestiondesrisques.net/), je vous propose un autre exemple à travers une analyse du risque géopolitique

  Mêmes facteurs : élargissement du domaine de la gestion des risques / subjectivité et perception du risque / amplification du risque par les médias / le régulateur-législateur / réticence des assureurs à l’assurer

Transversalité du risque : Géopolitique / Cyber-sécurité / Supply Chain

🏅Testez cette grille de lecture sur les risques du Top Ten des baromètres de risques –  cyber-risque/risque sanitaire… – ; sur les affaires – Incendie de l’usine Lubrizol…-.

Le risque géopolitique au centre des préoccupations

N° 13 dans le baromètre Allianz 2022 mais N° 4 dans le Top 10 des risques opérationnels / Enquête RiskIn, 2022. Sans surprise, il est en hausse de plusieurs places cette année.

🔄Un risque transversal

Ci-dessous un aperçu de l’enquête :

« L’invasion de l’Ukraine, les sanctions occidentales et la réponse russe entraînent une forte augmentation des risques liés à la cybersécurité et à la chaîne d’approvisionnement.

Le directeur des risques d’un grand gestionnaire d’actifs européen résume succinctement l’impact de la guerre dévastatrice de la Russie en Ukraine sur le profil de risque opérationnel de son entreprise : « Nous avons la guerre en Europe. Pas seulement de petits moments : des choses qui font entièrement bouger notre entreprise. » Et bien que les votes de l’enquête annuelle Top 10 des risques opérationnels de Risk.net aient été exprimés à l’avènement – dans un climat de détérioration des relations et de rassemblement des troupes russes aux frontières de l’Ukraine – la guerre et ses conséquences ont jeté une ombre horrible sur les résultats de cette année.

Le risque global d’une augmentation des cyberattaques parrainées par l’État en réponse aux sanctions est « une probabilité », déclare un responsable du cyber-risque. Cependant, l’impact de l’instabilité mondiale a des ramifications potentielles beaucoup plus larges pour le profil de menace de sa banque, ajoute le dirigeant : « Je ne prendrais pas seulement ce cas pour mélanger les deux entièrement – le risque géopolitique a [un] élément cyber, mais aussi la chaîne d’approvisionnement ». Et des éléments de résilience aussi. »

La résilience est la capacité à maintenir des services ou des opérations critiques pendant les périodes de perturbation. Les attentes ont été formalisées par les principes de résilience des régulateurs britanniques – qui devraient entrer en vigueur fin mars 2022 – et ont été testées dans le monde réel sous la forme de la pandémie de Covid-19, ainsi que la menace très réelle de pannes frappant les réseaux de paiement. Et d’autres éléments clés de l’infrastructure mondiale à la suite de l’invasion de l’Ukraine.

Ouvrage, disponible aujourd’hui 9 juin 2022, « RISK MANAGEMENT. ORGANISATION ET POSITIONNEMENT DE LA FONCTION RISK MANAGER. METHODES DE GESTION DES RISQUES. »

Professionnels qui souhaitez découvrir ou approfondir vos connaissances sur le Risk Management et la Fonction Risk Manager : un ouvrage, disponible aujourd’hui 9 juin 2022, « RISK MANAGEMENT. ORGANISATION ET POSITIONNEMENT DE LA FONCTION RISK MANAGER. METHODES DE GESTION DES RISQUES. »
🏁 Il est disponible aujourd’hui, 9 juin 2022 / Sur le site de GERESO Editions, collection Management https://librairie.gereso.com/livre-entreprise/risk-management-fris2.html
/ Sur les sites de la FNAC, AMAZON… 

🎯 Il s’agit de :
La 2ème édition de notre ouvrage 📖  « La Fonction Risk Manager. Organisation, Méthodes et Positionnement » / paru chez Gereso Editions / en 2019 / labellisé FNEGE dans la catégorie Manuel en 2020
✅ Avec un titre plus « large » / La Fonction Risk Manager / La démarche de Gestion des Risques
✅ Avec des ajouts :
👉 Une nouvelle période d’analyse / de 2019 à aujourd’hui
👉 L’intégration des nouveaux enjeux :
  • la loi sur le devoir de vigilance
  • le risque éthique et le risque de réputation
  • le risque cyber, le risque de fraude et leur gestion
  • le rôle du Risk Manager face à la crise sanitaire du Covid 19

👉 De nouveaux exemples

👓 Pour ceux qui découvrent notre ouvrage, vous y trouverez : 
✅ Un panorama complet de votre fonction (activité, place dans l’organisation, compétences), de la démarche de gestion des risques et de ses outils
✅ Des préconisations pour faire évoluer la fonction
✅ Une double approche académique et de terrain, au niveau du contenu, de nos parcours professionnels, des personnalités qui nous ont fait l’honneur de rédiger la préface et la postface.  

#risques #riskmanagement #gestiondesrisques #ERM#EnterpriseRiskManagement#analysedesrisques #riskmanager #gestionnairederisques #riskofficer #mastergestiondesrisques

Une façon d’analyser l’ampleur des risques ou comment parler de l’ampleur des risques.

