Archives pour la catégorie gestion des risques

Fleury Michon : histoire d’une crise de cybersécurité qui a bien tourné

L’entreprise française d’agroalimentaire a été victime, au printemps, d’une compromission par ransomware. Mandaté par son assurance, Intrinsec est venu à la rescousse.

Compte-rendu par Valery Marchive d’une gestion de crise qui n’arrive pas qu’aux autres.

[En direct des Assises de la Sécurité.] Le 15 avril, Fleury Michon publiait un communiqué indiquant que ses systèmes informatiques avaient « été touchés par un virus informatique. Par mesure de précaution, l’ensemble des systèmes ont été déconnectés, pour éviter la propagation. Les usines, ainsi que notre unité logistique, ont été mises à l’arrêt jeudi dernier, 11 avril, à 14

Anne Michel, directrice organisation et systèmes d’information de Fleury Michon, aurait pu espérer une prise de fonctions plus calme : elle est arrivée à ce poste deux mois plus tôt. Le 11 avril, elle est prévenue à 7 h du matin, par un appel du responsable de la sécurité qui parle d’infection virale. Elle pense d’abord santé de ses équipes. Mais non, il s’agit d’un maliciel.

Et les circonstances ne sont pas des plus favorables. À l’époque, le responsable de la sécurité n’est même pas RSSI à 100 %, simplement à quart temps. Ce sont les vacances scolaires. Les équipes ne sont pas encore habituées à leur nouvelle cheffe. Et les procédures d’alerte ne sont manifestement pas pleinement au point : l’infection a été découverte vers minuit. Le directeur des infrastructures a été prévenu, mais il n’était pas immédiatement joignable, et il aura donc fallu attendre plusieurs heures avant qu’Anne Michel ne soit informée.

Toutefois, comme elle le souligne, de premières mesures avaient été prises immédiatement : l’accès à Internet avait été coupé et les applications avaient été arrêtées, par précaution. Mais rapidement, une attaque est soupçonnée. En accord avec le directeur de la production et de la logistique, des applications supplémentaires sont arrêtées. Le directeur général convoque alors la cellule de crise pour 10 h. Mais tout le monde s’active très vite en amont de cette réunion.

À 9 h, le directeur financier a déjà contacté l’assurance qui mandate un prestataire. Anne Michel a tenté de joindre directement l’Agence nationale pour la sécurité des systèmes d’information (Anssi), en vain. Le directeur général appelle le préfet de la Vendée qui demande que l’Anssi entre en contact avec Anne Michel. Ce qui est fait rapidement et contribue à faire baisser la pression.

À 10 h, la cellule de crise est donc réunie, avec directeur général, direction financière, direction de la santé alimentaire, direction industrielle, et Anne Michel. Le fait qu’il s’agit d’une attaque cyber est acté, de même que la méconnaissance de sa portée à ce stade. La communication réglementaire commence à être préparée. Il faudra aussi prévenir les banques, et surtout les clients pour les informer que les flux d’EDI et les interfaces applicatives sont coupés. Sans compter les directions des usines et des centres logistiques pour expliquer la situation et la manière de communiquer, car tant la production que l’expédition se retrouvent brutalement à l’arrêt. Les membres de la cellule de crise feront le point toutes les quatre heures.

À 11 h, Cyrille Barthelemy, patron d’Intrinsec, prend contact. Les grandes lignes du plan d’action sont lancées et une équipe constituée d’une dizaine de personnes est envoyée en Vendée : il faut trouver l’origine de l’incident et reconstruire. Et cela alors même que les documentations ne sont pas accessibles. L’approche retenue consiste à déployer en 24 h une petite base de centre opérationnel de sécurité (SOC) pour gagner de la visibilité, démarrer une première bulle de confiance, et la faire grossir graduellement. La surveillance permettra d’arrêter tout ce qui aura été relancé, mais présentera un comportement suspect. Au total, ce sont tout de même 8 To de données à analyser, 220 machines à couvrir, des points de réplication du trafic réseau à mettre en place, etc. Une source virale inconnue a pu être identifiée rapidement.

Rapidement, un constat s’impose : toutes les applications majeures fonctionnaient sur des serveurs affectés. Les usines et la production ont été coupées par prudence, mais leurs systèmes opérationnels ne sont pas touchés.

