Tous les articles par carolineaubry

Publié le 17 janvier, le baromètre d’Allianz 2023 : un classement des risques par les entreprises. Un panorama des risques à consulter.

Il est toujours intéressant de faire chaque année un point sur le classement des risques par les entreprises.

Il vient d’être publié : le baromètre des risques d’Allianz 2023. Au cœur de l’actualité 🎯

  • 2 700 répondants / 94 pays / classements Monde et France / par secteur d’activités
  • Quelques points saillants :

LES ATTENDUS

👍 La Cyber-délinquance et l’Interruption d’activité en tête 🏆

👍 Les risques Energétiques et les risques Economiques (inflation, récession) font leur entrée dans le top 10 🎁

👍Le risque Pandémique dégringole, grâce à la levée de la plupart des restrictions sanitaires

LES INNATENDUS, dont deux particulièrement désolants

👍Le risque de Réputation continue de perdre des places dans le baromètre !

👍Le risque de pénurie de talents prend une place dans le classement Monde et fait son entrée dans le classement France 🎁

👍Les Catastrophes naturelles et le Changement climatique sont en baisse tous les deux !  

👍Le risque Ethique sur sa dimension Gouvernance n’apparaît toujours pas dans le baromètre !

  • Pour une découverte plus approfondie du classement :

🎯 Un lien vers le baromètre 2023 : Baromètre des risques d’Allianz 2023

🎯 Un lien vers mon blog pour relire le Baromètre d’Allianz 2022 

🎯 Le communiqué de presse d’Allianz, ci-dessous :

Le communiqué de presse d’Allianz

« Le Baromètre des risques d’Allianz 2023 exprime à la fois la stabilité et le changement.

Les Incidents cyber et l’Interruption d’activité sont les principales préoccupations des entreprises pour la deuxième année consécutive (avec 34 % des réponses dans les deux cas). Cependant, les risques qui enregistrent la plus forte hausse dans le classement de cette année sont les Evolutions macroéconomiques (passant de la 10e place à la 3e place), principalement liées à l’inflation, à la volatilité des marchés financiers et à la menace d’une récession, ainsi que l’impact de la Crise énergétique (faisant son entrée, à la 4e place). Parallèlement, les conséquences économiques et politiques mondiales de la pandémie de Covid-19 et de la guerre en Ukraine se font de plus en plus sentir.

Ces questions préoccupantes nécessitent une action immédiate des entreprises. Cela explique la baisse des Catastrophes naturelles (de la 3e à la 6e place) et du Changement climatique (de la 6e à la 7e place)dans le classement mondial. Il en est de même pour la Pandémie (passant de la 4e à la 13e place), les vaccins ayant permis de mettre fin aux confinements et aux restrictions sanitaires. Par ailleurs, les Risques politiques et la violence font leur entrée, à la 10e place, tandis que la Pénurie de main-d’œuvre qualifiée grimpe à la 8e place. Les Evolutions législatives et réglementaires restent un risque important, s’inscrivant à la 5e place. Enfin, les Incendies perdent deux places pour s’établir au 9e rang.

Principaux risques en France

Les Incidents cyber et les Interruptions d’activité restent les préoccupations majeures pour les entreprises en France. Toutefois, il n’est pas surprenant avec la guerre en Ukraine que la Crise énergétique et les Évolutions macro-économiques (ex : inflation, programmes d’austérité) fassent leur entrée dans le top 5 des risques cette année (respectivement en 3e et 4e position).  Les entreprises françaises sont également de plus en plus soucieuses de la Pénurie de talents, les plaçant pour la première fois dans le classement des risques (10e). En effet, après les Etats-Unis, les difficultés de recrutement de main d’œuvre qualifiée semblent à présent se profiler en Europe.

… 

Joachim Mueller, CEO d’AGCS, a commenté les résultats : « Pour la deuxième année consécutive, le Baromètre des risques d’Allianz montre que les entreprises sont principalement préoccupées par l’augmentation des risques d’incidents cyber et d’interruption d’activité. Dans le même temps, elles considèrent l’inflation, une récession imminente et la crise énergétique comme des menaces immédiates pour leurs activités. En Europe et aux États-Unis notamment, la ‘‘permacrise’’ due aux conséquences de la pandémie et à l’impact économique et politique de la guerre en Ukraine, est une source d’inquiétude. Elle met à l’épreuve l’ensemble des entreprises.

« La bonne nouvelle, c’est qu’en tant qu’assureurs, nous constatons une amélioration continue de la résilience chez nombre de nos clients, grâce à la sécurisation des chaînes d’approvisionnement, à l’amélioration des plans de continuité d’activité et au renforcement des contrôles cyber. L’adoption des mesures nécessaires pour renforcer la résilience et réduire les risques fait désormais partie des priorités des entreprises, après les événements de ces dernières années. »

En 2023, les quatre principaux risques figurant dans le Baromètre des risques d’Allianz sont à peu près les mêmes dans toutes les entreprises du monde, quelle que soit leur taille (grandes entreprises ou PME), et dans la plupart des économies européennes et aux États-Unis, à l’exception du risque lié à la crise énergétique. Les préoccupations des entreprises dans les régions Asie-Pacifique et Afrique sont légèrement différentes, car l’impact direct, ainsi que les répercussions économiques et politiques de la guerre en Ukraine, ne sont pas les mêmes.

Risques numériques et perturbations

Les Incidents cyber, tels que les pannes de systèmes, les attaques par ransomware ou les violations de données, constituent le risque le plus important dans le monde pour la deuxième fois consécutive. C’est un phénomène inédit dans le baromètre. Ils figurent également au premier rang dans 19 pays, dont le Canada, la France, le Japon, l’Inde et le Royaume-Uni. C’est le risque qui inquiète le plus les petites entreprises (chiffre d’affaires annuel < 250 millions de dollars).

« Pour beaucoup d’entreprises, la menace dans le cyber-espace est plus importante que jamais et le nombre de sinistres cyber reste élevé. Les grandes entreprises, désormais habituées aux attaques, et celles qui disposent d’une cybersécurité adéquate, sont capables d’en déjouer la plupart. Mais les petites et moyennes entreprises sont également touchées. Celles-ci ont tendance à sous-évaluer leur exposition et doivent investir en permanence pour renforcer leurs contrôles cyber », explique Shanil Williams, membre du conseil d’administration d’AGCS et directeur de la souscription Entreprises, chargé de la souscription cyber.

Selon le Centre de compétences cyber d’Allianz, la fréquence des attaques par ransomware reste élevée en 2023. Parallèlement, le coût moyen d’une violation de données n’a jamais été aussi important (4,35 millions de dollars) et devrait dépasser les 5 millions en 2023. Le conflit en Ukraine et la hausse des tensions géopolitiques augmentent le risque d’une cyberattaque à grande échelle par des acteurs financés par des États. Par ailleurs, la pénurie de professionnels de la cybersécurité s’accentue, ce qui soulève des défis pour améliorer la sécurité.

Dans nombre de pays, 2023 pourrait être une nouvelle année de risques élevés en matière d’interruption d’activité. En effet, la plupart des modèles économiques sont vulnérables aux chocs et aux changements soudains, qui se répercutent ensuite sur le résultat et le chiffre d’affaires. Située à la 2e place du classement mondial, l’interruption d’activité constitue le premier risque au Brésil, en Allemagne, au Mexique, aux Pays-Bas, à Singapour, en Corée du Sud, en Suède et aux États-Unis.

Les sources de perturbations ne manquent pas. Le risque cyber est la cause d’interruption d’activité que les entreprises craignent le plus (45 % des réponses). Vient ensuite la crise énergétique (35 %), suivie des catastrophes naturelles (31 %). La flambée du coût de l’énergie a contraint les entreprises grandes consommatrices d’énergie à rationaliser leurs dépenses énergétiques, à déplacer la production vers d’autres sites, voire à envisager des arrêts temporaires d’activité. Les pénuries en résultant pourraient provoquer des ruptures d’approvisionnement dans de nombreux secteurs essentiels en Europe : alimentation, agriculture, industrie chimique et pharmaceutique, construction et industrie manufacturière. La douceur de l’hiver en Europe et la stabilisation du prix du gaz contribuent néanmoins à atténuer les effets de cette crise.

La perspective d’une récession sera une autre source probable de perturbations en 2023. Elle pourrait entraîner des carences et des défaillances de fournisseurs, un risque particulièrement important pour les entreprises ayant seulement un ou quelques fournisseurs essentiels. Selon Allianz Trade, les défaillances d’entreprises dans le monde pourraient augmenter sensiblement, à savoir de 19 %.

Malaise macroéconomique

Les évolutions économiques, telles que l’inflation ou la volatilité des économies et des marchés financiers, se classent au troisième rang mondial en 2023 (25 %), alors qu’elles étaient à la 10e place en 2022. C’est la première fois en une décennie que ce risque entre dans le top 3. Selon Allianz Research, les trois grandes zones économiques (États-Unis, Chine et Europe) sont en crise au même moment, mais pour des causes différentes. Ces experts prévoient une récession en Europe et aux États-Unis en 2023. L’inflation est particulièrement préoccupante, car elle ‘‘grignote’’ la structure de prix et les marges de rentabilité de nombreuses entreprises. À l’instar de l’économie réelle, les marchés financiers font face à une année périlleuse. Les banques centrales drainent l’excès de liquidité du système et les volumes de transactions diminuent, même sur les marchés historiquement liquides.

« 2023 sera une année difficile. En termes purement économiques, elle ne sera probablement pas bonne pour de nombreux ménages et entreprises. Mais il n’y a aucune raison de désespérer, estime Ludovic Subran, chef économiste chez Allianz. D’une part, la hausse des taux d’intérêt est bénéfique, notamment pour des millions d’épargnants. D’autre part, les perspectives à moyen terme sont bien meilleures, en dépit –ou à cause– de la crise énergétique. Leurs effets, au-delà de la récession attendue en 2023, sont déjà visibles : une transition accélérée vers la décarbonation de l’économie et une sensibilisation accrue aux risques dans tous les secteurs de la société, qui renforceront la résilience économique et sociale. »

Risques en hausse et en baisse

Le risque de crise énergétique est celui qui a le plus progressé dans le Baromètre des risques d’Allianz, s’inscrivant pour la première fois à la 4e place (22 %). Certains secteurs, comme l’industrie chimique, la fabrication d’engrais, de verre ou d’aluminium, peuvent dépendre d’une seule source d’énergie, comme le gaz russe dans nombre de pays européens. Ils sont donc vulnérables aux perturbations de l’approvisionnement énergétique et aux hausses de prix. Si ces industries de base sont en difficulté, les conséquences pourraient se faire sentir dans d’autres secteurs, en aval de la chaîne de valeur. Selon Allianz Trade, la crise énergétique restera le choc de rentabilité le plus important, notamment dans les pays européens. Aux niveaux actuels, les prix de l’énergie réduiraient à néant les bénéfices de la plupart des entreprises non financières, puisque le pouvoir de fixation des prix diminue dans un contexte de ralentissement de la demande.

Après une année dont l’actualité a encore été dominée par les conflits et les troubles civils, les risques politiques et la violence font leur entrée, à la 10e place (13 %). En plus de la guerre, les entreprises s’inquiètent de l’augmentation des perturbations liées aux grèves, aux émeutes et aux mouvements sociaux, sur fond de crise du pouvoir d’achat dans de nombreux pays.

Malgré une baisse dans le classement annuel, les catastrophes naturelles (19 %) et le changement climatique (17 %) restent des préoccupations majeures pour les entreprises. L’année a été marquée par l’ouragan Ian, une des tempêtes les plus puissantes qui aient frappé les États-Unis, mais aussi par des canicules, des sécheresses et des tempêtes hivernales record. Les pertes assurées dépassent les 100 milliards de dollars. Ainsi, ces risques figurent encore aux sept premières places du classement mondial. »

Pour plus d’information sur les conclusions du Baromètre des risques 2023 d’Allianz, vous pouvez écouter une :

Publicité

RISQUES ET GESTION DES RISQUES INDISPENSABLES DANS LES COLLECTIVITES TERRITORIALES. ILLUSTRATION SUR LE CYBERRISQUE.

Je commence par vous souhaiter à tous, lecteurs de mon blog, partenaires LinkedIn, partenaires de partenaires…une excellente année 2023. J’espère qu’elle sera marquée par des projets qui vous motivent, des décisions qui vous ressemblent et l’énergie pour agir.

J’ai terminé 2002 avec les collectivités territoriales. Je débute 2023 avec une illustration de l’importance stratégique des risques et de la gestion des risques dans les collectivités territoriales.

Les publications des semaines à venir seront relatives au RGPD à travers une thématique intitulée : LE RGPD QUOI DE NEUF ?

Il est essentiel que les collectivités territoriales se forment aux risques et à leur gestion.

