Tous les articles par carolineaubry

cyberisque-cybersécurité, réglementation et amplification du risque, rgpd, RISQUES, télétravail

Deux articles sur les risques liés au télétravail. Le 1er dresse un état de la situation (télétravail en période de confinement), identifie les principaux risques, fait des recommandations pour les atténuer. Le 2ème (visionnaire) paru en 2018 rappelle le contexte réglementaire qui accentue l’intérêt des entreprises pour ce risque à savoir le RGPD ; il est ce que j’appelle dans mes travaux un amplificateur de risque.

Laisser un commentaire

Recommandations de sécurité informatique pour le télétravail en situation de crise

La situation de crise et de confinement liée à l’épidémie du CORONAVIRUS – COVID-19 engendre une intensification du recours au télétravail. Pour beaucoup d’employeurs et de collaborateurs, cette situation inédite et qui va s’inscrire dans la durée, n’avait pas été anticipée. Une mise en œuvre non-maîtrisée du télétravail peut augmenter considérablement les risques de sécurité pour les entreprises ou organisations qui y recourent. Elle peut même mettre en danger leur activité face à une cybercriminalité qui redouble d’efforts pour profiter de cette nouvelle opportunité.
En complément des mesures générales de vigilance cybersécurité publiées sur la crise du CORONAVIRUS – COVID-19, cet article décrit les conseils de Cybermalveillance.gouv.fr tant pour les collaborateurs que pour les employeurs afin de limiter les risques de sécurité informatique liés au télétravail.

État de la situation

La crise sanitaire mondiale du CORONAVIRUS – COVID-19 a nécessité la mise en place de mesures de confinement et de stricte limitation des déplacements aux seuls motifs indispensables. Face à cette situation exceptionnelle et inédite, les entreprises, associations, administrations ou collectivités qui en avaient la possibilité ont dû mettre en place le télétravail pour préserver au moins les activités essentielles que ce mode de fonctionnement peut permettre.

Certaines de ces organisations étaient déjà préparées au télétravail, mais pas pour y faire face de manière aussi massive et en s’inscrivant autant dans la durée.

Pour beaucoup d’autres organisations, la mise en place du télétravail a dû se faire dans l’urgence, voire elles ont dû l’initier « à distance » avec des collaborateurs confinés et sans réelle maîtrise des mesures de sécurité à mettre en place pour protéger de manière satisfaisante le système d’information de l’organisation.

Dans certains cas, et faute d’avoir pu déployer les moyens nécessaires, le télétravail s’opère même depuis les équipements personnels des collaborateurs, dont le niveau de sécurité ne peut pas être évalué et encore moins garanti.

Parallèlement, on peut observer dans cette crise du CORONAVIRUS – COVID-19 une intensification des activités de cybercriminels qui, comme dans toute situation exceptionnelle, cherchent à profiter de l’aubaine et des vulnérabilités induites.

Cette situation engendre une augmentation des risques de cybermalveillance pour les organisations qu’il est indispensable de juguler au mieux sous peine de dommages considérables.

Principaux risques et cybermenaces liés au télétravail

Avec l’intensification du télétravail, les cybercriminels vont chercher à mettre à profit la possible désorganisation et confusion des entreprises et organisations, ainsi que la dématérialisation des procédures qui en résulte, pour intensifier leurs attaques.
Les principales cyberattaques que l’ont peut envisager sont :

– L’hameçonnage (phishing) : Messages (email, SMS, chat…) visant à dérober des informations confidentielles (mots de passe, informations personnelles ou bancaires) en usurpant l’identité d’un tiers de confiance. Conséquences possibles : piratage de comptes professionnels de messagerie ou d’accès aux systèmes d’information de l’organisation, intrusion sur le réseau de l’entreprise, rançongiciels (ransomware), fraude aux faux ordres de virement… En savoir plus.

– Les rançongiciels (ransomware) : Attaque qui consiste à chiffrer ou empêcher l’accès aux données de l’entreprise et à généralement réclamer une rançon pour les libérer. Ce type d’attaque s’accompagne de plus en plus souvent d’un vol de données et d’une destruction préalables des sauvegardes. Ces attaques sont généralement rendues possibles par une intrusion sur le réseau de l’entreprise, soit par ses accès à distance, soit par la compromission de l’équipement d’un collaborateur. Conséquence : arrêt de l’activité de l’entreprise, perte de données… En savoir plus.

– Le vol de données : Attaque qui consiste à s’introduire sur le réseau de l’entreprise, ou sur ses hébergement externes (cloud), pour lui dérober des données afin de la faire « chanter », ou de les revendre, ou encore de les diffuser pour lui nuire. Comme pour les rançongiciels (cf. supra), ces attaques sont généralement possibles par une intrusion dans le réseau ou sur les systèmes hébergées de l’entreprise via ses accès à distance ou bien encore par la compromission du poste d’un collaborateur. Conséquences : atteinte à l’activité et à l’image de l’entreprise ou de l’organisation.

– Les faux ordres de virement (FOVI/BEC) : Escroquerie réalisée, parfois suite au piratage d’un compte de messagerie, par message et même téléphone, en usurpant l’identité d’un dirigeant ou d’un de ses mandataires, d’un fournisseur ou d’un prestataire, voire d’un collaborateur, pour demander un virement exceptionnel et confidentiel, ou un changement des coordonnées de règlement (RIB) d’une facture ou d’un salaire. Conséquence : perte financière pour l’entreprise ou l’organisation.

« Bien connaître les risques permet de mieux détecter les attaques et de comprendre l’intérêt des mesures de sécurité à appliquer. »

10 recommandations de sécurité pour les télétravailleurs

Vous êtes confinés et devez avoir recours au télétravail pour maintenir votre activité. Vous ne disposez parfois pas d’équipement professionnel pour télétravailler et devez le faire avec vos moyens informatiques personnels (ordinateur, tablette, téléphone, comptes de messagerie…).
Afin de préserver au mieux la sécurité de votre entreprise, appliquez les 10 recommandations suivantes :

  1. Si vous disposez d’équipements professionnels, séparez vos usages : Séparez bien vos usages professionnels et personnels au risque de les confondre et de générer des fautes de sécurité qui pourraient être préjudiciables à votre entreprise. L’activité professionnelle doit se faire sur vos moyens professionnels et seulement sur vos moyens professionnels et l’activité personnelle doit se faire seulement sur vos moyens personnels. En savoir plus.
  2. Appliquez strictement les consignes de sécurité de votre entreprise : Ces mesures de sécurité visent à protéger votre entreprise, donc votre activité. Si vous rencontrez des difficultés à appliquer les mesures prescrites, remontez l’information et demandez conseil à votre entreprise, mais ne les contournez pas de votre propre chef, car vous n’êtes probablement pas en mesure d’apprécier l’étendue des risques que vous pourriez prendre et faire prendre à votre entreprise
  3. Ne faites pas en télétravail ce que vous ne feriez pas au bureau : A fortiori sur vos équipements professionnels si vous en disposez. Ayez une utilisation responsable et vigilante de vos équipements et accès professionnels. Si vous utilisez vos moyens personnels en télétravail, ayez conscience que vos activités personnelles peuvent faire prendre un risque aussi à votre entreprise, redoublez donc d’attention et de prudence.
  4. Appliquez les mises à jour de sécurité sur tous vos équipements connectés (PC, tablettes, téléphones…) : Et ce dès qu’elles vous sont proposées afin de corriger les failles de sécurité qui pourraient être utilisées par des pirates pour s’y introduire et les utiliser pour attaquer le réseau de votre entreprise au travers de vos accès. En savoir plus.
  5. Vérifiez que vous utilisez bien un antivirus et scannez vos équipements : Vérifiez que tous vos équipements connectés (PC, téléphones, tablettes…) sont bien protégés par un antivirus, qu’il est bien à jour, et effectuez une analyse complète (scan) de vos matériels. Si un matériel ne peut avoir d’antivirus, évitez le plus possible de l’utiliser pour accéder au réseau de votre entreprise.
  6. Renforcez la sécurité de vos mots de passe : Utilisez des mots de passe suffisamment longs, complexes et différents sur tous les équipement et services auxquels vous accédez, qu’ils soient personnels ou professionnels. La majorité des attaques est due à des mots de passe trop simples ou réutilisés. Au moindre doute ou même en prévention, changez-les et activez la double authentification chaque fois que cela est possible. En savoir plus.
  7. Sécurisez votre connexion WiFi : Le télétravail s’opère en général principalement sur votre connexion WiFi personnelle. Il est donc primordial de bien la sécuriser pour éviter toute intrusion sur votre réseau qui pourrait être utilisée pour attaquer votre entreprise. Utilisez un mot de passe suffisamment long et complexe (voir plus haut) et assurez vous que vous utilisez bien le chiffrement de votre connexion en WPA2. Pensez également à mettre à jour régulièrement votre « box Internet » en la redémarrant ou depuis son interface d’administration.
  8. Sauvegardez régulièrement votre travail : La sauvegarde est le seul moyen permettant de retrouver ses données en cas de cyberattaques, mais également en cas de panne ou de perte de son équipement. Si vous en avez la possibilité, sauvegardez régulièrement votre travail sur le réseau de l’entreprise ou les moyens qu’elle met à disposition à cet effet, mais aussi sur un support externe à votre équipement (clé ou disque USB) que vous débranchez une fois la sauvegarde effectuée. En savoir plus.
  9. Méfiez-vous des messages inattendus : Que ce soit par messagerie (email, SMS, chat…) en cas de message inattendu ou alarmiste, demandez toujours confirmation à l’émetteur par un autre moyen. Il peut s’agir d’une attaque par hameçonnage (phishing) visant à vous dérober des informations confidentielles (mots de passe), de l’envoi d’un virus par pièce-jointe ou d’un lien qui vous attirerait sur un site piégé, ou encore d’une tentative d’arnaque aux faux ordres de virement (voir menaces supra).
  10. N’installez vos applications que dans un cadre « officiel » et évitez les sites suspects : Sur vos équipements professionnels, n’installez de nouvelles applications qu’après l’accord de votre support informatique. Sur vos équipements personnels utilisés en télétravail, n’installez des applications que depuis les sites ou magasins officiels des éditeurs (exemple : Apple App Store,Google Play Store) pour limiter les risques d’installation d’une application piégée pour pirater votre équipement. De même, évitez les sites Internet suspects ou frauduleux (téléchargement, vidéo, streaming illégaux) qui pourraient également piéger vos équipements.