Il faut pouvoir décider vite de la marche à suivre, car l’entreprise, qui travaille avec des produits frais, ne peut pas rester trop longuement à l’arrêt. Et il faut lutter aussi avec ceux, en interne, qui seraient tentés de retrouver une connexion à Internet avec leur smartphone.

Le choix est donc fait de donner la priorité à la logistique afin de pouvoir vider l’entrepôt et de pouvoir le remplir à nouveau. L’application dédiée est reconstruite avec deux postes de travail, afin de pouvoir gérer les expéditions. Dans les usines, deux salles blanches sont mises en place pour remonter leurs applications et permettre aux équipes locales de travailler avant de pouvoir remonter les liens. Les applications de robotiques sont relancées directement.

En fait, il n’a fallu que trois jours pour remonter la logistique. Et quand Fleury-Michon rendait public l’incident, il relançait en fait sa production, grâce aux salles blanches. Du point de vue des métiers, la crise était finie deux semaines plus tard.

Un type d’attaque qui peut arriver à d’autres

Tout est parti d’un service RDP exposé sur une machine virtuelle hébergée sur Azure, comme il y en a tant, et détourné par une attaque en force brute. De là, il ne s’est rien passé pendant 10 jours. La phase de reconnaissance du système d’information a alors commencé – en remontant le VPN utilisé pour relier le SI local au cloud public de Microsoft. Des rebonds sur trois serveurs, en RDP en encore, ont pu être identifiés. Leur VLAN était accessible depuis le VPN. Le ransomware a ensuite été déployé via Psexec sur 220 machines, pourtant isolées sur un VLAN dédié. Enfin, l’outil Mimikatz a été mis à profit pour récupérer des identifiants avant de lancer le chiffrement du serveur identifié comme patient 0 de la crise.

Mais il a fallu rétablir la confiance, notamment vis-à-vis des partenaires. Là, les efforts de communication et de transparence ont joué un rôle important. D’ailleurs, d’anciens collaborateurs, ayant appris l’incident par ailleurs, ont proposé leur aide. À l’instar de partenaires. La prise de contact d’Intrinsec, en direct, avec l’un des principaux distributeurs, a également aidé à élever dès le départ le niveau de confiance. Des marqueurs ont également été partagés.

Du point de vue de la direction de l’organisation et des systèmes d’information, la sortie de crise a attendu le mois de juillet. Mais Anne Michel n’occulte pas quelques mois de traîne. Plus de 800 tickets ont été traités. Pendant pratiquement 12 jours, jusqu’à plus de 100 personnes ont été mobilisées 24 h/24. La fatigue, morale comme physique, était là.

La gestion de l’expérience a été engagée dès le mois de mai, afin d’identifier ce qui avait fonctionné ou pas, ainsi que les pistes d’amélioration. La partie industrielle/logistique en ressort comme particulièrement bien gérée, associée de près dès le début. Les choses sont moins flatteuses pour la partie administrative. Jusqu’en juin, des rumeurs circulaient sur l’origine réelle de l’incident. Pour Anne Michel, ces collaborateurs sont restés trop dans le flou.

Et puis, alors que les équipes informatiques sont massivement internes, certains n’ont pas compris pourquoi il était fait appel à des ressources externes. Certes, avec le recul, l’incident a été l’occasion de mesurer le niveau de compétence des équipes et de leur capacité de mobilisation, des personnes « qui ont véritablement sauvé l’entreprise », mais durant la crise elle-même, Anne Michel souligne qu’il ne faut surtout pas oublier le management des hommes.

Le principal enseignement qu’elle retire de cette crise est qu’il convient de revoir les plans de continuité de l’activité, qui se sont avérés inadaptés à une crise de cybersécurité. Comme le soulignait récemment dans nos colonnes Jérôme Saiz, dans un tel cas, il faut prendre en compte la question de la confiance que l’on peut accorder à ses outils et à son infrastructure.

Merci de m’avoir permis de décrire dans une tribune au « Monde » les facteurs qui ont placé les risques, la gestion des risques et la Fonction Risk Manager au cœur de la stratégie des entreprises. Pour en savoir plus, voir l’ouvrage « La Fonction Risk Manager. Organisation, méthodes et positionnement » que j’ai co-écrit avec Nicolas Dufour ; paru en avril 2019 aux Editions Géreso.

Le Monde (site web)

vendredi 18 octobre 2019 – 14:00

Incendie de Rouen : « L’actualité témoigne de l’élargissement de la nature et de l’ampleur des risques »

Caroline Aubry, enseignante en gestion du risque, décrit dans une tribune au « Monde » les facteurs qui ont placé cette discipline au cœur de la stratégie des entreprises.