🏆 J’ai partagé avec des élus des collectivités territoriales mes connaissances dans les domaines des RISQUES – GESTION des RISQUES

🗼 Dans le cadre d’une formation d’une journée intitulée « La gestion des risques : prévenir pour agir »

🗼 Organisée le 23 novembre 2022, dans le cadre du Congrès des Maires

🗼 Ses objectifs étaient de montrer aux élus comment catégoriser et caractériser les risques et mettre en place une démarche de gestion des risques (étapes, outils)

🏆 Les élus de Martinique auxquels je m’adressais se sont montrés très intéressés ; ils sont concernés par les risques et leur gestion car :

🗼confrontés aux risques dans leur quotidien ;

🗼placés en première ligne par le régulateur-législateur (voir « RISK MANAGEMENT. ORGANISATION ET POSITIONNEMENT DE LA FONCTION RISK MANAGER. METHODES DE GESTION DES RISQUES. », CH I Définition des notions mobilisées et contextualisation de la Fonction Risk Manager, Amplificateur de risque 1 : le régulateur, législateur, p. 53-65.

https://librairie.gereso.com/livre-entreprise/risk-management-fris2.html

Les collectivités territoriales sont confrontées à toute une « palette de risques » et y sont souvent peu préparées. Je l’ai notamment illustré à travers le cyber risque.

🏆 Pour aller plus loin sur ce thème, je vous propose de :

🗼 relire sur ce blog un article intéressant de cyberattaques contre trois municipalités. On y retrouve les éléments d’identification d’un risque : description de celui-ci, causes, impact. Et quelques Plans d’Actions ;

🗼 de lire ci-dessous un court article écrit dans « The Conversation » et qui alerte une nouvelle fois écrit l’auteur « sur les dangers cyber contre les collectivités territoriale….Espérons que l’on finisse enfin par réaliser – au-delà des ransomwares actuels qui sont déjà fort préoccupants – l’ensemble des enjeux liés à une bonne sécurisation de leurs SI et l’impact qu’auraient des cyberattaques ciblant ces derniers en termes politiques, économiques et sociétaux. Sachant que le conflit actuel en Ukraine tend à rappeler clairement l’importance d’une bonne résilience des CT ainsi que leur rôle majeur en matière de D.O.T…. »

Cyberattaques contre les collectivités territoriales : le pire est-il à venir ?

Depuis le début de la crise du Covid-19 et notamment durant la période de confinement, on assiste à une augmentation sans précédent des cyberattaques touchant les collectivités territoriales françaises (régions, départements, communes, communautés de communes, etc.). Toutefois, ces dernières sont souvent occultées par celles qui affectent les établissements de santé du fait de leurs conséquences potentiellement dramatiques, à l’image de l’attaque qui a touché, début décembre, le centre hospitalier de Versailles, au Chesnay-Rocquencourt (Yvelines).

Nos travaux sur la vulnérabilité des collectivités territoriales françaises face aux cyberattaques ont notamment été sanctionnés par la première (et seule à ce jour) thèse en sciences de gestion soutenue dès 2012 et donné lieu à plusieurs articles scientifiques ultérieurs. Ces travaux furent l’occasion d’appeler à la mise en place d’une politique publique nationale d’accompagnement des collectivités territoriales relativement à la nécessaire sécurisation de leurs systèmes d’information (SI), malheureusement sans grand succès.

Si nous aurions préféré avoir tort quant aux évolutions envisagées, force est de constater que le sujet est finalement apparu sur l’agenda médiatique depuis la crise du Covid pour ne plus la quitter depuis lors. Eu égard à la structuration territoriale française (45 205 collectivités locales en 2022), ces dernières revêtent une importance prépondérante, autant pour leur proximité directe avec les citoyens qu’en termes de services rendus. C’est vraisemblablement ce constat qui a amené de plus en plus de groupes de hackers à les choisir pour cibles.

Les cyberattaques menées demeurent pour le moment essentiellement liées à l’envoi de ransomwares (logiciels malveillants se diffusant à l’intérieur d’un système d’information et chiffrant l’ensemble des données accessibles) et visent un objectif exclusivement pécuniaire au travers de la demande d’une rançon dont le paiement préalable conditionne l’envoi (ou pas) d’un code de déchiffrement. Ce type d’offensive s’avère effectivement d’une efficacité redoutable en cas de sauvegarde non redondante.

Triple défi numérique

Appelant de nos vœux une véritable prise de conscience des enjeux liés à une mauvaise sécurité des SI, il nous semble impératif d’alerter sur d’autres types d’atteintes aux données des collectivités, d’autant plus dangereux selon nous qu’ils s’avèrent potentiellement cumulatifs.

À trop se focaliser sur les rançongiciels touchant leurs serveurs, on en vient à oublier que les collectivités territoriales se situant intrinsèquement à l’intersection de trois univers (politique, économique et sociétal), celles-ci relèvent quotidiennement trois défis numériques majeurs : l’administration électronique, l’e-démocratie et la dématérialisation des appels d’offres.

 Dépassant largement la mise à disposition des administrés de nouveaux moyens de communication, l’administration électronique, régulièrement plébiscitée par les Français depuis plusieurs années, est devenue un outil stratégique de service public. Et cet état de fait devint encore plus évident durant la période de confinement relative au Covid-19 : il est aisé d’imaginer l’impact politique et social qu’auraient engendré des cyberattaques privant des citoyens d’un moyen d’interaction devenu d’autant plus essentiel qu’ils se trouvaient dans l’incapacité de se déplacer pour effectuer la moindre démarche administrative. Il convient par conséquent de sécuriser les SI afférents afin d’assurer une continuité de service public en cas de crise majeure.

Le même problème se pose en ce qui concerne l’e-démocratie. Nous avons récemment mis en évidence l’existence d’une typologie des interactions entre la collectivité et ses administrés selon le support numérique utilisé : interaction forte (échanges directs entre les citoyens et les exécutifs territoriaux), modérée (enquête en ligne ou dialogue sur les réseaux sociaux) ou faible (remontée d’informations ponctuelles à l’initiative des administrés).

Le degré de gravité d’une cyberattaque touchant les SI d’e-démocratie sera donc directement corrélé au vecteur numérique : pertes ou vols potentiels d’informations à caractère personnel dans les deux premières hypothèses et perte de confiance dans tous les cas. Ici encore se pose la question de l’impact de telles attaques contre des outils précisément mis en place pour tenter de favoriser une meilleure participation à la vie publique de citoyens de plus en plus méfiants vis-à-vis des institutions démocratiques.

À cela s’ajoute enfin la possibilité que les SI dédiés aux appels d’offres des collectivités puissent également être ciblés. Que ce soit en termes de fonctionnement ou d’investissement une collectivité, à l’image de la grande majorité des organisations, se trouve dans l’obligation de faire appel à des prestataires extérieurs.

La dématérialisation de ces procédures fut précisément menée pour permettre une meilleure fluidité dans la gestion des appels d’offres, ainsi que dans le souci de permettre de simplifier les procédures afin de permettre à des petites et moyennes entreprises (PME) de répondre à ceux-ci avec une chance raisonnable de succès. Une offensive numérique visant les échanges entre les soumissionnaires et la collectivité s’avérerait également lourde de conséquences, non seulement en matière économique mais également en termes de crédibilité intrinsèque.

Acteurs de la défense

Face à l’ensemble des défis précités, on peut espérer que le volet dédié au financement numérique des collectivités territoriales du plan gouvernemental « France Relance » permettra d’améliorer sensiblement la sécurisation des SI territoriaux. Pour autant, l’opportunité budgétaire ne fait pas tout, a fortiori lorsque les projets potentiellement finançables entrent immanquablement en compétition les uns avec les autres et que les capacités d’accompagnement financier d’origine étatique demeurent par nature limitées.

Or, il convient de conserver à l’esprit qu’en matière de sécurisation des SI, comme nous le mettions déjà en évidence dans le premier ouvrage dédié à cette problématique et paru dès 2014, l’une des conditions essentielles du succès, voire la principale d’entre elles, relève d’une volonté politique forte au sens ou l’impulsion doit venir directement des exécutifs territoriaux.

Notre expérience d’universitaire spécialiste du sujet et d’ancien élu d’une ville de plus de 100 000 habitants nous incite donc à préconiser la définition d’une véritable politique publique d’accompagnement des collectivités territoriales en matière de sécurisation de leurs SI. Et ce d’autant plus qu’à la lumière des enseignements tactiques issus du conflit ukrainien, on redécouvre la nécessité de renforcer la défense opérationnelle du territoire français dont les collectivités territoriales demeurent des parties prenantes essentielles.

Rémy Février. Décembre 2022

COMMUNICATION DE CRISE : QUELLES LECONS TIRER DE L’ACTUALITE ? (2) AMELIORER SA COMMUNICATION DE CRISE

Pour commencer :

  • De bonnes fêtes de fin d’année à tous ; rendez-vous en 2023 🎄
  • Des liens vers les posts déjà écrits sur ce sujet et disponibles sur le blog

Communication de crise : quelles leçon tirer de l’actualité ?

L’impact d’une dégradation de la réputation sur la valorisation boursière organisation 

L’importance de l’anticipation et des exemples de plans d’actions pour mieux gérer les crises

La (non)communication de crise de Nike

  • Des indications de lecture dans notre ouvrage (Aubry ; Dufour)

« RISK MANAGEMENT. ORGANISATION ET POSITIONNEMENT DE LA FONCTION RISK MANAGER. METHODES DE GESTION DES RISQUES »

https://librairie.gereso.com/livre-entreprise/risk-management-fris2.html

Risque de réputation : p.38-40

Amplification du risque par les médias et exemples d’affaires médiatisées : p.65-72

(Non) communication de crise de Nike : p. 80-84

Méthodes et outils face à l’urgence : gestion de crise : p.190-213

  • Des ressources pour adopter les outils d’une bonne communication de crise à travers :

L’interview par E. Hervé du directeur de la communication de Bouygues sur sa vision de la communication en temps de crise

La proposition d’une autre forme de communication.

Communiquer en temps de crise avec Pierre Auberger, directeur de la communication du groupe Bouygues

Pierre Auberger est le directeur de la communication du groupe Bouygues depuis maintenant 13 ans. Après un début de carrière en marketing et vente chez Danone, c’est finalement vers la communication qu’il se tourne en rejoignant le Groupe Bouygues.

Membre du comité de direction du groupe, il nous éclaire sur les enjeux actuels de la communication.

Qu’est-ce que la crise pour vous ? Pour le groupe Bouygues ?

D’un point de vue académique, la définition d’une crise me semble assez simple : la convocation d’une cellule de crise se décrète quand il y a un impact sur la réputation de l’entreprise, de ses dirigeants et éventuellement sur le cours de l’action. Il faut savoir évaluer la dangerosité d’un événement pour déclencher la cellule de crise et le process qui va avec.

Il faut ensuite déterminer le niveau de la crise et la gérer au bon niveau : ne pas sur-gérer et ne pas sous-gérer non plus. Une crise qui doit être traitée au niveau local doit rester au niveau local et ne pas aller au niveau national et inversement.

Des crises, nous en avons objectivement souvent chez Bouygues, de plus ou moins grande ampleur. Celle qui m’a le plus marqué, c’est l’annonce de la fausse mort de Martin Bouygues. Ce dysfonctionnement total de l’AFP a été un coup de tonnerre dans un ciel bleu : un samedi après-midi de fin février 2015, l’AFP annonce, dans un communiqué de presse, la mort de Martin Bouygues. S’ensuit alors une communication d’une grande violence qui a été reprise dans tous les médias du monde entier. À notre grande stupéfaction, on nous annonce qu’il serait décédé dans sa maison dans l’Orne, alors qu’il n’en avait pas ! Cinq minutes après, sa fiche Wikipédia avait déjà été modifiée.

Le contexte était particulier : c’était la fin des vacances scolaires et les interlocuteurs de l’AFP n’étaient donc pas nos interlocuteurs habituels et n’ont pas procédé aux vérifications d’usage.

J’étais en Bretagne ce week-end-là. Je n’avais pas mon téléphone à proximité. Je vais le récupérer après le déjeuner et je vois 8 appels en absence et des messages de condoléances. En remontant, j’avais un premier message à 14h05 qui me demandait de rappeler l’AFP. Une de mes filles m’appelle alors et me dit qu’on annonce la mort de Martin Bouygues à la radio. Je tombe de ma chaise. Je l’avais quitté la veille en bonne santé et il était parti prendre une semaine de vacances en Thalasso à Quiberon. Quand on vous annonce la mort de quelqu’un, le premier réflexe n’est pas de l’appeler pour vérifier l’information. Et il y avait un tel matraquage médiatique que j’y ai cru. J’ai alors réussi à contacter le directeur général délégué du Groupe qui m’a rassuré.

