Archives pour la catégorie approche socio-cognitive: rex, apprentissage

Cloture du CYBERMOIS : L’apprentissage par le jeu comme outil de sensibilisation des equipes à la Cybersecurité

La mise en place par certains Risk Managers d’outils hors contrôle tels que le retours d’expérience, les réunions, la responsabilité des opérationnels, l’appropriation des outils permettraient aux Risk Managers d’avoir l’appui des opérationnels et d’acquérir une légitimité cognitive (celle qui consiste à s’ancrer dans l’inconscient collectif pour être compris par les parties prenantes, devenir incontournable ; elle est le « graal » de la légitimité.) Nous évoquons ces outils dans nos travaux (Aubry et Montalan, 2007) et dans l’ouvrage La Fonction Risk Manager. Organisation, méthodes et positionnement (2019, p.96).

https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html

L’apprentissage par le jeu fait notamment son apparition pour sensibiliser les équipes à l’enjeu de la cybersécurité.

Je vous propose ci-dessous pour clôturer le Cybermois :

  1. Un jeu proposé par l’ANSII pour vous tester
  2. Un article sur l’apprentissage de la cybersécurité par les serious games

Pour clôturer le Cybermois, l’ANSSI propose cet apprentissage par le jeu.

ILLUSTRATION

C’est à vous de jouer !
Pour la dernière semaine du #Cybermois, Léa, alias Dark Sissi, cherche de nouvelles victimes sur #Internet … Qui va-t-elle cibler aujourd’hui ? #cybersécurité #rançongiciel
Et vous, que feriez-vous ?
➡️ https://lnkd.in/dDh_eNr

Et vous, que feriez-vous ?

cybermois.fr • Lecture de 1 min

Pour clôture le Cybermois, je vous propose de découvrir l’univers des serious games :

Sensibilisation à la cybersécurité : les serious game tirent leur épingle du jeu

Vous souhaitez familiariser vos collaborateurs aux enjeux de cybersécurité de votre entreprise ? En les sensibilisant par le jeu plutôt que par des sessions de formation classiques, il devient possible de susciter leur intérêt et d’améliorer leur apprentissage. Bonnes pratiques.

Pour sensibiliser leurs équipes à ces épineuses questions, les entreprises recourent traditionnellement à des sessions de formation. Le décor : une salle de réunion peuplée de collaborateurs plus ou moins attentifs. Sur scène : un formateur faisant défiler les slides d’une présentation avec le rythme d’un métronome. Ce format comporte de nombreuses limites, notamment celle de devoir assimiler un très grand volume d’informations en un temps restreint. La session présentielle étant peu interactive, les participants se sentent moins impliqués, ce qui influe sur la quantité d’informations retenues

e-Learning, la panacée ?

Avec la démocratisation du e-learning dans les années 2000, les entreprises ont pu affiner leur stratégie de formation, avec la possibilité d’inclure des cas pratiques concrets, et proposer ces modules à un grand nombre de salariés, permettant à chacun de se former au moment qui l’arrange. Cependant, l’e-learning à lui seul reste insuffisant. Rapidement lassés par un format redondant, les apprenants finissent par faire défiler les modules de manière automatique, sans assimiler les contenus. Tout miser sur l’e-learning serait donc une erreur.

Pour impliquer les collaborateurs, les méthodes d’apprentissage les plus ludiques tirent aujourd’hui leur épingle du jeu. Celles-ci permettent de mémoriser des informations sans s’en rendre compte. Il est ainsi conseillé de miser sur une approche plus informelle, en imaginant des campagnes de sensibilisation marquantes, fondées sur le jeu, renforçant la cohésion d’équipe.

Pour marquer les esprits, le mieux est de simuler par le jeu les conséquences d’une attaque informatique. Il peut s’agir par exemple de démonstrations de piratage d’outils bureautiques, via de fausses campagnes de phishing ou des prises de contrôle de PC à distance. Pour un public évoluant au sein d’environnements industriels, le piratage de maquettes SCADA est aussi très visuel et montre très bien l’impact d’une cyberattaque sur une chaîne de production.

