Archives pour la catégorie approche socio-cognitive: rex, apprentissage

approche socio-cognitive: rex, apprentissage, élargissement du domaine du risque, GESTION DES RISQUES, identification des risques, quantification-cartographies, RISQUES, suivi des risques-analyse des résultats

INTERROGER L’IA DEPUIS LA GESTION DES RISQUES

Laisser un commentaire

🟥 UN RISQUE / avec une forte connotation de danger / qui correspond peut-être davantage à une évolution du risque (éthique -fraude-, propriété intellectuelle, protection des données, RH…) qu’à un nouveau risque ? / qui doit bénéficier d’une démarche ERM (identification, évaluation, maîtrise, analyse des résultats).

ET

🟥 UNE OPPORTUNITE notamment pour l’activité Assurances de la Fonction Risk Manager de type managérial : des renseignements (données…) à la mesure de ses décisions. / un outil qu’il va falloir apprendre à utiliser pour avoir des renseignements structurés ; sans cette structuration, il n’y aura pas de créativité ; avec cette structuration, l’IA permettra d’être plus intelligent et plus réactif.

La lecture du chapitre 1 de notre ouvrage vous éclairera sur le premier point. « Risk Management. Organisation et positionnement de la Fonction Risk Manager. Méthodes et Gestion des risques. » Editions Gereso. 293 pages, 18,99 à 27 euros.

L’écoute de l’interview de Bénédicte Huot de Luze aux Echos (accessible ci-dessous) vous éclairera sur le second.

Elle vous permettra de :

✅ Découvrir une traduction du terme même d’IA, moins magique mais plus proche de la réalité. Un Système de Renseignements Augmentés.  

✅ D’approcher son apport sur l’activité Assurance de la Fonction Risk Manager. Un terrain privilégié.  

✅ D’y voir l’importance de l’humain pour qu’elle soit une opportunité. Approche Socio-cognitive.

✅ D’avoir un cadre clair pour aborder l’IA dans l’activité de gestion des risques.

« L’intelligence artificielle est un outil majeur pour le secteur de la l’assurance. Entre innovation, gestion des risques et défis éthiques… Invitée du podcast « De l’autre côté de l’IA », Bénédicte Huot de Luze, ancienne déléguée générale de l’AMRAE, décrypte l’impact de l’IA sur l’assurance. 

Dans l’imaginaire collectif, l’intelligence artificielle est souvent perçue comme une magie technologique, une sorte de génie numérique créatif capable de répondre à toutes nos interrogations à partir de rien. Cette vision erronée masque une réalité bien plus terre à terre. « Loin de toute magie, l’IA repose sur la structuration rigoureuse de données et d’algorithmes », souligne Bénédicte Huot de Luze. L’assurance est une branche particulièrement propice au développement et à l’utilisation de l’intelligence artificielle. En effet, les assureurs ont accès à des volumes considérables de données, dû à la mise en place d’un système d’automatisation des données antérieur à l’explosion de l’intelligence artificielle. »

A écouter :

https://podcasts.apple.com/fr/podcast/thema-assurances-lia-et-la-gestion-des-risques-entre/id1460685072?i=1000681228693

approche socio-cognitive: rex, apprentissage, dispositifs de contrôle et plans d'actions, GESTION DES RISQUES

QUELQUES OUTILS DE GESTION DES RISQUES (2). AUJOURD’HUI, LE PLAN DE CONTINUITE D’ACTIVITE (PCA). COMMENT ELABORER UN PCA EFFICACE. ETAPES ET APPROCHE TECHNIQUE ET SOCIO COGNITIVE.

Laisser un commentaire

En période de crise sanitaire, les entreprises ont constaté avec effroi leur impréparation (voir blog avril 2020). Anticiper toute perturbation pour y laisser le moins de plumes possible : voilà l’objectif d’un système de management de la continuité d’activité. Les organisations qui avaient un Plan de Continuité d’Activité sont celles que la crise sanitaire a le moins impacté. La rédaction d’un Plan de Continuité d’Activité (PCA) est une étape cruciale pour toute entreprise.

Mais comment faire pour qu’il soit efficace ?

Je vous propose un très bon article synthétique et pragmatique proposé dans Crise & Résilience Magazine. Je remercie Alexandre Fournier de m’avoir donné son accord pour le publier dans mon blog.

Vous trouverez dans cet article les étapes clés de l’élaboration d’un PCA.

Vous y retrouverez, comme pour une cartographie réussie, l’importance qu’il y a pour les gestionnaires (et la valeur ajoutée) de déployer une méthode de gestion des risques et des outils qui se soient pas uniquement quantitatifs et de type contrôle.

Je qualifie cette approche de technique et socio-cognitive. Je vous en propose un rappel ci-dessous.

En savoir plus sur une gestion des risques technique et socio-cognitive.

Pourquoi cette approche ?

Une approche à la fois technique et socio-cognitive permet de passer d’une logique de contrôle à une logique de soutien ; elle rejoint la mise en place du « risk management intelligent » préconisé par Power (2004, 2007, 2009, 2016). Cette approche permet d’émanciper les managers du déploiement d’informations sous la forme « d’outils formalisés, normés… » qu’il décrit comme une « addition de couches de pseudo confort donnant une illusion de confort. » (Voir Chapitre I L’activité des Risk Managers, p117-122 Dans l’ouvrage : Aubry C., Dufour N., Risk Management. Organisation de la Fonction Risk Manager. Méthodes de gestion des risques, 2022).

A lire et à relire sur le blog . L’approche en elle-même :

Quels outils ?

Elle passe par la mise en place d’outils hors contrôle tels que le e-learning, le retour d’expérience, les formations, la responsabilité des opérationnels, l’appropriation des outils… Ils permettent d’avoir l’appui des opérationnels et d’acquérir une légitimité cognitive (celle qui consiste à s’ancrer dans l’inconscient collectif pour être compris par les parties prenantes, devenir incontournable) ; elle est le « graal » de la légitimité.

A lire et à relire sur le blog. L’approche appliquée à :

LES ÉTAPES CLÉS DE L’ÉLABORATION D’UN PCA

L’élaboration d’un Plan de Continuité des Activités (PCA) efficace implique plusieurs étapes clés. Chaque étape contribue à construire un plan robuste et adaptable, capable de guider une entreprise à travers des crises de toute nature.

1. Identification des risques

Le point de départ de tout PCA est l’identification des risques. Cette étape implique une analyse approfondie des menaces potentielles qui pourraient perturber les activités de l’entreprise. Ces risques peuvent être internes, comme des problèmes opérationnels ou technologiques, ou externes, comme des catastrophes naturelles ou des changements réglementaires. L’identification des risques permet de cerner les domaines où l’entreprise est la plus vulnérable et nécessite une attention particulière dans le plan de continuité.

2. Analyse d’Impact sur l’Activité (AIA)

Après l’identification des risques, l’étape suivante est l’Analyse d’Impact sur l’Activité (AIA). Cette analyse évalue les conséquences potentielles des interruptions sur les différentes fonctions de l’entreprise. L’AIA aide à déterminer quels processus et fonctions sont critiques pour la survie et le fonctionnement continu de l’entreprise. Elle permet également de fixer des priorités pour la reprise et d’allouer de manière adéquate les ressources lors de la mise en œuvre du PCA.

3. Définition des stratégies de continuité

Une fois les risques identifiés et leurs impacts analysés, l’étape suivante est de développer des stratégies de continuité adaptées. Ces stratégies varient en fonction de la nature et de la taille de l’entreprise, ainsi que des risques spécifiques identifiés. Elles peuvent inclure la mise en place de sites de travail alternatifs, l’élaboration de plans de communication d’urgence, ou la mise en place de systèmes de résilience informatique, de plan de reprise informatique, de plan de gestion de crise. L’objectif est de garantir que les opérations essentielles de l’entreprise peuvent continuer ou être rapidement rétablies en cas de perturbation.

4. Planification de la reprise

La planification de la reprise est un élément essentiel du PCA. Cette phase implique la création de plans détaillés pour la reprise des opérations après un incident. Cela comprend l’élaboration de procédures pour la reprise des systèmes informatiques, la gestion de la chaîne d’approvisionnement, et la communication avec les parties prenantes. Les plans de reprise doivent être pratiques, réalisables, et faciles à comprendre pour tous les employés concernés.

MEILLEURES PRATIQUES POUR UN PCA EFFICACE

La création d’un Plan de Continuité des Activités (PCA) est une étape vitale pour toute entreprise, mais pour qu’il soit véritablement efficace, certaines meilleures pratiques doivent être suivies. Ces pratiques garantissent que le PCA ne soit pas seulement un document théorique, mais un outil opérationnel et dynamique.

Engagement de la direction

Un PCA efficace nécessite un engagement fort de la part de la direction de l’entreprise. La haute direction doit non seulement approuver le plan, mais aussi activement participer à son élaboration et à sa mise en œuvre. Cet engagement se traduit par la mise à disposition des ressources nécessaires, le soutien à la formation et aux exercices de test, et l’intégration du PCA dans la culture et les processus de l’entreprise.

Communication et formation

Une communication efficace et une formation continue sont essentielles pour assurer que tous les employés comprennent le PCA et leur rôle en cas de crise. Cela inclut la diffusion régulière d’informations sur le PCA, la conduite d’exercices de simulation, et la mise à jour régulière des procédures. La formation ne doit pas être un événement ponctuel, mais un processus continu qui tient compte de l’évolution des risques et des changements dans l’entreprise.

Tests et révisions régulières

Un PCA doit être testé et révisé régulièrement pour s’assurer qu’il reste pertinent et efficace. Cela implique la réalisation d’exercices de simulation pour tester les différents aspects du plan, l’analyse des retours d’expérience après chaque exercice ou incident réel, et la mise à jour du plan pour refléter les nouvelles informations et les changements dans l’environnement de l’entreprise.

Intégration dans les opérations quotidiennes

Pour être efficace, un PCA doit être intégré dans les opérations quotidiennes de l’entreprise. Cela signifie que la continuité des activités doit être prise en compte dans toutes les décisions stratégiques, les processus opérationnels, et les projets de développement. L’intégration du PCA dans la routine quotidienne aide à garantir que le plan est toujours à jour et que les employés sont constamment conscients de leur rôle en cas de crise.