C’est difficile parce qu’il y a un côté très émotionnel, parce qu’on vous demande à vous, qui êtes un très proche collaborateur de Martin Bouygues, de réagir sur un sujet qui vous touche personnellement. Vous êtes assailli d’appels, internes et externes au groupe. Il a fallu gérer à distance, faire un communiqué de presse, un tweet de démenti… Nous avons mis environ 30 minutes à publier un démenti. Dans ce type de crise, la difficulté est d’aller à la source pour vérifier l’information, et de gérer avec expertise et efficacité une forme de chaos, de garder votre sang-froid alors que vous êtes touché personnellement…

Comment faire pour atténuer les conséquences de fausses informations ? 

À ce jour, à l’exception de l’événement dont on vient de parler, je n’ai pas eu de fake news importantes à gérer. À la suite de l’affaire de Vinci (rédaction de faux communiqués), nous avons décidé de faire certifier nos communiqués de presse par la blockchain avec Wiztrust. C’est-à-dire que tous nos communiqués sont estampillés Wiztrust pour que les médias puissent en vérifier l’authenticité grâce à l’émission d’un certificat. Nous encourageons aussi les journalistes à nous contacter avant de publier leurs informations, et nous entretenons des relations étroites avec les grandes agences de presse.

Les fake news, il faut leur tordre le cou. Pour cela, il faut avoir une veille forte, afin de déceler en temps réel les informations étonnantes. Ensuite, il faut un plan pour réagir de manière mesurée et efficace. La presse et les réseaux sociaux sont aujourd’hui interconnectés : quand la presse communique sur ses propres médias ou sur les réseaux sociaux, ça donne une crédibilité plus forte que quelqu’un sur Twitter. La majeure partie du volume d’information passe sur les réseaux sociaux : la probabilité que vous gériez la situation par ce canal est très importante aujourd’hui. C’est un sujet majeur que nous n’avions pas à gérer, il y a une dizaine d’années. Il faut donc de bons outils de veille et une bonne capacité de réaction.

Comment la veille est-elle organisée chez Bouygues ?

Nous avons plusieurs types de veilles : d’abord une veille classique avec des alertes et des revues de presse. Nous avons des veilles médias qui sont assurées par Kantar qui nous envoie tous les matins à 7h30-8h une proposition de revue de presse. Nous la corrigeons, nous la décortiquons puis nous la renvoyons à 8h30 aux 150 top managers du groupe. Chaque filiale a sa propre revue de presse, mais les 150 top managers ont une revue transversale tous les matins.

Nous avons une deuxième veille numérique avec des mots clef pour voir ce qui se dit sur les réseaux sociaux. Nous avons par ailleurs une veille presse avec des abonnements à toutes les dépêches des grandes agences que nous relayons aux dirigeants du groupe. Cela inclut une veille sur la télévision et la radio.

En temps de crise, nous mettons en place des veilles complémentaires en lien avec la situation.

Interview Emmanuelle Hervé

Les leaders les plus efficaces peuvent-ils activer d’autres leviers que ceux promus par la Silicon Valley ? À ce jeu-là, les méthodes de Jacinda Ardern sont intéressantes à décrypter.

Dans le paysage politique international, on aurait tort de penser qu’il n’y a de place que pour les nervosités brutales des Poutine et autres Bolsonaro. La crise du coronavirus a confirmé que certains des dirigeants les plus efficaces sont à l’opposé des méthodes les plus bruyantes.

Dans ce registre, la première ministre néo-zélandaise Jacinda Ardern s’est montrée particulièrement remarquable.

Elle avait déjà été internationalement saluée pour sa gestion des attaques perpétrées contre les mosquées de Christchurch en mars 2019. Pour sortir son pays de l’épidémie du Covid, la quarantenaire a effectué une nouvelle fois un travail efficace.

Les mesures de confinement ont été prises très tôt et de manière très stricte. Elles ont été soutenues par la mise en place d’une campagne massive de tests. Lors de la première vague, en quatre semaines, la Nouvelle-Zélande avait presque éliminé le coronavirus de son territoire, et n’a eu à déplorer qu’une quinzaine de décès.

Alors, quelles leçons tirer du leadership de Jacinda Ardern ? On fait le point.

Un leadership à hauteur d’Homme

Et si être à la hauteur consistait surtout à se mettre à la hauteur de ses troupes ? C’est le choix de Jacinda Ardern qui ne se place jamais au-dessus du lot, et fait toujours corps avec ses concitoyens. Et elle le prouve.

Pour montrer sa solidarité avec ceux qui éprouvent des difficultés financières, elle et ses ministres ont annoncé qu’ils allaient baisser leur salaire de 20%. Quand Jacinda Ardern intervient à la télévision, elle n’hésite pas à se montrer dans le même état d’urgence que tout le monde. Alors que le pays allait entrer en confinement, elle s’est adressée aux gens depuis le canapé de son salon. Elle venait de mettre au lit sa fille de deux ans, et s’excusait de porter ce qui semblait bien être un survêtement. « Excusez ma tenue décontractée, cela peut devenir une affaire compliquée de mettre les tout-petits au lit. » On est très loin des ors de la République et de l’hymne national. Ici, Jacinda Ardern n’empoigne pas les attributs supposés du pouvoir, elle vit ce que traverse la nation.

No bullshit, cap sur la confiance 

Jacinda Ardern parle clairement et honnêtement. Elle ne claironne pas, ne surpromet pas, ne se justifie pas. Elle explique, se repose sur les faits, rassure tout en étant stricte sur la tenue des objectifs. Autrement dit, elle ne s’enferre pas dans le bullshit. Ni elle, ni ses équipes à qui elle laisse la parole. « Il s’agit d’un grand projet complexe entrepris à un rythme soutenu, nous savons donc qu’il faudra du temps pour bien faire les choses », indique le ministère de l’Éducation de la Nouvelle-Zélande sur son site Web. On est loin de l’insistance répétée de dirigeants martelant qu’aucune erreur n’a été commise, et plaidant pour leur stratégie — ou leur manque de stratégie. Un stratagème qui, en plus d’être infantilisant et d’autant plus dangereux à un moment où la confiance est vitale.

L’importance de la coordination et du travail d’équipe

Tandis que des dirigeants comme Trump montait ses États les uns contre les autres, ou que Bolsonaro se trouvait seul contre tous, Jacinda Ardern montrait un front uni avec son gouvernement. Toutes les instances de l’État sont concentrées sur la gestion de la crise dans la sérénité. Ce qui permet d’ajuster les décisions et de changer leurs rythmes. Si les mesures de confinement radicales avaient été actées très tôt, celles du déconfinement étaient annoncées avec prudence. Le plan est évolutif, et tenant compte des contraintes des différents ministères. Il est d’ores et déjà annoncé qu’il nécessitera peut-être des retours en arrière, mais l’objectif commun fixe le cap : « si nous bougeons trop tôt, nous reculerons ».

Une vision d’ensemble qui reste proche du particulier

Si Jacinda Ardern donne dans le plan d’ensemble, elle reste aussi très attentive aux histoires particulières. Quand le premier ministre britannique Boris Johnson était sorti de soins intensifs en avril 2020, il avait tenu à remercier ses soignants lors d’une allocution à la télévision. Soulignant que c’était grâce à eux qu’il avait pu guérir du virus, il avait donné chacun de leurs prénoms à l’antenne. L’une de ses infirmières était néo-zélandaise. Jenny McGee a cru à une blague. Elle raconte : « Son hospitalisation a suscité beaucoup d’intérêt médiatique et pour être honnête, c’était le patient le plus difficile du lot. Mais pour nous, il était un patient comme les autres. Nous avons juste essayé de faire de notre mieux… c’était comme d’habitude. »

Jacinda Ardern a retrouvé Jenny McGee sur Facebook pour lui écrire un petit mot. « C’est totalement surréaliste d’avoir un message de Jacinda. C’est l’une de mes héroïnes. Je pense qu’elle est incroyable, et elle vient de me dire à quel point elle était fière de moi et que le pays était fier aussi. C’était tellement réconfortant, c’est quelque chose que je n’oublierai jamais. »

Et Jenny d’ajouter : « Je suis si fière d’être Néo-Zélandaise, nous sommes un merveilleux groupe de gens qui s’entend toujours dans l’adversité. Nous avons une attitude positive, cela vient tout naturellement de notre manière de voir le monde, de notre éducation. »

Est-ce à dire que les dirigeants ressemblent à leurs administrés ? Ou qu’ils sont des rôles modèles qui impactent les comportements de tous les citoyens ?

Béatrice Sutter.

MON ACTUALITE. UNE JOURNEE DE FORMATION A DES ELUS. RISQUES – GESTION DES RISQUES – GESTION DE CRISES. CONGRES DES MAIRES.

🏆 Très fière d’avoir partagé avec des élus des collectivités territoriales mes connaissances dans les domaines des RISQUES – GESTION des RISQUES – GESTION DE CRISES.

🗼 Comment ? Une formation d’une journée intitulée « La gestion des risques : prévenir pour agir » / Deux objectifs : catégoriser et caractériser les risques ; donner la démarche de gestion des risques à suivre (étapes, outils)

🗼 Où ? Paris

🗼 Quand ? Le 23 novembre 2022 ; dans le cadre du Congrès des Maires

🗼 Pour qui ? Des élus locaux de la Martinique 

🏅 Des élus intéressés, concernés par les risques et leur gestion car :

  • confrontés aux risques dans leur quotidien ;
  • placés en première ligne par le régulateur-législateur.

🏅 Des élus qui doivent les gérer c’est-à-dire les lever quand c’est possible, les transférer (aux assurances), les atténuer ou les accepter sous leur forme résiduelle

Des élus d’un territoire confronté à une « palette de risques à nulle autre pareille » pour reprendre la terminologie d’un des élus, tous stratégiques : la Montagne Pelée, la montée des eaux, les cyclones de plus en plus fréquents, le chlordécone, la présence en son cœur d’une usine SEVESO… Auxquels s’ajoutent des risques transverses « plus classiques » comme les cyberattaques contre les municipalités par exemple.

Un grand merci CIFELM pour cette opportunité. Un grand merci aux élus pour leur intérêt et la qualité des échanges.

🎯 Il est essentiel que les collectivités territoriales se forment aux risques et à leur gestion.

#risques#risque#analysedesrisques#riskanalysis#identificationdesrisques#gestiondesrisques#riskmanagement#enterpriseriskmanagement#amplificationrisque#regulateurlegislateur#riskmanager#riskofficer#gestionnairederisques#CIFELM#collectiviteterritoriale#elus#martinique#LGCO #LGTO

COMMUNICATION DE CRISE : QUELLES LECONS TIRER DE L’ACTUALITE ?

C’est comme souvent l’actualité qui a guidé le choix de ma thématique pour les posts à venir.

BALANCIAGA
Après avoir posté une campagne publicitaire de Noël mettant en scène des enfants sur le thème du « bondage », la marque Balenciaga a fait polémique sur les réseaux sociaux.
Hier soir, la marque de luxe s’est excusée tout en incriminant son agence de communication.
En crise, il est clé de prendre ses responsabilités – rejeter la faute sur des tiers peut avoir pour effet d’exacerber la crise. La preuve en est : aujourd’hui Balenciaga a supprimé la totalité de ses posts instagram face à la crise.

Comme le rappelle E.Hervé : « C’est pas de ma faute » en crise : un des sept péchés capitaux ! 

Vous trouverez dans les posts à venir :

  • Des liens vers des posts déjà écrits sur ce sujet et disponibles sur le blog

L’impact d’une dégradation de la réputation sur la valorisation boursière organisation 

L’importance de l’anticipation et des exemples de plans d’actions pour mieux gérer les crises

La (non)communication de crise de Nike

  • Des indications de lecture dans notre ouvrage

« RISK MANAGEMENT. ORGANISATION ET POSITIONNEMENT DE LA FONCTION RISK MANAGER. METHODES DE GESTION DES RISQUES. » https://librairie.gereso.com/livre-entreprise/risk-management-fris2.html

  1. Risque de réputation : p.38-40
  2. Amplification du risque par les médias et exemples d’affaires médiatisées : p.65-72
  3. (Non) communication de crise de Nike : p. 80-84
  4. Méthodes et outils face à l’urgence : gestion de crise : p.190-213
  • Des ressources pour adopter les outils d’une bonne communication de crise à travers :
  1. Un article passionnant sur les leçons à tirer de la crise Buitoni et Kinder
  2. Un article sur les solutions pour rétablir la réputation du PSG suite à l’affaire du « char à voile »
  3. L’interview par E. Hervé du directeur de la communication de Bouygues sur sa vision de la communication en temps de crise
  4. La proposition d’une autre forme de communication.