Questions pour un cyber-champion

Parce que le sel du jeu, c’est la compétition, organiser un challenge entre les collaborateurs au cours d’une session de formation permet de dynamiser l’apprentissage et de faciliter l’appropriation des messages-clés. Plusieurs formats peuvent inspirer les entreprises. Ainsi, le code de la cybersécurité reproduit les sessions du code de la route, en mettant à disposition des participants une télécommande pour répondre à une question parmi quatre propositions. Ces séances sont l’occasion d’aborder les bonnes pratiques du quotidien comme le verrouillage des sessions, la politique de mots de passe ou les bons réflexes en cas d’impression d’un document.

Les collaborateurs peuvent également s’affronter autour de Questions pour un cyber-champion : 200 questions traitent des bases de la cybersécurité, des simples bonnes pratiques pour protéger ses données personnelles, en passant par des thèmes plus difficiles abordant les protocoles sécurisés, les attaques informatiques, ou les équipements de sécurité, etc.

Jeu de cartes, escape game : les vertus de l’apprentissage en équipe

L’apprentissage collaboratif compte parmi les solutions les plus efficaces. La discussion permet en effet de reformuler les notions, facilitant ainsi leur appropriation. Ce travail d’équipe va également participer au renforcement des liens entre les salariés. Orange Cyberdefense a par exemple conçu un jeu de cartes pour découvrir les menaces liées à la navigation sur Internet. Chaque joueur doit déjouer les attaques informatiques de ses adversaires en mettant en œuvre les bonnes pratiques de sécurité.

Pour aller plus loin, un escape game au cours duquel les participants se mettent dans la peau d’un espion offre une expérience encore plus réaliste. Par équipe de cinq, ils doivent voler une formule secrète en moins d’une heure, en tirant parti des mauvaises pratiques de sécurité (mots de passe, mauvaise manipulation de documents, etc.).

Ces vecteurs de sensibilisation ludiques et innovants viennent ainsi compléter les approches plus traditionnelles utilisées en entreprise. Ce type de démarche suscite un intérêt particulier auprès des équipes qui enrichissent leur culture en cybersécurité et adoptent des comportements plus vertueux.

Notes : *Intermedia, 2017, Data Vulnerability Report

Risque perçu versus Risque objectif. De l’importance des biais cognitifs

Merci à Emmanuelle Hervé de mettre l’accent sur la subjectivité du risque. Le risque perçu (trop souvient oublié au profit du risque objectif) dépend en effet de la position de l’agent dans son exposition au risque et/ou sa psychologie. La question de la subjectivité montre le rôle des biais cognitifs et des représentations dans l’appréhension des dangers par les acteurs économiques. Elle intervient notamment dans la relation entreprise/acteurs de la société civile ; dans la perception par l’entreprise des risques qu’elle encoure. Cette prise en compte est compliquée mais indispensable pour le Risk Manager. C’est une voie que nous explorons avec N.Dufour dans notre ouvrage « La Fonction Risk Manager. organisation, Méthodes et Positionnement ». Celui-ci est Disposible ici : https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html

Voir également les travaux d’Olivier Sibony, professeur à l’HEC, spécialiste en résolution de problèmes, en prise de décision et expert en stratégie, dans une conférence virtuelle intitulée : comprendre les biais cognitifs en pleine crise du coronavirus. Celle-ci est disponible ici : https://www.youtube.com/watch?v=wDD4h-_TgQs.

COVID-19 : COMMENT LES BIAIS COGNITIFS ONT PERTURBÉ LA GESTION DE LA CRISE

Emmanuelle Hervé

 « Les biais cognitifs, parfois aussi appelés “illusions cognitives”, sont un ensemble d’erreurs de raisonnement qui diffèrent du simple oubli ou de l’erreur de calcul. Les biais cognitifs sont observables lorsque, dans une certaine situation, un sujet commet une erreur de raisonnement en recourant à une heuristique plutôt qu’à une loi logique et forme ainsi une croyance injustifiée, voire fausse ».