12 recommandations de sécurité liées au télétravail pour les employeurs

Pour faire face à la crise et au confinement imposé par l’épidémie du CORONAVIRUS – COVID-19 les employeurs, entreprises, associations, administrations, collectivités se sont vues devoir mettre en place ou développer dans l’urgence le télétravail pour maintenir, au moins a minima,  leurs activités essentielles. L’ouverture vers l’extérieur du système d’information de l’entreprise peut engendrer des risques sérieux de sécurité qui pourraient mettre à mal l’entreprise, voire engager sa survie en cas de cyberattaque.
Voici 12 recommandations à mettre en œuvre pour limiter au mieux les risques :

  1. Définissez et mettez en œuvre une politique d’équipement des télétravailleurs : Privilégiez autant que possible pour le télétravail l’utilisation de moyens mis à disposition, sécurisés et maîtrisés par l’entreprise. Lorsque ce n’est pas possible, donnez des directives d’utilisation et de sécurisation claires aux employés en ayant conscience que leurs équipements personnels ne pourront jamais avoir un niveau de sécurité vérifiable (voire sont peut être déjà compromis par leur usage personnel).
  2. Maîtrisez vos accès extérieurs : Limitez l’ouverture de vos accès extérieurs ou distants (RDP) aux seules personnes et services indispensables, et filtrer strictement ces accès sur votre pare-feu. Cloisonnez les systèmes pour lesquels un accès à distance n’est pas nécessaire pour les préserver, surtout s’ils revêtent un caractère sensible pour l’activité de l’entreprise.
  3. Sécurisez vos accès extérieurs : Systématisez les connexions sécurisées à vos infrastructures par l’emploi d’un « VPN » (Virtual Private Network ou « réseau privé virtuel » en français). Outre le chiffrement de vos connexions extérieures, ces dispositifs permettent également de renforcer la sécurité de vos accès distants en les limitant aux seuls équipements authentifiés. La mise en place sur ces connexions VPN d’une double authentification sera également à privilégier pour se prémunir de toute usurpation.
  4. Renforcez votre politique de gestion des mots de passe : Qu’il s’agisse des mots de passe des utilisateurs en télétravail, mais aussi de ceux en charge du support informatique, les mots de passe doivent être suffisamment longs, complexes et uniques sur chaque équipement ou service utilisé. La majorité des attaques est due à des mots de passe trop simples ou réutilisés. Au moindre doute ou même en prévention, changez-les et activez la double authentification chaque fois que cela est possible. En savoir plus.
  5. Ayez une politique stricte de déploiement des mises à jour de sécurité : Et ce, dès qu’elles sont disponibles et sur tous les équipements accessibles de votre système d’information (postes nomades, de bureau, tablettes, smartphones, serveurs, équipements réseaux ou de sécurité…) car les cybercriminels mettent peu de temps à exploiter les failles lorsqu’ils en ont connaissance. Un défaut de mise à jour d’un équipement est souvent la cause d’une intrusion dans le réseau des entreprises. En savoir plus.
  6. Durcissez la sauvegarde de vos données et activités : Les sauvegardes seront parfois le seul moyen pour l’entreprise de recouvrer ses données suite à une cyberattaque. Les sauvegardes doivent être réalisées et testées régulièrement pour s’assurer qu’elles fonctionnent. Des sauvegardes déconnectées sont souvent indispensables pour faire face à une attaque destructrice par rançongiciel (ransomware). En outre, il convient également de s’assurer du niveau de sauvegarde de ses hébergements externes (cloud, site Internet d’entreprise, service de messagerie…) pour s’assurer que le service souscrit est bien en adéquation avec les risques encourus par l’entreprise. En savoir plus.
  7. Utilisez des solutions antivirales professionnelles : Les solutions antivirales professionnelles permettent de protéger les entreprises de la plupart des attaques virales connues, mais également parfois des messages d’hameçonnage (phishing), voire de certains rançongiciels (ransomware). Utiliser des solutions différentes pour la protection des infrastructures et pour les terminaux peut s’avérer très complémentaire et donc démultiplier l’efficacité de la protection dans un principe de défense en profondeur.
  8. Mettez en place une journalisation de l’activité de tous vos équipements d’infrastructure : Ayez une journalisation systématique et d’une durée de rétention suffisamment longue de tous les accès et activités de vos équipements d’infrastructure (serveurs, pare-feu, proxy…), voire des postes de travail. Cette journalisation sera souvent le seul moyen de pouvoir comprendre comment a pu se produire une cyberattaque et donc de pouvoir y remédier, ainsi que d’évaluer l’étendue de l’attaque.
  9. Supervisez l’activité de vos accès externes et systèmes sensibles : Cette supervision doit vous permettre de pouvoir détecter toute activité anormale qui pourrait être le signe d’une cyberattaque, tels une connexion suspecte d’un utilisateur inconnu, ou d’un utilisateur connu en dehors de ses horaires habituels, ou encore un volume inhabituel de téléchargement d’informations…
  10. Sensibilisez et apportez un soutien réactif à vos collaborateurs en télétravail : Donnez aux télétravailleurs des consignes claires sur ce qu’ils peuvent faire ou ne pas faire et sensibilisez les aux risques de sécurité liés au télétravail. Cela doit se faire avec pédagogie pour vous assurer de leur adhésion et donc de l’efficacité des consignes. Les utilisateurs sont souvent le premier rempart pour éviter, voire détecter les cyberattaques. Utilisez au besoin nos supports et notre kit de sensibilisation ou encore les recommandations aux télétravailleurs décrites supra. Ces utilisateurs coupés de leur entreprise ont également besoin d’un soutien de qualité et réactif pour éviter toute dérive.
  11. Préparez-vous à affronter une cyberattaque : L’actualité démontre qu’aucune organisation, quelle que soit sa taille, n’est à l’abri d’une cyberattaque. Il faut donc admettre que cela n’arrive pas qu’aux autres. La question n’est donc plus de savoir si on va être victime d’une cyberattaque, mais quand on le sera. Il faut donc s’y préparer. L’évaluation des scénarios d’attaques possibles (cf. menaces supra) permet d’anticiper les mesures à prendre pour s’en protéger et de définir également la conduite à tenir pour réagir quand elle surviendra : plans de crise et de communication, contractualisation avec des prestataires spécialisés pour recourir à leur assistance…
  12. Dirigeants : impliquez-vous et montrez l’exemple ! La sécurité est toujours une contrainte qu’il faut accepter à la mesure des enjeux qui peuvent s’avérer vitaux pour les entreprises. L’implication et l’adhésion des dirigeants aux mesures de sécurité est indispensable, tout comme leur comportement qui doit se vouloir exemplaire afin de s’assurer de l’adhésion des collaborateurs.

 

Travail nomade : risk managers et DRH limitent les risques

JULIE LE BOLZER

L’employeur doit s’assurer que le télétravailleur est convenablement équipé.