INTÉGRATION DU PCA DANS LA CULTURE D’ENTREPRISE

L’efficacité d’un Plan de Continuité des Activités (PCA) repose fortement sur son intégration dans la culture d’entreprise. Un PCA ne doit pas être perçu comme une série de procédures isolées ou un document à consulter uniquement en cas d’urgence, mais comme un élément intégral de la stratégie et des opérations quotidiennes de l’entreprise.

Sensibilisation et responsabilisation

La première étape pour intégrer le PCA dans la culture d’entreprise est de sensibiliser et responsabiliser tous les employés. Cela signifie les informer sur l’importance de la continuité des activités et leur rôle spécifique dans le PCA. Des sessions de formation régulières, des bulletins d’information, et des discussions ouvertes peuvent aider à renforcer la sensibilisation et à encourager l’engagement de chacun.

Exemples et études de cas

Utiliser des exemples réels et des études de cas de réussites et d’échecs en matière de PCA peut être très instructif. Cela permet non seulement de mettre en évidence l’importance du PCA, mais aussi de montrer concrètement comment il fonctionne en pratique. Des études de cas internes ou d’autres entreprises offrent des scénarios réels et aident à illustrer les bonnes pratiques et les erreurs à éviter.

Mise en pratique régulière

Pour qu’un PCA soit vraiment intégré dans la culture d’entreprise, il doit être mis en pratique régulièrement. Cela peut se faire par le biais d’exercices de simulation, de tests des systèmes de communication en cas de crise, ou d’examens des plans de reprise après sinistre. Ces activités aident non seulement à garantir que le PCA est toujours actuel et efficace, mais elles renforcent également la familiarité du personnel avec les procédures du PCA.

Valorisation des Contributions

Reconnaître et valoriser les contributions des employés à la continuité des activités renforce l’importance du PCA. Cela peut se traduire par des récompenses pour les initiatives innovantes en matière de continuité des activités, des mentions dans les communications internes, ou des opportunités de développement professionnel liées à la gestion de crise et à la résilience.

CONCLUSION

L’élaboration et la mise en œuvre d’un Plan de Continuité des Activités (PCA) efficace sont des démarches essentielles pour toute entreprise visant à assurer sa résilience face aux crises et aux imprévus. Comme nous l’avons exploré dans cet article, un PCA robuste nécessite une planification minutieuse, un engagement ferme de la direction, et une intégration profonde dans la culture de l’entreprise.

La préparation à des événements inattendus ne se limite pas à la création d’un document de procédures ; elle implique une sensibilisation continue, une formation régulière, et des tests pratiques pour s’assurer que le plan reste pertinent et opérationnel. L’intégration du PCA dans les opérations quotidiennes et la culture d’entreprise renforce non seulement la capacité de l’entreprise à répondre rapidement en cas de crise, mais contribue également à son développement stratégique et à sa croissance à long terme.

Un PCA efficace est un investissement dans la stabilité et l’avenir de votre entreprise. Il représente une assurance contre les perturbations, protège les actifs et les relations d’affaires, et renforce la confiance auprès des clients, des partenaires et des employés. Dans un monde en constante évolution, où les risques et les incertitudes sont omniprésents, la continuité des activités est plus cruciale que jamais.

Nous espérons que cet article vous a fourni des orientations précieuses pour l’élaboration de votre propre PCA. Rappelez-vous que la clé de la réussite réside dans la préparation proactive, l’adaptabilité, et l’engagement continu envers la résilience organisationnelle.

Crise & Résilience Magazine. Novembre 2023.

approche socio-cognitive: rex, apprentissage, GESTION DES RISQUES, quantification-cartographies

ZOOM SUR QUELQUES OUTILS DE GESTION DES RISQUES : CARTOGRAPHIE REUSSIE, PLAN DE CONTINUITE D’ACTIVITE EFFICACE, AUTO-ASSURANCE ET CAPTIVE

Laisser un commentaire

Les outils de gestion des risques évoluent. Zoom pour les contenus à venir sur trois outils : la cartographie, le PCA, l’auto-assurance.

UNE CARTOGRAPHIE REUSSIE

J’ai souvent parlé de la cartographie des risques dans mes travaux, dans l’ouvrage co-écrit avec N.Dufour, dans le blog. Cartographie de risques « corporate », par BU…Cartographie de risques spécifiques, cartographie des risques de corruption (voir blog, juillet 2020), cartographie collaborateurs clés (voir chapitre 3 de notre ouvrage, p.172). Certains Risk Managers travaillent à des cartographies d’opportunités et des cartographies prédictives.

UN OUTIL « CLASSIQUE »

C’est un outil « classique » que je présente dans tous mes cours.

La démarche est une démarche « classique » de construction d’une cartographie (voir Chapitre 4, Méthodes, démarches et outils des Risk Managers de notre ouvrage, p.127). Les grandes étapes sont :

  • d’identifier les risques, passés, présents et émergents ;
  • d’évaluer le niveau de criticité des risques en tenant compte de leur probabilité de survenance et de leur impact ;
  • de hiérarchiser les risques ;
  • d’identifier les zones de risques insuffisamment couvertes par le dispositif de maîtrise ;
  • de mettre en place des plans d’actions et des outils de reporting.

La démarche présente certaines spécificités propres aux risques de corruption.

CONSEILS ET CARACTERISTIQUES

A l’heure des partiels pour les M1 et M2, je formule quelques certains conseils pour réussir une cartographie des risques.  

  • Se positionner du point de vue de l’entreprise
  • Faire preuve d’humilité : ce ne sont que les risques que vous percevez
  • Suivre la méthode étape par étape
    • Mobiliser une approche de la gestion des risques et des outils qui ne soient pas exclusivement quantitatifs et de type contrôle avec :
  • une connexion avec les opérationnels et les processus / l’implication de la direction générale / une collaboration avec les autres fonctions pour mettre en place la démarche
  • des ateliers et entretiens individuels pour identifier et évaluer les risques ;
  • une responsabilisation des acteurs et de la proactivité pour les analyser et les suivre.

Je reprends les caractéristiques d’une cartographie réussie sous la forme de la figure ci-dessous.

Vos cartographies seront ainsi des outils de pilotage – évolutifs et vecteurs d’innovation -.

MISE A JOUR D’UNE CARTOGRAPHIE

Une fois votre cartographie faite, pensez à la mettre à jour. HUIT POINTS.

« Mise à jour d’une #cartographie des risques.

J’ai eu à réaliser la mise à jour d’une cartographie de risque pour une structure et je viens vous partager les étapes qu’on a suivies :

0️⃣ Etablir un chronogramme de toutes nos actions jusqu’à la présentation de la cartographie
1️⃣ Faire un mail d’information à toutes les directions pour leur notifier que nous lançons la mise à jour de la cartographie
2️⃣ Recenser tous les processus et activités de la structure, et les affecter à toutes les directions qui interviennent dans leur réalisation
3️⃣ Informer les directions des affectations réalisées afin que d’une part elles puissent les amender ou les valider, et d’autre part elles indiquent les personnes ressources auprès desquelles nous réaliserons nos entretiens
4️⃣ Envoyer un mail à chaque personne ressources contenant le créneau d’entretien, et les activités à traiter
5️⃣ Réaliser des entretiens préliminaires d’explication avec chaque personnes ressources pour lui expliquer ce qui est attendu de lui (notre méthode consistait à partir d’une auto-évaluation des risques par les acteurs; il fallait donc leur présenter le livrable attendu et les former sur les risques et leur signification)
6️⃣ Réaliser des entretiens de validation des travaux d’auto-évaluation des risques avec les personnes ressources; et faire valider les conclusions de ces entretiens par le directeur du département.
7️⃣ Réaliser des agrégations des risques et aboutir à la matrice, puis à la cartographie.
8️⃣ Elaborer un rapport qui présente en plus de la cartographie des risques, les points suivants :
°Les évolutions par rapport à la cartographie précédente;
°Les activités les plus à risques;
°Les risques majeurs globaux et par activités;
°Les plans de maitrise des risques majeurs;
°Les DMR (dispositif de maitrise de risques) les moins efficaces.
Axel Emmanuel ADINGUERA sur LI.

approche socio-cognitive: rex, apprentissage, dispositifs de contrôle et plans d'actions, E.R.M, GESTION DES RISQUES

DEUX COMPLEMENTS / PLANS D’ACTION POUR GERER LE CYBERRISQUE

Laisser un commentaire

Liens vers deux post de LI du 6 décembre 2012

Suivre les MOOC de la CNIL et de l’ANSII
https://www.linkedin.com/posts/caroline-aubry-_compliance-activity-7005836271872798720-WR0L?utm_source=share&utm_medium=member_desktop

En plus des vidéos détournées des Fables de La Fontaine et de celles de la campagne de sensibilisation de SPIE : une plateforme ludique pour sensibiliser les collaborateurs

https://www.linkedin.com/posts/caroline-aubry-_kama%C3%A9-la-plateforme-qui-sensibilise-%C3%A0-la-activity-7005839871030267904-1Mg0?utm_source=share&utm_medium=member_desktop

approche socio-cognitive: rex, apprentissage, cyberisque-cybersécurité, E.R.M, GESTION DES RISQUES, RISQUES, suivi des risques-analyse des résultats

GERER LE CYBER-RISQUE. SENSIBILISER SES COLLABORATEURS. SE POSER LES BONNES QUESTIONS. ACTUALITE – Assurances des Cyber-rançons –

Laisser un commentaire

Les objectifs de la démarche de gestion des risques sont de :

  • transférer le risque ;
  • atténuer le risque ;
  • lever le risque ;
  • accepter le risque sous sa forme résiduelle (part qui n’a pu être traitée après les contrôles et plans d’actions).

Détails de la démarche de gestion des risques de type ERM dans l’ouvrage d’Aubry et Dufour : « Risk Management. Organisation et positionnement de la Fonction Risk Manager. Méthodes de gestion des risques ; 👉  https://librairie.gereso.com/livre-entreprise/riskmanagement-fris2.html

Comment gérer le cyber-risque ?