Source : https://encyclo-philo.fr/a-propos-le-vrai/

Pourquoi prenons-nous des mauvaises décisions ? Pourquoi des personnes compétentes, pleines de bonnes intentions entreprennent des actions qui nous semblent bonnes mais qui se révéleront désastreuses pour l’avenir d’une entreprise par exemple ? Pourquoi nous sous-estimons ou au contraire surestimons une crise ?

Ce sont les travers des biais cognitifs. Ces erreurs, déclinées en plusieurs catégories, sont particulièrement notables en temps de crise. 

Nous sommes tous de potentielles victimes de nos biais cognitifs. Nous avons tendance à sous-estimer les risques qui ont certes une probabilité d’occurrence relativement faible, mais qui ont pourtant un impact, humain, financier, ou encore réputationnel très important. On pourrait citer ici les accidents nucléaires, les crashs d’avions, etc. Nous nous y préparons donc, et à tort, trop peu. C’est ce que Thaleb conceptualise autour du « cygne noir ».

Aujourd’hui, nous retrouvons sur toutes les plateformes que nous scrutons, des extraits vidéo, où des scientifiques, des spécialistes, des politiques, minimisaient le risque d’une épidémie dans notre pays. En effet, il y a trois mois, une épidémie semblait impensable sur notre sol.

« On sait que ce virus est peu mortel »

Christophe Prudhomme, porte-parole des médecins urgentistes.

Comment pouvons-nous expliquer ces prises de parole, où la peur et le déni, semblaient déformer notre perception de la dangerosité du virus. Regardons de plus près les différents biais décrits par Olivier Sibony, dont nous avons tous été victimes pendant cette crise :

  • Le modèle mental :

Nous avons tous vu, si ce n’est ressenti, cet irrépressible besoin de comparer ce virus à un modèle que nous connaissions, ou qui s’en rapprochait. Instinctivement, en France, nous nous sommes rappelés de la grippe A/H1N1 en 2009, rapidement maitrisée. À l’époque, nous avions agi vite et fort, avec les campagnes de vaccinations et les réserves de masques. Nous nous sommes souvenus qu’il ne fallait pas surréagir, la population, les médecins et les spécialistes, ont ce même souvenir. En Chine, le souvenir était celui du SRAS, d’où une réaction beaucoup plus forte et appropriée.

  • Le biais de croissance exponentielle :

Comment appréhender une croissance exponentielle ? Nous voyons une courbe de cas, de décès ; on sait qu’elle va augmenter, mais on la sous-estime.

Dans cette crise, la courbe des décès est exponentielle dès le début. Prenons un exemple simple, au début de la crise, le Pr. Jérôme Salomon annonce dans ses points quotidiens un doublement du nombre de cas tous les trois jours. On sous-réagit à l’exponentielle, car au début, on parle de chiffres de 3 ; 5 ; 8 individus… On s’éloigne encore de la prise de conscience en se persuadant que la situation, au vu de ces premiers chiffres, n’est après tout pas si grave.

  • L’endo-groupe, apprendre de l’expérience des autres ?

Nous avons tous un jour pensé et cru que « cela n’arrivait qu’aux autres », « ça ne peut pas arriver chez nous ». Nous sommes convaincus que notre endo-groupe est différent de l’exo-groupe.

Les Italiens par exemple, ont jugé irréaliste le comportement de leur voisin français lorsque le premier tour des municipales a été maintenu. Chaque pays ne peut pourtant pas gérer cette crise de la même façon, et nous trouvons des explications pour nous éloigner encore de la prise de conscience de la gravité de la situation. Selon Bolsonaro, les Brésiliens sont plus solides que les autres ; pour les Américains, il est bien entendu impossible d’attraper un virus chinois, probablement d’ailleurs une nouvelle machination orchestrée par les démocrates…

Toutefois, il est fondamental de se garder d’émettre des jugements hâtifs. Nous sommes tous concernés, de manière universelle, bien qu’il existe des différences sur certaines questions selon les cultures et les genres, elles n’influent que très peu sur les biais.