Tribune. L’actualité récente témoigne de l’élargissement de la nature et de l’ampleur des risques, qui fait aujourd’hui de sa gestion une variable stratégique de la réflexion des entreprises. Les cyber-attaques subies par Airbus ces derniers mois appartiennent à la catégorie des risques nouveaux ; le cyber-risque est d’ailleurs le premier cité par les entreprises dans le baromètre des risques de l’assureur Allianz.

L’incendie de l’usine Lubrizol, le jeudi 26 septembre, n’est pas qu’un risque « traditionnel » d’incendie ; il s’agit d’un risque éthique dans sa dimension de développement durable. La plainte déposée le 26 septembre par la Fédération Internationale pour les droits humains contre BNP Paribas et ses anciens dirigeants, pour complicité de torture, crimes contre l’humanité, génocide, blanchiment et recel au Soudan, est un risque éthique dans sa dimension de gouvernance : respect par l’entreprise des engagements pris, transparence et ouverture aux besoins de l’environnement dans laquelle elle opère, prise en compte des parties prenantes, les actionnaires et tous les groupes ou individus qui peuvent affecter ou être affectés par la réalisation de ses objectifs.

Les entreprises doivent faire face à des risques potentiels plus difficiles à cerner car ils sortent du champ de compétences des experts. Depuis trente ans, ces facteurs les ont conduites à mettre en place une démarche globale de gestion des risques, nommée « Enterprise-Risk-Management » (ERM) par les Anglo-Saxons ; ils ont contribué à la création d’une fonction dédiée à la gestion des risques.

Anxiété collective

L’élargissement du domaine de la gestion des risques s’est amorcé dans les années 1990 avec l’apparition de nouveaux risques issus des changements technologiques. Il s’est poursuivi avec la multiplication de qualificatifs venus en préciser la nature : éthique, environnemental, social, de gouvernance, de réputation, etc.

Est ensuite apparue l’idée d’une perception du risque différente selon les individus ou les niveaux dans l’entreprise. Cette perception est en effet fortement liée aux caractéristiques individuelles de l’acteur, sa personnalité, son histoire, ses préjugés, son exposition au risque…

L’élargissement du domaine de la gestion des risques s’est amorcé dans les années 1990 avec l’apparition de nouveaux risques issus des changements technologiques

Cette subjectivité intervient aussi dans la relation de l’entreprise avec les acteurs de la société civile. Par exemple, l’explosion de l’usine AZF à Toulouse en septembre 2001 a généré en France un état d’anxiété collective, accentué par la vigilance nouvelle des acteurs de la société civile qui ont pris conscience de ces vulnérabilités ; les populations habitant à proximité d’installations classées Seveso ont une perception accrue du risque.

Une approche exclusivement objective de l’incendie de l’usine Lubrizol ne donnerait qu’une vision partielle, voire erronée de la situation. Les entreprises doivent dorénavant impliquer les acteurs, intégrer les facteurs d’environnement susceptibles d’influencer cette perception (les médias, par exemple) et tenir compte des valeurs et des attentes grandissantes des parties prenantes. La communication devient essentielle, le risque de réputation, risque subjectif par excellence, devient le « cauchemar » des directions générales.

Réticence des compagnies d’assurance

Les entreprises sont amenées à gérer elles-mêmes ces nouveaux risques du fait de la réticence des compagnies d’assurance à les prendre en charge : comment continuer à croire qu’il n’y a pas un « trou énorme » entre la protection des assurances et ce dont les entreprises ont besoin pour couvrir, par exemple, le coût de cyber-attaques répétées, ou celui d’une catastrophe environnementale comme celle de l’usine Lubrizol ?

La référence « tous azimuts » à ce principe de précaution au contenu peu structurant contribue à l’installation de l’illusion du risque zéro

Les « affaires » participent également à cette extension du domaine du risque. Les affaires Maxwell (1991), Enron (2001), Vivendi (2002)… ont débouché sur l’exigence de conditions nouvelles de transparence des risques de la part des entreprises. Lubrizol, Volkswagen et le Dieselgate, Renault-Nissan et l’incarcération de Carlos Ghosn, Lactalis et le lait contaminé, pour ne citer que les affaires les plus médiatiques, renforcent cette exigence.