Bénéficiant d’une vision transverse, le risk manager apporte une méthode pour cartographier les risques inhérents au travail nomade.

D’après les entreprises matures sur le sujet, le travail à distance constitue notamment un vecteur de bien-être, d’engagement, de performance et de baisse du stress pour les collaborateurs concernés. Reste que le télétravail n’est pas sans risques.

Pour identifier les grains de sable qui pourraient venir contrarier sa mise en oeuvre, les directions des ressources humaines (DRH) ont tout intérêt à s’appuyer sur l’expertise et la méthode de cartographie des risk managers« Par essence, le responsable des risques occupe une fonction transverse et prouve son efficacité dès lors qu’il oeuvre en interface avec les autres départements de l’entreprise », explique François Beaume, vice-président chargé des risques digitaux de l’Association pour le management des risques et des assurances de l’entreprise (Amrae).

Accompagnement et confiance réciproque

En interagissant avec les différentes directions, le risk manager peut cartographier l’ensemble des failles et aider les services concernés, comme les ressources humaines, à mieux identifier et quantifier les risques« Le premier risque lié au télétravail est le manque de conformité juridique, d’où la nécessité pour la DRH de travailler sur la question avec les instances représentatives du personnel », pointe François Malan, vice-président métier et formation de l’Amrae.

De son avis, cette consultation du terrain et des règles clairement définies permettent d’emporter l’adhésion des collaborateurs et des managers« Le télétravail ne doit pas devenir une source de frustration avec des collaborateurs qui se retrouvent exclus du dispositif alors qu’ils pourraient y prétendre. L’accompagnement des managers et la confiance réciproque sont indispensables pour réussir cette transformation », prévient-il.

La cartographie des risques permet d’identifier les adaptations de process et d’organisation nécessaires au maintien de la performance de l’entreprise. « Les entreprises de services, par exemple, ne peuvent pas se permettre de ne pas être accessibles aux clients. Il s’agit donc de veiller à ce que tous les membres d’une même équipe ne soient pas en télétravail au même moment », souligne François Malan.

Equipement suffisant et installation aux normes

Autre élément essentiel à la mise en place d’une politique de télétravail : l’aspect technique. L’employeur doit s’assurer que le télétravailleur est convenablement équipé, avec une connexion Internet suffisante et une installation électrique non défectueuse.« Le plus souvent, c’est l’entreprise qui dote les collaborateurs des outils nécessaires et les assure. Si elle ne fournit pas les équipements et qu’elle n’assure pas le matériel, elle doit inviter le télétravailleur à se rapprocher de son assureur et elle peut interdire le recours à des logiciels non sécurisés », rappelle François Beaume.

En effet, le risque cyber constitue l’un des principaux dangers du télétravail. Il s’avère donc essentiel d’impliquer le directeur des services d’information (DSI) à la démarche. « On a coutume de dire que 50 % des risques cyber sont liés aux individus et aux comportements des personnes. Si les collaborateurs sont conscients de la menace et adoptent une certaine hygiène informatique, l’entreprise se met davantage à l’abri », remarque François Beaume, estimant que la formation constitue la pierre angulaire de la sécurité informatique« Les firewall, antivirus, antimalware, VPN [« virtual private network » ou réseau privé virtuel, NDLR] et autres ne se révèlent réellement efficaces que si l’ensemble des équipes est sensibilisé », dit-il, insistant sur « la nécessité de mettre autour de la table la DRH, la DSI, le service juridique et le risk manager pour que les mesures qui sont prises soient cohérentes entre elles ».

Si ce travail transverse entre les différentes entités de l’entreprise constitue un rempart aux risques, il n’est pas encore effectué naturellement dans toutes les entreprises. « Dans les organisations moins matures, le risk manager n’est associé qu’aux projets considérés comme stratégiques. Si le télétravail est jugé comme tel, le risk manager interviendra dès le début. Mais cela est encore loin d’être le cas partout », conclut François Malan.

Julie Le Bolzer

Entré en application le 25 mai 2018, le règlement général sur la protection des données (RGPD) oblige les entreprises à prendre des mesures techniques et organisationnelles garantissant la sécurité des données personnelles qu’elles traitent dans le cadre de leurs activités (données RH, consommateurs, clients, fournisseurs…). « Avec le travail à distance, certains collaborateurs sont amenés à manipuler des données personnelles en dehors de l’entreprise, d’où la nécessité de prendre en compte la dimension télétravail dans la politique de protection des données personnelles pour en garantir la sécurité effective grâce à un bon usage des outils informatiques », prévient Guillaume Bordier, avocat associé chez Capstan Avocats.

 

élargissement du domaine du risque, cyberisque-cybersécurité, normes, RISQUES

Préparation de la Table Ronde sur la Cybersécurité organisée par la Mêlée Numérique en juin 2020 : nouvelles cyberattaques.

Un commentaire

Pour préparer ma participation à la Table Ronde organisée aujourd’hui (reportée au mois de juin 2020) par la Mêlée Numérique à Toulouse, j’ai entrepris de lister toutes les cyberattaques connues et intervenues contre des organisations française depuis janvier 2020. Ma liste est déjà longue.

Je vous dépose ci-dessous un article intéressant de cyberattaques contre trois municipalités. On y retrouve les éléments d’identification d’un risque : description de celui-ci, causes, impact. Et quelques Plans d’Actions proposés par Deloitte et détaillés dans un rapport intitulé « Ransoming government : What state and local governments can do to break free from ransomware attacks ».

Marseille, Martigues, Charleville-Mézières : les villes françaises sous attaque des ransomwares

Technologie : « Cette cyberattaque, inédite par son ampleur et sa force de frappe, n’a pu être évitée » assurent les responsables locaux. L’attaque touche des systèmes informatiques très importants en cette période d’élection et de pandémie de Coronavirus.

Par La rédaction de ZDNet.fr | lundi 16 mars 2020

Impossible dimanche soir pour les journalistes présents en mairie de Marseille d’obtenir les résultats du premier tour des municipales. La cause ? Une attaque informatique qui paralyse depuis le 14 mars dernier les systèmes informatiques de la municipalité, phocéenne.

La métropole Aix-Marseille-Provence a également été victime de l’attaque, tout comme la ville voisine de Martigues. 300 machines informatiques ont été bloquées assure l’Agence nationale de sécurité des systèmes d’information (Anssi) à l’AFP.

Problème, ces machines devaient créer les listes d’émargement des procurations en vue des élections. Les listes ont donc du être faites à la main, ce qui a ajouté au chaos rapporté sur place dans les bureaux de vote, pour diverses raisons. La Provence précise de son côté que les systèmes informatiques de la région PACA seraient également concernés.

« Cette cyberattaque, inédite par son ampleur et sa force de frappe, n’a pu être évitée »

La mairie de Marseille a assuré que « les élections municipales auraient lieu normalement ». Reste que lundi matin le site de la métropole ne fonctionnait pas. La mairie de Martigues prévient quant à elle que « l’accueil du public sera affecté dans les prochains jours » du fait de cette cyberattaque.

« Malgré les précautions extrêmes prises au quotidien pour protéger les équipements informatiques et se prémunir des virus et du piratage, cette cyberattaque, inédite par son ampleur et sa force de frappe, n’a pu être évitée » a déclaré par communiqué Martine Vassal, candidate Les Républicains à la mairie de Marseille, et présidente de la métropole Aix-Marseille-Provence. « Cette attaque repose sur un rançongiciel (ransomware), un logiciel malveillant qui bloque l’accès à un ordinateur ou à des fichiers en les chiffrant, tout en réclamant à la victime le paiement d’une rançon ».

Elle précise par ailleurs que les équipes techniques sont à pied d’œuvre pour faire un diagnostic précis des systèmes compromis afin d’ »arrêter la propagation » de cette attaque et d’en « limiter l’impact ». Pour éviter un dysfonctionnement de plus grande ampleur, la Métropole a demandé à ses agents de ne pas allumer leur ordinateur fixe ou portable. La collectivité explique travailler avec les instances nationales de sécurité, pour « permettre le rétablissement du réseau informatique dans les meilleurs délais ».

Le secteur public en première ligne

« Les systèmes de sauvegarde et de récupération devraient permettre de limiter les dégâts et récupérer la plupart des données », tient-elle à rassurer. L’enquête a été confiée à la sous-direction de la lutte contre la cybercriminalité de la police nationale.

Mardi dernier, ce sont les systèmes informatiques de la ville de Charleville-Mézières et d’Ardenne Métropole qui étaient visés par une attaque similaire. Selon le média local l’Ardennais, la mairie avait du faire appel à des experts en cybersécurité pour débloquer les systèmes. Le lendemain, la ville ardennaise avait annoncé un retour progressif à la normale.