  • Le biais d’excès de confiance

Nous avons tendance à faire confiance aux estimations et à les suivre, surtout en temps de crise. Pourtant, nous les surestimons ou nous les sous estimons… L’exemple étasunien est ici notable. Lorsque de grands scientifiques ont été amenés à devoir donner une estimation du nombre de cas dans les 12 jours, ils ont répondu collectivement qu’il s’élèverait à environ 19 000.

Seulement, 12 jours plus tard, le chiffre s’élevait à 120 000 cas. Les meilleurs experts dont le pays disposait se sont donc tous trompés. De plus, il faut noter que ces professionnels ont vu d’autres épidémies, et des réactions qui ont pu s’avérer disproportionnées. Ils ont ainsi une responsabilité de prévenir mais aussi de ne pas semer de panique devant tant d’incertitudes.

  • Le biais social ou le biais d’imitation

Des parcs bondés, des plages occupées, des réunions entre amis, ces gens qui font comme si tout allait bien, ne peuvent tout de même pas se tromper ? Si ? La situation ne doit pas être aussi grave en fin de compte… Le 15 mars, le confinement que nous vivons actuellement nous semblait impensable. Aujourd’hui, c’est la norme, nous l’acceptons et nous nous y conformons (du moins la plupart d’entre nous s’y conforment et heureusement), d’ailleurs nous assistons même aujourd’hui à des dénonciations de ceux qui ne semblent pas le respecter. Ce modelage des habitudes montre que nous faisons comme les autres, nous sommes influencés et nous imitons le comportement des uns et des autres.

Mais sachant tout cela, comment fait-on pour éviter les biais qui altèrent notre jugement ?

Les biais cognitifs sont des erreurs dont nous n’avons par principe pas conscience sur le moment. Ce sont des réalités qu’on ne peut pas éviter tout seul.

C’est une leçon d’humilité, nous ne sommes pas à l’abri d’en être victime. Cette fatalité est amplifiée par les médias, que nous consommons particulièrement régulièrement pendant cette période. Ils ont un rôle non négligeable dans ces biais. Ils nous poussent à nous retrancher dans le « système 1 », une pensée rapide, permanente, qui ne nous aide certainement pas à prendre du recul. M. Sibony nous rappelle d’ailleurs que 80 % du temps d’antenne des médias sont centrés sur le Covid-19, mais à nous de nous gendarmer sur cette activité.

On prend conscience aujourd’hui qu’il aurait fallu agir dès les premiers cas de décès déclarés.

À cause du mécanisme des biais, la prise de conscience se fait malheureusement par palier, nous avons donc tous un temps de retard. Aujourd’hui on ne comprend pas pourquoi les municipales en France ont été maintenues, on conçoit qu’il s’agissait, même avec des précautions, d’un facteur supplémentaire de propagation de l’épidémie.

Pourtant, avant le confinement, les réactions sur une possible annulation des élections étaient vives… On a pu entendre notamment la comparaison d’une annulation avec un « coup d’État ». Ce sont pourtant ces mêmes personnes qui aujourd’hui sont révoltées et qui jugent l’action gouvernementale tardive. C’est un véritable paradoxe, mais l’acceptabilité, se fait par palier.

Après avoir sous-réagit, on sur-réagit, tout s’emballe ! Il est difficile dans une situation de crise de revenir à un raisonnement patient et rationnel.

Nous allons également devoir penser à l’après, ce qui nous semble difficile car le bilan s’alourdit. De nombreuses personnes vont mourir, et sont en train de mourir, cela se passe maintenant, c’est tangible. Au-delà de La Peste de Camus il faut aussi anticiper Les Raisins de la colère de Steinbeck, même si cela peut sembler indécent. Car la crise économique qui se profile représentera également de nombreuses cassures et causera de multiples blessures dans la société. Le désespoir est déjà très important, on peut le voir aux États-Unis par exemple, où une partie de la population préfère prendre le risque d’un déconfinement immédiat, plutôt que de subir par la suite une violente crise économique, qui engendrera indubitablement une autre crise sanitaire. Finalement, cette crise est plus abstraite, moins tangible, moins urgente, mais on doit y réfléchir.