Enfin, depuis 2004, le régulateur, le législateur et les médias ont contribué à la diffusion de l’image d’un monde plus risqué et l’ont amplifiée. Prenons le principe de précaution, pilier de la « soft law » adoptée par les entreprises : la référence « tous azimuts » à ce principe au contenu peu structurant (car il n’offre aucun modèle d’action prédéfini) contribue à l’installation de l’illusion du risque zéro ; le seuil d’acceptabilité du risque par les parties prenantes diminue. De leur côté, les médias amplifient la notion de responsabilité du dirigeant en cas de négligence, et surtout les logiques de compensation.

Caroline Aubry est coauteur, avec Nicolas Dufour, de « La Fonction Risk Manager. Organisation, méthodes et positionnement » (Gereso édition, 250 pages, 25 euros).

Cet article est paru dans Le Monde (site web)

 

Une fois le cyber risque cerné (voir articles précédents. Point de vue du juriste. Point de vue du gestionnaire), les entreprises doivent en identifier les causes pour le cartographier. Quels sont les critères qui, sur le terrain, sont tout de suite révélateurs de la fragilité de l’entreprise en matière de cybersécurité ? La parole est aux experts.

Huit indices inquiétants sur votre fragilité cyber

Publié le 25/09

  1. Les signes extérieurs d’inconscience

« Lorsque j’entre dans une entreprise, je regarde toujours autour de moi… Si les serveurs informatiques sont dans le hall, que je vois des imprimantes en accès libre, ou qu’il y a une liste des mots de passe affichée au mur, je sais tout de suite qu’il faut s’inquiéter ! Cette première impression en dit beaucoup sur le souci qu’a l’entreprise de la cybersécurité, de même que l’attitude de ses interlocuteurs : on sent vite s’il y a une appétence et une préoccupation sur le sujet. Cette préoccupation doit venir de la tête de l’entreprise, et se répercuter à tous les niveaux », indique Fabien Caparros, chef de la division chargée des méthodes de management de la sécurité numérique à l’Anssi, Agence nationale de la sécurité des systèmes d’information.

  1. L’absence de politique de cybersécurité

« Il faut qu’il existe dans l’entreprise des règles officielles, même très larges : un document qui explique celles liées à la cybersécurité dans l’entreprise : politique de sauvegarde, politique de mise à jour, règles sur les mots de passe, etc. », indique Jérôme Notin, directeur général du GIP Acyma cybermalveillance.gouv.fr

  1. Le nombre de personnes mobilisées sur le sujet

C’est un indicateur beaucoup plus fiable que le budget, susceptible de varier fortement au gré des investissements. « Les entreprises françaises emploient en moyenne un spécialiste cybersécurité pour 900 employés, avec des écarts importants selon les secteurs : de 1/200 dans la banque à 1/6.000 dans le pire des cas, par exemple dans l’industrie. C’est faible, quand on considère qu’aujourd’hui toute l’économie est numérisée et que toutes les activités reposent sur les systèmes d’information », explique Gérôme Billois. Le bon niveau ? « Cela dépend, bien sûr, du secteur et des spécificités de l’entreprise mais en moyenne un rapport de 1/500 est une bonne cible pour vraiment changer de posture. »

  1. La proximité entre le CISO et le RM

« Si le responsable de la sécurité des systèmes d’information [ou « chief information security officer » ou CISO] et le risk manager ne se connaissent pas, ou se connaissent mal, c’est très mauvais signe. Les deux fonctions doivent au contraire travailler la main dans la main afin qu’elles puissent tout de suite réagir ensemble en cas d’incident. En outre, c’est grâce à la collaboration et la relation de confiance de ces deux responsables que l’entreprise pourra casser les silos pour mettre en oeuvre une véritable gouvernance du risque cyber, indispensable à la maîtrise du sujet », affirme Philippe Cotelle, administrateur de Ferma et de l’Amrae, risk manager d’Airbus Defense & Space.

  1. L’absence de dispositifs de surveillance

« L’entreprise doit être en mesure de surveiller des éléments inhabituels : sur le serveur, le réseau, comme un ralentissement des machines, etc. Cela implique de porter un regard assez attentif sur son équipement pour identifier toutes modifications dans le comportement de son outil », indique Jérôme Notin.