  • l’assurance pour le transférer
  • les plans d’actions recommandés par l’ANSII pour le prévenir / atténuer sa probabilité d’occurrence et/ou son impact sur l’organisation

Les liens vers les précédents posts du blog / plans d’actions contre le cyber-risque. A LIRE

🚴 Comment agir ?
👉 Indispensable, a minima complémentaire à l’assurance, mieux que l’assurance,  https://gestiondesrisques.net/2022/05/05/ca-bouge-du-cote-du-cyber-risque-3-un-projet-de-loi-permettant-a-lassureur-de-rembourser-les-cyber-rancons/ mettre en place des plans d’actions pour gérer le cyber risque 
👉 L’Agence Nationale de Sécurité des Systèmes d’Information (ANSII) propose des plans d’action et cinq mesures préventives pour gérer le cyber-risque.
Plans d’action / fraude au président
https://gestiondesrisques.net/2021/12/09/le-risque-variable-strategique-de-la-reflexion-des-entreprises-3-un-nouveau-risque-la-fraude-au-president-suite-un-exemple-de-plan-dactions/
Plans d’action / cyber-risques liés au télétravail
https://gestiondesrisques.net/2021/10/06/teletravail-risques-et-plans-dactions-ou-quels-plans-dactions-pour-gerer-les-risques-lies-au-teletravail-et-selon-quelle-approche-2/
https://gestiondesrisques.net/2021/09/29/quels-plans-dactions-pour-gerer-les-risques-lies-au-teletravail/
Nécessaire implication des salariés / gestion du cyber-risque
https://gestiondesrisques.net/2018/10/19/implication-des-collaborateurs-dans-la-demarche-de-gestion-des-risques-lexemple-du-cyber-risque/
Plans d’actions préconisés par l’ANSII

https://wordpress.com/post/gestiondesrisques.net/1496

Le post de la quinzaine est consacré aux plans d’actions pour prévenir le cyber-risque.

L’identification du risque et la mise en place de plans d’actions sont des étapes « classiques » de la démarche de gestion des risques. Orienter la démarche vers les opérationnels, les prendre en compte et les sensibiliser au risque est moins fréquent. Cela favorise pourtant une culture d’apprentissage et une pro-activité indispensables à la mise en place d’une démarche globale de gestion des risques.

  • un article sur l’importance de la sensibilisation, la faille étant souvent humaine
  • s vidéos de sensibilisation de l’ANSII destinées aux collaborateurs
  • la campagne de sensibilisation de SPIE à la cyber-sécurité

Se poser les bonnes questions.

  • le guide de l’ANSII destiné aux TPE-PME sous la forme de treize questions à se poser. Au moment où le gouvernement débloque sur ce sujet 30 millions d’euros pour les PME-ETI
  • S’y ajoute une veille sur l’actualité / assurance des cyber-rançons : épilogue de l’assurance des cyber-rançons avec la présentation par Paul Berger de Gallardo, Avocat, des grandes lignes du nouvel article du Code des assurances adapté par l’Assemblée.

Cyberattaques : la faille est souvent interne et humaine

Les anciens employés représenteraient 12 % des incidents de sécurité, après eux, les plus dangereux étant les fournisseurs et autres partenaires. 

Les anciens employés et les prestataires constituent une menace sévère mais souvent mal appréciée par l’entreprise.

Les entreprises sont une cible historique des cyberattaques. Mais le premier risque […] trouve son origine au sein même de votre entreprise. L’humain commet en effet des erreurs ou des négligences qui sont une source de grands dangers pour toutes les organisations.

Au sein des entreprises, il est récurrent que la faille de sécurité soit d’origine humaine. En effet, selon une étude réalisée en 2018 par le cabinet Deloitte auprès de ses clients, « 63 % des incidents de sécurité proviennent d’un employé actif au sein des effectifs ». Ces employés ne trahissent pas forcément volontairement leur entreprise, une grande partie d’entre eux commettent des erreurs par inadvertance, erreurs qui ont des conséquences potentiellement dommageables pour leur organisation.

Selon cette même étude, les anciens employés représenteraient 12 % des incidents de sécurité, après eux, les plus dangereux étant les fournisseurs et autres partenaires qui représentent 15 % de ces risques.

Invalider les droits d’anciens employés

Souvent, lorsqu’un employé, voire un stagiaire, quitte une entreprise ou une administration, les droits qui lui avaient été accordés ne sont pas clos et ses identifiant et mot de passe restent valides et donc utilisables. Cela crée une brèche dans la sécurité de l’entreprise et au bout de quelques années, cela peut concerner un nombre d’anciens employés important et donc une faille sécuritaire considérable. Le risque est d’autant plus grand pour les employés quittant l’entreprise en mauvais termes qui sont susceptibles de vouloir nuire à leurs anciens employeurs.

Gare aux prestataires

Les personnels extérieurs à nos organisations avec lesquels nous interagissons représentent également un risque. Certains se servent de cette position pour vous nuire, d’autres peuvent profiter de leur présence dans votre organisation pour vous espionner. Il est également possible que des personnels compromettent des données que vous leur avez confiées en ne les sécurisant pas suffisamment. Cette lacune dans la sécurité peut être volontaire ou non. Ces risques doivent rester présents à votre esprit, car il faudrait être devin pour prédire comment des relations humaines peuvent évoluer, sans oublier les troubles ou fragilités psychiques dont peuvent souffrir ceux avec qui vous avez partagé tout ou partie des données numériques de votre organisation.

Prenons un exemple concret. De nombreux organismes sous-traitent le ménage de leurs locaux à une entreprise spécialisée, et l’on ne remarque plus les passages des personnes chargées de cette tâche, car on est habitué à leur présence quotidienne. Cette invisibilité les rend potentiellement dangereux : par opportunisme ou en étant téléguidés par des personnes malveillantes, ils vont pouvoir récupérer des documents, regarder ce qui est affiché sur les écrans des ordinateurs, photographier des mots de passe négligemment inscrits sur des Post-it® par des employés tête en l’air, capter des informations ou des adresses de personnes qui pourront ensuite être ciblées par des campagnes de phishing ou de chantage par exemple.

Faire de la pédagogie

C’est pour cela qu’il est important que tous les collaborateurs soient sensibilisés au risque cyber et aux bonnes pratiques à mettre en oeuvre. Comme pour les gestes barrières en période de pandémie, nous les connaissons, mais nous avons toujours de bonnes raisons de nous en affranchir ou de les oublier. Là aussi, il ne faut pas hésiter à faire de la pédagogie pour que ces gestes soient bien ancrés dans les esprits de chacun et deviennent des automatismes. Il ne faut pas laisser son écran déverrouillé lorsqu’on n’est pas dans son bureau ou laisser en évidence son mot de passe écrit traîner sur son bureau, ne pas ouvrir les pièces jointes d’e-mails suspects même si les e-mails infectés sont parfois difficiles à détecter.

Lucie et Thierry Brenet. Les Echos. 22 novembre

Les vidéos de sensibilisation de l’ANSII à destination des collaborateurs

Ce post est l’occasion de revenir la dernière campagne de communication de Cybermalveillance.gouv.fr, en collaboration avec l’agence The Pill, qui a retravaillé avec humour et créativité 4 des plus célèbres fables du poète français.

Avec pour objectif de sensibiliser les collectivités, la campagne adapte les iconiques animaux à notre époque pour mettre en lumière les préjugés habituels des acteurs qui ne prêtent que peu d’attention à la cybersécurité : “Je n’ai pas le temps”, “Je n’ai pas le budget”, “Je n’y connais rien, je ne suis pas concerné” et enfin “Ce n’est pas ma priorité”.

Autant de problématiques abordées avec créativité, et toujours en vers, dans 4 petits films animés parmi lesquels on retrouve : Le Corbeau et le Renard, Le Lièvre et la Tortue, La Cigale et la Fourmi et enfin Le Loup et l’Agneau.

Une campagne à découvrir ci-dessous sur Youtube et qui, même si elle s’adresse aux collectivités, ne manquera pas de faire écho aux problématiques des professionnels et même du grand public.

Le Loup et l’Agneau

Problématique : “Ce n’est pas ma priorité”

Le Corbeau et le Renard

Problématique : “Je n’y connais rien, je ne suis pas concerné”

Le Lièvre et la Tortue

Problématique : “Je n’ai pas le temps”

La Cigale et la Fourmi

Problématique : “Je n’ai pas le budget”

La campagne de sensibilisation de SPIE

12 vidéos très courtes mais percutantes

Un exemple, la clé USB : https://lnkd.in/ghDpwp84

La liste complète ici : https://lnkd.in/gv96aSCn

La cybersécurité pour les TPE / PME en 13 questions


Avec la digitalisation des entreprises, le nombre d’attaques informatiques augmente et il faut savoir prévenir les risques potentiels.
Il est bon de mettre en application quelques bonnes pratiques simples ou plus élaborées qui permettent de se protéger d’un certain nombre de cybermenaces.

Découvrez la mise à jour du guide de l’#ANSSI réalisé avec la Direction Générale des Entreprises et le soutien de Cybermalveillance.gouv.fr, France Num et la CPME nationale.

Une veille sur l’actualité / assurance des cyber-rançons : épilogue  

✅ Cyberattaques : le nouveau chapitre du Code des assurances adopté à l’Assemblée nationale

🚨 15 novembre 2022 à 22h : vote sur l’article 4 de la #LOPMI sur l’assurance des cyber-attaques, 127 voix POUR 89 voix CONTRE

⚠️ Quelques clarifications importantes par rapport au texte de la Commission des lois, grâce aux amendements notamment du député Philippe Latombe :

🔹 L’exigence du dépôt de plainte porte désormais sur tout contrat d’assurance visant à indemniser un assuré « des pertes et dommages » (et non plus de « tout dommage ») causés par une cyber-attaque, selon une distinction classique en droit des assurances.

🔹 Le délai de la victime pour déposer plainte passe de 48h à 72h / commence à courir à compter de la « connaissance de l’atteinte par la victime » et non plus à compter de la « constatation de l’infraction ».

🔹 Cet article s’applique uniquement aux personnes morales et aux personnes physiques dans le cadre de leur activité professionnelle, et donc pas aux consommateurs.