L’actualité témoigne d’une ampleur inédite des risques sous l’effet des cinq facteurs à l’œuvre depuis les années quatre-vingt-dix, qui fait aujourd’hui de sa gestion une variable stratégique de la réflexion des organisations.

🏁 Un ouvrage à venir / « Risk Management. Organisation et Positionnement de la Fonction Risk Manager. Méthodes de Gestion des Risques. » / Parution le 9 juin 2022 / Editions Gereso.

https://librairie.gereso.com/livre-entreprise/risk-management-fris2.html

Il s’agit de :

La 2ème édition de notre ouvrage «  La Fonction Risk Manager. Organisation, Méthodes et Positionnement » (Editions Gereso, 2019)

Avec un titre plus « large » / La Fonction Risk Manager / La démarche de Gestion des Risques

 Avec de nouveaux exemples :

Comme, dans le chapitre I « Définition des notions et contextualisation de la Fonction Risk Manager, celui intitulé « Le Risque de Réputation et le Risque Ethique : une « nouvelle » affaire Nike

Pour illustrer

  • l’imbrication des facteurs déjà mis en œuvre depuis les années quatre-vingt-dix
  • la transversalité du risque.

🎯 Aujourd’hui, je vous propose un autre exemple à travers un article de Nathalie Belhoste sur ce qu’il est convenu d’appeler l’affaire Lafarge.

  Même intitulé : Risque de Réputation et Risque Ethique.

 Mêmes facteurs : élargissement du domaine de la gestion des risques / subjectivité et perception du risque / amplification du risque par les médias / le régulateur-législateur / réticence des assureurs à l’assurer / les « affaires » / amplification du risque par le régulateur-législateur.

  Transversalité du risque : Réputation / Ethique / Géopolitique.

🏅Testez cette grille de lecture sur les risques du Top Ten des baromètres de risques –  cyber-risque/risque sanitaire… – ; sur les affaires – Incendie de l’usine Lubrizol…-.

Affaire Lafarge en Syrie, pour Nathalie Belhoste, il y a eu « une myopie organisationnelle »

Que nous apprend l’affaire Lafarge en Syrie sur la responsabilité des entreprises en temps de guerre ?

Nathalie Belhoste, professeure associée à l’école de management de Grenoble : « De mon point de vue, cette affaire révèle plusieurs failles dans la compréhension des éléments par les entreprises. Le cimentier a fait preuve d’une myopie organisationnelle dans le sens où il a voulu rester à tout prix pour sauver des investissements énormes (680 millions d’euros sur le site) et s’est retrouvé dans une situation de dépendance vis-à-vis d’acteurs illégitimes et illégaux. Ce phénomène a été renforcé par une gestion à distance entre l’usine et le siège social qui a pu nuire à l’appréciation du danger de la complexité locale. Par ailleurs, les signaux forts auraient dû être observés et ne l’ont pas été (comme le développement des sanctions et embargos au fil des années). »
De nombreuses entreprises s’en sont allées de Russie, comme Renault et McDonald’s tout récemment, que ce soit par solidarité avec l’Ukraine ou parce qu’elles étaient asphyxiées par les sanctions. Quel parallèle peut-on faire avec l’affaire Lafarge ?« Rappelons d’abord que les situations sont bien différentes : en Syrie, il s’agissait d’une guerre civile, tandis qu’en Ukraine, c’est un conflit entre deux États-nations. Toutefois, on voit que les entreprises ne réagissent plus avec la même temporalité. On se pose beaucoup plus tôt la question de savoir s’il faut rester dans un pays en guerre. Des affaires comme celles de Lafarge ont permis de se rendre compte du coût pénal à ne pas appliquer la loi. Et il ne faut pas oublier la mise en place de la loi Sapin II et l’instauration du devoir de vigilance en 2017 (qui imposent aux entreprises des procédures de vérification des tiers afin notamment de lutter contre la corruption, le trafic d’influence, l’atteinte aux droits humains, à l’environnement et à la santé des personnes). Cela oblige les entreprises à être plus conscientes des conséquences de leurs actions. »
Parfois, c’est la pression de la société civile qui a poussé les entreprises à partir de Russie…« Oui, tout à fait. Et c’est une différence fondamentale entre les deux situations : la mobilisation a été beaucoup plus rapide en 2022 pour l’Ukraine qu’elle ne l’a été en 2011 en Syrie. Bien sûr, la médiatisation et la lecture claire de la guerre en Syrie se sont faites plus graduellement, mais on voit aussi que la société civile a changé. Les ONG et la population sont bien plus sensibilisées et ont appelé très rapidement au boycott de plusieurs entreprises restées en Russie. Il est intéressant de voir qu’elles ne sont pas toutes logées à la même enseigne et que certaines, moins connues du grand public, sont restées sans subir les foudres de la vindicte populaire. »

Repères

Une possible mise en examen de Lafarge

La cour d’appel de Paris rendra mercredi sa décision sur la validité de la mise en examen du groupe pour « complicité de crimes contre l’humanité ». Lafarge SA est soupçonné d’avoir versé en 2013 et 2014, via une filiale, près de 13 millions d’euros à des groupes terroristes, dont l’organisation État islamique (EI), afin de maintenir l’activité d’une cimenterie en Syrie alors que le pays s’enfonçait dans la guerre. Le groupe a toujours contesté toute responsabilité dans la destination de ces versements à des organisations terroristes. Dans ses réquisitions, le parquet général a demandé le maintien de la mise en examen pour « complicité de crimes contre l’humanité » de Lafarge mais a requis l’annulation de sa mise en examen pour « mise en danger de la vie d’autrui ». Les avocats du cimentier n’ont pas souhaité faire de commentaire avant le délibéré de mercredi.