Malgré la pression médiatique il ne faut pas avoir le sentiment de choisir entre une crise sanitaire ou une crise économique, mais devoir réfléchir aux impacts sur le bien-être global des choix que nous devrons faire à la sortie de cette crise. En d’autres termes, « il faut prendre de la distance pour sauver des vies après. »

Sortir de la crise

Pour sortir de cette crise, nous allons devoir faire des choix, mais aucun ne permet de garantir une sécurité totale. Aucun schéma ne nous garantira de mettre tout le monde à l’abri.

En fait, M. Sibony décrit quatre niveaux d’incertitudes dans lesquels nous nous retrouvons :

  1. Combien de gens sont infectés, combien l’ont été ? etc.
  2. À quelle vitesse le virus se transmet, comment exactement ? Dans quelle mesure il sera saisonnier ? L’immunité est-elle définitive ?
  3. Combien de temps va durer le confinement, quel impact sur la paix et sur le tissu social aurait-il ?
  4. Est-ce que les gouvernements ont fait assez ? Notre consommation va-t-elle changer après ?

Personne ne sait aujourd’hui comment nous sortirons de cette crise, et quelle image aura la société après celle-ci. On peut formuler de multiples scénarios tant le niveau d’incertitude est grand. Pourquoi ne pourrait-on pas envisager une récession comme en 1929 ? Il faut ici repenser à Socrate après tout « Tout ce que je sais c’est que je sais que je ne sais rien ».

Pour la sortie du confinement, les mêmes interrogations se posent, et encore une fois plusieurs scénarios sont envisageables. Il y aura probablement des confinements successifs, mais dans ce cas-là ils pourront être difficiles à faire respecter ? Un déconfinement par catégories, qui pose des problèmes éthiques ? Un déconfinement progressif à commencer par les personnes qui sont supposément immunisées après avoir été guéries du virus ?

Chaque système a ses failles, la seule solution reste un remède, un vaccin. Il est ici temps de revenir sur un autre biais, dont nous serons forcément victimes à la fin de cette crise.

  • Le biais rétrospectif

Il n’y a rien de plus facile que de regarder le présent à la lumière du passé, on reprochera de toute manière au gouvernement la gestion de cette crise. Quel que soit le bilan. S’il y a 30 000 morts, nous conclurons que nous avons surréagi. Si le bilan s’élève à 300 000, nous conclurons que ce qui a été mis en place n’aura servi à rien, et qu’on peut qualifier de criminel, ce qui a été mis en place.

Dans l’après, nous aurons du mal à imaginer l’incertitude dans laquelle nous nous trouvons aujourd’hui. Et nous serons alors, forcément victimes du biais rétrospectif.

C’est ce que nous enseigne Olivier Sibony, professeur à l’HEC, spécialiste en résolution de problèmes, en prise de décision et expert en stratégie, dans une conférence virtuelle intitulée : comprendre les biais cognitifs en pleine crise du coronavirus. Celle-ci est disponible ici : https://www.youtube.com/watch?v=wDD4h-_TgQs.

Nous vous avons proposé un résumé de cette excellente et très instructive intervention. De celle-ci, nous avons dégagé cinq leçons pour tenter de mieux appréhender ces biais, de les connaître, et savoir qu’ils peuvent nous induire en erreur.

  1. Connaître et savoir identifier les biais dont on peut être victime est une bonne chose. Mais le mieux, c’est aussi de regarder les faits plutôt que les raisonnements par analogie. Il faut se munir d’une humilité devant les faits, s’entourer d’une diversité de points de vue.
  2. Paniquer ne vous aidera pas. En France, nous suivons les ordres du pouvoir central. Dans d’autres pays, les universités par exemple ont fermé avant que ce soit obligatoire (c’est le cas des États-Unis), on a pu observer également des initiatives prises par des populations, confinées avant que les mesures gouvernementales de les y obligent (c’est le cas de l’Ukraine).
  3. Personne ne sait rien, tout le monde fait des probabilités. Accepter l’incertitude est fondamental.
  4. Se préparer, apprendre à anticiper est indispensable.
  5. Accepter que le risque zéro n’existe pas ; les biais ont beau être connus, ils ne sont parfois pas pris en compte, parfois oubliés. Nous restons humains, faillibles, c’est pour ça que les meilleurs épidémiologistes peuvent se tromper.