🔜 Le texte déjà voté en première lecture au Sénat et désormais à l’Assemblée nationale devrait faire l’objet d’une Commission mixte paritaire entre députés et sénateurs selon la procédure accélérée engagée par le Gouvernement.

#risques #risque #analysedesrisques #riskanalysis #identificationdesrisques #gestiondesrisques #riskmanagement #enterpriseriskmanagement #cybersecurité #cyber #assurance #cyberrisque #risquecyber #assurancecyber #PME
#riskmanager #riskofficer #gestionnairederisques 

#ANSII #LGTO #LGCO

approche socio-cognitive: rex, apprentissage, communication de crise

Gestion de Crises (4) Des solutions. 3ème opus : présentation d’un outil, le RETEX.

Un commentaire

En guise d’article de conclusion au thème « gestion de crises » que j’aborde depuis trois semaines, un article sur le retour d’expérience également appelé RETEX. Emmanuelle Hervé nous y explique que si la plupart des entreprises sont frileuses à mettre en pratique le retour d’expérience, il s’agit pourtant d’une méthode précieuse, qui, empruntée à l’armée, permet d’apprendre de ses erreurs

Pour aller plus loin, vous pouvez :

  • lire p.94-99, Chapitre 2, « La Fonction Risk Manager. Organisation, Méthodes et Positionnement. »

Nous y présentons le RETEX comme est un outil de gestion des risques « hors contrôle ».

Comme d’autres outils de gestion des connaissances tels que l’apprentissage, l’analyse rétrospective d’accidents et d’erreurs, il permettra la mise en place d’une démarche de gestion des risques globale, à la fois technique et socio-cognitive. Il permettra aux Risk Managers d’avoir l’appui des opérationnels et d’acquérir une légitimité cognitive.

https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html

  • écouter le webinaire « Destination RETEX » lors duquel Emmanuelle Hervé et ses invités Loïc Finaz et Sébastien Duflot, amiral et pilote, reviennent sur cet outil.  
    https://www.youtube.com/watch?v=MQzvHxaL3Rc

Le RETEX

De la crise sanitaire aux cyberattaques, les entreprises ont été sujettes ces derniers mois à une résurgence de crises en leur sein. Dans ce contexte, il est primordial pour l’organisation d’effectuer une mise au point sur la réponse apportée à une crise, avant d’entamer une nouvelle page. Organiser un « retour d’expérience », aussi appelé RETEX avec ses équipes, est une étape importante afin d’effectuer un travail d’introspection, observer ce qui a été fait et faire preuve de résilience.

RETEX, de quoi s’agit-il ?

Le RETEX est une démarche visant à mesurer l’efficacité de la mise en œuvre du processus de gestion de crise et des messages délivrés. Elle permet de : repérer les points positifs et de capitaliser sur ceux-ci ; et d’identifier des axes d’améliorations et les actions à mettre en place pour les corriger. Cette démarche est difficile à conduire et demande courage et honnêteté. Son objectif est d’aligner la vision de la crise entre tous les membres de l’équipe, de reconnaitre le travail de chacun, les compétences des collaborateurs pendant la crise et de garder une trace écrite de tous ces enseignements pour qu’elle puisse être utilisée lors de la prochaine crise et surtout par une autre équipe.

Des professionnelles du RETEX doivent vous accompagner lors de votre processus de reconstruction après une crise :  le RETEX étant l’une des étapes pour y parvenir, il est une procédure recommandée et même indispensable, à effectuer après une crise. Il permet de renforcer les liens entre les partenaires, de libérer la parole des employés, de mesurer l’efficacité des actions qui ont été entreprises et d’identifier les points négatifs afin de proposer les axes d’amélioration et d’en déduire un plan d’action. Il s’agit d’une étape clef dans la constitution d’une culture de la gestion de crise au sein de son organisation, à effectuer après toute crise, réussie ou non.

On va en fait capturer l’expérience acquise par les personnes pendant la crise et la transférer dans l’organisation afin d’en augmenter sa résilience. L’idée est de rendre l’organisation indépendante du savoir-faire intuitae personae.

Le RETEX ne s’improvise pas !

C’est un travail structuré, mais qui n’est pas exempt de difficultés. Une gestion de crise peut être influencée par certains biais cognitifs tels que :

  • Le modèle mental (avoir la même réaction face à toutes ses crises)
  • Le biais de croissance exponentielle (s’éloigner de la prise de conscience de la crise en minimisant une situation)
  • L’endo-groupe, apprendre de l’expérience des autres (penser que la crise qui arrive aux autres ne peut pas nous atteindre et la sous-estimer)
  • Le biais d’excès de confiance (faire confiance à nos estimations et s’y tenir malgré qu’on puisse les surestimer ou les sous-estimer..
  • Le biais social ou le biais d’imitation (être influencé par le comportement des uns et des autres)

Les personnes au sein d’une entreprise ayant eu à gérer une crise, ont donc pu être influencées par l’un ou plusieurs de ces biais et ne peuvent pas objectivement effectuer un retour d’expérience. La richesse d’un RETEX viendra de la confrontation des perceptions de la crise et de la réponse apportée, la nuance se situera dans les contradictions, il faut pour cela multiplier les points de vue : interroger les gestionnaires de crise mais également les « utilisateurs finaux », les salariés, comparer avec les productions écrites, etc.

Pour ce faire, mieux vaut faire appel à des professionnels de la gestion de crise pour vous aider (ils auront ainsi un œil extérieur et bienveillant) et vous garantir que l’exercice sera bien perçu par vos collaborateurs et vos parties prenantes.

L’équipe RETEX EH&A est ainsi régulièrement consultée comme acteur extérieur pour effectuer cet exercice. Disponible pour répondre à vos besoins, nous collaborons avec des petites et grandes entreprises dans l’élaboration de leur stratégie de réponse à la crise.

Emmanuelle Hervé

21 avril 2021  

approche socio-cognitive: rex, apprentissage, élargissement du domaine du risque, cyberisque-cybersécurité, dispositifs de contrôle et plans d'actions, psychosociaux, télétravail

Télétravail, risques et plans d’actions ou quels plans d’actions pour gérer les risques liés au télétravail et selon quelle approche ? (2)

8 commentaires
✴ Une gestion des risques technique et socio-cognitive.

Je reviens avec l’extrait ci-dessous d’une chronique d’Olivier Cimelière sur l’idée que les risques psycho-sociaux liés au télétravail comme tous les risques ne sont pas seulement un « problème » technique mais également un « problème » de facteur humain.

Le deuxième article ciblé sur la cyber-malveillance (surexposition au risque) présenté par Caroline Diard –  enseignant-chercheur en management des RH et Droit, ESC Amiens – comme l’un des risques liés au télétravail propose 12 recommandations de sécurité pour prévenir ce risque. Dix sont techniques. Deux sont socio-cognitives.

Une approche à la fois technique et socio-cognitive pour passer d’une logique de contrôle à une logique de soutien rejoint la mise en place du « risk management intelligent » préconisés par Power (2004, 2007, 2009, 2016). Cette approche permet d’émanciper les managers du déploiement d’informations sous la forme « d’outils formalisés, normés… » qu’il décrit comme une « addition de couches de pseudo confort donnant une illusion de confort. » (p.66 Aubry C., Dufour N., La Fonction Risk Manager).

✴ Quelles sont les grandes lignes et les outils pour que les risk-managers français mettent en place le « risk management intelligent » préconisé par Power ?

La mise en place d’outils hors contrôle tels que le e-learning, le retour d’expérience, les formations, la responsabilité des opérationnels, l’appropriation des outils…permettent d’avoir l’appui des opérationnels et d’acquérir une légitimité cognitive (celle qui consiste à s’ancrer dans l’inconscient collectif pour être compris par les parties prenantes, devenir incontournable) ; elle est le « graal » de la légitimité.

✴ Nous évoquons cette approche technique et socio-cognitive et ces outils dans nos travaux (Aubry et Montalan, 2007) et dans l’ouvrage « La Fonction Risk Manager. Organisation, méthodes et positionnement (2019, p.96) »

https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html

✴ Sur le blog, vous pouvez lire ou relire sur cette approche :
  • l’article « Yves Rocher et les NeuroSciences ». Archives du blog mai 2020
  • l’article relatif à L’Organisation Apprenante. Archives du blog décembre 2020.

Télétravail et déconfinement : l’humain reste le pivot essentiel

Télétravail n’est pas martingale managériale

C’est un fait que le coronavirus aura contribué à plus nettement matérialiser le recours au télétravail. Les mentalités à l’égard de celui-ci évoluent. Du côté des dirigeants, il n’est plus forcément perçu comme une subtile excuse pour tirer au flanc, d’autant que le présentéisme au bureau engendre aussi bien des excès. Du côté des collaborateurs, il est synonyme d’un équilibre de vie plus flexible, entre obligations professionnelles et tâches domestiques, tout en ayant un cadre de travail délibérément choisi plutôt qu’un flex office impersonnel ou un open space plein de vacarme. Pour autant, le travail à distance n’est pas une martingale managériale. Si le dirigeant y consent, il doit aussi impulser les conditions de son efficience collective.

La première étape, basique mais incontournable (et déjà source de bougonneries), est le matériel du collaborateur. Autant au bureau, il est relativement simple de disposer d’infrastructures et de terminaux performants, autant la distance implique des obligations très concrètes à traiter. L’enquête de Deskeo le rappelle. 78% des personnes interrogées ne possèdent pas les équipements adéquats comme l’imprimante ou l’écran ergonomique. 66% doivent aussi se débattre avec un débit Internet parfois capricieux.

Collaboration et sécurité avant tout

Deux autres dimensions sont absolument cruciales : le choix d’un outil collaboratif qui conviendra à la majorité des salariés en télétravail et la garantie de la cybersécurité des échanges . Travailler à distance ne signifie pas travailler en silo, mais être au contraire capable de se synchroniser avec ses collègues et suivre les avancées d’un projet. Sur le marché, il existe quantité de solutions éprouvées mais attention à tenir compte de la maturité digitale des personnes. Un outil trop complexe à manier peut dérouter.