Nathalie Belhoste. 17/05/2022. 

CA BOUGE DU COTE DU CYBER-RISQUE (4) COMMENT SE PREMUNIR CONTRE UNE CYBERATTAQUE.

🏅Le cyber risque, risque n°1 pour les entreprises.
Un risque nouveau aux modalités multiples, un risque subjectif qui le rend difficile à appréhender et à gérer, un risque difficile (« illusoire ») à assurer, un risque amplifié par le régulateur-législateur
❓Evaluation du risque : une probabilité élevée (voir causes nombreuses) ; un impact fort (voir coût élevé)
 🚴 Comment agir ?
👉 Indispensable, a minima complémentaire à l’assurance, mieux que l’assurance, mettre en place des plans d’actions pour gérer le cyber risque :
–          Le prévenir
–          L’atténuer
–          L’accepter sous sa forme résiduelle

👉 L’Agence Nationale de Sécurité des Systèmes d’Information (ANSII) propose des plans d’action et cinq mesures préventives pour gérer le cyber-risque.

🏔 En savoir plus : à relire sur le blog
Plans d’action / fraude au président
https://gestiondesrisques.net/2021/12/09/le-risque-variable-strategique-de-la-reflexion-des-entreprises-3-un-nouveau-risque-la-fraude-au-president-suite-un-exemple-de-plan-dactions/
Plans d’action / cyber-risques liés au télétravail
https://gestiondesrisques.net/2021/10/06/teletravail-risques-et-plans-dactions-ou-quels-plans-dactions-pour-gerer-les-risques-lies-au-teletravail-et-selon-quelle-approche-2/
https://gestiondesrisques.net/2021/09/29/quels-plans-dactions-pour-gerer-les-risques-lies-au-teletravail/
Nécessaire implication des salariés / gestion du cyber-risque
https://gestiondesrisques.net/2018/10/19/implication-des-collaborateurs-dans-la-demarche-de-gestion-des-risques-lexemple-du-cyber-risque/
🏔 En savoir plus : à découvrir ci-dessous un article sur les plans d’actions préconisés par l’ANSII

Comment se prémunir d’une cyberattaque ?

Depuis quelques années, les cyberattaques se multiplient, en particulier en temps de crise, qu’elle soit sanitaire ou sécuritaire. L’occasion de faire le point sur les recommandations de l’Agence nationale de la sécurité des systèmes d’information (ANSSI) pour vous protéger en ligne.

Vous recevez un courriel estampillé Trésor public vous demandant de fournir vos coordonnées bancaires pour procéder à un remboursement ?

Un service de transport vous demande par sms de cliquer sur un lien pour régler les taxes douanières d’un colis ?

Vous recevez un courriel de la part de la gendarmerie nationale vous accusant d’un délit et vous demandant de répondre sous peine de poursuites ?

Soyez vigilant : les demandes adressées de manière autoritaire ou intimidante, par courriel ou par SMS, dissimulent parfois des tentatives d’arnaques.

Outre la bonne pratique qui consiste à séparer ses usages personnels et professionnels, voici les recommandations de l’ANSSI pour vous prémunir des attaques cyber.

1. Utilisez des mots de passe robustes

L’un des premiers réflexes consiste à définir des mots de passe robustes, à la fois difficiles à trouver par un système automatisé et à deviner pour une tierce personne.

Privilégiez des mots de passe longs, complexes et composés de différents types de caractères (des chiffres, des lettres majuscules, des lettres minuscules et des caractères spéciaux).

2. Préservez votre identité numérique

Préservez votre identité numérique en vous montrant vigilant en ligne et les réseaux sociaux : prenez soin de vos données personnelles et ne communiquez pas vos informations sensibles (numéro de téléphone, adresse ou numéro de carte bleue).

3. Protégez votre messagerie

Si vous recevez un message d’une personne que vous connaissez bien, mais que le contenu est étonnant (un titre en anglais ou dans une autre langue, une demande inhabituelle), faites preuve de prudence !

Vous devez garder en mémoire que l’identité de l’expéditeur peut être usurpée. Soyez attentif à tout indice mettant en doute l’origine réelle d’un courriel : incohérence de forme ou de fond entre le message reçu et ceux que votre interlocuteur légitime vous envoie habituellement.

Dans le même sens, ne répondez pas aux demandes suspectes d’expéditeurs inconnus.

Les demandes d’informations confidentielles sont rarement faites par courriel. Soyez donc attentifs à ces tentatives dites d’hameçonnage, aussi appelées phishing. Par exemple, le règlement de vos impôts passe uniquement par votre profil de contribuable sur le site impots.gouv.fr : le Trésor public ne vous demandera jamais vos coordonnées bancaires par courriel.