Emmanuelle Hervé. Juin 2020

 

 

 

Initiative intéressante du groupe Y. Rocher : avoir recours aux neurosciences pour gérer les risques.

La mise en place d’outils hors contrôle tels que le e-learning, le retour d’expérience, les formations, la responsabilité des opérationnels, l’appropriation des outils permettent en effet d’avoir l’appui des opérationnels et d’acquérir une légitimité cognitive (celle qui consiste à s’ancrer dans l’inconscient collectif pour être compris par les parties prenantes, devenir incontournable) ; elle est le « graal » de la légitimité. Nous évoquons cette approche technique et socio-cognitive dans nos travaux (Aubry et Montalan, 2007) et dans l’ouvrage La Fonction Risk Manager. Organisation, méthodes et positionnement (2019, p.96). https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html

Gestes barrières : le groupe Yves Rocher forme ses salariés grâce aux neurosciences

Pour s’assurer du respect des gestes barrières dans l’entreprise, le groupe Rocher (Yves Rocher, Petit Bateau, Stanhome…) a fait appel aux services d’un spécialiste de « l’ancrage mémoriel« , la société Woonoz.

Par Sylvaine Salliou. Publié le 12/05/2020

Depuis ce lundi 11 mai, les 2.000 salariés bretons du groupe Rocher sont à nouveau accueillis progressivement sur les sites de production, dans le Morbihan et au siège à Rennes. « On compte quelques dizaines de salariés sur chaque site de production, car le recours au télétravail reste massif« , selon Régis Rougevin-Bâville, directeur qualité du groupe Rocher.

Formation accélérée aux gestes barrières

Depuis le 7 mai, ils sont formés aux gestes barrières, grâce à une formation accélérée en e-learning, mise en place en partenariat avec la société Woonoz. L’objectif pour le groupe breton est de s’assurer du respect des gestes barrières au retour dans l’entreprise.

La formation, basée sur le protocole national de déconfinement et co-construite avec les médecins du travail du groupe Rocher, passe en revue plus de cent situations, dont l’hygiène des mains, les distanciations physiques, le port du masque ou encore le nettoyage du matériel se trouvant dans des zones partagées. Ce sont surtout des « situations imagées » avec des photos prises sur les différents lieux de travail du groupe Rocher, selon Régis Rougevin-Bâville.

Une formation basée sur l’ancrage mémoriel

Pour Fabrice Cohen, cofondateur de Woonoz, 80 % des informations délivrées au cours d’une formation sont oubliées dans les sept jours. Or, selon lui, sa société atteint des taux de mémorisation de 93 %, car elle s’appuie sur les dernières connaissances en neurosciences et sur la méthodologie d’ancrage mémoriel, comme le Projet Voltaire, utilisé par six millions de personnes pour se remettre à niveau en orthographe, selon Siegried de Préville, manager des opérations du groupe Rocher. L’ancrage mémoriel consiste à prendre en compte que chacun mémorise d’une façon qui lui est propre.

Il explique que certaines règles et certaines situations mises en image dans la formation, sont connues ou évidentes, mais « l’objectif est de les faire passer à l’état de réflexe« .

Une formation adaptée à chaque apprenant

Le parcours alterne entre tests et révisions où il faut chercher et corriger l’erreur. Il commence par un diagnostic initial des connaissances et se poursuit par deux ou trois sessions de 15 minutes d’ancrage mémoriel. A la fin du parcours de formation, l’apprenant est évalué et il reçoit une attestation qui indique qu’il maîtrise le parcours.
Régis Rougevin-Bâville explique que le moteur d’intelligence artificielle s’adapte aux réponses de l’apprenant : il revient sur les situations non acquises et repère les configurations où sa mémoration est meilleure.

Cette formation sera étendue à l’ensemble des salariés du groupe Rocher en France, c’est-à-dire 6 500 personnes. Selon nos interlocuteurs, ce module peut également servir à d’autres secteurs économiques : « cette formation est transposable à beaucoup de secteurs« . Plusieurs entreprises auraient déjà demandé à tester la formation.