(1) Scandales alimentaires Kinder & Buitoni : quelles leçons tirer pour la communication de crise ?

Enseignement n°1 : Jouer cartes sur table plutôt qu’ergoter

Très rapidement, les industriels vont accumuler des couacs de communication et se voir alors battus en brèche dans leurs annonces par les autorités sanitaires. Le 7 avril, Ferrero publie un deuxième communiqué qui précise que d’autres bonbons Kinder produits à Arlon rejoignent la liste des produits retirés du marché. Du bout des lèvres, la marque admet qu’elle avait identifié la présence de salmonelles sur son site industriel le 15 décembre 2021 et qu’elle avait pris des mesures correctrices. Elle se félicite enfin de sa collaboration avec les autorités de sécurité alimentaire et de santé publique.

Ces dernières n’ont pourtant visiblement pas la même lecture quant à la volonté de l’industriel de circonscrire le problème. Dès le lendemain, l’agence de sécurité alimentaire belge (AFSCA) choisit d’employer la manière forte : l’arrêt de la production de l’usine à l’origine de contaminations à la salmonellose. En guise d’explications, elle ajoute : « Après investigations (…) et suite aux constats de ces dernières heures que les infos fournies par Ferrero sont incomplètes, l’Agence procède aujourd’hui au retrait d’autorisation de l’usine de production de Ferrero d’Arlon » tout en soulignant qu’un lien entre les centaines d’intoxications en Europe et l’usine avait été établi fin mars.

De l’autre côté de la frontière à Caudry, la pression augmente également sur l’usine suspectée. Les 22 et 29 mars, la direction départementale de la protection de la population effectue deux inspections dans les locaux et formule son constat : « de nombreuses anomalies graves en matière de nettoyage et d’entretien général des locaux et matériels (…) la présence de rongeurs au niveau de l’atelier boulangerie ». Dans l’intervalle, une enquête préliminaire pour « homicides involontaires, tromperie et mise en danger d’autrui » est ouverte et confiée au parquet de Paris tandis qu’en interne, d’anciens salariés du site et des représentants syndicaux commencent à grogner et dénoncer la non-prise en compte d’alertes récentes comme notamment celle émise par la DGCCRF avec un avertissement prononcé en septembre 2020 et une contre-visite en mars 2021 soulignant « des corrections sur certains points mais pas sur d’autres ».

Du côté de Nestlé, la maison-mère de Buitoni, la ligne de communication est minimaliste. Le géant suisse se retranche derrière la procédure judiciaire en cours pour éviter de communiquer : « Il s’agit d’une étape qui s’inscrit dans le cadre de l’enquête. Nous continuons à coopérer pleinement avec les autorités pour en assurer le bon déroulement. A ce stade, nous ne sommes pas en mesure de partager plus d’informations. Nous souhaitons réaffirmer que la sécurité et la qualité de nos produits sont nos premières priorités ».

Seule concession communicante le 30 mars : la mise en ligne d’une vidéo de Jérôme Jaton, directeur général industriel de Nestlé France qui répond depuis le site de Caudry à différentes questions relatives à la crise en cours. L’effort est louable mais les réponses quelque peu lapidaires. A la question « à votre connaissance, quels sont les dangers de cette contamination pour la santé ? », il répond embarrassé : « Je ne suis pas médecin mais clairement, la bactérie E-Coli, c’est quelque chose qu’on n’aime pas et c’est pour ça qu’on les traite au sein de l’usine ». Et le reste de la vidéo est du même tonneau !

Enseignement n°2 : Toujours traiter les signaux faibles avant qu’ils n’empirent

A peine le directeur industriel de Nestlé France a-t-il fait part de ses commentaires que dès le lendemain, un lanceur d’alerte anonyme met en ligne des clichés embarrassants des lignes de fabrication de pizzas à Caudry. Les photos dévoilées sont particulièrement indigestes avec notamment des vers dans la farine utilisée pour confectionner les pizzas ou encore le sol jonché de déchets alimentaires épars. Le directeur général de la communication de Nestlé France, Pierre-Alexandre Teulié reconnaît à l’AFP que les visuels ont bien été pris dans l’usine mais qu’elles ne correspondent plus à la réalité actuelle.

Pourtant, un premier signal faible s’était produit le 11 mai 2021 sur le site Web altermondialiste Mr Mondialisation. Ce jour-là, un long reportage est publié sur l’état lamentable des conditions sanitaires et hygiéniques de l’usine de Caudry, photos peu ragoûtantes à l’appui (voir ci-dessous). Il est assez difficile d’imaginer cet article détaillée ait pu échapper au dispositif de veille de l’industriel helvétique tant les noms de Nestlé et Buitoni sont rabâchés au fil des lignes.

Ce site connaît en tout cas aussitôt une deuxième vie le 31 mars 2022 à une heure de grande écoute sur la radio RMC Info. L’ancien employé de l’usine à l’origine des photos, témoigne de nouveau sur les conditions d’hygiène apocalyptiques qui régnaient dans l’usine et dit avoir prévenu la direction à l’époque. Quelque temps plus tard, un reportage revient sur le sujet dans le magazine Marianne (ainsi que dans la presse locale) tandis qu’une ancienne directrice de la communication de Nestlé France témoigne à charge dans Le Journal du Dimanche. Le 1er avril, le préfet du Nord prend un arrêté interdisant la production de pizzas dans l’usine de Caudry en soulignant que les reprises d’activité « seront conditionnées à la mise en conformité de l’usine vis-à-vis de ses obligations en termes d’hygiène alimentaire » et « de contrôles et de maîtrise des risques microbiologiques »

Enseignement n°3 : Déminer les potentielles crises adjacentes

Médiatiquement mises sur le grill, les deux entreprises vont pourtant commettre quelques boulettes qui vont faire mauvaise genre et contribuer à faire se déchaîner un peu plus les réseaux sociaux. Le 22avril, les parents d’une fillette contaminée par la bactérie E.coli après avoir consommé une pizza Buitoni ont reçu un bon d’achat de 20 euros de la marque. Et la maman de préciser à l’AFP que la veille, c’est le service consommateurs qui l’avait appelée au sujet du dossier médical de sa fille. La mère outrée déclenche alors une nouvelle polémique qui contraint l’entreprise à s’excuser platement  : « Cela n’aurait pas dû être fait et nous tenons à présenter nos plus sincères excuses à cette consommatrice qui a pu être heurtée par la réception de ces bons d’achat. Nous allons veiller à ce que cela ne se reproduise pas ».

La même mésaventure est survenue chez Kinder comme le confessera ultérieurement le directeur général de Ferrero France, Nicolas Neykov. Les parents d’un enfant malade s’étaient vu remettre un bon d’achat de 3 euros par la marque. En revanche, la colère des consommateurs va plutôt se cristalliser autour du centre d’appels mis en place par Ferrero. Le numéro dédié est engorgé pendant plusieurs jours rendant impossible les demandes de dédommagement. Un mois plus tard, la situation est fort heureusement revenue à la normale selon le DG France. En situation de crise, ces détails prennent toutefois une importance démesurée. Chaque petit raté active des polémiques qui viennent encore plus écorner la réputation de la marque et de l’entreprise. D’où l’importance de calibrer à dessein les dispositifs, soit en boostant les capacités du service consommateurs, soit en déconnectant toutes les autres opérations marketing en cours ou programmées pour éviter de fâcheuses collisions d’image.

Blog Olivier Cimelières

Carton vert ou carton rouge : la réputation du PSG se fait tacler. Quelles solutions ?

Cela devait être une conférence de presse sportive entièrement dédiée à la prestigieuse affiche Paris Saint-Germain contre Juventus de Turin dans le cadre de la Ligue des Champions. Il n’en fut rien. Un journaliste trublion de LCI est venu glisser une question extra-sportive autour du fait que la formation parisienne n’effectuait jamais ses déplacements en train. Aussitôt s’emballe une véhémente polémique clouant au pilori le coach sportif du PSG, Christophe Galtier et l’attaquant vedette Kylian Mbappé pour les réponses à côté de la plaque. Analyse de cette séquence médiatique et des possibles sorties de crise pour la réputation du PSG.

Lundi 5 septembre. La conférence de presse du PSG à 24 heures de son match contre la Juve bat son plein. Soudain, Paul Larrouturou, journaliste à LCI et connu pour ses questions souvent espiègles, prend le micro et interpelle Christophe Galtier. Il lui demande alors si le train fera un jour partie des modes de transport des joueurs de la capitale. Long silence puis Kylian Mbappé s’esclaffe. Goguenard, il laisse son entraîneur répondre. Lequel reprend son sérieux et lâche ironique : « La société qui organise nos déplacements est en train de regarder si on ne peut pas se déplacer en char à voile » ! Gros blanc dans la salle où le journaliste relance le n°7 parisien sur l’usage des jets privés qui avoue ne rien en penser et se lève dans la foulée. La machine à claques et à buzz est aussitôt lancée sur les réseaux sociaux et les chaînes d’information continue.

Un terreau médiatique inflammable et prévisible

Christophe Galtier a beau jeu de dire qu’il s’attendait précisément à cette question piégeuse. Il s’est trompé de tactique de communication. Sa saillie moqueuse a engendré une belle pagaille digitalo-médiatique. S’il pensait désarçonner le journaliste et couper court à la controverse, c’est totalement à côté du but. Or, une simple veille médiatique laissait déjà penser que le sujet soulevé par le reporter de LCI était de ceux qui s’enflamment à la moindre occasion. Pour s’en convaincre, il suffit de se remémorer quelques escarmouches significatives récentes pour comprendre que la mobilité d’une équipe sportive n’est plus un épiphénomène négligeable mais un point crucial de son image globale.

Début juillet 2022, Karim Benzema, l’attaquant français du Real Madrid s’était ainsi fait démolir par les internautes à cause de sa vidéo bling-bling mettant en scène des voitures de luxe, un jet privé et un jet-ski sur fond ensoleillé de Dubaï, cité de tous les excès environnementaux en la matière. Fondateur du média Bon Pote très engagé sur la question de l’environnement, Thomas Wagner assène (1) : « Ce clip, c’est un best of de ce qu’il ne faudrait plus faire. Le simple aller-retour entre Miami et Madrid en jet privé, c’est beaucoup plus que ce qu’une personne devrait émettre par an pour limiter le réchauffement climatique ».

Rebelote quelques jours plus tard sur les réseaux sociaux avec la vidéo d’un journaliste qui attend la sortie du conseil des Ministres dans la cour officielle du palais de l’Elysée. Smartphone en main, il filme les rutilantes berlines stationnées dont le moteur tourne afin de maintenir une température agréable à l’intérieur de l’habitacle. Alors même que le gouvernement venait d’appeler les citoyens français à la sobriété énergétique, l’image fait tache. Le porte-parole du gouvernement, Olivier Véran, désamorce habilement en reconnaissant la faute et invite les journalistes à ne pas baisser leur vigilance sur la question.

C’était sans compter le cliché embarrassant du président de la République chevauchant un puissant scooter des mers durant ses vacances estivales au fort de Brégançon. Publiée à la Une du magazine people Voici, la photo embrasse à nouveau les réseaux sociaux et le microcosme politique, notamment chez les élus écologistes qui voient, telle Sandrine Rousseau, une (2) « impression persistante qu’il ne comprend pas le réchauffement climatique. Et aujourd’hui il est criminel de ne pas le comprendre ». Enfin, pour parfaire ce décor chauffé à blanc, on peut ajouter fin août la polémique des jets privés où milliardaires, hommes d’affaires et célébrités sont sévèrement épinglés pour le recours permanent et dispendieux aux avions privés nettement plus polluants que des voitures et des trains.

PSG, un bouc émissaire idoine

Dans pareil contexte, il semblait assez évident que le PSG apparaissait de facto comme une potentielle cible controversée de choix. En effet, l’immense majorité des clubs de football privilégie depuis des lustres l’avion à tout autre moyen de transport pour effectuer les déplacements en terrain adverse. La Ligue française de football (LFP) a d’ailleurs fait état de statistiques significatives pour la saison 2019/2020 (3) : 65% des trajets des équipes de Ligue 1 et Ligue 2 ont été accomplis en avion. 31% sont assurés par bus et 4% par train. De fait, le PSG ne déroge pas aux comportements communément observés. Mais en termes de perception, il est différent des autres.

En effet, Paris Saint-Germain est un club à l’image assurément clivante. Pour les amateurs férus de ballon rond, il s’agit d’un club que l’on adule ou que l’on hait mais qui ne laisse jamais indifférent tant sa puissance actuellement exercée sur le football français est quasiment sans partage. A cela s’ajoute également le fait que le PSG incarne la capitale d’un pays encore tiraillé par son éternelle dichotomie entre Paris et la Province. Enfin, le club aux 10 titres de champion de France est détenu depuis 2011 par Qatar Sports Investments (QSI), une société financière émanant de l’émirat qatari. Lequel est particulièrement chahuté au sujet de la Coupe du Monde 2022 qui se tient sur son territoire en fin d’année et qui est vue comme une gabegie environnementale et sociale scandaleuse.