Vérifiez les liens qui figurent dans vos courriels avant de cliquer dessus. Si vous avez un doute, saisissez vous-même l’adresse du site dans la barre d’adresse du navigateur.

Assurez-vous également qu’en passant la souris au-dessus du lien proposé, l’adresse du site soit conforme à l’expéditeur annoncé. Souvent, le contenu des sites frauduleux comporte des fautes de français, mais de plus en plus, les tentatives d’hameçonnage emploient un français correct.

Enfin, soyez vigilant avant d’ouvrir les pièces jointes. Elles constituent le principal vecteur d’attaque et peuvent véhiculer des programmes malveillants.

4. Mettez à jour vos équipements

Votre ordinateur doit être équipé d’un antivirus efficace, ainsi que d’un système d’exploitation et de logiciels à jour pour se protéger des cyberattaques.

Les hackers ciblent les ordinateurs utilisant des logiciels qui ne sont pas à jour pour exploiter les vulnérabilités non corrigées.

5. Évitez la connexion aux réseaux non sécurisés

Évitez aussi les réseaux publics ou inconnus. Privilégiez la connexion de votre abonnement téléphonique (3G ou 4G) lorsque vous êtes en déplacement.

Les réseaux wi-fi publics sont souvent mal sécurisés, et peuvent être contrôlés ou usurpés par des pirates qui pourraient ainsi voir passer et capturer vos informations personnelles ou confidentielles (mots de passe, numéro de carte bancaire…).

Si vous n’avez d’autre choix que d’utiliser un wi-fi public, veillez à ne jamais y réaliser d’opérations sensibles et utilisez si possible un réseau privé virtuel (VPN).

6. Sauvegardez régulièrement vos données

Enfin, il faut penser à sauvegarder vos fichiers régulièrement sur un support externe à votre équipement (clé ou disque USB) que vous débranchez une fois la sauvegarde effectuée. En cas de piratage de votre ordinateur, vous risquez de perdre des données (photos, fichiers, contacts, messages…).

Si vous êtes victime d’une cyberattaque

Prévenez vos contacts, changez vos mots de passe, obtenez de l’assistance auprès de cybermalveillance.gouv.fr, déposez plainte.

ANSII. 16/03/2022

Cybersécurité : 5 mesures préventives préconisées par l’ANSSI pour protéger les entreprises

Face aux tensions liées au contexte international actuel, les entreprises doivent rester vigilantes et mettre en place une série d’actions de prévention.

L’ANSSI recommande aux entreprises de rester en alerte face aux cybermenaces.

Alors que la guerre entre la Russie et l’Ukraine gagne aussi le terrain du cyberespace, avec des cyberattaques qui se multiplient des deux côtés, Guillaume Poupard, directeur général de l’Agence nationale de la sécurité des systèmes d’information (ANSSI), recommande aux organisations françaises de redoubler de vigilance.

Les tensions internationales actuelles, notamment entre la Russie et l’Ukraine, peuvent parfois s’accompagner d’effets dans le cyberespace qui doivent être anticipés. Si aucune cybermenace visant les organisations françaises en lien avec les récents événements n’a pour l’instant été détectée, l’ANSSI suit néanmoins la situation de près. Dans ce contexte, la mise en œuvre des mesures de cybersécurité et le renforcement du niveau de vigilance sont essentielles pour garantir la protection au bon niveau des organisations, explique Guillaume Poupard dans un post LinkedIn.

Concrètement, le directeur général de l’ANSSI demande aux entreprises et aux administrations françaises de suivre avec attention les alertes ainsi que les avis de sécurité publiés et mis à jour régulièrement par le Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques (CERT-FR). Chaque organisation est également invitée à mettre en place « à court terme » une série de mesures pour « limiter la probabilité d’une cyberattaque ainsi que ses potentiels effets ». L’ANSSI rappelle également que, pour que ces actions soient réellement efficaces, elles doivent « s’inscrire dans une démarche de cybersécurité globale et de long terme ».

Les 5 mesures cyber préventives recommandées par l’ANSSI

Le message relayé par Guillaume Poupard s’accompagne d’un document réalisé par l’Agence nationale de la sécurité des systèmes d’information présentant les « mesures cyber préventives prioritaires » liées aux « tensions internationales actuelles ».

Dans ce diaporama d’une dizaine de pages, l’ANSSI détaille ses 5 recommandations à destination des entreprises, afin de renforcer leur niveau de sécurité informatique :

  1. Renforcer l’authentification sur les systèmes d’information : il s’agit ici de mettre en œuvre une authentification forte pour les comptes particulièrement exposés (administrateurs, personnel de direction, cadres dirigeants…), nécessitant 2 facteurs, soit « un mot de passe, un tracé de déverrouillage ou une signature», soit « un support matériel (carte à puce, jeton USB, carte magnétique, RFID) ou a minima un autre code reçu par un autre canal (SMS) ».
  2. Accroître la supervision de sécurité : un système de supervision des événements journalisés devra être mis en place pour « détecter une éventuelle compromission et de réagir le plus tôt possible ».
  3. Sauvegarder hors-ligne les données et les applications critiques : les sauvegardes effectuées doivent être réalisées en étant déconnectées du système d’information « pour prévenir leur chiffrement », et des solutions de stockage à froid (disques durs externes, bandes magnétiques) peuvent être utilisées afin de « protéger les sauvegardes d’une infection des systèmes et de conserver les données critiques à la reprise d’activité ».
  4. Établir une liste priorisée des services numériques critiques de l’entité : l’ANSSI conseille de réaliser un inventaire des services numériques d’une organisation en les listant par type de sensibilité, et d’identifier les dépendances vis-à-vis des prestataires externes.
  5. S’assurer de l’existence d’un dispositif de gestion de crise adapté à une cyberattaque : les entreprises doivent déterminer les contacts d’urgence et établir un plan de réponse adapté à la gestion des cyberattaques.