Si l’épidémie de ransomware touche les systèmes informatiques des collectivités locales tout comme ceux des entreprises, il existe des raisons plus spécifiques pour lesquelles les pirates s’entichent des sites de mairies et communauté d’agglomération.

L’utilisation de systèmes et de logiciels anciens est un problème qui provoque des faiblesses dans ces organisations

Mercredi dernier, Deloitte a publié un rapport intitulé « Ransoming government : What state and local governments can do to break free from ransomware attacks », qui examine comment ces attaques peuvent avoir lieu – et ce que les employés du secteur public devraient faire pour relever le défi des ransomwares. Selon les chercheurs, comme les collectivités locales proposent de plus en plus de services numériques, la surface d’attaque s’est radicalement accrue ces dernières années.

« Il y a quelques décennies, il y avait peut-être quelques ordinateurs dans (ces organisations) », note le rapport. « Chacun de ces ordinateurs est un point d’accès potentiel pour les logiciels malveillants, avec pour conséquence que la surface d’attaque potentielle qu’une collectivité locale doit protéger s’est considérablement accrue sans investissements proportionnels dans la cybersécurité ».

L’utilisation de systèmes et de logiciels anciens, dépassés et inadéquats est un autre problème qui provoque des faiblesses dans ces organisations. Les défaillances dans la gestion des cycles de patchs, les systèmes d’exploitation anciens qui ont dépassé les dates de fin de support, et les budgets serrés empêchant la modernisation et contribuent aux infections par les ransomwares.

Le manque de budget est la principale préoccupation des RSSI de ces organisations

« Pour les organisations publiques nationales et locales qui fonctionnent avec des systèmes anciens, la mise à jour de ces systèmes peut être une bataille redoutable » note Deloitte.

Cependant, l’étude suggère que même si les systèmes anciens peuvent représenter un défi, le facteur humain est le plus grand problème pour le secteur public. Sans personnel qualifié et sans une sensibilisation générale à la cybersécurité, la possibilité que les pirates utilisent les vulnérabilités, le phishing et l’ingénierie sociale pour compromettre les réseaux augmente.

Une enquête menée par la NASCIO et Deloitte montre que le manque de budget est la principale préoccupation des RSSI et responsables de sécurité informatique de ces organisations depuis 2010. Seulement un à deux pour cent du budget informatique moyen de ces organisations est utilisé à des fins de cybersécurité.

Par ailleurs, il s’avère que les collectivités locales paient le plus souvent les preneurs d’otage de leurs systèmes d’information plutôt que d’essayer de restaurer les systèmes par des sauvegardes – si cela est possible – ou de faire face à la possibilité de longues semaines à compter uniquement sur des documents papier. Un exemple cité dans l’étude est celui de la ville de Baltimore, qui a refusé de céder à une demande de rançon de 76 000 $, pour ensuite perdre plus de 18 millions de dollars en frais de recouvrement et en pertes de revenus.

Selon Deloitte, les considérations essentielles des collectivités locales pour lutter contre le risque de ransomware doivent être :

  • Une architecture de systèmes plus intelligente :La modernisation de l’IT ne peut être reportée qu’un certain temps et, compte tenu des dommages financiers que peuvent causer les rançons, il convient d’envisager au plus tôt la réorganisation des anciens systèmes pour prévenir ces attaques.
  • Formation du personnel :La formation et la fidélisation du personnel sont essentielles, tout comme les partenariats entre les secteurs public et privé pour élargir les réserves de talents disponibles.
  • Gestion des correctifs :Deloitte suggère que des pratiques adéquates de gestion des correctifs soient appliquées et que l’on envisage à la fois le cloisonnement des données et les sauvegardes offline.
  • Cyberassurance :Si la cyberassurance peut couvrir le coût des attaques par rançon, son utilisation doit être envisagée avec prudence. Ces politiques peuvent avoir un effet d’entraînement en incitant les pirates à exiger des paiements importants.

 

activité du rm, approche:logique de contrôle, communication de crise, compétences, contrôle, GESTION DES RISQUES, identification des risques, perception-subjectivité du risque, place dans l'organisation, réglementation et amplification du risque, relation avec la dg, les opérationnels et les autres fonctions, rgpd, RISK MANAGER-FONCTION RISK MANAGER, RISQUES, stratégie de définition des risques

« La Fonction Risk Manager. Organisation, Méthodes et Positionnement » labellisé par la Fondation Nationale pour l’Enseignement de la Gestion des Entreprises (FNEGE).

Laisser un commentaire

Moins d’un an après sa parution, l’ouvrage que j’ai co-écrit avec Nicolas Dufour, RM dans une Mutuelle, a reçu le label 2020 de la FNEGE. Label de qualité et reconnaissance de nos pairs dont nous sommes très fiers.  Nous espérons que cette labellisation vous donnera envie de lire notre ouvrage. FNEGE 2

relation avec la dg, les opérationnels et les autres fonctions, RISK MANAGER-FONCTION RISK MANAGER, RISQUES

Toujours dans l’optique d’une démarche pro-active du risque. Orienter la démarche vers les opérationnels.

Laisser un commentaire

L’identification du risque et la mise en place de plans d’actions sont des étapes « classiques » de la démarche de gestion des risques. Orienter la démarche vers les opérationnels, les prendre en compte et les sensibiliser au risque est moins fréquent (étape 5 de la démarche de gestion des risques). Cela favorise pourtant une culture d’apprentissage et une pro-activité indispensables à la mise en place d’une démarche globale de gestion des risques. Pour une description de la démarche de gestion des risques en cinq étapes, voir Aubry, 2013 ou Aubry et Dufour, 2019 « La Fonction Risk Manager. Organisation, Méthodes et Positionnement. »

Yann Girard propose de faire des collaborateurs la première ligne de défense de l’entreprise contre la cybercriminalité en les sensibilisant et en les impliquant dans la mise en oeuvre de la démarche.

Cybercriminalité : les collaborateurs, première ligne de défense de l’entreprise

Yann Girard

Chief Information Security Officer / Retail BanksFrance

Le nombre d’entreprises victimes de fraudes cybercriminelles ne cesse d’augmenter, elles sont des cibles privilégiées quelle que soit leur taille. Ainsi près de 80 % des entreprises ont constaté au moins une cyber-attaque en 2017, 77 % sont des petites et moyennes entreprises. Les conséquences, nous le savons, peuvent s’avérer parfois désastreuses.

Si le vecteur d’attaque est d’origine technologique et parfois extrêmement sophistiqué, la participation involontaire des victimes est la plupart du temps nécessaire au succès des opérations frauduleuses. Les cybercriminels s’appuient sur notre méconnaissance des outils, nos biais cognitifs et notre manque de vigilance pour arriver à leurs fins.

 Avant d’être technologique, la réponse à ce problème passe donc avant tout par la sensibilisation de chacun des collaborateurs de l’entreprise.

 Les 4 scénarios d’attaques suivants, fréquemment observés par les équipes de spécialistes antifraude Société Générale, peuvent ainsi être facilement évités si nous développons les bons réflexes :

–       La fraude au président : demande urgente et confidentielle d’un prétendu responsable hiérarchique ou d’une autorité pour effectuer un virement inhabituel en dérogeant exceptionnellement aux procédures internes. Dans un tel cas, une vérification auprès de sa hiérarchie s’impose.

–       Le fournisseur transmettant de nouvelles coordonnées bancaires pour régler sa prochaine facture. La demande est là aussi loin d’être neutre et nécessite un contre-appel à votre fournisseur pour vérifier s’il en est bien l’émetteur, et une vigilance sur la nouvelle domiciliation bancaire.

–       L’appel d’un faux support informatique, pour prendre le contrôle de votre PC à distance afin de réaliser des tests. Objectif : installer un logiciel qui permettra à l’attaquant de commettre des fraudes, voler vos données ou les détruire. Il est donc essentiel de s’assurer de l’identité de l’interlocuteur, et de la légitimité de l’opération.

–       Le troyen bancaire, reçu dans un mail de phishing souvent anxiogène ou promotionnel, qui vous incite à cliquer sur des liens ou des pièces jointes. Encore une fois, le risque est qu’un logiciel malveillant s’infiltre dans votre système d’information. Les mails sont le premier vecteur d’attaques, méfiance donc vis-à-vis des pièces jointes et des liens cliquables.

Ces scénarios d’attaques par ingénierie sociale sont très classiques mais fonctionnent encore malheureusement trop souvent : ils sont détectables et doivent éveiller notre vigilance. D’autant que les impacts peuvent être lourds, entre conséquences financières (jusqu’au redressement ou la liquidation judiciaire), et conséquences sociales et humaines (licenciements…).