  1. Le niveau de rattachement hiérarchique du responsable de la sécurité informatique

« C’est le tout premier élément révélateur de l’importance donnée au sujet : lorsque le responsable de la cybersécurité de l’entreprise est à N-3 ou N-4 de la direction générale, on peut tout de suite sonner l’alarme ! A ce niveau-là, le sujet est, en effet, invisible… », explique Gérôme Billois, associé cybersécurité et digital trust chez Wavestone. Le bon positionnement ? « N-1 ou au plus N-2 d’un membre du comex, que le responsable soit lié à la direction des systèmes d’information, à la sûreté ou au risk management. Heureusement, il y a eu une vraie prise de conscience ces dernières années et la moitié des groupes du CAC 40 sont désormais mobilisés à l’échelle du comex sur le sujet. On reste toutefois loin des Etats-Unis, où le taux atteint 83 %. »

  1. L’absence ou la fragilité du plan de continuité d’activité

« Trop de PME et ETI pensent aujourd’hui que cela n’arrive qu’aux autres et ne sont pas prêtes à faire face à un incident. Or, il faut se préparer et savoir comment réagir si jamais cela arrive dans l’entreprise : déconnecter les systèmes, porter plainte, etc. Il faut un véritable plan de reprise d’activité pour pouvoir rebondir rapidement », indique Bruno de Laigue, directeur administratif et financier de Business Partners, président de la DFCG. « Si la plupart des grandes entreprises ont aujourd’hui mené des exercices de crise, ce n’est pas le cas de toutes les petites structures… Je demande souvent aux dirigeants des entreprises que je rencontre « si demain, on trouve votre fichier clients sur Internet, savez-vous comment réagir ? » », complète Gérôme Billois.

  1. La fusion des sphères privées et professionnelles

« Lorsque mes interlocuteurs n’ont qu’un seul téléphone, privé et professionnel, sur lequel sont mélangées toutes les applications pour la famille comme pour le travail, ou un seul ordinateur où l’on trouve tout type de données, je m’inquiète. Ce n’est pas une approche saine ou le signe d’un état d’esprit adapté en matière de cybersécurité. La séparation des sphères privée et professionnelle est une première étape dans la maturité cyber », explique Fabien Caparros.

Cécile Desjardins

 

Le périmètre d’activité des Risk Managers ne cesse de s’élargir

Les Risk Managers travaillent de plus en plus sur tous les risques, soit une « identification des risques à 360°. » 

Que vient faire un directeur des risques dans une table ronde sur la transition écologique ?

Le changement climatique génère trois types de risques majeurs pour les entreprises :

1) les risques de responsabilité si elles ne sont pas capables de tenir leurs engagements de réduction drastique de leur impact environnemental et de réalisation de l’objectif zéro carbone.

2) les risques d’adaptation, car le dérèglement climatique à proprement parler n’est plus un risque mais une certitude dont nous ressentons déjà des effets. Les entreprises multinationales seront exposées à des aléas de plus en plus fréquents dans l’ensemble de leur chaîne logistique et doivent considérablement améliorer la résilience de leurs activités.

3) plus difficiles à appréhender, les risques de transition, liés aux changements profonds de l’écosystème dans laquelle l’entreprise évolue et leurs conséquences sur le modèle de croissance de l’entreprise. Aucune entreprise ne sera à l’abri de ces mutations.

Les directions des risques jouent un rôle essentiel pour sensibiliser les dirigeants des grandes entreprises sur ces risques, les aider à formuler des scénarios pertinents à moyen et long terme, et à les pousser à l’action pour prévenir les risques, et exploiter les opportunités de développement qui se présentent.

L’ampleur du changement climatique, tout comme la rapidité de la révolution numérique, nous forcent à revoir le mode de fonctionnement de nos entreprises.

Face à des incertitudes croissantes et des discours anxiogènes, la tentation de se replier sur les certitudes du passé est grande. Nous devons au contraire entretenir le dialogue avec les parties prenantes, faire confiance à notre intelligence collective, faire preuve d’audace et privilégier la décision, dans le cadre d’une stratégie à long terme intégrant tous les enjeux économiques, sociaux et environnementaux.

Nous devons prendre des risques calculés aujourd’hui pour éviter des conséquences incalculables demain.

Un grand merci à @brunepoirson et à l’ @Institut_CR pour cette rencontre !

Implication des collaborateurs dans la démarche de gestion des risques. L’exemple du Cyber risque.