Alexandra Patard / 2 mars 2022.

CA BOUGE DU COTE DU CYBER-RISQUE (3) UN PROJET DE LOI PERMETTANT A L’ASSUREUR DE REMBOURSER LES CYBER-RANCONS

🏅Le cyber risque, risque n°1 pour les entreprises.

Un risque nouveau aux modalités multiples, un risque subjectif qui le rend difficile à appréhender et à gérer, un risque difficile (« illusoire ») à assurer, un risque amplifié par le régulateur-législateur

❓Evaluation du risque : une probabilité élevée (voir causes nombreuses) ; un impact fort (voir coût élevé)

 🚴 Comment agir ?

👉 Un projet de loi permettant le remboursement par l’assureur des cyber-rançons

Le post très pédagogique de Paul Berger de Gallardo, avocat, pour faire un point sur le projet de loi

Deux articles pour vous positionner. Et vous quel est votre avis sur ce projet de loi ? Une bonne solution pour les assureurs ? Une solution pour gérer le cyberrisque ?  

👉Les plans d’action préconisés par l’ANSII pour gérer le cyberrisque – dans 15 jours sur le blog

LE POST TRES PEDAGOGIQUE DE PAUL BERGER DE GALLARDO, AVOCAT, POUR FAIRE UN POINT SUR LE PROJET DE LOI.

🔐 Le remboursement par l’assureur des cyber-rançons conditionné à un dépôt de plainte ?

🚨 Un projet de loi prévoit d’encadrer les clauses de remboursement des rançongiciels par les #assurances, en rendant obligatoire le dépôt d’une plainte par la victime dans les 48h après le paiement de cette rançon.

🔹 Quoi ? Le rançongiciel ou ransomware est ainsi défini par l’ANSSI – Agence nationale de la sécurité des systèmes d’information : « envoi à la victime d’un logiciel malveillant qui chiffre l’ensemble de ses données et lui demande une rançon en échange du mot de passe de déchiffrement ».

🔸Pourquoi ? 20 % des entreprises françaises déclarent avoir subi au moins une attaque par rançongiciel au cours de l’année 2020, atteignant souvent l’activité économique et perturbant parfois la production.

🔕 L’absence fréquente de plainte des victimes, par crainte de reconnaître leur vulnérabilité et de ternir leur image, empêche toute investigation.

🔹Est-ce légal de payer une rançon, et d’être remboursé par son assurance ? Ainsi que l’a rappelé récemment le HCJP (Haut Comité Juridique de la Place Financière de Paris), le paiement d’une rançon par la victime d’une extorsion ne constitue ni un délit ni un acte de complicité dès lors que le consentement au paiement n’est pas libre mais résulte de la contrainte.

➡️ L’assurance du risque de rançongiciel ne paraît se heurter à aucun obstacle juridique majeur.

🔸 Quelles sont les solutions possibles ? L’étude d’impact du projet de loi a analysé trois solutions : 1️⃣ assujettir le remboursement d’une rançon versée par un assureur au dépôt de plainte 2️⃣ rendre obligatoire la déclaration à TRACFIN de tout paiement d’une rançon 3️⃣ promouvoir au niveau européen l’interdiction du paiement des rançons par les assureurs suite à une #cyber-attaque.

⁉️ Pourquoi retenir la première solution ? L’interdiction du paiement des rançons et de leur #assurance pèserait de manière démesurée sur les entreprises qui jouent parfois leur survie. Le dépôt d’une plainte rapide permettrait aux autorités compétentes de bénéficier des informations nécessaires à la poursuite des infractions et de « casser » le modèle de rentabilité des cyber‑attaquants.

🔹 Comment ? Par la création d’un article L. 12-10-1 du Code des assurances prévoyant cette condition de garantie au sein d’un nouveau chapitre « L’assurance des risques de cyber-attaques ».

🕰 La règle envisagée serait d’application immédiate et entrerait en vigueur également pour les contrats en cours.

⬇️ Que pensez-vous du paiement des cyber-rançons, de leur assurabilité et de ce projet de condition de garantie ? ⬇️

DEUX ARTICLES POUR VOUS POSITIONNER / ET VOUS QUEL EST VOTRE AVIS SUR CE PROJET DE LOI ? SOLUTION POUR GERER LE CYBERRISQUE ? 

Loi LOPMI : pour payer la rançon, il faudra déposer plainte

Sécurité : Le nouveau projet de loi d’orientation et de programmation encadre notamment la transition numérique des forces de l’ordre et propose un régime encadrant le paiement des rançons dans les affaires de rançongiciels.