D’où l’importance de sensibiliser les collaborateurs avant tout : ils doivent être conscients des menaces potentielles pour anticiper les scénarios d’attaques et protéger l’entreprise.

Identifiez ce qui est vital pour votre business, les collaborateurs les plus susceptibles d’être ciblés (trésoriers, équipes comptables…), et accompagnez- les en conséquence à travers des formations, des simulations, une charte de bonnes pratiques cybersécurité…

Société Générale organise par exemple chaque année ses Cybersecurity Hours, programme de conférences, ateliers pédagogiques et actions de sensibilisation à la Sécurité de l’Information. Elles ont lieu en octobre, pendant le mois européen de la Cybersécurité. Votre banque, dans son rôle de tiers de confiance, reste d’ailleurs un interlocuteur privilégié pour bénéficier de conseils et de recommandations sur ces sujets.

Nous ne pourrons jamais empêcher les fraudeurs d’essayer mais chacun d’entre nous peut leur compliquer la tâche voire déjouer leurs tentatives par des réflexes simples à acquérir et à entretenir. Déployer des solutions de sécurité en entreprise pour se protéger est nécessaire mais cela reste un investissement vain si les collaborateurs ne sont pas sensibilisés.

approche socio-cognitive: rex, apprentissage, GESTION DES RISQUES, relation avec la dg, les opérationnels et les autres fonctions, RISK MANAGER-FONCTION RISK MANAGER

Dans le même esprit que le retour d’expérience…la mise en place de pratiques communes, de coordination des actions, de partage de la connaissance.

Laisser un commentaire

« Les actions de gestion des risques doivent en effet faire l’objet d’une analyse, d’un suivi et d’un apprentissage.

Les résultats font ensuite l’objet d’une communication à la hiérarchie. La Direction Générale est informée de la qualité de la maîtrise des risques dans l’entreprise. Les enjeux de cette dernière étape sont la transparence vis-à-vis du management et des actionnaires – le climat de confiance – et la diffusion d’une culture du risque dans l’entreprise avec l’introduction d’une boucle d’apprentissage collectif.

L’analyse des résultats peut enfin donner lieu à la mise en place de retours d’expérience (mises à jour régulières du site de l’entreprise au fur et à mesure de la réalisation des plans d’actions, d’échanges d’informations entre le terrain et les équipes de management via les bases de données ou encore de diffusion des meilleurs pratiques accessibles à tous).

Ces outils donnent à la démarche de gestion des risques son caractère opérationnel.

Leur mise en place confère également à la gestion des risques une approche globale qui la rapproche de l’Enterprise-wide-Risk-Management (ERM), modèle anglo-saxon d’une gestion des risques présentée comme globale et intégrée, dans lequel le rôle des responsables opérationnels devient essentiel.

Une gestion des risques qui met en place ce type d’outils relève de l’Enterprise-wide-Risk-Management (ERM), modèle anglo-saxon d’une gestion des risques présentée comme globale et intégrée, dans lequel le rôle des responsables opérationnels devient essentiel. Elle est globale au sens de Louisot (2010)[1]. Elle est « intégrée, car la gestion des risques doit effectivement l’être à tous les niveaux de décisions et dans tous les process (Louisot J.P., « ERM à l’épreuve de la crise », Risk management n°1, avril 2010.)

Elle est par essence transversale puisqu’elle est là pour servir les projets, les différentes entités et les processus opérationnels et managériaux de l’entreprise et qu’elle se positionne en accompagnement du processus de décision. Elle suppose l’implication du personnel opérationnel indispensable à une bonne identification des risques. La démarche de gestion des risques se doit d’intervenir en amont de la survenance des évènements, les anticiper et non pas seulement valider les expériences survenues. En cela elle n’est pas seulement une activité de contrôle : on ne cherche pas seulement la qualité de chacune des opérations mais la bonne articulation des activités entre elles. »

[1] Modèle anglo-saxon d’une gestion des risques présentée comme globale et intégrée, dans lequel le rôle des responsables opérationnels devient essentiel. La notion de globalité introduit tous les éléments d’incertitude liés au futur de l’organisation, ce que Louisot (2010) englobe sous l’expression « toutes causes, toutes conséquences, toutes opportunités et menaces.»

Christine Grassi. 

approche socio-cognitive: rex, apprentissage, GESTION DES RISQUES, relation avec la dg, les opérationnels et les autres fonctions, RISK MANAGER-FONCTION RISK MANAGER

La mise en place par les Risk Managers d’outils hors contrôle. L’exemple du Retour d’Expérience.

Laisser un commentaire

La mise en place par certains Risk Managers d’outils hors contrôle tels que le retours d’expérience, les réunions, la responsabilité des opérationnels, l’appropriation des outils permettraient aux Risk Managers d’avoir l’appui des opérationnels et d’acquérir une légitimité cognitive (celle qui consiste à s’ancrer dans l’inconscient collectif pour être compris par les parties prenantes, devenir incontournable ; elle est le « graal » de la légitimité.

Nous évoquons ces outils dans nos travaux (Aubry et Montalan, 2007) et dans l’ouvrage La Fonction Risk Manager. Organisation, méthodes et positionnement (2019, p.96).

Je vous propose de découvrir le Retour d’Expérience à travers l’article ci-dessous écrit par mon co-auteur Nicolas Dufour.

La construction d’une mémoire du risque en entreprise est un long apprentissage s’inscrivant dans la constitution (progressive) d’une culture du risque dans l’organisation. Au-delà d’une communication régulière, les actions suivantes peuvent être préconisées :

– dans le cadre des processus de cartographie des risques, réaliser une pré-identification des risques : reprendre les incidents marquants dans la revue des risques, en allant au-delà de l’exercice passé et s’assurer que ces risques restent sous contrôle ou que d’autres situations similaires ne seraient pas susceptibles d’arriver ;

– intégrer les « sachants » au processus de revue des risques, ayant la connaissance historique de l’organisation, même s’ils ont changé d’activité entre le moment de la survenance de certains incidents et celui de la revue des risques (le plus souvent annuelle) ;

– mieux exploiter les effets d’expérience issus des bases incidents, notamment les analyses de causes, même si celles-ci ne sont pas systématiquement documentées ;

– à la manière des méthodes formalisées en EHS (courbe de Bradley formalisant dans le temps la progression enregistrée en termes de réduction des accidents de travail en tenant compte de différentes étapes dans la constitution d’une culture du risque et de la responsabilisation des acteurs), construire des courbes d’apprentissage sur différents risques opérationnels : capacité à réduire les erreurs humaines, à détecter les fraudes…

médias et amplification du risque, réputation-image, RISQUES

What Price Reputation ? Article intéressant sur l’impact d’une dégradation de la réputation sur la valorisation boursière

2 commentaires

La réputation des entreprises devient un facteur clef dans la valorisation boursière

La réputation des entreprises cotées participe désormais à hauteur d’un tiers à la valorisation des entreprises cotées. Pour l’établir, les investisseurs font passer au premier plan les données managériales et financières. Au détriment de l’innovation.

Publié le 9 juil. 2019

Qui dit temps troublés, tensions politiques liées à la perspective d’un « hard Brexit » et incertitudes économiques associées à la guerre commerciale menée par les Etats-Unis… dit retour aux « fondamentaux » des sociétés cotées pour prendre la mesure, de la manière la plus exacte possible, de leur réputation.

A cet égard, la lecture de la dernière étude « What Price Reputation ? » réalisée par  AMO (Havas), l’un des premiers réseaux mondiaux de communication corporate et de communication financière, est instructive sur le coût actuel d’une mauvaise réputation… comme sur son impact sur la capitalisation boursière de l’entreprise concernée et les critères retenus, où les items financiers l’emportent sur la qualité des produits et des services ou l’innovation.

A priori, pourtant, la notion même de réputation peut sembler arbitraire, à la fois subjective et difficilement appréciable. En réalité, il s’agit d’une réalité bien tangible. « La réputation d’entreprise contribue à hauteur de 38 % à la capitalisation boursière du CAC 40. Et à plus du tiers à celle des quinze principaux indices boursiers mondiaux, soit une valeur de 16 770 milliards de dollars dégagée pour leurs actionnaires. Et la tendance ne cesse de s’accélérer », explique Simon Cole, l’auteur de l’étude. Mais quoi de plus normal ? « A l’échelle mondiale, plus d’une société sur cinq a subi une dégradation de sa capitalisation boursière en raison d’une mauvaise réputation. »

Résister aux ondes de choc

Pendant un an, AMO s’est penché sur le profil de 1.611 sociétés cotées, notamment aux Etats-Unis, au Royaume-Uni, en France, en Russie et en Chine, pour réaliser son étude. « Les entreprises bénéficiant d’une bonne réputation sont davantage susceptibles de résister aux ondes de choc des marchés boursiers », justifie Simon Cole.