Enfin, la sécurisation est indispensable. A cet égard, l’engouement pour Zoom, la solution de visioconférence, a mis en exergue les failles de sécurité qui allaient de pair avec des intrusions ou des vols de données. Conséquence : tout le monde dans l’entreprise doit être extrêmement au clair et au carré avec ces points fondamentaux. Sans oublier évidemment le respect de la loi applicable en la matière.

La com’ interne comme lien essentiel

L’autre challenge induit par le télétravail, quelquefois largement sous-estimé par les adeptes fraîchement convertis, est la préservation du lien humain et de la culture d’entreprise. C’est là où la communication interne a un rôle clé à jouer pour éviter qu’au fil du temps, les interactions ne se réduisent qu’à des chats sur la messagerie interne et quelques séances collectives en visio pour entretenir a minima l’esprit d’équipe et le sentiment d’appartenance à la communauté qu’est l’entreprise.

Plus que jamais, des espaces fédérateurs doivent être mis en place et animés régulièrement comme l’Intranet – mais pas que – qui peut ainsi distiller des témoignages terrain, partager des bonnes pratiques, présenter des métiers et même offrir des canaux de détente comme des mini-compétitions de jeux en ligne ou des forums de discussion thématiques.

Avec le travail à distance, il ne faut pas perdre de vue que la précieuse machine à café n’est plus totalement en mesure d’être cet indispensable lieu de brassage du corps social de l’entreprise. La virtualisation des discussions peut aider à décloisonner mais elle peut aussi dématérialiser l’essence même d’une organisation humaine. C’est sans doute un paradoxe mais le télétravail requiert aussi de la proximité physique régulière. Là aussi, les possibilités sont variées : réunions sur un lieu unique, séminaires, team building, repas en commun, etc. Sinon, trop de distance tue la quintessence de l’entreprise.

Olivier Cimelière est directeur adjoint ESJ Pro Entreprise. Mai 2021

Recommandations de sécurité informatique pour le télétravail en situation de crise

En complément des mesures générales de vigilance cybersécurité publiées sur la crise du CORONAVIRUS – COVID-19, cet article décrit les conseils de Cybermalveillance.gouv.fr pour les employeurs afin de limiter les risques de sécurité informatique liés au télétravail.

12 recommandations de sécurité liées au télétravail pour les employeurs

Pour faire face à la crise et au confinement imposé par l’épidémie du CORONAVIRUS – COVID-19 les employeurs, entreprises, associations, administrations, collectivités se sont vues devoir mettre en place ou développer dans l’urgence le télétravail pour maintenir, au moins a minima,  leurs activités essentielles. L’ouverture vers l’extérieur du système d’information de l’entreprise peut engendrer des risques sérieux de sécurité qui pourraient mettre à mal l’entreprise, voire engager sa survie en cas de cyberattaque.
Voici 12 recommandations à mettre en œuvre pour limiter au mieux les risques :

  1. Définissez et mettez en œuvre une politique d’équipement des télétravailleurs : Privilégiez autant que possible pour le télétravail l’utilisation de moyens mis à disposition, sécurisés et maîtrisés par l’entreprise. Lorsque ce n’est pas possible, donnez des directives d’utilisation et de sécurisation claires aux employés en ayant conscience que leurs équipements personnels ne pourront jamais avoir un niveau de sécurité vérifiable (voire sont peut-être déjà compromis par leur usage personnel).

  2. Maîtrisez vos accès extérieurs : Limitez l’ouverture de vos accès extérieurs ou distants (RDP) aux seules personnes et services indispensables, et filtrer strictement ces accès sur votre pare-feu. Cloisonnez les systèmes pour lesquels un accès à distance n’est pas nécessaire pour les préserver, surtout s’ils revêtent un caractère sensible pour l’activité de l’entreprise.

  3. Sécurisez vos accès extérieurs : Systématisez les connexions sécurisées à vos infrastructures par l’emploi d’un « VPN » (Virtual Private Network ou « réseau privé virtuel » en français). Outre le chiffrement de vos connexions extérieures, ces dispositifs permettent également de renforcer la sécurité de vos accès distants en les limitant aux seuls équipements authentifiés. La mise en place sur ces connexions VPN d’une double authentification sera également à privilégier pour se prémunir de toute usurpation.

  4. Renforcez votre politique de gestion des mots de passe : Qu’il s’agisse des mots de passe des utilisateurs en télétravail, mais aussi de ceux en charge du support informatique, les mots de passe doivent être suffisamment longs, complexes et uniques sur chaque équipement ou service utilisé. La majorité des attaques est due à des mots de passe trop simples ou réutilisés. Au moindre doute ou même en prévention, changez-les et activez la double authentification chaque fois que cela est possible. En savoir plus.

  5. Ayez une politique stricte de déploiement des mises à jour de sécurité : Et ce, dès qu’elles sont disponibles et sur tous les équipements accessibles de votre système d’information (postes nomades, de bureau, tablettes, smartphones, serveurs, équipements réseaux ou de sécurité…) car les cybercriminels mettent peu de temps à exploiter les failles lorsqu’ils en ont connaissance. Un défaut de mise à jour d’un équipement est souvent la cause d’une intrusion dans le réseau des entreprises. En savoir plus.

  6. Durcissez la sauvegarde de vos données et activités : Les sauvegardes seront parfois le seul moyen pour l’entreprise de recouvrer ses données suite à une cyberattaque. Les sauvegardes doivent être réalisées et testées régulièrement pour s’assurer qu’elles fonctionnent. Des sauvegardes déconnectées sont souvent indispensables pour faire face à une attaque destructrice par rançongiciel (ransomware). En outre, il convient également de s’assurer du niveau de sauvegarde de ses hébergements externes (cloud, site Internet d’entreprise, service de messagerie…) pour s’assurer que le service souscrit est bien en adéquation avec les risques encourus par l’entreprise. En savoir plus.

  7. Utilisez des solutions antivirales professionnelles : Les solutions antivirales professionnelles permettent de protéger les entreprises de la plupart des attaques virales connues, mais également parfois des messages d’hameçonnage (phishing), voire de certains rançongiciels (ransomware). Utiliser des solutions différentes pour la protection des infrastructures et pour les terminaux peut s’avérer très complémentaire et donc démultiplier l’efficacité de la protection dans un principe de défense en profondeur.

  8. Mettez en place une journalisation de l’activité de tous vos équipements d’infrastructure : Ayez une journalisation systématique et d’une durée de rétention suffisamment longue de tous les accès et activités de vos équipements d’infrastructure (serveurs, pare-feu, proxy…), voire des postes de travail. Cette journalisation sera souvent le seul moyen de pouvoir comprendre comment a pu se produire une cyberattaque et donc de pouvoir y remédier, ainsi que d’évaluer l’étendue de l’attaque.

  9. Supervisez l’activité de vos accès externes et systèmes sensibles : Cette supervision doit vous permettre de pouvoir détecter toute activité anormale qui pourrait être le signe d’une cyberattaque, tels une connexion suspecte d’un utilisateur inconnu, ou d’un utilisateur connu en dehors de ses horaires habituels, ou encore un volume inhabituel de téléchargement d’informations…

  10. Sensibilisez et apportez un soutien réactif à vos collaborateurs en télétravail : Donnez aux télétravailleurs des consignes claires sur ce qu’ils peuvent faire ou ne pas faire et sensibilisez les aux risques de sécurité liés au télétravail. Cela doit se faire avec pédagogie pour vous assurer de leur adhésion et donc de l’efficacité des consignes. Les utilisateurs sont souvent le premier rempart pour éviter, voire détecter les cyberattaques. Utilisez au besoin nos supports et notre kit de sensibilisation ou encore les recommandations aux télétravailleurs décrites supra. Ces utilisateurs coupés de leur entreprise ont également besoin d’un soutien de qualité et réactif pour éviter toute dérive.

  11. Préparez-vous à affronter une cyberattaque : L’actualité démontre qu’aucune organisation, quelle que soit sa taille, n’est à l’abri d’une cyberattaque. Il faut donc admettre que cela n’arrive pas qu’aux autres. La question n’est donc plus de savoir si on va être victime d’une cyberattaque, mais quand on le sera. Il faut donc s’y préparer. L’évaluation des scénarios d’attaques possibles (cf. menaces supra) permet d’anticiper les mesures à prendre pour s’en protéger et de définir également la conduite à tenir pour réagir quand elle surviendra : plans de crise et de communication, contractualisation avec des prestataires spécialisés pour recourir à leur assistance…

  12. Dirigeants : impliquez-vous et montrez l’exemple ! La sécurité est toujours une contrainte qu’il faut accepter à la mesure des enjeux qui peuvent s’avérer vitaux pour les entreprises. L’implication et l’adhésion des dirigeants aux mesures de sécurité est indispensable, tout comme leur comportement qui doit se vouloir exemplaire afin de s’assurer de l’adhésion des collaborateurs.

Cybermalveillance.gouv.fr

approche socio-cognitive: rex, apprentissage, élargissement du domaine du risque, cyberisque-cybersécurité, dispositifs de contrôle et plans d'actions, E.R.M, psychosociaux, télétravail

QUELS PLANS D’ACTIONS POUR GERER LES RISQUES LIES AU TELETRAVAIL ET SELON QUELLE APPROCHE ?

5 commentaires

L’identification des risques liés au télétravail (étape 2 de la démarche de gestion des risques que je présente dans mes travaux) et leur mesure (probabilité/impact) (étape 3) permettent aux RM de les placer dans la cartographie des risques.

Voyons maintenant comment les gérer ?

Une grille de lecture / un article

👉 La mise en place de plans d’actions relève de l’étape 4 de la démarche de la gestion des risques.

En résumé, à quoi correspond-elle ?

Elle consiste à analyser les systèmes de contrôle interne : existe-t-il des dispositifs de contrôle ? De quels types sont-ils (procédures, chartes, formations, responsabilisation, assurances) ? Sont-ils efficaces, pertinents, fiables ?

Les conclusions quant à ces dispositifs de contrôle du risque permettent à l’entreprise de définir un ou des plans d’actions (bénéfice/ressources à investir) destinés à améliorer la couverture des risques majeurs (action sur l’impact et/ou la probabilité).