Malgré des dossiers et des réflexions déjà engagés en matière de responsabilité sociétale et environnementale (RSE) par le club de la capitale et du fait de ces différents critères d’image, PSG s’impose plus volontiers dans l’opinion publique comme un ogre sportif ultra-riche et peu soucieux du reste (et donc de l’environnement) en dehors des compétitions sportives. La boulette de Christophe Galtier et le rire nerveux de Kylian Mbappé ont alors servi de gâchette à ce cocktail réputationnel explosif. Imaginons un instant la même petite phrase grinçante prononcée par Guy Roux, l’ex-entraîneur emblématique et très populaire de l’A.J Auxerre. Il est fort à parier que la polémique n’aurait jamais acquis une telle ampleur tant le madré coach incarne un bon petit club de terroir à la belle histoire sportive

Un engrenage irréversible

A la lumière de ce contexte, il n’est donc guère surprenant que le tweet taquin d’Alain Krakovitch, directeur de SNCF-Intercités ait fait florès. Le twittos avait en effet choisi du newsjacking sur un précédent tweet du PSG montrant le défenseur parisien Marquinhos s’amusant comme un fou dans le jet le conduisant à Nantes pour une rencontre du championnat de France. Avec pratiquement 19000 cœurs et près de 2800 partages, la proposition de mettre des trains à disposition du PSG ne pouvait pas passer inaperçue.

Ensuite, la réponse sarcastique de Christophe Galtier a envenimé le débat et excité les ardeurs de tous les détracteurs. Sur les réseaux sociaux, le ton a oscillé entre effarement presque surjoué et humour vachard au point de voir des mèmes de Kylian Mbappé écroulé de rire circuler un peu partout. Côté politique en revanche, ce fut la curée depuis la ministre des Sports en titre, Amélie Oudéa-Castera jusqu’à la maire de Paris, Anne Hidalgo en passant bien évidemment par les incontournables politiciens écologistes qui ont trouvé là un grain à moudre bénit. A tel point que le groupe vert du Sénat envisage de déposer une proposition de loi « PSG » !

Redevenir audible et crédible

La direction du PSG a pourtant tenté d’atténuer le feu des critiques en incitant son coach à présenter ses regrets et en rappelant que l’avion n’était pas une règle d’airain puisque le match récemment joué à Lille avait été fait en autocar. Elle a même expliqué que l’équipe féminine recourait au train du fait des horaires et des calendriers de matchs plus compatibles avec ceux de la SNCF. Mais, rien n’y fait. Paris Saint-Germain est devenu inaudible tant il est pointé du doigt comme le symbole honni de l’inconséquence environnementale.

Comme bien souvent avec les buzz épileptiques des réseaux sociaux, l’agitation a commencé à vite retomber, notamment grâce à la victoire du PSG sur la Juventus 2 buts à 1. L’agenda médiatique a comme à son habitude embrayé sur les exploits de Mbappé durant la rencontre et oublié ses éclats de rire de la conférence de presse. Pour autant, il serait périlleux d’imaginer que tout va rentrer dans l’ordre comme auparavant. Même si le barnum digitalo-médiatique est passé à autre chose, Paris Saint-Germain va être de toute évidence scruté à la loupe lors de ses prochains déplacements à l’extérieur. Le 18 septembre prochain, l’équipe doit se rendre à Lyon pour y affronter l’Olympique Lyonnais. La capitale des Gaules étant à 2 heures de Paris en TGV, il n’est pas interdit de penser que les associations écologistes tenteront de rallumer la mèche si le club parisien préfère un jet à la SNCF.

Du concret à court et moyen terme

Ensuite, le club doit se désembourber de l’ornière réputationnelle dans laquelle il est tombé. Une option possible passe par donner des premiers signes concrets que les choses bougent au sein du PSG. Cela peut être par exemple par la « mise sous pression » de la SNCF en l’exhortant à fournir des offres de services réellement adaptées et compatibles avec les contraintes d’horaires, de sécurité et de budget d’une équipe comme Paris Saint-Germain et pas seulement des effets de manche à la faveur d’un tweet. Ceci d’autant plus que la compagnie ferroviaire et le club de football avaient déjà pris langue avant le pataquès de la conférence de presse.

D’autres pistes peuvent être également activées comme celle suggérée par Valérie Masson-Delmotte, la coprésidente du groupe 1 du Giec et membre du Haut Conseil pour le Climat sur France. Dans une interview accordée à France Inter, elle estimait que Kylian Mbappé serait (4) « un excellent ambassadeur pour le climat […] Et il y a plein de scientifiques qui seraient ravis d’aller échanger avec les footballeurs au PSG et ailleurs pour susciter leurs actions et partager des connaissances ». Une hypothèse loin d’être farfelue d’autant que le footballeur dispose déjà d’une association.

Enfin, à moyen terme, il serait bénéfique que Paris Saint-Germain active une ambitieuse stratégie RSE qui engloberait par exemple une consommation vertueuse d’eau pour les pelouses, des usages énergétiques optimisés pour l’éclairage du stade et place son futur nouveau d’entraînement à Poissy comme vitrine concrète de ses actions. En y associant pourquoi pas des ONG écologistes. Le football n’est-il pas après tout un sport collectif ?

Blog Olivier Cimelières

DEUX COMPLEMENTS / PLANS D’ACTION POUR GERER LE CYBERRISQUE

Liens vers deux post de LI du 6 décembre 2012

Suivre les MOOC de la CNIL et de l’ANSII
https://www.linkedin.com/posts/caroline-aubry-_compliance-activity-7005836271872798720-WR0L?utm_source=share&utm_medium=member_desktop

En plus des vidéos détournées des Fables de La Fontaine et de celles de la campagne de sensibilisation de SPIE : une plateforme ludique pour sensibiliser les collaborateurs

https://www.linkedin.com/posts/caroline-aubry-_kama%C3%A9-la-plateforme-qui-sensibilise-%C3%A0-la-activity-7005839871030267904-1Mg0?utm_source=share&utm_medium=member_desktop

GERER LE CYBER-RISQUE. SENSIBILISER SES COLLABORATEURS. SE POSER LES BONNES QUESTIONS. ACTUALITE – Assurances des Cyber-rançons –

Les objectifs de la démarche de gestion des risques sont de :

  • transférer le risque ;
  • atténuer le risque ;
  • lever le risque ;
  • accepter le risque sous sa forme résiduelle (part qui n’a pu être traitée après les contrôles et plans d’actions).

Détails de la démarche de gestion des risques de type ERM dans l’ouvrage d’Aubry et Dufour : « Risk Management. Organisation et positionnement de la Fonction Risk Manager. Méthodes de gestion des risques ; 👉  https://librairie.gereso.com/livre-entreprise/riskmanagement-fris2.html

Comment gérer le cyber-risque ?

  • l’assurance pour le transférer
  • les plans d’actions recommandés par l’ANSII pour le prévenir / atténuer sa probabilité d’occurrence et/ou son impact sur l’organisation

Les liens vers les précédents posts du blog / plans d’actions contre le cyber-risque. A LIRE

🚴 Comment agir ?
👉 Indispensable, a minima complémentaire à l’assurance, mieux que l’assurance,  https://gestiondesrisques.net/2022/05/05/ca-bouge-du-cote-du-cyber-risque-3-un-projet-de-loi-permettant-a-lassureur-de-rembourser-les-cyber-rancons/ mettre en place des plans d’actions pour gérer le cyber risque 
👉 L’Agence Nationale de Sécurité des Systèmes d’Information (ANSII) propose des plans d’action et cinq mesures préventives pour gérer le cyber-risque.
Plans d’action / fraude au président
https://gestiondesrisques.net/2021/12/09/le-risque-variable-strategique-de-la-reflexion-des-entreprises-3-un-nouveau-risque-la-fraude-au-president-suite-un-exemple-de-plan-dactions/
Plans d’action / cyber-risques liés au télétravail
https://gestiondesrisques.net/2021/10/06/teletravail-risques-et-plans-dactions-ou-quels-plans-dactions-pour-gerer-les-risques-lies-au-teletravail-et-selon-quelle-approche-2/
https://gestiondesrisques.net/2021/09/29/quels-plans-dactions-pour-gerer-les-risques-lies-au-teletravail/
Nécessaire implication des salariés / gestion du cyber-risque
https://gestiondesrisques.net/2018/10/19/implication-des-collaborateurs-dans-la-demarche-de-gestion-des-risques-lexemple-du-cyber-risque/
Plans d’actions préconisés par l’ANSII

https://wordpress.com/post/gestiondesrisques.net/1496

Le post de la quinzaine est consacré aux plans d’actions pour prévenir le cyber-risque.

L’identification du risque et la mise en place de plans d’actions sont des étapes « classiques » de la démarche de gestion des risques. Orienter la démarche vers les opérationnels, les prendre en compte et les sensibiliser au risque est moins fréquent. Cela favorise pourtant une culture d’apprentissage et une pro-activité indispensables à la mise en place d’une démarche globale de gestion des risques.

  • un article sur l’importance de la sensibilisation, la faille étant souvent humaine
  • s vidéos de sensibilisation de l’ANSII destinées aux collaborateurs
  • la campagne de sensibilisation de SPIE à la cyber-sécurité

Se poser les bonnes questions.

  • le guide de l’ANSII destiné aux TPE-PME sous la forme de treize questions à se poser. Au moment où le gouvernement débloque sur ce sujet 30 millions d’euros pour les PME-ETI
  • S’y ajoute une veille sur l’actualité / assurance des cyber-rançons : épilogue de l’assurance des cyber-rançons avec la présentation par Paul Berger de Gallardo, Avocat, des grandes lignes du nouvel article du Code des assurances adapté par l’Assemblée.

Cyberattaques : la faille est souvent interne et humaine

Les anciens employés représenteraient 12 % des incidents de sécurité, après eux, les plus dangereux étant les fournisseurs et autres partenaires. 

Les anciens employés et les prestataires constituent une menace sévère mais souvent mal appréciée par l’entreprise.

Les entreprises sont une cible historique des cyberattaques. Mais le premier risque […] trouve son origine au sein même de votre entreprise. L’humain commet en effet des erreurs ou des négligences qui sont une source de grands dangers pour toutes les organisations.

Au sein des entreprises, il est récurrent que la faille de sécurité soit d’origine humaine. En effet, selon une étude réalisée en 2018 par le cabinet Deloitte auprès de ses clients, « 63 % des incidents de sécurité proviennent d’un employé actif au sein des effectifs ». Ces employés ne trahissent pas forcément volontairement leur entreprise, une grande partie d’entre eux commettent des erreurs par inadvertance, erreurs qui ont des conséquences potentiellement dommageables pour leur organisation.

Selon cette même étude, les anciens employés représenteraient 12 % des incidents de sécurité, après eux, les plus dangereux étant les fournisseurs et autres partenaires qui représentent 15 % de ces risques.

Invalider les droits d’anciens employés

Souvent, lorsqu’un employé, voire un stagiaire, quitte une entreprise ou une administration, les droits qui lui avaient été accordés ne sont pas clos et ses identifiant et mot de passe restent valides et donc utilisables. Cela crée une brèche dans la sécurité de l’entreprise et au bout de quelques années, cela peut concerner un nombre d’anciens employés important et donc une faille sécuritaire considérable. Le risque est d’autant plus grand pour les employés quittant l’entreprise en mauvais termes qui sont susceptibles de vouloir nuire à leurs anciens employeurs.

Gare aux prestataires

Les personnels extérieurs à nos organisations avec lesquels nous interagissons représentent également un risque. Certains se servent de cette position pour vous nuire, d’autres peuvent profiter de leur présence dans votre organisation pour vous espionner. Il est également possible que des personnels compromettent des données que vous leur avez confiées en ne les sécurisant pas suffisamment. Cette lacune dans la sécurité peut être volontaire ou non. Ces risques doivent rester présents à votre esprit, car il faudrait être devin pour prédire comment des relations humaines peuvent évoluer, sans oublier les troubles ou fragilités psychiques dont peuvent souffrir ceux avec qui vous avez partagé tout ou partie des données numériques de votre organisation.

Prenons un exemple concret. De nombreux organismes sous-traitent le ménage de leurs locaux à une entreprise spécialisée, et l’on ne remarque plus les passages des personnes chargées de cette tâche, car on est habitué à leur présence quotidienne. Cette invisibilité les rend potentiellement dangereux : par opportunisme ou en étant téléguidés par des personnes malveillantes, ils vont pouvoir récupérer des documents, regarder ce qui est affiché sur les écrans des ordinateurs, photographier des mots de passe négligemment inscrits sur des Post-it® par des employés tête en l’air, capter des informations ou des adresses de personnes qui pourront ensuite être ciblées par des campagnes de phishing ou de chantage par exemple.