L’identification du risque et la mise en place de plans d’actions sont des étapes « classiques » de la démarche de gestion des risques. Orienter la démarche vers les opérationnels, les prendre en compte et les sensibiliser au risque est moins fréquent. Cela favorise pourtant une culture d’apprentissage et une pro-activité indispensables à la mise en place d’une démarche globale de gestion des risques. Pour une description de la démarche de gestion des risques en cinq étapes, voir Aubry, 2013.

Yann Girard propose de faire des collaborateurs la première ligne de défense de l’entreprise contre la cybercriminalité en les sensibilisant et en les impliquant dans la mise en oeuvre de la démarche.

Cybercriminalité : les collaborateurs, première ligne de défense de l’entreprise

Publié le 16 octobre 2018

Yann Girard

Chief Information Security Officer / Retail BanksFrance

 

Le nombre d’entreprises victimes de fraudes cybercriminelles ne cesse d’augmenter, elles sont des cibles privilégiées quelle que soit leur taille. Ainsi près de 80 % des entreprises ont constaté au moins une cyber-attaque en 2017, 77 % sont des petites et moyennes entreprises. Les conséquences, nous le savons, peuvent s’avérer parfois désastreuses.

Si le vecteur d’attaque est d’origine technologique et parfois extrêmement sophistiqué, la participation involontaire des victimes est la plupart du temps nécessaire au succès des opérations frauduleuses. Les cybercriminels s’appuient sur notre méconnaissance des outils, nos biais cognitifs et notre manque de vigilance pour arriver à leurs fins.

 Avant d’être technologique, la réponse à ce problème passe donc avant tout par la sensibilisation de chacun des collaborateurs de l’entreprise.

 Les 4 scénarios d’attaques suivants, fréquemment observés par les équipes de spécialistes antifraude Société Générale, peuvent ainsi être facilement évités si nous développons les bons réflexes :

–       La fraude au président : demande urgente et confidentielle d’un prétendu responsable hiérarchique ou d’une autorité pour effectuer un virement inhabituel en dérogeant exceptionnellement aux procédures internes. Dans un tel cas, une vérification auprès de sa hiérarchie s’impose.

–       Le fournisseur transmettant de nouvelles coordonnées bancaires pour régler sa prochaine facture. La demande est là aussi loin d’être neutre et nécessite un contre-appel à votre fournisseur pour vérifier s’il en est bien l’émetteur, et une vigilance sur la nouvelle domiciliation bancaire.

–       L’appel d’un faux support informatique, pour prendre le contrôle de votre PC à distance afin de réaliser des tests. Objectif : installer un logiciel qui permettra à l’attaquant de commettre des fraudes, voler vos données ou les détruire. Il est donc essentiel de s’assurer de l’identité de l’interlocuteur, et de la légitimité de l’opération.

–       Le troyen bancaire, reçu dans un mail de phishing souvent anxiogène ou promotionnel, qui vous incite à cliquer sur des liens ou des pièces jointes. Encore une fois, le risque est qu’un logiciel malveillant s’infiltre dans votre système d’information. Les mails sont le premier vecteur d’attaques, méfiance donc vis-à-vis des pièces jointes et des liens cliquables.

Ces scénarios d’attaques par ingénierie sociale sont très classiques mais fonctionnent encore malheureusement trop souvent : ils sont détectables et doivent éveiller notre vigilance. D’autant que les impacts peuvent être lourds, entre conséquences financières (jusqu’au redressement ou la liquidation judiciaire), et conséquences sociales et humaines (licenciements…).

D’où l’importance de sensibiliser les collaborateurs avant tout : ils doivent être conscients des menaces potentielles pour anticiper les scénarios d’attaques et protéger l’entreprise.

Identifiez ce qui est vital pour votre business, les collaborateurs les plus susceptibles d’être ciblés (trésoriers, équipes comptables…), et accompagnez- les en conséquence à travers des formations, des simulations, une charte de bonnes pratiques cybersécurité…

Société Générale organise par exemple chaque année ses Cybersecurity Hours, programme de conférences, ateliers pédagogiques et actions de sensibilisation à la Sécurité de l’Information. Elles ont lieu en octobre, pendant le mois européen de la Cybersécurité. Votre banque, dans son rôle de tiers de confiance, reste d’ailleurs un interlocuteur privilégié pour bénéficier de conseils et de recommandations sur ces sujets.

Nous ne pourrons jamais empêcher les fraudeurs d’essayer mais chacun d’entre nous peut leur compliquer la tâche voire déjouer leurs tentatives par des réflexes simples à acquérir et à entretenir. Déployer des solutions de sécurité en entreprise pour se protéger est nécessaire mais cela reste un investissement vain si les collaborateurs ne sont pas sensibilisés.