Les plans d’actions sont diffusés via la responsabilisation et la mise en réseau. En face de chaque risque majeur est positionné un responsable chargé d’un plan d’actions (également appelé le « propriétaire » du risque) : un réseau  de responsabilité est ainsi mis en place. Pour chaque famille de risques, des experts sont choisis pour aider ces « propriétaires » de risque : un réseau de soutien est mis en place. Un comité de risques central chapeaute ces deux réseaux.

Ces outils donnent à la démarche de gestion des risques son caractère dynamique.

👉 Des accords d’entreprise sont un plan d’actions pour prévenir les risques liés au télétravail.

Dans le cadre de leurs recherches, Caroline Diard et Nicolas Dufour (mon co-auteur pour l’ouvrage « La Fonction Risk Manager. Organisation, Méthodes et Positionnement » https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html) ont mesuré l’efficacité d’accords d’entreprise dans cinq grandes banques contre trois types de risques liés au télétravail : la surconnexion, la surcharge de travail, et une mauvaise articulation entre le contrôle et l’autonomie du télétravailleur.

👉 Une gestion des risques technique et socio-cognitive. D’une logique de contrôle à une logique de soutien.

A côté de la formalisation comme moyen de prévenir les risques, ils évoquent d’autres moyens tels que l’évolution des modes managériaux, l’autonomie, la co-construction de nouvelles normes, l’autodiscipline, les bonnes pratiques.

Les risques psycho-sociaux liés au télétravail comme tous les risques ne sont pas seulement un « problème » technique mais également un « problème » de facteur humain.

C’est une idée qui m’est chère et qui ressort des entretiens que j’ai pu mener avec des RM : la gestion des risques doit être à la fois technique et socio-cognitive, passer d’une logique de contrôle à une logique de soutien.

Elle rejoint la mise en place du « risk management intelligent» préconisés par Power (2004, 2007, 2009, 2016). Dans un article, j’écris : « Préférer une logique de soutien à la logique de contrôle qui prévaut à la mise en place de la gestion des risques transformerait la Fonction Risk Manager en instrument de légitimité cognitive. L’accès des RM au terrain serait facilité ; les obstacles associés à la logique de contrôle (manque de communication interne en direction des opérationnels, méfiance vis-à-vis des opérationnels, manque de motivation, de disponibilité et inertie des opérationnels, poids de la sanction venant de la direction) seraient allégés. Cette première dynamique passe par la mise en place d’une approche globale technique et socio-cognitive (Chautru, 2008 ; Aubry et Montalan, 2007). »

👉 A lire

Dans les banques, les accords d’entreprise limitent en partie les risques liés au télétravail

« En 2019, une étude de l’Association nationale des directeurs des ressources humaines (ANDRH) montrait que, dans la majorité des cas, le recours au télétravail était formalisé soit par un accord de groupe ou d’entreprise, soit par une charte d’employeur. Parmi ces sociétés, on retrouve de nombreuses banques, l’un des secteurs où cette pratique se concentre particulièrement.

Dans le cadre de nos recherches (menées fin 2019), nous avons évalué l’efficacité de tels accords dans 5 grandes banques contre trois types de risques liés au télétravail : la surconnexion, la surcharge de travail, et une mauvaise articulation entre le contrôle et l’autonomie du télétravailleur. Il ressort de notre étude, publiée dans la Revue de l’organisation responsable, que les accords d’entreprise permettent effectivement de réduire les deux premiers types de risques, mais leur portée reste limitée pour gérer le troisième enjeu.

Une surcharge de travail limitée

En ce qui concerne le droit à la déconnexion, les accords d’entreprise reprennent les dispositifs introduits dans le Code du travail en 2017. La possibilité d’être connecté 24 heures sur 24 rend en effet le télétravailleur disponible et induit parfois une situation de connexion subie. L’organisation doit donc anticiper la perméabilité de la frontière entre vie privée et professionnelle.

Dans l’une des banques étudiées, l’accord prévoit explicitement que :

« Aucun courriel ne sera adressé avant 8 h le matin et après 19 h 30 le soir ; aucun courriel ne sera adressé durant les week-ends et jours fériés sauf en cas de manifestations commerciales de type foires et salons auxquelles participerait le salarié nomade ».

Même si certains salariés reconnaissent des « difficultés à déconnecter » ou encore « consulter souvent les messages via le smartphone », ils déclarent globalement respecter la séparation vie privée – vie professionnelle, évoquant notamment l’efficacité en ce sens d’un cadrage lié à une connexion à distance qui s’interrompt par module de 4 heures.

Pour ce qui est de la charge du travail du salarié, en pratique, la mise en place du télétravail ne devrait pas avoir d’effet. Dans le cas des banques étudiées, le respect des horaires semble être prévu par les accords et les directions s’attachent à respecter la loi.

Or, nos observations terrain, comme d’autres travaux de recherche, révèlent une tendance à l’augmentation de la charge de travail lorsque celui-ci est réalisé à distance. Il semble s’agir d’initiatives des salariés qui témoignent avoir des difficultés à « poser des limites », comme l’un d’entre eux nous l’a confié.

Les accords permettent toutefois de contenir le phénomène. Dans une caisse régionale étudiée, la règle selon laquelle le télétravailleur doit rester joignable aux horaires habituels de l’équipe, ou encore la définition stricte des horaires « 8h30 – 12h30/13h30 – 18 h », constituent par exemple des mesures appréciées de certains, qui se disent même « plus performants ». La limitation à un jour de télétravail par semaine permet en outre de laisser la charge de travail quasi inchangée.

Du contrôle à l’« autocontrôle »

Lorsqu’on l’interroge sur une éventuelle surcharge de travail, un répondant reconnaît l’apparition d’une plus grande amplitude horaire, mais aussi d’« une souplesse appréciable ». Ce témoignage illustre bien la nécessité d’un management différent du travail à distance, qui doit prendre en compte les bouleversements en termes de contrôle, d’autonomie et de confiance dans l’organisation. D’autant plus que l’autonomie gagnée rend le collaborateur redevable, parfois tenté de prouver son engagement et sa loyauté.

Dans une situation de télétravail, le collaborateur doit en effet s’adapter à des situations inédites, en l’absence de manager, définissant alors par lui-même un mode de fonctionnement. De son côté, le manager peut être tenté de recourir au contrôle technologique du travail effectué, ce qui peut donner lieu à certaines dérives.

Dans tous les accords étudiés, signés au sein de 5 banques, l’accès au télétravail est fondé sur la capacité du salarié à travailler en autonomie et à distance, et concerne les collaborateurs ne nécessitant pas de soutien managérial physique rapproché. L’accord d’une banque précise par exemple que :

« Une autonomie d’organisation du temps de travail est reconnue aux salariés nomades ».

D’autres accords prévoient une commission de suivi ou définissent encore le cadre hebdomadaire, par exemple « à raison d’un jour par semaine, fixé en concertation avec le manager ».

En revanche, la notion de contrôle n’apparaît pas systématiquement. Aucun des collaborateurs ou managers interrogés dans l’étude n’a évoqué de mise en place de logiciel spécifique de surveillance. Tous les managers disent accorder toute leur confiance aux collaborateurs. Ils n’ont pas la sensation de suivre de façon particulièrement étroite les télétravailleurs.

Cependant, le reporting est systématiquement évoqué, à l’image du témoignage de cet interviewé :

« Je contrôle au moins une fois par mois qu’elle réponde au téléphone le jour du télétravail, je regarde de temps en temps s’il est connecté et je lui demande un reporting le soir ».

L’autonomie et la délégation peuvent donc devenir un moyen de transférer la responsabilité des objectifs sur les collaborateurs. Autrement dit, une forme d’« autocontrôle » succède au contrôle qui repose désormais sur une auto-évaluation davantage que sur un lien hiérarchique entre manager et managé.

Autrement dit, la perception mouvante d’autonomie et de contrôle dépend autant de la relation managériale que de l’application de l’accord d’entreprise. Sur les risques liés à ce bouleversement dans le lien hiérarchique, l’accord d’entreprise – dans les banques mais sans doute également dans d’autres secteurs tertiaires – semble donc une réponse plus incomplète qu’il ne peut l’être concernant la surconnexion ou la surcharge de travail.

Dans un récent article publié dans The Conversation, nous avions d’ailleurs plus largement regretté l’absence de prise en compte de ces risques dans l’Accord national interprofessionnel (ANI) « pour une mise en œuvre réussie du télétravail » conclu par les partenaires sociaux, le 26 novembre 2020. C’est donc probablement sur ce point-là que les négociations, à tous les échelons et dans bon nombre de secteurs, devraient évoluer ces prochaines années. »

Caroline Diard Enseignant-chercheur en management des RH et Droit, ESC Amiens.

Nicolas Dufour Professeur affilié, PSB Paris School of Business – UGEI.

Mai 2021

approche socio-cognitive: rex, apprentissage, GESTION DES RISQUES, risque et opportunité

RIsque et opportunité. Une autre approche

2 commentaires

Risque et Danger

« La notion de risque est ancienne, ancrée dans la société et associée à une connotation de peur, de danger. Quand Beck (2001) affirme que notre monde est le premier à être confronté au risque suprême de la destruction de la vie sur la terre, de la fin de l’Humanité, Méric et al. (2009) rappellent que les Aztèques redoutaient le retour du Néant provoqué par l’arrêt de la course du soleil et ainsi l’ancrage du risque dans l’histoire de l’Humanité. Dans cet ouvrage, les auteurs rappellent que le mot français daterait du XVIe siècle et que son étymologie serait liée à l’activité commerciale maritime (le risque que court une marchandise), avec comme postulat implicite, les conséquences néfastes de l’occurrence du risque. Laperche (2003) établit un lien entre le risque, expression du danger et la nécessité de le récompenser ou de le réduire…Au début des années quatre-vingt-dix, la notion de risque reste floue : risque et danger. » p.18. La Fonction Risk Manager. Organisation, Méthodes et Positionnement. Aubry C., Dufour N.

https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html

Risque et Opportunité

« La notion de risque n’est pas nouvelle dans les entreprises (Knight, 1921). Il est présent dans toute action, fait partie de l’univers des entrepreneurs (Schumpeter, 1926) ; il est inhérent à toute décision : « Décider, c’est choisir, en univers incertain notamment, c’est prendre un risque en espérant que le choix s’avérera a posteriori judicieux. » (Persais, 2003). Le risque est ainsi à rapprocher de l’action. La prise de risque est en soi la conséquence de la prise de décision dans un but précis : « L’évènement non encore survenu qui motive l’action. » (Beck, 1986). Ce but précis, c’est dans le contexte de l’entreprise la recherche de relais de croissance, de rentabilité supérieure, de développement de l’organisation. p.18. La Fonction Risk Manager. Organisation, Méthodes et Positionnement. Aubry C., Dufour N.