Faire de la pédagogie

C’est pour cela qu’il est important que tous les collaborateurs soient sensibilisés au risque cyber et aux bonnes pratiques à mettre en oeuvre. Comme pour les gestes barrières en période de pandémie, nous les connaissons, mais nous avons toujours de bonnes raisons de nous en affranchir ou de les oublier. Là aussi, il ne faut pas hésiter à faire de la pédagogie pour que ces gestes soient bien ancrés dans les esprits de chacun et deviennent des automatismes. Il ne faut pas laisser son écran déverrouillé lorsqu’on n’est pas dans son bureau ou laisser en évidence son mot de passe écrit traîner sur son bureau, ne pas ouvrir les pièces jointes d’e-mails suspects même si les e-mails infectés sont parfois difficiles à détecter.

Lucie et Thierry Brenet. Les Echos. 22 novembre

Les vidéos de sensibilisation de l’ANSII à destination des collaborateurs

Ce post est l’occasion de revenir la dernière campagne de communication de Cybermalveillance.gouv.fr, en collaboration avec l’agence The Pill, qui a retravaillé avec humour et créativité 4 des plus célèbres fables du poète français.

Avec pour objectif de sensibiliser les collectivités, la campagne adapte les iconiques animaux à notre époque pour mettre en lumière les préjugés habituels des acteurs qui ne prêtent que peu d’attention à la cybersécurité : “Je n’ai pas le temps”, “Je n’ai pas le budget”, “Je n’y connais rien, je ne suis pas concerné” et enfin “Ce n’est pas ma priorité”.

Autant de problématiques abordées avec créativité, et toujours en vers, dans 4 petits films animés parmi lesquels on retrouve : Le Corbeau et le Renard, Le Lièvre et la Tortue, La Cigale et la Fourmi et enfin Le Loup et l’Agneau.

Une campagne à découvrir ci-dessous sur Youtube et qui, même si elle s’adresse aux collectivités, ne manquera pas de faire écho aux problématiques des professionnels et même du grand public.

Le Loup et l’Agneau

Problématique : “Ce n’est pas ma priorité”

Le Corbeau et le Renard

Problématique : “Je n’y connais rien, je ne suis pas concerné”

Le Lièvre et la Tortue

Problématique : “Je n’ai pas le temps”

La Cigale et la Fourmi

Problématique : “Je n’ai pas le budget”

La campagne de sensibilisation de SPIE

12 vidéos très courtes mais percutantes

Un exemple, la clé USB : https://lnkd.in/ghDpwp84

La liste complète ici : https://lnkd.in/gv96aSCn

La cybersécurité pour les TPE / PME en 13 questions


Avec la digitalisation des entreprises, le nombre d’attaques informatiques augmente et il faut savoir prévenir les risques potentiels.
Il est bon de mettre en application quelques bonnes pratiques simples ou plus élaborées qui permettent de se protéger d’un certain nombre de cybermenaces.

Découvrez la mise à jour du guide de l’#ANSSI réalisé avec la Direction Générale des Entreprises et le soutien de Cybermalveillance.gouv.fr, France Num et la CPME nationale.

Une veille sur l’actualité / assurance des cyber-rançons : épilogue  

✅ Cyberattaques : le nouveau chapitre du Code des assurances adopté à l’Assemblée nationale

🚨 15 novembre 2022 à 22h : vote sur l’article 4 de la #LOPMI sur l’assurance des cyber-attaques, 127 voix POUR 89 voix CONTRE

⚠️ Quelques clarifications importantes par rapport au texte de la Commission des lois, grâce aux amendements notamment du député Philippe Latombe :

🔹 L’exigence du dépôt de plainte porte désormais sur tout contrat d’assurance visant à indemniser un assuré « des pertes et dommages » (et non plus de « tout dommage ») causés par une cyber-attaque, selon une distinction classique en droit des assurances.

🔹 Le délai de la victime pour déposer plainte passe de 48h à 72h / commence à courir à compter de la « connaissance de l’atteinte par la victime » et non plus à compter de la « constatation de l’infraction ».

🔹 Cet article s’applique uniquement aux personnes morales et aux personnes physiques dans le cadre de leur activité professionnelle, et donc pas aux consommateurs.

🔜 Le texte déjà voté en première lecture au Sénat et désormais à l’Assemblée nationale devrait faire l’objet d’une Commission mixte paritaire entre députés et sénateurs selon la procédure accélérée engagée par le Gouvernement.

#risques #risque #analysedesrisques #riskanalysis #identificationdesrisques #gestiondesrisques #riskmanagement #enterpriseriskmanagement #cybersecurité #cyber #assurance #cyberrisque #risquecyber #assurancecyber #PME
#riskmanager #riskofficer #gestionnairederisques 

#ANSII #LGTO #LGCO

GERER LE CYBER-RISQUE

Les objectifs de la démarche de gestion des risques sont de :

  • transférer le risque ;
  • atténuer le risque ;
  • lever le risque ;
  • accepter le risque sous sa forme résiduelle (part qui n’a pu être traitée après les contrôles et plans d’actions).

Détails de la démarche de gestion des risques de type ERM dans l’ouvrage d’Aubry et Dufour : « Risk Management. Organisation et positionnement de la Fonction Risk Manager. Méthodes de gestion des risques ; 👉  https://librairie.gereso.com/livre-entreprise/riskmanagement-fris2.html

Comment gérer le cyber-risque ?

  • l’assurance pour le transférer
  • les plans d’actions recommandés par l’ANSII pour le prévenir / atténuer sa probabilité d’occurrence et/ou son impact sur l’organisation

Le post de la quinzaine est consacré à l’assurance pour le transférer avec trois ressources :

  • une veille sur l’actualité / assurance des cyber-rançons : épisode trois par Paul Berger de Gallardo, Avocat.
  • une vidéo à écouter sur B Smart / marché de l’assurance : quid du gap entre la couverture assurances et le coût de l’attaque ? Connaître la capacité de l’assurance cyber à indemniser les sinistres est essentielle ;
  • une analyse et un article sur la création par de grandes entreprises de leur propre société d’assurances.
BONUS Les liens vers les précédents posts du blog / plans d’actions contre le cyber-risque. A LIRE🚴 Comment agir ?

👉 Indispensable, a minima complémentaire à l’assurance, mieux que l’assurance,  https://gestiondesrisques.net/2022/05/05/ca-bouge-du-cote-du-cyber-risque-3-un-projet-de-loi-permettant-a-lassureur-de-rembourser-les-cyber-rancons/ mettre en place des plans d’actions pour gérer le cyber risque 

👉 L’Agence Nationale de Sécurité des Systèmes d’Information (ANSII) propose des plans d’action et cinq mesures préventives pour gérer le cyber-risque.

Plans d’action / fraude au président

https://gestiondesrisques.net/2021/12/09/le-risque-variable-strategique-de-la-reflexion-des-entreprises-3-un-nouveau-risque-la-fraude-au-president-suite-un-exemple-de-plan-dactions/

Plans d’action / cyber-risques liés au télétravail

https://gestiondesrisques.net/2021/10/06/teletravail-risques-et-plans-dactions-ou-quels-plans-dactions-pour-gerer-les-risques-lies-au-teletravail-et-selon-quelle-approche-2/

https://gestiondesrisques.net/2021/09/29/quels-plans-dactions-pour-gerer-les-risques-lies-au-teletravail/

Nécessaire implication des salariés / gestion du cyber-risque

https://gestiondesrisques.net/2018/10/19/implication-des-collaborateurs-dans-la-demarche-de-gestion-des-risques-lexemple-du-cyber-risque/

Plans d’actions préconisés par l’ANSII

https://gestiondesrisques.net/2022/05/20/ca-bouge-du-cote-du-cyber-risque-4-comment-se-premunir-contre-une-cyberattaque/

Point 1 Une veille sur l’actualité / assurance des cyber-rançons : épisode trois

Garanties d’assurance cyber : un amendement majeur adopté en Commission des lois à l’Assemblée

🟢 Septembre 2022 : dépôt d’un projet de loi par le Gouvernement proposant d’encadrer le remboursement des cyber-rançons par les assurances, en rendant obligatoire le dépôt d’une « plainte » par la victime « au plus tard 48 h après le paiement de cette rançon ».

🟠
Octobre 2022 : adoption de l’article 4 au Sénat avec un amendement transformant la condition d’assurance en une « pré-plainte » devant être déposée « dans les 24h suivant l’attaque et avant tout paiement ».

🟠 Novembre 2022 : la Commission des lois de l’Assemblée nationale vote un amendement majeur de Anne Le Hénanff qui :

➡ élargit l’obligation de déposer plainte à toute « clause assurantielle visant à l’indemniser de tout dommage » causé par une cyber-attaque

➡ supprime toute référence à la garantie des rançons !

➡ revient au format d’une « plainte » de la victime dans les « 48h » mais désormais à compter de la « constatation de l’infraction »

🔵 Le projet de loi du Gouvernement, l’étude d’impact et l’avis du Conseil d’Etat ne portaient que sur la cyber-rançon et non sur les autres garanties d’assurance, mais :

🔹 le député et rapporteur sur le projet de loi Florent Boudié a organisé une table ronde sur la question des rançongiciels, avec des points de vue complémentaires et divergents (magistrat, gendarmerie, police, DG Trésor, France Assureurs, parlementaires … et même un avocat !)

🔹 le Ministre de l’intérieur a l’origine du projet de loi s’est dit expressément favorable à cet amendement en ouverture des travaux de la Commission des lois

⁉️ Quelques suppositions et interrogations sur cette nouvelle rédaction :

1️⃣ la condition du dépôt de plainte ne semble pas concerner les garanties d’assurance cyber n’impliquant pas une indemnisation versée à la victime (ex : garantie d’assistance)

2️⃣ la disparition du terme « rançon » n’interdit pour autant ni leur paiement ni leur assurabilité, avec un retour au statu quo antérieur au projet de loi

3️⃣ l’emploi du terme « tout dommage » pour qualifier l’objet des garanties concernées est-il opportun au sein du Code des assurances qui vise habituellement « les pertes et dommages » selon deux notions qui pourraient être autonomes ?

4️⃣ la « constatation de l’infraction » comme point de départ du délai pour déposer plainte est-elle juridiquement appropriée ou faudrait-il plutôt viser la « connaissance de l’atteinte » ?

🔜 Lecture en séance à l’Assemblée et nouveaux amendements à venir !

Point 2 Une vidéo à écouter / marché de l’assurance : quid du gap entre la couverture assurances et le coût de l’attaque ? Connaître la capacité de l’assurance cyber à indemniser les sinistres est essentielle

Dans une économie si numérique, où le risque cyber est un enjeu de souveraineté nationale, l’assurance cyber avec son triptyque de services (remédiation, conseil juridique et communication) et sa capacité à indemniser les sinistres est essentielle.

Parce que le marché est complexe, en connaître la réalité quantitative est indispensable.
Philippe Cotelle, administrateur de l’AMRAE et président de sa commission cyber a ainsi présenté l’édition 2022 de LUCY Lumière sur la cyber-assurance à Delphine Sabattier de B SMART.
A son côté Martin Landais, sous-directeur assurances de Direction générale du Trésor (French Treasury) venu également expliquer l’intérêt pour la France des captives pour l’assurance cyber et pré annoncer le rapport des pouvoirs publics pour faire de l’assurance du risque cyber un levier au service de la résilience de nos entreprises.

Ecoutez la vidéo https://www.bsmart.fr/video/7396-smart-tech-partie-01-juillet-2021

Point 3 Une analyse et un article sur la création par de grandes entreprises de leur propre société d’assurances.

L’assurance cyber : en passe de devenir has been ?

Afin de pallier les défaillances d’un marché en crise, Michelin, Veolia, Airbus, Solvay et d’autres entreprises européennes se sont associés pour créer une mutuelle par capitalisation. Leur objectif ? Être plus résilient face aux crises cyber.

Miris Insurance, c’est leur nom, précise que l’objectif est non seulement « d’apporter des solutions là où les assureurs sont absents » mais aussi de « partager les meilleures pratiques en matière de gestion de risques » cybers.

Mais quid des PME ? Si les moyens des grandes entreprises leur permettent de s’extirper d’un marché défaillant, les PME, quant à elles, restent sur le carreau. Sûrement les plus vulnérables, les PME devront se contenter de l’assurance cyber classique toujours plus onéreuse. En effet, la frilosité des assureurs face au risque cyber est palpable.