Pratiques de gestion des risques. Pour une gestion des risques proactive

L’article de Christine Grassi propose la mise en place de pratiques communes, de coordination des actions, de partage de la connaissance…

Les actions de gestion des risques doivent en effet faire l’objet d’une analyse, d’un suivi et d’un apprentissage.

Les résultats font ensuite l’objet d’une communication à la hiérarchie. La Direction Générale est informée de la qualité de la maîtrise des risques dans l’entreprise. Les enjeux de cette dernière étape sont la transparence vis-à-vis du management et des actionnaires – le climat de confiance – et la diffusion d’une culture du risque dans l’entreprise avec l’introduction d’une boucle d’apprentissage collectif.

L’analyse des résultats peut enfin donner lieu à la mise en place de retours d’expérience (mises à jour régulières du site de l’entreprise au fur et à mesure de la réalisation des plans d’actions, d’échanges d’informations entre le terrain et les équipes de management via les bases de données ou encore de diffusion des meilleurs pratiques accessibles à tous).

Ces outils donnent à la démarche de gestion des risques son caractère opérationnel.

Leur mise en place confère également à la gestion des risques une approche globale qui la rapproche de l’Enterprise-wide-Risk-Management (ERM), modèle anglo-saxon d’une gestion des risques présentée comme globale et intégrée, dans lequel le rôle des responsables opérationnels devient essentiel.

Une gestion des risques qui met en place ce type d’outils relève de l’Enterprise-wide-Risk-Management (ERM), modèle anglo-saxon d’une gestion des risques présentée comme globale et intégrée, dans lequel le rôle des responsables opérationnels devient essentiel. Elle est globale au sens de Louisot (2010)[1]. Elle est « intégrée, car la gestion des risques doit effectivement l’être à tous les niveaux de décisions et dans tous les process (Louisot J.P., « ERM à l’épreuve de la crise », Risk management n°1, avril 2010.)

Elle est par essence transversale puisqu’elle est là pour servir les projets, les différentes entités et les processus opérationnels et managériaux de l’entreprise et qu’elle se positionne en accompagnement du processus de décision. Elle suppose l’implication du personnel opérationnel indispensable à une bonne identification des risques. La démarche de gestion des risques se doit d’intervenir en amont de la survenance des évènements, les anticiper et non pas seulement valider les expériences survenues. En cela elle n’est pas seulement une activité de contrôle : on ne cherche pas seulement la qualité de chacune des opérations mais la bonne articulation des activités entre elles.

[1] Modèle anglo-saxon d’une gestion des risques présentée comme globale et intégrée, dans lequel le rôle des responsables opérationnels devient essentiel. La notion de globalité introduit tous les éléments d’incertitude liés au futur de l’organisation, ce que Louisot (2010) englobe sous l’expression « toutes causes, toutes conséquences, toutes opportunités et menaces.»

Comment renforcer la gestion des risques grâce à la GRC ?

Dans un contexte économique fortement marqué par un « time to market » serré, la nécessité d’innover en permanence et d’adopter des cycles de production courts est nécessaire. S’ajoutent à cela des risques de plus en plus nombreux, polymorphes et en perpétuelle évolution. Il est alors crucial pour toute organisation de pouvoir les anticiper et contrôler leurs impacts. Comment ? Par la mise en œuvre d’une gouvernance de gestion des risques centralisée et commune à tous. 

gestion des risques et conformité

Cybercriminalité dans les organisations : vers une émergence de nouveaux besoins

D’après une étude McAfee[1], le coût moyen de la cybercriminalité est estimé à près de 600 milliards de dollars, soit 0,8 % du PIB mondial. A titre d’exemple, le vol des 3 milliards de comptes Yahoo en 2013 a fait perdre à l’entreprise 7 % de sa valeur et mis en péril son activité.

C’est alors toute l’organisation qui est affaiblie, touchant ainsi toute la chaîne de valeur de l’entreprise. Face à la sophistication des cyberattaques et leurs impacts croissants, le risque cyber devient donc une priorité pour les organisations. Selon le World Economic Forum[2], le risque de cyberattaque est quant à lui la 3emenace redoutée par les organisations en 2018, devant la fraude et le vol de données.