Même si l’importance de cette réputation varie selon les pays et les secteurs d’activité. Parmi les 15 principaux indices boursiers nationaux, la réputation du FTSE 100 britannique contribue à hauteur de 47 % à sa capitalisation boursière globale, alors qu’inversement, l’indice RTS du marché russe enregistre la contribution moyenne la plus faible, avec seulement 13,8 %.

De même, alors que le secteur technologique bénéficie d’une prime de réputation moyenne de plus de 43 % par rapport à la valeur générée par les seuls paramètres financiers… les secteurs du gaz et du pétrole ne recueillent qu’une (petite) hausse de 25,2 % de leur capitalisation grâce à leur valeur réputationnelle.

Véronique Richebois

communication de crise, GESTION DES RISQUES, les "affaires", RISQUES

Communication de crise de Carlos Ghosn. « Conférence de presse de Carlos Ghosn : Liban, la brute et le truand ? Analyse d’une communication offensive. »

Laisser un commentaire

Rappel des faits et prise de position intéressante d’Olivier Cimelière.

De mémoire de communicant ayant une certaine expérience professionnelle, je ne crois pas avoir souvenir d’un ex-PDG d’une immense constellation industrielle convoquer les médias du monde entier pour contester des faits délictueux qu’un pays lui reproche, le tout après une rocambolesque évasion de Tokyo à Beyrouth via Istanbul. Avec la conférence de presse donnée le 8 janvier, Carlos Ghosn a choisi l’option d’une communication offensive maintenant qu’il a recouvré sa liberté de parole, loin de son assignation à résidence japonaise et de son interdiction de rencontrer des journalistes. Que retenir de cet exercice de funambulisme communicant ?

« J’ai été présumé coupable devant les yeux du monde. Mon épreuve de ces derniers mois et le résultat d’une poignée d’individus sans scrupules ». Loin d’être affaibli par les stigmates du strict régime de surveillance que les autorités japonaises lui avaient infligé, Carlos Ghosn s’est présenté combatif devant près de 150 journalistes de toute la planète (sauf le Japon qui fut refoulé, on se demande bien pourquoi !) pour plaider sa cause, dénoncer une justice nippone totalitaire et suggérer la théorie du complot au plus niveau pour faire rouler sa tête dans la sciure médiatique. Pour cela, il s’est adjoint les services de la réputée agence de communication, Image 7 et de sa patronne fondatrice Anne Méaux qui sont rompues à l’art de la défense des causes délicates.

Un mythe qui s’ébrèche

Au départ de l’histoire, Carlos Ghosn est d’abord cet impitoyable patron « cost-killer » qui a successivement redressé Renault et Nissan, deux constructeurs automobiles en mauvaise posture sur un marché international ultra-compétitif. De ces deux entités, il en a fait une alliance surpuissante qui parvint même un temps donné à grimper sur la première place du podium mondial du secteur. Fort d’une saga personnelle atypique et fruit d’un métissage culturel entre racines libanaises, brésiliennes et françaises, l’homme est consacré par les puissants de la planète. Politiques, financiers comme médias économiques et écoles de management lui tressent des lauriers à longueur de temps tellement le tour de force réalisé semble énorme.

Il n’en demeure pas moins que la réputation de ce PDG multilingue doté d’un hubris sans limite, va se fendiller progressivement au fil des années avec des histoires d’audits internes truqués, de licenciements express de haut-cadres soupçonnés d’espionnage au profit d’adversaires, de pléthore de filiales nichées dans des pays au régime fiscal conciliant et de fêtes somptueuses où l’on ne rechigne pas à la dépense, surtout lorsqu’il semblerait que celles-ci soient épongées par l’entreprise du mogul de l’automobile. Pour s’en convaincre, il suffit de se plonger dans l’haletante lecture du livre-enquête du journaliste, Matthieu Suc, « Renaud, nid d’espions » qui révèle comme le promet le bandeau de l’opus, la « face cachée de Carlos Ghosn ».

Restaurer l’image flétrie

L’incarcération de Carlos Ghosn au Japon puis son assignation dans une résidence surveillée, ne sont venues que ternir un peu plus l’image ambivalente d’un patron longtemps tout-puissant que politiques et banquiers chouchoutaient avec prévenance et que beaucoup craignaient en interne. D’autant plus que l’impétrant est également sous le coup en France d’une enquête préliminaire et d’une information judiciaire pour deux affaires de corruption présumée. De quoi briser le mythe d’un boss qui avait jusque-là réussi sans coup férir et qui écartait tous les potentiels prétendants à sa succession à la tête de l’Alliance Renault-Nissan.

Sauf que Carlos Ghosn n’est pas du genre à se laisser abattre ! A quelques heures du réveillon du Nouvel An, l’homme écrit un nouvel épisode de sa légende hors normes. Il déjoue la surveillance des autorités japonaises, s’enfuit dans un jet spécialement affrété pour ses besoins et se réfugie finalement dans sa mère patrie qu’est le Liban. Même un scénariste prolifique aurait sans doute eu peine à oser une telle intrigue. Au point même d’attirer la compassion d’un improbable soutien comme Jean-Luc Mélenchon qui l’a estimé victime de « malveillance ».

La « trumpisation » de Carlos Ghosn

L’argument est intéressant car c’est précisément sur celui-ci que Carlos Ghosn va fonder sa démonstration à coups de Powerpoint illisibles lors de sa conférence de presse. D’emblée, il va évacuer toutes les questions périphériques relatives aux circonstances exactes de son escapade façon Comte de Monte Christo ou sur les soirées dispendieuses façon roi Soleil à Versailles. Son axe de communication s’apparente à ce que déroule en permanence Donald Trump, à savoir des punchlines cash (comme celle décochée à un journaliste américain sur Pearl Harbour), de la théorie du complot (dans laquelle Nissan et justice japonaise seraient de mèche), de la victimisation (au regard de la maltraitance judiciaire dont il aurait fait l’objet au Japon) et de la presse « muselée » (aucun journaliste japonais n’a obtenu une accréditation).

Pour renforcer l’aspect « Petit Chose », la scénographie de la conférence de presse interpelle. Elle se déroule dans un bâtiment relativement modeste (comparé aux espaces de réception superbes qu’on peut trouver dans la capitale libanaise), dans une salle plutôt blafarde et avec une présentation Powerpoint à peine lisible qui ressemble à un docte exposé professoral d’une école de commerce. Comme s’il y avait l’intention de conférer un côté improvisé, spontané et sincère à l’exercice alors que tout a été sciemment organisé de bout en bout, avec de plus, une sélection drastique des médias participants. Et « last but not least », un horaire spécialement étudié pour que la conférence puisse avec des impacts en direct autant au Japon que sur la côte Est des Etats-Unis et sur l’Europe. Techniquement, c’est du bel ouvrage tactique.

Risky business ?

L’ex-PDG déchu cherche-t-il à se rendre sympathique auprès de l’opinion mondiale et des médias et d’apparaître comme le bouc émissaire de guerres intestines intrinsèques à la gouvernance de l’Alliance Renault-Nissan et à la partialité de la justice du pays du Soleil Levant ? Une partie de son discours emprunte à cette rhétorique comme en atteste l’entretien exclusif accordé mercredi soir au journaliste de TF1, François-Xavier Ménage diffusé dans le JT de 20 heures. Il parle de la privation de sa famille et de son épreuve de prisonnier avec une tonalité inoxydable et assertive qui n’est pas sans rappeler l’aplomb d’un Bernard Tapie, la gouaille décomplexée en moins.

Néanmoins, à bien y regarder, l’essentiel de cette stratégie de communication gonflée ne se résume pas dans un numéro de « Calimero » injustement écarté des hautes fonctions qu’il avait et brutalement traité par le Japon auquel il a pourtant redonné du lustre à la marque nationale emblématique qu’est Nissan. Un élément assez peu retenu de son discours est notamment le tacle allusif à la montée du gouvernement dans le capital de Renault en 2016 avec à la manœuvre, un certain Emmanuel Macron, alors ministre de l’Economie et des Finances. Serait-ce un signal envoyé à un corps politique et financier dont beaucoup ont pris de la distance depuis que Carlos Ghosn s’est retrouvé dans les filets de la justice japonaise ? Toujours est-il qu’il a évoqué ce qu’il qualifie d’« immanquable », à savoir le rapprochement avec le groupe Fiat-Chrysler qui depuis, s’est fiancé avec le groupe PSA dirigé par Carlos Tavarès, ex-numéro 2 de … Carlos Ghosn. En substance, l’image d’un PDG incompris, voire ostracisé.