Alors non, l’assurance cyber n’est pas en passe de devenir has been. En tout cas, pas pour tout le monde. Certains n’auront tout simplement pas le choix. Reste à découvrir si le retrait du marché d’un nombre suffisant de grandes entreprises permettra aux assureurs de développer une offre sur-mesure pour les PME.
Emmanuelle Hervé

Risque cyber : Airbus, Michelin et BASF créent leur propre société d’assurance

Avec Veolia, Adeo, Sonepar et Solvay, les industriels ont créé une mutuelle en Belgique pour se couvrir contre les risques numériques. Tous ont déjà de l’expérience dans l’auto-assurance, qui peine à décoller en France. La réforme des captives d’assurance pourrait ressurgir lors du débat sur le projet de loi de finances.

Les demandes d’assistance pour des attaques informatiques par rançongiciel ont bondi de plus de 85 % en 2021 en France.

Face aux failles du marché de l’assurance cyber, de grands groupes européens ont mis sur pied une mutuelle dédiée à la couverture des attaques et autres risques numériques. Le géant de l’aéronautique européen Airbus, le spécialiste de l’environnement Veolia, l’équipementier automobile Michelin, Adeo (la maison mère de Leroy Merlin) et Sonepar (le distributeur de matériel électrique), se sont alliés à l’allemand BASF et au belge Solvay au sein d’une structure baptisée Miris Insurance.

« Aujourd’hui, le marché de l’assurance cyber est volatil et court-termiste, les assureurs ne souhaitant pas s’engager sur leurs capacités futures. C’est un problème car le risque cyber devient structurel et de long terme, les entreprises étant toutes engagées dans la digitalisation de leurs activités », explique Philippe Cotelle, directeur de l’assurance cyber et du management des risques assurantiels chez Airbus.

Ne serait-ce que l’année dernière, le site du gouvernement dédié aux attaques cyber (cybermalveillance.gouv.fr) a reçu 1.851 demandes d’assistance pour des attaques informatiques par rançongiciel, contre 996 en 2020 soit une hausse de plus de 85 %. Et depuis la guerre en Ukraine, les autorités de plusieurs pays alertent sur un risque accru d’attaques cyber. De quoi renforcer l’urgence de s’assurer pour les industriels.

Compléter le marché

Miris n’a pas vocation à se substituer aux assureurs, mais à sécuriser la couverture de ses membres en compensant le manque de capacités sur le marché… ou les prix élevés . Le décalage entre la demande et l’offre s’explique notamment par le manque d’historique et de données sur les risques cyber, qui rend les assureurs frileux. Face à la hausse des prix, une dizaine de grandes entreprises avaient même renoncé à prendre une assurance cyber l’an dernier, selon une enquête de l’Association des managers de risques (Amrae).

Conscient des carences du marché, Bercy a publié au début du mois un rapport visant à améliorer l’écosystème tricolore de l’assurance cyber. Parmi les pistes évoquées : le développement de solutions d’auto-assurance, notamment à travers la création de sociétés captives ou encore des mécanismes de mutualisation du risque et de solidarité financière entre industriels de différents secteurs.

 « Nous ne voulons pas remplacer les assureurs, mais collaborer en complétant leur offre disponible dans une démarche de co-assurance », confirme le représentant d’Airbus au sein de Miris. Et pour minimiser les dommages causés par une cyber-attaque systémique, « nos membres exercent dans des domaines d’activité et géographies diversifiés », ajoute-t-il.

Chacun s’est engagé à apporter 5 millions d’euros de capital, qui pourront générer 25 millions d’euros de couverture individuelle. Les groupes fondateurs ont déjà de l’expérience dans l’auto-assurance, tous ayant leur propre captive interne, agréée en France ou dans un autre pays.

Hospitalité belge

Pour Miris, le choix s’est porté sur la Belgique, avec l’espoir d’obtenir un agrément du régulateur d’ici à début 2023. « C’est le seul pays d’Europe à avoir déjà agréé des mutuelles d’assurance par capitalisation dédiées à un risque spécifique, en l’occurrence les mutuelles nucléaires internationales Emani et Elini [dont EDF, Framatome et Orano sont membres, NDLR], indique Philippe Cotelle. La réglementation locale permet aussi d’adapter la taille de Miris à nos besoins, à savoir la gestion d’un nombre limité de contrats pour commencer. »

La Belgique offre aussi « un terrain neutre entre les membres français et allemands », estime un observateur. Et un environnement plus accueillant que la France, où de tels « pools » ou captives peinent à se développer . Seule une dizaine sont domiciliées dans l’Hexagone contre, par exemple, des centaines au Luxembourg, qui offre un environnement fiscal et technique plus clément. Un déficit que la France promet de corriger depuis plusieurs années.

Après une première volte-face l’an dernier, le gouvernement n’a pas inscrit la réforme fiscale du statut des captives dans le projet de loi de finances (PLF) 2023. Mais il a obtenu le feu vert de la Commission européenne sur la question du respect des règles de concurrence, affirme une source proche des autorités. De quoi permettre au projet de revenir dans le débat parlementaire, via un amendement au PLF.

Dans le sillage de l’Eiopa, le superviseur européen de l’assurance, l’Autorité de contrôle prudentiel et de résolution appelle les assureurs à « examiner l’ensemble des garanties » implicites des risques cyber que peuvent contenir leurs contrats. Ils doivent « clarifier » et « rendre plus explicites les formulations des termes et conditions » de ces couvertures dites silencieuses. Le « manque apparent de préparation de certains organismes pourrait entraîner des pertes importantes et compromettre la stabilité financière globale du secteur », estime le régulateur.

Par Amélie Laurin. 30 sept. 2022.

#risques #risque #analysedesrisques #riskanalysis #identificationdesrisques #gestiondesrisques #riskmanagement #enterpriseriskmanagement #cybersecurité #cyber #assurance #cyberrisque #risquecyber #assurancecyber
#riskmanager #riskofficer #gestionnairederisques #BSMART#AMRAE#LGCO

Octobre 2022 : le cyber-mois. Multiplication des cyberattaques. Causes/Conséquences. Focus sur les cyber-attaques visant les hôpitaux.

L’évaluation du cyber-risque (ses causes, ses conséquences) à partir de l’actualité ; les cyber-attaques continuent : un rapide état des lieux et un focus sur les cyber-attaques visant les hôpitaux à partir de deux articles.  
Les liens vers les précédentes publications du blog sur cette thématique
🏅Le cyber risque, risque n°1 pour les entreprises.
Un risque renforcé par le régulateur-législateur comme amplificateur                        du risque :   « Cyberattaque : le gouvernement légalise l’indemnisation des rançons »
Un risque nouveau aux modalités multiples, un risque subjectif qui le rend difficile à appréhender et à gérer, un risque difficile (« illusoire ») à assurer, un risque amplifié par le régulateur-législateur
❓Evaluation du risque : une probabilité élevée (voir causes nombreuses) ; un impact fort (voir coût élevé)
 🚴 Comment agir ?
👉 Indispensable, a minima complémentaire à l’assurance, mieux que l’assurance,  https://gestiondesrisques.net/2022/05/05/ca-bouge-du-cote-du-cyber-risque-3-un-projet-de-loi-permettant-a-lassureur-de-rembourser-les-cyber-rancons/ mettre en place des plans d’actions pour gérer le cyber risque 
👉 L’Agence Nationale de Sécurité des Systèmes d’Information (ANSII) propose des plans d’action et cinq mesures préventives pour gérer le cyber-risque.
Plans d’action / fraude au président
https://gestiondesrisques.net/2021/12/09/le-risque-variable-strategique-de-la-reflexion-des-entreprises-3-un-nouveau-risque-la-fraude-au-president-suite-un-exemple-de-plan-dactions/
Plans d’action / cyber-risques liés au télétravail
https://gestiondesrisques.net/2021/10/06/teletravail-risques-et-plans-dactions-ou-quels-plans-dactions-pour-gerer-les-risques-lies-au-teletravail-et-selon-quelle-approche-2/
https://gestiondesrisques.net/2021/09/29/quels-plans-dactions-pour-gerer-les-risques-lies-au-teletravail/
Nécessaire implication des salariés / gestion du cyber-risque
https://gestiondesrisques.net/2018/10/19/implication-des-collaborateurs-dans-la-demarche-de-gestion-des-risques-lexemple-du-cyber-risque/
Plans d’actions préconisés par l’ANSII
https://gestiondesrisques.net/2022/05/20/ca-bouge-du-cote-du-cyber-risque-4-comment-se-premunir-contre-une-cyberattaque/
La multiplication des cyberattaques. Causes. Quelques chiffres / impact

Le risque cyber croit de manière exponentielle chaque année :
80 % des cyber attaques en France visent des PME ;

94% des cyberattaques sont déclenchées par un email ;

54 % des PME victimes d’une cyber intrusion font état d’une perte > à 500 K€.

Selon une étude publiée par Titiana (une entreprise spécialisée dans la sécurité et la conformité des réseaux) et relayé par Le Monde Informatique, les erreurs de configuration des réseaux coûtent aux entreprises 𝟗 % 𝐞𝐧 𝐦𝐨𝐲𝐞𝐧𝐧𝐞 𝐝𝐞 𝐥𝐞𝐮𝐫 𝐜𝐡𝐢𝐟𝐟𝐫𝐞 𝐝’𝐚𝐟𝐟𝐚𝐢𝐫𝐞𝐬 𝐚𝐧𝐧𝐮𝐞𝐥.
Basée sur une enquête menée auprès de responsables de la cybersécurité de divers secteurs, l’étude met en garde contre les configurations erronées qui rendent les entreprises vulnérables aux cyberattaques et 𝐩𝐞𝐮𝐯𝐞𝐧𝐭 𝐩𝐞𝐫𝐝𝐮𝐫𝐞𝐫 𝐬𝐮𝐫 𝐥𝐞𝐬 𝐫𝐞́𝐬𝐞𝐚𝐮𝐱 𝐩𝐞𝐧𝐝𝐚𝐧𝐭 𝐝𝐞𝐬 𝐦𝐨𝐢𝐬, 𝐯𝐨𝐢𝐫𝐞 𝐝𝐞𝐬 𝐚𝐧𝐧𝐞́𝐞𝐬, 𝐝𝐮 𝐟𝐚𝐢𝐭 𝐝𝐞 𝐥𝐚 𝐫𝐚𝐫𝐞𝐭𝐞́ 𝐝𝐞𝐬 𝐚𝐮𝐝𝐢𝐭𝐬 𝐫𝐞́𝐚𝐥𝐢𝐬𝐞́𝐬 𝐬𝐮𝐫 𝐥𝐞𝐬 𝐚𝐩𝐩𝐚𝐫𝐞𝐢𝐥𝐬 𝐜𝐨𝐧𝐧𝐞𝐜𝐭𝐞́𝐬.
« Les réseaux peuvent subir des changements tous les jours, … ce qui entraîne une dérive de la configuration », a expliqué Phil Lewis, CEO de Titania. « Étant donné que les pare-feux, les routeurs et les commutateurs sont au cœur de la sécurité de tous les réseaux, les entreprises devraient vérifier tous leurs équipements … pour détecter les erreurs de configuration, accidentelles ou délibérées, qui pourraient entraîner des risques de sécurité critiques ».

Octobre 2022

Une cyberattaque a coûté plus de 45 M€ de pertes d’exploitation à CAMAÏEU !
C’est l’une des plus grandes marques de mode féminine françaises, mais elle est dans la tourmente : Camaieu, 517 magasins et 2 574 salariés est en liquidation judiciaire

Août 2022

CLESTRA le roi alsacien des cloisons de bureaux réalisant 145M€ de chiffre d’affaires et employant 700 salariés, a été placée en redressement judiciaire en raison d’une cyberattaque majeure qui a coûté entre 2 et 3M€ à la société en avril dernier.


Focus sur les cyberattaques visant les hôpitaux
Quatre questions sur la diffusion par des hackers de données de santé de l’hôpital de Corbeil-Essonnes

Les hackers ont commencé à diffuser des données de patients, personnels et partenaires du Centre hospitalier Sud Francilien vendredi.

L’affaire s’étale depuis plus d’un mois. Le 21 août dernier, l’hôpital de Corbeil-Essonnes, en banlieue parisienne a été victime d’une cyberattaque avec une demande de rançon. L’établissement ayant refusé de pays, les hackers ont finalement mis leur menace à exécution : ils diffusent, depuis vendredi 23 septembre, des données confidentielles. Cet hôpital assure la couverture sanitaire de près de 700 000 habitants de la grande couronne. Une enquête a été ouverte par le parquet de Paris et confiée aux gendarmes du Centre de lutte contre les criminalités numériques. « L’Obs » revient sur cette attaque avec quatre questions.

Les hôpitaux, des proies faciles face aux cyberattaques

  • De quel type d’attaque l’hôpital de Corbeil-Essonnes a-t-il été la cible ?