Le risque peut (doit) être appréhendé comme une opportunité et la gestion des risques comme une  démarche positive : reconnaître la valeur de la prise de risque et des coûts d’opportunité. C’est bien de prendre des risques. Il faut prendre des risques. A condition « seulement » de savoir « où l’on met les pieds ». Apprendre de ses échecs mais aussi ses succès : apprentissage, REX, diffusion des Bonnes Pratiques…Il s’agit des dispositifs de l’approche socio-cognitive de la gestion des risques qui m’est chère. Vous pouvez la retrouver via des articles publiés sur le blog (Catégorie Gestion des Risques. Rubrique Démarche socio-cognitive.) ou dans l’ouvrage ci-dessus comme fil conducteur de la présentation de la Fonction Risk Manager (sortir de l’approche contrôle / « riskmanagement intelligent » prôné par Power pour gagner en légitimité).  

Je vous propose deux articles qui associent risque et opportunité.

Pour passer du risque à l’opportunité :
« Les achats responsables au cœur des nouveaux enjeux de RSE »
« Kenya : une startup transforme le fléau des criquets pèlerins en bénédiction pour les agriculteurs »


Les achats responsables au cœur des nouveaux enjeux de RSE 

En ces temps troublés, plus que jamais, les entreprises vont être scrutées. A elles de se montrer irréprochables.

Jusqu’à récemment encore, l’attente des citoyens en matière de changement, qu’il soit social, sociétal, ou environnemental, était essentiellement tournée vers l’Etat. Comme différents indicateurs ont pu le souligner, a fortiori depuis la crise financière de 2009 et devant la résurgence des catastrophes climatiques ces dernières années, un changement de paradigme est néanmoins à l’œuvre, et il s’est renforcé avec la crise sanitaire : les citoyens éclairés ont pris conscience que le changement ne pourrait se faire qu’à travers eux et comptent sur les entreprises pour en être les relais collectifs visibles. En jeu, la possibilité de consommer mieux, en respectant le monde qui les entoure. En conséquence, les entreprises doivent opérer un changement de cap aussi nécessaire qu’attendu, entraînant dans leur sillage tout un écosystème économique.

L’émergence du « nouveau consommateur »

Ce qu’il est intéressant de voir pour bien comprendre la mécanique à l’œuvre, c’est que ces citoyens sont à la fois des salariés (ou futurs salariés d’organisation) et les clients finaux qui feront l’acquisition d’un bien ou d’un service auprès d’une entreprise. Cette position de consommateurs-acteurs leur confère un rôle de moteur du changement, à l’heure où l’on se dit que la demande peut conditionner l’offre. Une grande enseigne de distribution en a d’ailleurs récemment fait son slogan (« Place au nouveau consommateur »), ancrant ainsi une nouvelle réalité : les citoyens se placent désormais en acheteurs responsables, et imposent aux entreprises d’être alignées sur ces valeurs et d’être dans une nouvelle dynamique de responsabilité.

Car si les questions de RSE sont déjà largement intégrées dans les plus grandes entreprises françaises, il apparaît clairement qu’en plus d’être sociale, cette responsabilité doit être sociétale et environnementale, et s’étendre à toutes les organisations. Les salariés expriment d’ailleurs des attentes fortes, en ce sens, envers leur employeur et attendent de la part des entreprises, notamment les plus grandes, des efforts honnêtes et plus conséquents encore.

Alors que les figures d’autorité sont largement remises en cause et que la confiance déjà restreinte dans les pouvoirs publics continue de s’étioler, le niveau de confiance des salariés dans leur employeur résiste. Selon l’édition 2021 du Trust Barometer d’Elan Edelman, l’employeur serait même « le dernier bastion de la confiance » : 70% des répondants déclarent, en effet, avoir confiance en leur employeur contre 50% seulement lorsque l’on évoque le gouvernement ; 67% pensent, par ailleurs, que les P-DG devraient intervenir lorsque le gouvernement ne résout pas des problèmes de société et 66% souhaitent que les dirigeants jouent un rôle de premier plan dans les changements à opérer, plutôt que ce soit le gouvernement qui les leur impose. Voilà qui en dit long sur la vision qu’ont ces « nouveaux consommateurs » de leur rôle de contre-pouvoir par le biais de l’entreprise, à une époque où les initiatives citoyennes se multiplient, sans trouver d’écho réellement favorable auprès des pouvoirs publics.

De la poussée citoyenne au changement des modes de production

Toujours selon le Trust Barometer 2021, 73% des sondés se disent inquiets (ou très inquiets) en ce qui concerne le changement climatique. La prise de conscience d’une Terre aux ressources précieuses et limitées est globale, et les attentes en matière de changement doivent se traduire au sein des entreprises, dont la survie, à terme, dépendra de leur engagement en matière de développement durable notamment. Le changement de modes de consommation, pour ceux qui le peuvent, est en marche. L’heure est à la limitation de l’impact environnemental au niveau individuel et collectif (consommation locale/de saison, circuits courts, agriculture bio, traçabilité des matières et matériaux, énergie verte, possibilité de réparer plutôt que de jeter…). En miroir, l’offre s’ajuste progressivement. Les exemples dans l’agroalimentaire (origine France, zéro pesticides, issu de coopératives…), l’énergie (énergies vertes et/ou renouvelables, recyclage…), l’immobilier (rénovation énergétique, constructions écoresponsables) ou l’automobile (véhicule hybrides et électriques) ne manquent pas, tandis que la crise a fait émerger, pour d’autres raisons, l’importance de relocaliser certaines productions. Chacun s’accorde pour un retour progressif à une logistique de proximité, moins polluante, moins invasive et bénéfique à chacun. De la même manière, le nouveau consommateur inclut dans sa réflexion la mesure de l’impact social de ses achats, en portant une attention croissante au respect des conditions de travail et aux droits individuels des salariés participant à la conception des biens et des services dont il fait l’acquisition. Le récent plan de relance du gouvernement qui est une feuille de route pour la refondation économique, sociale et écologique du pays va également dans ce sens. A travers le label France Relance, le gouvernement soutient les entreprises optant pour des investissements plus « verts » et globalement plus responsables socialement avec un objectif annoncé : bâtir la France de 2030.

Des enjeux écologiques qui sont des enjeux économiques pour les entreprises

La performance d’une entreprise repose sur sa capacité à générer du chiffre d’affaires et des bénéfices (c’est-à-dire, à vendre ce qu’elle produit) pour investir, en vue de rester compétitive et de poursuivre son développement. Lorsque les attentes des consommateurs évoluent de manière aussi fondamentale que ce que l’on observe actuellement et que la notion d’entreprise engagée (et par extension de fournisseurs engagés, de supply chain responsable…) devient un facteur de décision dans le processus d’achat, l’entreprise se doit d’adapter rapidement son modèle ou sa production pour rester attractive et performante. Les enjeux écologiques et sociaux pour le citoyen sont des enjeux économiques pour l’entreprise. Il s’agit par conséquent pour les organisations de répondre aux nouvelles exigences des consommateurs responsables, en se positionnant à leur tour comme des acteurs du changement. Comment ? En développant des politiques RSE fortes et cohérentes. En s’appliquant aussi à entraîner dans leur sillage celles et ceux qui composent leur écosystème direct : clients, fournisseurs et partenaires, collaborateurs et futurs collaborateurs, pouvoirs publics dans certains cas. Tout cela doit participer à établir un cercle vertueux, dont la circonférence ne cesse de croître à mesure qu’il se nourrit de l’engagement des différents acteurs aux rangs 1, 2, 3…

A titre d’exemple, l’une de mes collaboratrices me relatait récemment une expérience d’achat qui résume bien cette tendance : ce que sont les achats responsables et comment ceux-ci peuvent se décliner. Elle venait de faire l’acquisition d’un vêtement technique de montagne, et la lecture des « 10 engagements » de la marque illustrait tout à fait les différentes dimensions de ce qu’est et doit être la responsabilité d’une entreprise de l’industrie textile aujourd’hui. On pouvait lire notamment : développer des produits durables, aller vers de l’éco-conception, privilégier le recours à des matières certifiées et garantir le sourcing des achats. Garantir le sourcing des achats, c’est travailler avec des fournisseurs et des prestataires engagés sur le plan social (pas de travail forcé, dissimulé ou travail des enfants, lutte contre les discriminations) comme environnemental (provenance, mode d’extraction des matières premières ou de transformation, audit d’impacts, valorisation de la production et des achats en circuits courts et continentaux versus internationaux, valorisation des produits usagés…), dans le respect des intérêts de tous et non d’intérêts propres (lutte contre la corruption). Tous ces engagements suivent précisément la charte Global Compact des Nations-Unies, qui peut servir de cadre aux entreprises pour consolider leurs engagements, notamment en matière de politique d’achats responsables.

Le mouvement est initié, la route reste à parcourir

Aujourd’hui, les politiques d’achats responsables ne sont pourtant une réalité que dans 60% des entreprises en France, selon l’Observatoire de la fonction achats 2030 de Michael Page/CNA (dont les résultats seront publiés début mai). L’une des raisons à cela est que l’on associe encore trop souvent « politique d’achats responsables » et entreprises industrielles ou multinationales. Or, ces politiques doivent aussi se diffuser largement auprès et au sein des entreprises de taille moyenne et des entreprises de services, qui sont au cœur des écosystèmes économiques. Des labels comme Ecovadis, auquel les entreprises se montrent de plus en plus attentives, viennent récompenser les organisations qui s’impliquent sur ce plan et peuvent, là encore venir, accompagner la mise en place des actions.