Premier round efficace mais …

Tactiquement, Carlos Ghosn a marqué des points. Qu’on aime ou pas le personnage particulièrement décrié, ce dernier a repris la maîtrise du tempo du discours médiatique en déroulant son récit oscillant entre complotisme et victimisation et en soulignant que sa seule ambition était d’être un PDG responsable, en témoigne sa réponse au journaliste de TF1 où il déclare qu’il aurait pu gagner autrement plus d’argent avec une mission moins risquée en devenant CEO de Fiat-Chrysler plutôt que l’ancien canard boiteux qu’était Renault-Nissan. De fait, le décor est posé et le terrain de jeu médiatique balisé. Aux autres de se positionner.

La partie n’est pas pour autant gagnée. Il y a fort à parier que les autorités japonaises et françaises ne vont pas rester inactives et communiquer à leur tour des faits qui pourraient contredire le « storytelling » implacable que Carlos Ghosn entend imprimer. Sans parler de la presse économique anglo-saxonne qui s’est rapidement intéressée à cette affaire hors normes. Alors fuite en avant d’un grand patron qui cherche à gagner du temps ou bras-de-fer aux imbrications plus complexes qu’il n’y paraît ? La guerre de communication n’est pas prête de s’éteindre entre les différentes parties prenantes.

 

 

élargissement du domaine du risque, cyberisque-cybersécurité, dispositifs de contrôle et plans d'actions, GESTION DES RISQUES, identification des risques, RISQUES, stratégie de définition des risques

Contrer le cyber risque, risque n°1 du baromètre Allianz 2019.

2 commentaires

Ci-dessous un article intéressant paru dans les Echos. Je vous conseille la lecture du dossier des Echos sur ce sujet.

Contrer le risque : toutes les étapes dans un guide de l’Anssi et de l’Amrae

L’Agence nationale de la sécurité des systèmes d’information et l’Association pour le management des risques ont conjugué leurs expertises pour apporter aux entreprises, dans un guide gratuit, une réponse globale et pratique au risque cyber.

Voilà devenus réels les pires scénarios de science-fiction… Dans un monde où les nouvelles technologies ont pénétré toutes les strates de l’entreprise, une atteinte aux infrastructures informatiques peut remettre en question l’existence même d’une organisation.

Arrivées à ce même constat – celui que le risque cyber a glissé du domaine technique vers le champ stratégique -, l’Agence nationale de la sécurité des systèmes d’information (Anssi) et l’Association pour le management des risques et des assurances de l’entreprise (Amrae) ont mutualisé leurs compétences dans un guide cosigné.

Destiné aux acteurs économiques moins matures en termes de cybersécurité, depuis les PME jusqu’aux grandes sociétés cotées, administrateurs ou services publics, « Maîtrise du risque numérique, l’atout confiance » est téléchargeable gratuitement sur les sites des deux organisations.

« L’objectif est de généraliser la prise de conscience et de rendre accessible au plus grand nombre les principes pratiques d’une politique de sécurité numérique », explique Brigitte Bouquot, présidente de l’Amrae. « Ce guide a également une ambition européenne : nous plaidons pour un partage à l’échelle du continent », poursuit Guillaume Poupard, directeur général de l’Anssi.

Lancé officiellement la semaine dernière au cours du forum de la Fédération européenne des associations de risk management (Ferma) à Berlin, ce vademecum détaille 15 étapes clefs de la mise en oeuvre d’une stratégie de cybersécurité.

Parmi elles : une appropriation du sujet par la direction générale« Il n’y a que le dirigeant qui puisse débloquer des budgets, doter l’entreprise d’une gouvernance de la cybersécurité et mettre toute l’organisation en ordre de marche », pointe Fabien Caparros, chef de la division chargée des méthodes de management de la sécurité numérique de l’Anssi et contributeur du guide.

Fil conducteur de l’ouvrage, la nécessité de mettre la prévention au service de la croissance de l’entreprise imprègne chaque conseil énoncé. Ainsi, dans les démarches jugées essentielles à une politique de sécurité, la cartographie des impacts fait écho à la méthodologie des risk managers. « Nous préconisons d’anticiper les scénarios les plus impactants, en évaluant leurs conséquences financières ou réputationnelles. Si l’entreprise a en permanence un oeil sur ses vulnérabilités, elle pourra réduire le risque », estime Philippe Cotelle, président de la commission systèmes d’information de l’Amrae, qui a également participé à la rédaction.

Dossier: Cybersécurité : les entreprises contre-attaquent

Valorisation du risque

Autre pilier d’une stratégie visant la protection, la défense et la résilience, la capacité à tenir sur le long terme. « La démarche en faveur de la sécurité doit être tenable dans le temps, ce qui se révèle compliqué, car le numérique évolue en permanence. Pour cela, l’organisation doit se donner les moyens d’être agile et performante », prévient Fabien Caparros.

Outre le rappel des enjeux et une boîte à outils, le guide insiste sur la notion de valorisation de la prise en compte du risque cyber. « Cela suppose des investissements conséquents, mais, en retour, l’entreprise sera perçue comme un partenaire de confiance par ses clients et ses investisseurs », souligne Philippe Cotelle.

L’une des caractéristiques du risque cyber étant sa transversalité, « Maîtrise du risque numérique, l’atout confiance » est destiné à tous : dirigeants, gestionnaires des risques, directeurs des systèmes d’information, responsable de la sécurité des systèmes d’information, mais aussi responsables métiers, directeurs des ressources humaines, directeurs financiers, etc. « Le but n’est pas d’avoir un discours suscitant la peur et prônant le tout sécuritaire, mais de rappeler que si la maison brûle, nous avons les outils pour la protéger et mettre en sécurité ses occupants », conclut Brigitte Bouquot.

« L’Amrae continue à évangéliser les entreprises éloignées du risk management »

« La complémentarité de l’Anssi, sur les volets techniques et normatifs, et de l’Amrae, sur les aspects stratégiques et de gouvernance, n’a cessé de se resserrer ces dernières années. Dans ce guide exhaustif, l’Anssi apporte sa culture héritée d’un environnement étatique, voire militaire, là où l’Amrae continue à évangéliser les entreprises éloignées du risk management. Notre objectif commun est de faire en sorte que notre écosystème mette en place toutes les conditions d’une confiance numérique. » Brigitte Bouquot est présidente de l’Amrae

« Le numérique représente un vecteur de menaces toujours plus destructrices »

« L’Amrae et l’Anssi n’ont pas la même approche du risque numérique et parlent des langages différents, mais nous partageons une ambition commune : nous glisser dans la peau de la cible et répondre à ses préoccupations. L’enjeu est majeur à l’heure où le numérique représente autant une source d’opportunités qu’un vecteur de menaces, toujours plus sophistiquées et destructrices. Le risque zéro n’existe pas, mais ce livre entend être au côté des entreprises dans une logique d’amélioration continue. » Guillaume Poupard est directeur général de l’Anssi

Julie Le Bolzer

élargissement du domaine du risque, éthique-gouvernance, responsabilité pénale des dirigeants, RISQUES

Procès France Télécom : analyse. Nouvel élargissement du périmètre de risques des entreprises. « Risque pénal, risque financier… De l’audit d’acquisition aux plans de restructuration, « il y a désormais de la part de l’employeur la nécessité d’anticiper le risque social »

Laisser un commentaire

Le procès France Télécom, symbole d’une nouvelle donne sociale

Exit le droit social « à la papa ». Avocats, syndicats et juges vont puiser leurs arguments ailleurs que dans le Code du travail. Explications en ce jour du jugement de France Télécom.

Changement d’époque. Pour la première fois, ce vendredi, le juge pénal doit se prononcer sur une question apparemment  loin de ses bases  : le tribunal correctionnel de Paris va devoir dire si la politique d’entreprise menée par France Télécom entre 2007 et 2010 est constitutive d’un harcèlement moral sur l’ensemble de ses 120.000 salariés à l’époque des faits. 35 personnes avaient mis fin à leurs jours.