Le projet égrène une douzaine de mesures, dont une partie concerne le développement des capacités des policiers et des gendarmes en matière de réponse aux crimes et délits en lien avec le numérique, ainsi que des dispositions visant à équiper les forces de l’ordre de nouveaux équipements.

Parmi les nouvelles dispositions, le gouvernement propose une première approche visant à encadrer le paiement des rançons suite à des attaques au ransomware. Comme le précise l’article 5 du projet de loi, le versement d’une rançon couverte par l’assureur de la société victime est possible si la victime accepte de déposer plainte dans les 48 heures après le paiement de la rançon.

Pas d’interdiction du paiement des rançons

Une manière de trancher le débat qui faisait rage depuis plusieurs mois autour du paiement des rançons exigées par les groupes de rançongiciels. Le directeur de l’Anssi avait allumé la mèche en fustigeant publiquement les « intermédiaires » qui acceptaient de payer les rançons, mais il avait également reconnu que cette possibilité devait rester ouverte dans certains cas. Depuis, les assureurs étaient nombreux à réclamer « une clarification » des règles sur le sujet, certains ayant choisi de cesser de proposer leurs assurances cyber prévoyant le paiement de rançons dans les affaires de ransomware.

En la matière, le gouvernement a donc choisi de s’aligner sur la proposition émise par le haut comité juridique de la place financière de Paris, qui avait été saisi du sujet et a publié un rapport à la fin du mois de janvier sur la question. Le haut comité recommandait de ne pas interdire purement et simplement le paiement des rançons, mais de conditionner celui-ci à un dépôt de plainte. Cette approche laisse donc une certaine marge de manœuvre aux victimes et à leurs assureurs, en leur permettant d’envisager le paiement d’une rançon pour espérer récupérer l’accès aux données. Et elle donne un coup de pouce aux forces de l’ordre qui ont du mal à convaincre les entreprises de déposer plainte après une attaque informatique.

Renforcer les forces de l’ordre sur le numérique

Outre cette disposition, le projet de loi prévoit également d’étendre les enquêtes sous pseudonyme, jusqu’alors réservées à certains délits concernant le trafic de drogues et d’armes, à l’ensemble des crimes et délits punis d’une peine d’emprisonnement. Le projet de loi prévoit également d’ouvrir aux forces de police la saisie « d’actifs numériques », terme utilisé pour décrire les cryptomonnaies et autres actifs basés sur une blockchain, aujourd’hui fréquemment utilisés dans le blanchiment d’argent et les affaires de rançongiciels.

Le texte reprend des mesures annoncées par le président de la République lors du discours de clôture du Beauvau de la sécurité, comme la place d’un « numéro 17 » dédié à la fraude informatique, la création de 1 500 postes de cyberpatrouilleurs et la création d’une agence du numérique des forces de sécurité, chargée de superviser l’équipement des policiers et gendarmes en smartphones et accessoires nécessaires aux enquêtes. Le montant prévu de ces différents investissements est estimé à 8 milliards d’euros.

Adopté en conseil des ministres, le texte doit maintenant être soumis au vote du parlement. Mais, calendrier oblige, celui-ci ne sera présenté qu’après l’élection présidentielle, donc pour la prochaine législature. Un timing relevé par le Conseil d’Etat dans son avis sur la loi, qui remarque le calendrier « pour le moins habituel » pour un projet de loi de ce type.

Par Louis Adam. Mars 2022

Cyberattaques : les assureurs rassurés sur la possibilité de couvrir les rançons

Un projet de loi prévoit qu’une entreprise victime d’une cyberattaque et contrainte de payer une rançon devra déposer plainte pour obtenir la prise en charge de ce paiement par son assureur. Une bonne nouvelle pour les représentants du secteur.

Les promesses ont mis du baume au coeur des syndicats de policiers mais aussi… des assureurs. Le plan de modernisation des moyens des forces de l’ordre , présenté par le gouvernement à la mi-mars, est en effet considéré par la profession comme une bonne nouvelle pour le développement dans l’Hexagone des assurances contre les cyberattaques.

Le projet de loi, dit LOPMI, prévoit notamment d’obliger les entreprises victimes d’un rançongiciel à porter plainte dans les 48 heures suivant le paiement d’une rançon pour obtenir sa prise en charge par l’assurance. Et ce, afin « d’améliorer l’information des forces de sécurité et de l’autorité judiciaire, et de ‘casser’ le modèle de rentabilité des cyberattaquants », note le projet.

Pas de changement sur le fond

« La France, comme les autres pays dans le monde, ne veut pas interdire l’incorporation de la garantie sur le paiement des rançons dans les contrats d’assurance cyber », a salué la semaine dernière, lors d’une conférence de presse, la présidente de la fédération France Assureurs, Florence Lustman, se félicitant d’une telle clarification.

La portée de cette disposition est à relativiser. Déposé à quelques semaines de l’élection présidentielle, le projet de loi n’est à ce stade pas à l’étude au Parlement et son avenir dépendra du résultat du scrutin. Par ailleurs, si la mesure était adoptée, elle ne changerait pas les habitudes. Elle « ne change rien sur le fond car les assureurs imposaient déjà un dépôt de plainte », explique Mickaël Robart, expert chez le courtier Diot-Siaci.