La crise actuelle est l’opportunité d’opérer un changement à la fois profond et durable, répondant aux nouvelles attentes des citoyens en matière de responsabilité sociale et environnementaleLa mise en place d’une politique d’achats responsables, quelle qu’en soit la dimension initiale, doit devenir pour tous une conviction. Parce qu’il s’agit déjà d’un facteur de décision d’achat pour de nombreux consommateurs, et parce qu’il s’agira de plus en plus d’un facteur d’attractivité et de décision bilatérale pour l’ensemble des partenaires engagés dans une relation commerciale (entreprises, fournisseurs, prestataires, …) et pour les ressources humaines d’une entreprise (salariés et futurs collaborateurs). Les entreprises peuvent, si ce n’est changer le monde, apporter une pierre significative à l’édifice.

Kenya: une startup transforme le fléau des criquets pèlerins en bénédiction pour les agriculteurs

The Bug Project propose aux paysans kenyans de ramasser les criquets dans les champs contre paiement, et transforme les insectes soit en engrais, soit en aliment pour bétail. © The Bug Project

Transformer un fléau en bénédiction, c’est l’objectif que s’est fixé une petite société kényane. The Bug Project ramasse dans les champs les criquets pèlerins qui ont envahi tous l’est de l’Afrique, et notamment le Kenya, pour en faire soit du compost, soit de l’alimentation pour bétail. Une solution qui permet aux villageois kenyans de surmonter les pertes engendrées par les invasions de criquets.

Depuis près d’un an et demi, le Kenya affronte les pires invasions de criquets pèlerins de son histoire. Les insectes réduisent à néant les cultures et dévastent les campagnes. Face à la détresse des paysans kényans, Laura Stanford, une Sud-Africaine de 33 ans, installée à Nairobi a décidé d’agir. « En réalité, s’il n’y avait pas eu le Covid-19, l’invasion de criquets pèlerins dans la Corne de l’Afrique aurait été la plus grande crise humanitaire de l’année dernière », dit-elle.

À la tête d’une petite entreprise d’élevage d’insectes destinés à l’alimentation animale, The Bug Project, elle entame donc dans plusieurs comtés ruraux des campagnes de ramassage de criquets. En collaboration avec la FAO, l’agence des Nations unies pour l’agriculture qui a entrepris depuis un an des opérations de pulvérisation d’insecticide.  

Mobiliser les habitants

« Tôt le matin, nous appelons la FAO, pour savoir où sont les essaims d’insectes et s’ils seront pulvérisés ou non. Si ce n’est pas le cas, nos équipes mobiles vont dans les villages, pour mobiliser les habitants et leur expliquer comment ramasser les criquets et les mettre dans des sacs que nous distribuons. Et nous payons les communautés par kilos de criquets ramassés. Nous payons immédiatement par MPESA, une application de mobile money », explique Laura Stanford.

Les villageois récupèrent 15 shillings, soit environ dix centimes d’euro par kilo d’insectes. Quant aux criquets, ils seront transformés en engrais s’ils proviennent d’essaims traités à l’insecticide, ou en nourriture pour animaux dans le cas contraire. 

Étendre le projet à l’ensemble du Kenya et au-delà

Antoine Hubert, ancien ingénieur d’Agro Paris Tech, une école d’agronomie, dirige aujourd’hui Ynsect, autrement dit la plus grande entreprise d’aliments pour bétail fabriqués à base d’insectes, en Europe. Pour lui, l’initiative de Laura Stanford fait sens dans un monde où les ressources ont tendance à s’épuiser.

« Cela fait partie de la solution, en effet. Et quand on voit ces invasions de criquets pèlerins, autant effectivement essayer de les collecter et de les transformer en aliments, d’autant que ce sont de très bonnes sources de protéines, très équilibrées. Il y a ces initiatives-là, et il y en a beaucoup d’autres. Il y a des projets au Cameroun ou au Burkina Faso où des vers de palme qui en passant d’un stade de collecte à un stade d’élevage, permettent de produire plus et de manière moins saisonnière. Ce qui crée de nouvelles filières, des revenus et des emplois », soutient Antoine Hubert.

Laura Stanford permet aux paysans collecteurs de criquets de gagner un peu d’argent en attendant des jours meilleurs. Elle leur redistribue aussi une partie du compost fabriqué avec les insectes afin de fertiliser leurs champs. Dépendante pour l’heure des fonds de la coopération danoise, elle aimerait étendre son projet à l’ensemble du Kenya ainsi qu’aux pays voisins, eux aussi touchés par les invasions de criquets pèlerins.  

Olivier Rogez

approche socio-cognitive: rex, apprentissage, élargissement du domaine du risque, cyberisque-cybersécurité, dispositifs de contrôle et plans d'actions, GESTION DES RISQUES, réglementation et amplification du risque, rgpd, RISQUES

RGPD. BEST-PRACTICES ET PLANS D’ACTIONS

6 commentaires
Le mois de janvier est consacré au RGDP, que j’appelle dans mes travaux un amplificateur de risques (p.47, chapitre 1) / https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html
Après le rappel du contexte réglementaire, les 1eréléments de bilan 2020 et les sanctions (Carrefour et Carrefour Banque, Google, H&M) je vous propose, à partir d’éléments communiqués par l’entreprise toulousaine I-Trust (Editeur de solutions de Cybersécurité), une synthèse de best practices issues des règles de l’ANSSI et des recommandations de la CNIL. Autant de best pratices à suivre et de plans d’actions à mettre en œuvre.

Les règles de conformité RGPD imposent aux entreprises de se sécuriser selon les meilleures pratiques issues des :

Les règles d’hygiènes et bonnes pratiques de l’ANSSI

# 4 : Identifier les informations et serveurs les plus sensibles et maintenir un schéma du réseau.

Maintenir la cartographie du SI et des informations sensibles via les tags RGPD.

# 5 : Disposer d’un inventaire des comptes privilégiés et les maintenir à jour.

Identifier les comptes privilégiés et de vérifier en continu leur mise à jour. 

# 7 : Autoriser la connexion au réseau de l’entité aux seuls équipements maîtrisés.

Détecter la connexion d’appareils étrangers au SI.

#8 : Identifier nommément chaque personne accédant au système et distinguer les rôles utilisateur/administrateur. Journalisation activée.

Détecter les comportements malveillants sur les opérations de comptes et les partages réseaux. 

Détecter les bruits de force de compte. 

# 10 : Définir et vérifier des règles de choix et de dimensionnement des mots de passe.

Détecter des mots de passe triviaux actifs sur le réseau.

# 12 : Changer les éléments d’authentification par défaut sur les équipements et services.

Détecter les mots de passe par défaut sur les équipements et services.

# 14 : Mettre en place un niveau de sécurité minimal sur l’ensemble du parc informatique. Cette règle concerne essentiellement des points de configuration (chiffrement disque, désactivation autorun, etc.).

# 18 : Chiffrer les données sensibles transmises par voie Internet.

Détecter la présence de services d’échange ou d’interface de connexion non sécurisés.

# 20 : S’assurer de la sécurité des réseaux d’accès Wi-Fi et de la séparation des usages.

Scanner la sécurité des équipements impliqués dans le WiFi (bornes, routeur, etc.)

#21 : Utiliser des protocoles réseaux sécurisés dès qu’ils existent.

Détecter les services en écoute qui ne garantissent pas la sécurité des transmissions.

# 22 : Mettre en place une passerelle d’accès sécurisé à Internet.

Scanner la sécurité de cette passerelle.

#34 : Définir une politique de mise à jour des composants du système d’information.

Détecter les problèmes d’obsolescence des composants.

#36 : Activer et configurer les journaux des composants les plus importants.

Effectuer une étude contextuelle du SI. Journaliser les éléments suivants : > pare-feu : paquets bloqués ; > systèmes et applications : authentifications et autorisations (échecs et succès), arrêts inopinés ; > services : erreurs de protocoles (par exemples les erreurs 403, 404 et 500 pour les services HTTP), traçabilité des flux applicatifs aux interconnexions (URL sur un relai HTTP, en-têtes des messages sur un relai SMTP, etc.). Pour se faire un centre opérationnel de sécurité doit être installé. 

#38 : Procéder à des contrôles et audits de sécurité régulier puis appliquer les actions correctives associées.

Auditer le réseau en continu et éliminer les vulnérabilités évidentes pour que les auditeurs puissent se concentrer sur les failles cachées.

Procéder à des contrôles et audits de sécurité réguliers pour appliquer les actions correctives associées. 

# 40 : Définir une procédure de gestion des incidents.

Surveiller en continu toute intrusion ou malveillance présente sur le SI.

# 42 : Privilégier l’usage de produits et de services qualifiés par l’ANSSI.

Obtenir la certification CSPN.

Les règles de la CNIL. Les fiches CNIL sur la sécurité des données personnelles. 

#Fiche 1 : Sensibiliser les utilisateurs

Formation au RGPD pour faire le point sur les nouvelles règles et connaître les outils qui sont obligatoires depuis mai 2018, afin de lancer la mise en conformité au plus tôt dans votre organisme.

Cette formation est adressée aux CIL/DPO/DSI/RSSI/Responsable qualité et conformité.

#Fiche 2 : Authentifier les utilisateurs.

Cartographie de l’ensemble du SI permettant de détecter la connexion d’appareils étrangers au SI. Il permet de détecter les protocoles d’accès et d’authentification (ssh/smtp/FTP/…)

#Fiche 3 : Gérer les habilitations.

#Fiche 4 : Tracer les accès et gérer les incidents.

#Fiche 5 : Sécuriser les postes de travail. 

#Fiche 6 : Sécuriser l’informatique mobile. 

#Fiche 7 : Protéger le réseau informatique interne.

#Fiche 8 : Sécuriser les serveurs.

#Fiche 9 : Sécuriser les sites web.

Cartographie de l’ensemble du réseau. Note de criticité et correctifs associés. Identification des vulnérabilités et logiciels non mis à jour de la plupart des périphériques et applications, y compris les firewalls, les serveurs, les systèmes d’exploitation de bureau, les imprimantes, les appareils sans fil, ainsi que de nombreux autres éléments.