Le Centre hospitalier Sud Francilien a été victime d’une attaque via un logiciel rançonneur. Les rançongiciels permettent à des cybercriminels de chiffrer les fichiers des entreprises cibles, réussissant à paralyser tout ou partie de leur activité. Les pirates ont ensuite demandé une rançon de 10 millions de dollars pour déchiffrer les fichiers. Cette dernière aurait ensuite été ramenée à un million de dollars avant d’être à nouveau augmentée à deux millions.

Les acteurs de la cybercriminalité recherchent des cibles ayant un impératif opérationnel, comme les systèmes de santé. Mais en France, les hôpitaux publics ne peuvent pas payer de rançon du fait de leur statut.

« C’est une obsession, tous les jours, de trouver de la place pour les malades ! »

D’autres attaques visent à récupérer des données nominatives pour les monnayer sur le darkweb. « Je vois assez peu l’intérêt de voler des données de patients français », note cependant Cyrille Politi, conseiller en numérique à la Fédération hospitalière de France (FHF), qui rappelle que les dossiers des hôpitaux publics ne comportent ni information bancaire ni mot de passe.

  • À qui appartiennent les données qui sont désormais diffusées ?

Les données publiées vendredi par les hackers « semblent concerner nos usagers, notre personnel ainsi que nos partenaires », a annoncé ce dimanche le CHSF, dans un communiqué envoyé à l’AFP.

Parmi les données divulguées sur le site des cyberattaques figurent potentiellement « certaines données administratives », dont le numéro de sécurité sociale, et « certaines données santé telles que des comptes rendus d’examen et en particulier des dossiers externes d’anatomocytopathologie, de radiologie, laboratoires d’analyse, médecins », précise l’établissement.

« Les bases de données métiers du CHSF, parmi lesquelles figurent les dossiers personnalisés des patients (DPI) et les dossiers relatifs à la gestion des ressources humaines, n’ont pas été compromises », ajoute l’hôpital essonnien dans son communiqué. « L’attaque semble avoir été circonscrite aux serveurs virtuels et à une partie seulement de l’espace de stockage du CHSF (environ 10 %) », détaille-t-il également.

Pourquoi l’hôpital est face à un « risque de cataclysme sanitaire »

Les hackers avaient fixé un ultimatum au 23 septembre à l’hôpital pour payer la rançon. Le délai expiré, ils ont diffusé une série de données. Selon le site spécialisé Zataz, les pirates Lockbit 3.0 ont diffusé ainsi plus de 11 GO de contenus sensibles.

  • Quelle est la réaction du gouvernement ?

Pour lutter contre ce phénomène en expansion, l’Etat avait annoncé consacrer à la cybersécurité des établissements de santé une enveloppe de 25 millions d’euros dans le cadre des 136 millions consacrés à la cybersécurité des acteurs publics pour 2021 et 2022. Parallèlement, 135 hôpitaux ont été désignés « opérateurs de services essentiels », ce qui leur impose de respecter des règles de cybersécurité plus exigeantes que les institutions ordinaires.

Le ministre de la Santé, François Braun, et le ministre délégué chargé de la Transition numérique, Jean-Noël Barrot, en déplacement à Corbeilles-Essonne, ont annoncé le déblocage de 20 millions d’euros supplémentaires pour la protection des établissements de santé. « La santé des Français ne sera pas prise en otage », avait assuré le ministre de la Santé, cinq jours après l’attaque.

Début septembre, Bercy a décidé de mettre fin à une zone grise qui pouvait encourager la cybercriminalité : les assureurs peuvent désormais rembourser les rançons payées par leurs clients.

« Nos patients sont en danger ! » : l’alerte des soignants sur la situation de l’hôpital

Mais la lutte contre la cybercriminalité dépasse amplement le cadre des établissements de santé. Le « coût mondial de la cybercriminalité est évalué à 6 milliards de dollars par an », et les enquêtes sont « toujours très longues, peuvent durer plusieurs mois, voire plusieurs années » et nécessiter une importante coopération internationale, a indiqué à l’AFP le général Christophe Husson, commandant en second du Commandement de la gendarmerie dans le cyberespace (ComCyberGend).

Quel est l’impact de ces attaques sur les hôpitaux ?

« Tout dépend du type d’attaque et si l’équipe informatique arrive à intervenir avant qu’elle ne touche le dossier patient, le cœur du système d’information », détaille Cyrille Politi. Si elle n’y parvient pas, la structure cible peut replonger dans l’ère pré-informatique, impactant et ralentissant toute la communication entre services, notamment les rendus d’examens biologiques ou d’imagerie.

À l’hôpital de Corbeil-Essonnes, la bonne marche de l’établissement a été largement entravée. Deux semaines après l’attaque, les activités des urgences adultes étaient diminuées de moitié. Environ 90 patients étaient accueillis par cet hôpital du sud-est de Paris par jour contre 230 en activité normale.

« L’hôpital public se meurt et tout le monde s’en fout ! »

Un an après avoir été attaqué en février 2021, l’hôpital de Dax, dont les hackers avaient réussi à bloquer même les fichiers sauvegardés, évaluait avoir dû débourser 174 000 euros pour reconstruire son réseau informatique, et au total 2,36 millions d’euros en comptant les prestations de cybersécurité, la sous-traitance, le coût RH et les pertes commerciales, selon un retour d’expérience publié par l’Agence nationale d’appui à la performance (Anap).

« Plus d’un an après, si le cyclone et la tempête sont derrière nous, il reste des stigmates forts, et le Centre hospitalier est loin de naviguer sur une mer d’huile », note l’établissement, cité par l’Anap. Certains logiciels, notamment de bloc opératoire ou d’échographie anténatale, ne sont toujours pas accessibles.

Par L’Obs. Septembre 2022.

Cyberattaques : quels risques pour les hôpitaux et leurs patients ?

Après l’hôpital de Corbeil-Essonnes, l’Ehpad de Beuzeville (Eure) a été victime d’une nouvelle cyberattaque. Ces actes, de plus en plus nombreux, ne sont pas sans danger pour les établissements de santé et leurs patients.

L’hôpital de Corbeil-Essonnes a subi une cyberattaque d’ampleur dans la nuit de samedi à dimanche.

Les cyberattaques sont loin d’être sans conséquences pour les établissements de santé et leurs patients. L’Ehpad de Beuzeville, dans l’Eure, est le dernier à en avoir fait les frais mercredi 24 août. Dans la nuit de samedi à dimanche précédent, c’est l’hôpital de Corbeil-Essonnes, dans le sud-est de Paris, qui voyait son activité fortement perturbée par une cyberattaque d’ampleur de type « rançongiciel ».

Au total, plus de 730 incidents cyber ont été recensés dans le secteur de la santé en 2021, plus du double de l’année précédente. Lorsqu’ils sont touchés par des cyberattaques, « les systèmes informatiques des hôpitaux sont complètement bloqués », explique Corinne Hénin, experte indépendante en cybersécurité. Et pour cause, « tout est informatisé aujourd’hui, du simple scanner aux prescriptions médicales », indique la spécialiste.

Retour au papier

L’attaque visant le réseau informatique du Centre hospitalier sud francilien (CHSF) de Corbeil-Essonnes a ainsi rendu inaccessibles « tous les logiciels métiers de l’hôpital, les systèmes de stockage et le système d’information ayant trait aux admissions de la patientèle », selon un communiqué de l’établissement.

Depuis, c’est retour au papier pour le personnel, contraint de traiter les dossiers manuellement. « Les infirmières, au lieu de saisir par informatique toutes les données des patients, doivent à nouveau remplir des pancartes », expliquait lundi Valérie Caudwell, présidente de la commission médicale du CHSF, sur France Info.

La fiabilité des traitements pénalisée

Touché par une cyberattaque similaire en février 2021, l’hôpital de Dax (Landes) avait dû reporter certaines opérations, faute d’accès aux dossiers de ses patients. Le CHU de Rouen, également victime d’une cyberattaque massive en novembre 2019, avait quant à lui dû traiter les admissions de ses patients à la main, ralentissant considérablement leur prise en charge.

« Un hôpital touché ne peut pas traiter ses patients de la même manière », résume Ingrid Söllner, directrice marketing chez Tehtris, entreprise spécialisée en cybersécurité, alors que les hôpitaux souffrent déjà de sous-effectifs. « Avec le retour au papier, la fiabilité des traitements est fortement pénalisée », estime-t-elle.

Le retour à la normale peut prendre du temps. Un an et demi après, l’hôpital de Dax en garde des « stigmates » selon Aline Gilet-Caubère, sa directrice adjointe. « Au-delà de l’impact sur le collectif qui se fait toujours ressentir, environ 2 % des applicatifs n’ont pas encore été remontés », indique-t-elle.

Les patients comme cibles potentielles

Lors d’une cyberattaque, les patients peuvent par ailleurs directement être pris pour cibles. « Un pirate peut décider de changer la lecture d’un électrocardiogramme et induire le personnel soignant en erreur », alerte Benoît Meulin, porte-parole de WithSecure, entreprise spécialisée dans la cybersécurité.

Les patients peuvent aussi faire l’objet de chantage. C’est ce qui est arrivé en octobre 2020 en Finlande. Des pirates ont dérobé les données de milliers de malades d’une société de psychothérapie, dont leurs discussions avec les médecins. Ils les ont ensuite fait chanter individuellement en menaçant d’en divulguer le contenu.

Un autre risque est l’usurpation d’identité. « Plus vous avez d’informations sur les patients, plus c’est facile d’usurper leur identité », explique Corinne Hénin. Enfin, « les données peuvent se retrouver en vente sur le darknet », ajoute Aroua Biri, experte en cybersécurité, « ce qui fait courir un risque à leur confidentialité ».

La cyberattaque la plus dramatique reste à ce jour celle qui a visé la clinique de Düsseldorf en septembre 2020. Une patiente qui devait y être opérée est morte lors de son transfert d’urgence vers l’hôpital de Wuppertal, à une trentaine de kilomètres.

Marius BOCQUET. Août 2022

ASSURANCE CYBER-RANCONS : une nouveauté le 18 octobre 2022 !

La semaine dernière, je vous faisais un point sur la légalisation par le gouvernement de l’indemnisation des cyber-rançons à partir d’un article et des deux réactions face à cette légalisation. https://gestiondesrisques.net/2022/10/13/blog-https-gestiondesrisques-net-la-rentree-un-peu-en-decale/

Rebondissement, le 18 octobre 2022 : la condition de plainte est modifiée par le Sénat.

Celui-ci nous rappelle, s’il en était besoin, le contenu souvent peu structurant des mesures prises par les pouvoirs publics français (loi NRE, loi SF, principe de précaution…). Or celui-ci est bien souvent à l’origine des logiques de sur-réaction ou de sous-réaction des entreprises. Voir le rôle d’amplificateur du risque du régulateur-législateur que je présente dans mes travaux comme l’un des facteurs qui explique l’ampleur considérable prise depuis la fin des années quatre-vingt-dix par la Fonction Risk Manager. Voir Ouvrage d’Aubry et Dufour : « Risk Management. Organisation et positionnement de la Fonction Risk Manager. Méthodes de gestion des risques ; p.53-65. 👉  https://librairie.gereso.com/livre-entreprise/riskmanagement-fris2.html

Je vous livre ci-dessous l’analyse de Paul Berger de Gallardo, Avocat / Assurances, cyber, risques industriels. 

🔔 Assurer la cyber-rançon : la condition de la plainte modifiée par le Sénat 🔔

🔹 7 septembre 2022 : dépôt d’un projet de loi par le Gouvernement proposant d’encadrer le remboursement des cyber-rançons par les #assurances, en rendant obligatoire le dépôt d’une « plainte » par la victime « au plus tard 48 h après le paiement de cette rançon ».

🔸 7 octobre 2022 : rédaction d’un amendement du sénateur Rémi Cardon qui transforme la condition d’assurance en une « pré-plainte » devant être déposée « dans les 24h suivant l’attaque et avant tout paiement ».

➡ Objectif : informer au plus vite les autorités compétentes pour agir dès la #cyber-attaque et réduire le nombre de rançons versées.

🔹 18 octobre 2022 : adoption du texte par le Sénat avec l’amendement précité, puis transmission à l’Assemblée nationale.

❓ Quelques interrogations sur cette condition d’assurance modifiée :

🔹 le dépôt d’un pré-plainte est-il opportun alors que ce mode de déclaration n’est pas prévu ni adapté pour les situations d’urgence ?

🔹 le point de départ du délai de 24h fixé au jour de l’attaque et non à celui de la demande de rançon est-il pertinent, alors que certains rançongiciels commencent à œuvrer bien avant que la victime en ait connaissance ?
🔹 le délai de 24h est-il tenable pour une (petite) entreprise sous le coup d’une cyber-attaque ?