« Mais elle montre que le risque cyber est plutôt traité par les assureurs de façon responsable. » Ceux-ci veulent croire qu’avec ce projet de loi, il n’y a plus d’insécurité juridique : les services de l’Etat ont tranché, notamment Bercy qui a lancé l’été dernier des travaux sur la cyberassurance .

Autrement dit, ils n’iront pas dans le sens du patron de l’Agence nationale de la sécurité des systèmes d’information (ANSII) et de la vice-procureure en charge de la cybersécurité au parquet de Paris. Au printemps dernier, ces derniers avaient estimé que la prise en charge des rançons par l’assurance pouvait encourager la cybercriminalité.

Pas de changement chez AXA France

En octobre, un rapport parlementaire avait préconisé l’interdiction du paiement des rançons. Au contraire, en début d’année, des experts avaient mis en garde contre les effets d’une telle interdiction.

Signe que le sujet est sensible, Generali France a décidé en début d’année de tourner le dos au paiement des rançons. Quant à AXA France, qui avait décidé de suspendre sa garantie rançon l’an dernier, il n’a pas changé de politique avec la loi LOPMI, indique un porte-parole.

Solenn Poullennec. Avril 2022.

CA BOUGE DU COTE DU CYBER RISQUE (2) QUEL IMPACT ? QUEL COUT ?

Nouvelles publications sur le Blog consacrées au cyber risque et à la cyber sécurité.
ERM, Gestion des Risques, Analyse du risque, Evaluation du cyber risque.
  • Après l’avoir décrit, contextualisé et identifié ses modalités, un résumé des causes et conséquences du cyber risque (risque cyber) ;
  • Deux articles proposant une estimation de son coût. Ces études font écho à celles déjà menées sur le risque réputation.
A lire et à relire sur le blog dans la catégorie Risque et la sous-catégorie Cyber risque et cyber sécurité :
Rappel de ce qu’est le cyber risque – analyse du risque / description, contextualisation, modalités ; dernières attaques – :
Estimations / évaluation du risque / coût du risque de réputation :
Le cyber risque dans les classements de risques :  
https://gestiondesrisques.net/2022/01/20/un-2eme-classement-des-risques-par-les-entreprises-le-barometre-dallianz/ https://gestiondesrisques.net/2022/01/17/classement-des-risques-par-les-entreprises/
La réticence des assureurs à assurer le cyber risque :
https://gestiondesrisques.net/2021/03/09/risques-assurances-marche-des-assurances-cyberrisque-et-assurances/
 Le RGPD dans le rôle d’amplificateur de risque et la nécessité de mettre en place une démarche de gestion des risques (ERM) :
https://gestiondesrisques.net/2021/01/26/rgpd-best-practices-et-plans-dactions/
Le cyber risque et le télétravail. Démarche de gestion des risques (ERM) et plans d’actions :
https://gestiondesrisques.net/2021/10/06/teletravail-risques-et-plans-dactions-ou-quels-plans-dactions-pour-gerer-les-risques-lies-au-teletravail-et-selon-quelle-approche-2/
https://gestiondesrisques.net/2021/09/14/teletravail-et-risques-2/

Cyber risque : causes et conséquences

Pour compléter l’analyse (étape d’identification) du cyber risque, nous pouvons citer comme causes de sa survenance :

  • la mauvaise protection des réseaux locaux ;
  • l’absence de mise à jour par les utilisateurs ;
  • des systèmes et logiciels anciens et vulnérables ; une mauvaise sécurisation des données ;
  • l’augmentation des activités en ligne, notamment avec le télétravail ;
  • la prise en compte insuffisante du risque par manque de moyens financiers, de personnel qualifié, de sensibilisation et de culture du risque notamment dans les municipalités ;
  • le sous-contrôle du risque…

Ses conséquences sur l’organisation sont multiformes et peuvent être lourdes :

  • interruption du fonctionnement d’un service et détermination nécessaire d’un délai de retour à la normale qui peut prendre la forme d’une paralysie pendant plusieurs semaines de l’accueil dans les mairies et dans les hôpitaux avec un impact sur les rendez-vous, les interventions, l’imagerie, les actes…et les patients eux-mêmes, l’arrêt de la production de certains sites dans les entreprises…

Quel Impact ? Quel coût ?

 Risque cyber : une société mal préparée peut perdre jusqu’à 20 % de sa valeur 

Investisseurs et repreneurs tiennent compte des risques cyber dans l’évaluation des entreprises qu’ils convoitent. Une société mal préparée peut perdre jusqu’à 20 % de sa valeur. Alors avant d’ouvrir son capital ou de vendre, un audit informatique complet s’impose.

Les cyberattaques ont augmenté de 13 % l’année dernière, selon la société Orange cyberdefense. Et ce sont les TPE et PME qui sont le plus souvent visées. Elles font l’objet de 3 attaques sur 4. Quant au risque le plus élevé, il s’agit du ransomware ou rançongiciel qui constitue 38 % des incidents enregistrés. Les conséquences de ces attaques sont, elles, très difficiles à évaluer.