Durant les deux mois d’audience cet été, le tribunal a écouté  les témoignages des victimes et de leurs familles venues crier leurs douleurs ainsi que la défense des ex-dirigeants, dont Didier Lombard. Mais comment juger une politique managériale ? Pour tirer les fils de la chaîne de responsabilité, avocats de la défense et des parties civiles se sont battus à coups de rapports, notes et comptes rendus . A l’issue de ces semaines d’émotions et de colères exprimées à la barre, le parquet a dénoncé dans son réquisitoire des « habillages » servant à mettre en oeuvre une « politique de harcèlement managérial ». « Le but de ce procès n’est pas de porter un jugement de valeur sur vos personnes, mais de démontrer que l’infraction pénale de harcèlement moral peut être constituée par une politique d’entreprise, par l’organisation du travail et [être] qualifiée de harcèlement managérial », expliquait la procureure Françoise Benezech le 4 juillet dernier. Le parquet a plus largement pointé du doigt ce langage managérial qui permet de « dissimuler » une volonté de déstabiliser les salariés.  Les peines maximales ont été requises  : 75.000 euros d’amende contre France Télécom, un an de prison et 15.000 euros d’amende à l’encontre de Didier Lombard, Louis-Pierre Wenès et Olivier Barberot, ainsi que 10.000 euros et huit mois de prison contre « leurs zélés complices » Jacques Moulin, Nathalie Boulanger et Brigitte Dumont.

Avant la mise en délibéré, la présidente Cécile Louis-Loyant a prévenu : le tribunal devra se détacher du poids de l’attente d’une jurisprudence nouvelle sur le harcèlement moral par une politique d’entreprise. Il jugera en droit. Néanmoins, quelle qu’elle soit,  la décision du tribunal correctionnel aura un impact considérable.

De nouveaux outils de régulation

Car au-delà des drames personnels des victimes, cette affaire est révélatrice d’un mouvement de fond discret, mais extrêmement puissant, d’une mutation majeure du contentieux social. Avocats, syndicats et juges élargissent leurs champs d’action. Ils vont puiser leurs arguments ailleurs que dans le seul Code du travail et utilisent une panoplie plus vaste, allant de l’investigation financière au droit pénal, en passant par les nouveaux instruments juridiques de négociation. Parallèlement, le public concerné s’étoffe :  des populations entières de hauts cadres , d’habitude plus policés, n’hésitent plus à attaquer leur employeur devant les tribunaux.

Avocats d’entreprises et avocats de salariés font le même constat. « Nous sommes aujourd’hui devant un paradoxe, il n’y a jamais eu autant d’accords d’entreprise. Et, pourtant, les conflits se radicalisent comme jamais », analyse Pascale Lagesse, avocate associée du cabinet Bredin Prat, qui conseille nombre de grandes organisations. « Le droit du travail n’est plus la seule ressource du règlement de la conflictualité sociale. Nous avons besoin de nouveaux outils de régulation », reconnaît Roger Koskas, avocat de plusieurs syndicats et organismes de représentation du personnel. Un accord qui part mal peut coûter cher à l’entreprise. Ainsi, Constellium a été condamné par la cour d’appel de Douai à verser 2,4 millions d’euros à 50 salariés du site de Ham dans la Somme licenciés « sans cause réelle et sérieuse » en septembre 2019. La société (ex-Alcan-Pechiney) avait conclu un accord avec les syndicats et supprimé en octobre 2011 une centaine de postes sur 200 sur le site. Elle avait proposé un plan de départs volontaires avec une indemnité majorée, auquel avaient adhéré 90 salariés. Au terme d’une longue bataille judiciaire de presque neuf ans, les anciens d’Alcan ont obtenu gain de cause. Les magistrats de la cour d’appel de Douai ont approuvé les syndicats qui reprochaient à l’employeur de ne pas avoir respecté ses obligations de reclassement interne, préalable à ce plan.

« Au fur et à mesure des années, les portes de la régulation sociale se sont fermées, le contentieux prud’homal s’est réduit. Parallèlement, la mondialisation des entreprises et le recours à toutes les astuces du droit des sociétés – comme la multiplication des entités juridiques – ont mis des écrans à la responsabilité. Résultat : les positions se durcissent. Nous sommes obligés d’aller chercher ailleurs la faute de l’employeur », reconnaît un syndicaliste. En trois ans, le contentieux prud’homal a chuté de 46 % selon la cour d’appel de Paris tandis que parallèlement le juge judiciaire étend son emprise. Il est désormais compétent pour des demandes de  contrôles des risques psychosociaux , surveillés jusque-là par le juge administratif.

Plusieurs réformes sont la cause de cette mutation : la création de la  rupture conventionnelle , la  barémisation contestée des indemnités prud’homales, l’augmentation des démarches administratives, etc. Résultat, « le contentieux file ailleurs », constate Francis Teitgen, ancien bâtonnier de Paris et habitué du contentieux pénal de l’entreprise. « Le droit pénal, le droit financier… sont désormais appelés en soutien du conflit social », précise-t-il.

Ainsi, les contentieux ne se bornent plus au seul périmètre géographique de l’usine ou du site en cause. En septembre 2019, Michelin a été condamné à verser 1,3 million d’euros aux salariés de l’usine de Joué-lès-Tours (Indre-et-Loire) qui contestaient leurs licenciements. La cour d’appel d’Orléans a donné raison au conseil des prud’hommes de Tours d’avoir considéré « qu’un groupe de dimension mondiale ne doit pas être cantonné au secteur d’activité européen et que les informations limitées à ce secteur rendent le licenciement sans cause réelle et sérieuse ».

Des champs d’action élargis

Dans le même esprit, pour contester les licenciements chez Lee Cooper, les syndicats sont remontés jusqu’au fonds d’investissement américain Sun Capital Partners, qui possédait, via un holding basé à Amsterdam – Vivat Holding BV -, la célèbre marque de jean. « Les opérations contestables observées au sein du groupe » ont été faites « à l’encontre des intérêts de Lee Coper France » et « dans le seul intérêt de son actionnaire principal », Sun Capital Partners, écrivent les juges. Selon la cour d’appel, le fonds d’investissement n’avait « pris aucune disposition » pour remédier aux difficultés économiques que ses opérations ont engendrées. Cette décision a été confirmée par la Cour de cassation le 24 mai 2018.

« Les syndicats participent à leur façon et s’inscrivent dans le mouvement de refondation du capitalisme », veut croire Eva Joly. L’ancienne juge d’instruction, désormais avocate, a conseillé le comité d’entreprise ouest parisien de McDonald’s – composé en majorité d’élus Unsa et CGT. En 2015, celui-ci a déposé plainte pour blanchiment de fraude fiscale auprès du parquet national financier (PNF). Il mettait en cause des pratiques fiscales rendant « impossible » tout bénéfice, et donc tout intéressement des salariés. Selon « Challenges », McDonald’s serait en train de discuter avec les magistrats d’une convention judiciaire d’intérêt public (CJIP). Cette  transaction pénale créée par  la loi Sapin II permettrait au géant du burger d’éviter le procès et de mettre fin aux poursuites judiciaires à son encontre en payant une forte amende. Même stratégie pour Conforama, où deux syndicats, la CFE-CGC et FO, et un collectif de salariés ont porté plainte contre X auprès du PNF, le 4 novembre dernier, pour « présentation de faux bilan, abus de bien social et atteinte aux bons fonctionnements des marchés financiers ». Les plaignants estiment que les irrégularités comptables du groupe sud-africain Steinhoff ont précipité les difficultés de l’enseigne de meubles, sur le point de supprimer 1.900 emplois en France.

Les conflits « traditionnels » n’ont pas disparu pour autant. Mais leur base s’est diversifiée. Le 13 novembre dernier, la Cour de cassation vient à nouveau de donner raison à un financier qui réclamait le paiement de bonus différés que lui refusait son employeur, une grande maison de Wall Street. Il n’est pas le premier à utiliser le droit français contre le droit américain. En juin 2019, dans une première affaire, Morgan Stanley s’est vu condamné à verser 1,4 million d’euros de bonus différés  à son ancien banquier vedette Bernard Mourad . Et, dans une affaire concernant six ex-dirigeants du Groupe Barrière, la Cour de cassation, en avril 2019, a décidé que la plus-value réalisée à l’occasion de la cession de bons de souscription d’actions (BSA) devait être considérée comme un avantage obtenu en contrepartie du travail et devait donc être soumise aux cotisations sociales. « Cette décision remet en cause les montants des managements packages, chèrement négociés par les hauts dirigeants », constate Pascale Lagesse.

Prévenir partout et à tout moment

Cette intensification du contentieux social n’est pas près de s’inverser. Tandis que la Cour de cassation est venue élargir la  notion de préjudice d’anxiété à toute substance nocive et toxique dans un arrêt du 11 septembre 2019 – intensifiant ainsi les risques d’alertes internes -, la directive européenne du 7 octobre augmente  le pouvoir et la protection des lanceurs d’alerte .

Risque pénal, risque financier… De  l’audit d’acquisition aux plans de restructuration, « il y a désormais de la part de l’employeur la nécessité d’anticiper le risque social », prévient Laurent Gamet, avocat associé du cabinet Flichy Grangé.

Valérie de Senneville @VdeSenneville, Delphine Iweins @DelphineIweins