Dans ce contexte, le risque cyber devient un enjeu de direction générale. Le problème s’étend à tous les métiers liés à la transformation numérique et pas seulement aux DSI. Il est alors nécessaire pour les DSI et RSSI d’accompagner leur comité de direction dans leurs réflexions stratégiques, améliorer leurs prises de décision en matière d’investissements en sécurité et évoluer vers une culture d’entreprise orientée risque. Ainsi, pour une meilleure efficacité, l’entreprise doit favoriser ce partage de la culture des risques auprès de tous les collaborateurs en les sensibilisant aux enjeux et méthodes du contrôle permanent.

Mais en 2018, quelle est la maturité des organisations en GRC et vers quel état de l’art doivent-elles tendre ?

Retour sur des fondamentaux : de la nécessité d’une GRC maîtrisée

La GRC est une stratégie combinée autour de trois domaines (Gouvernance, Gestion du Risque et Conformité) qui contribue à une gestion efficace du risque d’entreprise, adaptée à la fois aux besoins et à la maturité des acteurs comme le métier, la DSI, le contrôle interne ou la sécurité.

L’approche de la GRC la plus répandue dans les organisations est verticale et donc silotique. Elle est hétérogène selon la fonction de risque concernée (SSI, contrôle interne, audit, etc.), adressée sous l’angle de l’expertise et du projet (analyse de risque, sécurité dans les projets, conformité réglementaire, etc.) et pilotée uniquement par des contraintes légales, réglementaires ou financières.

Cette approche a ses limites : sans vision d’ensemble qui implique tous les acteurs, il est impossible d’anticiper de manière exhaustive les risques à la fois réglementaires, métiers, opérationnels, sécurité, etc.

À bien des égards, cette démarche se rapproche des pratiques liées à la responsabilité sociétale des entreprises (RSE). Le défi à relever est bien la mise en place d’une gouvernance et de standards communs à tous les métiers. Ces briques doivent être orchestrées dans une approche globale et transverse de la GRC, inscrite dans la chaîne de valeurs de l’organisation.

Vers une approche proactive de la GRC et une vision positive du risque

Adapté à un ensemble de facteurs endogènes et exogènes –  comme par exemple le secteur d’activité ou l’exposition à la menace de l’organisation – le dispositif de GRC mis en place doit être cohérent avec l’ADN et l’appétence au risque de cette organisation.

Une approche proactive de la GRC permet de s’adapter en permanence au changement et d’anticiper les risques. Son déploiement s’articule autour de 3 axes :

  • Une connaissance fine et partagée des risques à travers la mise en place d’un socle commun de référentiels et de connaissances et la communication entre les différents contributeurs,
  • La construction d’une approche intégrée favorisée par le rapprochement entre le RSSI et les risks managers, la formalisation d’une cartographie globale des risques, la mise en place de pratiques communes et une coordination des actions de priorisation et de déploiement,
  • Le partage aux directions générales d’une vision consolidée des risques leur permettant de prendre les décisions les plus transverses possibles.

L’outillage, permis par les nouvelles technologies, est alors clé. Il permet de structurer les dispositifs de gestion des risques, de faciliter le partage de la connaissance, et d’alimenter en continu un dispositif de reporting afin de mesurer et de communiquer les résultats.

Cette approche favorise alors l’adoption d’une culture proactive voire positive du risque, indispensable pour les maîtriser de manière efficace. Comment y parvenir ? En commençant par définir un périmètre pilote – à la jonction entre les besoins métiers et les exigences de sécurité – dont les premiers retours sur investissements (ROI) permettront ensuite d’industrialiser la gestion des risques pour toute l’entreprise.

Dans un monde toujours plus ouvert, connecté, avec un impératif d’innovation toujours plus fort, il est nécessaire de passer d’une approche verticale à une approche globale et intégrée de la GRC. Cette dernière doit être construite autour de 3 piliers : la mise en place d’une culture positive du risque au sein de l’entreprise ; une organisation, des processus et une communication unifiée pour l’ensemble des acteurs du risque ; un dispositif de GRC standardisé et outillé pour inscrire le changement dans la durée. Cette approche proactive de la GRC va ainsi devenir vecteur d’opportunités et de confiance à même d’optimiser la stratégie de développement d’une organisation.

[1] McAfee, Economic Impact of Cybercrime – No Slowing Down, February 2018.

[2] World Economic Forum, Voici les principaux risques auxquels le monde est confronté, Janvier 2018.