En cas de cyberattaque, les pertes de données mais aussi les pertes financières varient d’une entreprise à l’autre, selon le degré de préparation ou d’impréparation plutôt de chaque entreprise. Peu d’études ont tenté jusque-là d’en évaluer précisément le coût direct, et surtout indirect.

Un vol de données dévalorise l’actif

Une enquête réalisée par Bessé, en partenariat avec PwC France, avec Guy-Philippe Goldstein, chercheur et spécialiste des questions de cyberdéfense, apporte un éclairage nouveau sur cette question. L’étude analyse 30 incidents majeurs de cybersécurité s’étant produits dans 28 entreprises mondiales entre 2008 et 2017.

Les deux tiers de ces sociétés ont vu leur valeur boursière affectée avec, en moyenne, plus d’un an après l’incident, une perte de la valeur patrimoniale de 10 %, et même de 20 % pour les entreprises les moins réactives et les moins bien préparées. Au bout de douze mois, la diminution globale du cours de l’action est de 19,5 %, ce qui peut être vu comme une perte structurelle pour l’entreprise, et génère de facto un déficit de confiance.

Si la variation du cours de Bourse traduit l’impact du cyberrisque sur les entreprises cotées, quel est l’indicateur pour les entreprises non cotées ? Investisseurs et repreneurs potentiels analysent et estiment les risques cyber dans leur calcul de valorisation. « La menace cyber impacte la valeur des actifs. Un entrepreneur qui achète des données clients, et qui n’est pas certain de leur sécurité, va généralement défalquer 20 % de la valeur de la société cible », rapporte Laurent Bernier, dirigeant de la société Les Oies du Cyber, spécialisée dans la cybersécurité pour les PME.

L’ampleur des enjeux plaide donc pour une stratégie d’anticipation et une analyse amont du risque cyber. « La cybermenace concerne aussi bien la réputation de l’entreprise que la perte de confiance, poursuit Laurent Bernier. Si l’entreprise se voit piller dix ans d’historique clients, un secret de fabrication dans un vol de données, si une cyberattaque remet en cause la relation avec l’un de ses principaux clients à la suite d’une fuite d’informations, le nouvel acquéreur va perdre une partie de la jouissance future du bien ».

Auditer le système d’information

Un investisseur ou un repreneur va donc s’efforcer de comprendre comment l’entreprise qu’il convoite se protège, se prépare et cherche à diminuer l’impact d’une éventuelle attaque. Pour cela, il va analyser en profondeur les dispositifs de prévention et les outils de réponse. Notamment en menant un audit. « Plus l’entreprise est digitale, plus l’audit est complexe », prévient Laurent Bernier. Il convient de détailler la politique de mots de passe et d’autorisations, les conditions de connexion sur site et en dehors de l’entreprise.

Un audit devrait aussi comporter un scanner des vulnérabilités pour identifier les points faibles des infrastructures matérielles et logicielles afin de détecter rapidement les failles de sécurité qui pourraient être exploitées par une personne malveillante. Enfin, il faut s’assurer que l’entreprise a bien mis au point un plan de continuité efficace en cas d’incident majeur

Pour que cette analyse soit la plus pertinente, l’investisseur ou le repreneur s’entoure en général d’un expert qui devra s’assurer de la qualité des outils informatiques et évaluer le dispositif technique de détection des attaques. Evidemment, cette analyse devrait aussi être conduite par toute entreprise qui souhaite ouvrir son capital ou trouver un repreneur. « Pour prouver sa fiabilité, un vendeur a tout intérêt à anticiper. Cette démarche demande du temps, environ un an. Une entreprise bien protégée, dotée d’une approche globale et structurée, va augmenter sa valeur de 10 à 15 % », conclut l’expert en cybersécurité Laurent Bernier.

Mallory Lallane  Le 22/03/ 2022

78 % des entreprises françaises ont subi une attaque par ransomware au cours de cinq dernières années

Et 69 % d’entre elles ont versé une rançon, selon une étude d’ExtraHop

La nouvelle enquête Cyber Confidence Index d’ExtraHop révèle que les décideurs en matière de sécurité et d’informatique ont confiance dans la posture de sécurité de leur entreprise malgré la fréquence des attaques

Parmi les autres principaux résultats de l’enquête :

  • Coût élevé des ransomwares : 69 % des participants admettent avoir déjà versé une rançon tandis que 36 % des entreprises victimes d’une attaque par ransomware déclarent avoir payé la somme demandée dans la plupart ou la totalité des cas. En outre, les victimes de ransomwares font état d’autres préjudices, parmi lesquels une interruption de l’activité (45 %) ou du travail des utilisateurs (40 %) ou encore une perte de propriété intellectuelle et une atteinte à leur image de marque (41 %).
  • Dommages causés à l’activité : les attaques de ransomwares touchent l’ensemble de l’entreprise. 45 % des participants déclarent avoir subi une interruption d’activité résultant d’attaques contre l’infrastructure informatique (IT), 32 % à la suite d’attaques contre l’infrastructure opérationnelle (OT) et 40 % déplorent une interruption du travail des utilisateurs causée par des attaques ciblant ceux-ci.

Sandra Coret. Le 10 mars 2022.