 

Dans le même esprit que le retour d’expérience…la mise en place de pratiques communes, de coordination des actions, de partage de la connaissance.

« Les actions de gestion des risques doivent en effet faire l’objet d’une analyse, d’un suivi et d’un apprentissage.

Les résultats font ensuite l’objet d’une communication à la hiérarchie. La Direction Générale est informée de la qualité de la maîtrise des risques dans l’entreprise. Les enjeux de cette dernière étape sont la transparence vis-à-vis du management et des actionnaires – le climat de confiance – et la diffusion d’une culture du risque dans l’entreprise avec l’introduction d’une boucle d’apprentissage collectif.

L’analyse des résultats peut enfin donner lieu à la mise en place de retours d’expérience (mises à jour régulières du site de l’entreprise au fur et à mesure de la réalisation des plans d’actions, d’échanges d’informations entre le terrain et les équipes de management via les bases de données ou encore de diffusion des meilleurs pratiques accessibles à tous).

Ces outils donnent à la démarche de gestion des risques son caractère opérationnel.

Leur mise en place confère également à la gestion des risques une approche globale qui la rapproche de l’Enterprise-wide-Risk-Management (ERM), modèle anglo-saxon d’une gestion des risques présentée comme globale et intégrée, dans lequel le rôle des responsables opérationnels devient essentiel.

Une gestion des risques qui met en place ce type d’outils relève de l’Enterprise-wide-Risk-Management (ERM), modèle anglo-saxon d’une gestion des risques présentée comme globale et intégrée, dans lequel le rôle des responsables opérationnels devient essentiel. Elle est globale au sens de Louisot (2010)[1]. Elle est « intégrée, car la gestion des risques doit effectivement l’être à tous les niveaux de décisions et dans tous les process (Louisot J.P., « ERM à l’épreuve de la crise », Risk management n°1, avril 2010.)

Elle est par essence transversale puisqu’elle est là pour servir les projets, les différentes entités et les processus opérationnels et managériaux de l’entreprise et qu’elle se positionne en accompagnement du processus de décision. Elle suppose l’implication du personnel opérationnel indispensable à une bonne identification des risques. La démarche de gestion des risques se doit d’intervenir en amont de la survenance des évènements, les anticiper et non pas seulement valider les expériences survenues. En cela elle n’est pas seulement une activité de contrôle : on ne cherche pas seulement la qualité de chacune des opérations mais la bonne articulation des activités entre elles. »

[1] Modèle anglo-saxon d’une gestion des risques présentée comme globale et intégrée, dans lequel le rôle des responsables opérationnels devient essentiel. La notion de globalité introduit tous les éléments d’incertitude liés au futur de l’organisation, ce que Louisot (2010) englobe sous l’expression « toutes causes, toutes conséquences, toutes opportunités et menaces.»

Christine Grassi. 

La mise en place par les Risk Managers d’outils hors contrôle. L’exemple du Retour d’Expérience.

La mise en place par certains Risk Managers d’outils hors contrôle tels que le retours d’expérience, les réunions, la responsabilité des opérationnels, l’appropriation des outils permettraient aux Risk Managers d’avoir l’appui des opérationnels et d’acquérir une légitimité cognitive (celle qui consiste à s’ancrer dans l’inconscient collectif pour être compris par les parties prenantes, devenir incontournable ; elle est le « graal » de la légitimité.

Nous évoquons ces outils dans nos travaux (Aubry et Montalan, 2007) et dans l’ouvrage La Fonction Risk Manager. Organisation, méthodes et positionnement (2019, p.96).

Je vous propose de découvrir le Retour d’Expérience à travers l’article ci-dessous écrit par mon co-auteur Nicolas Dufour.

La construction d’une mémoire du risque en entreprise est un long apprentissage s’inscrivant dans la constitution (progressive) d’une culture du risque dans l’organisation. Au-delà d’une communication régulière, les actions suivantes peuvent être préconisées :

– dans le cadre des processus de cartographie des risques, réaliser une pré-identification des risques : reprendre les incidents marquants dans la revue des risques, en allant au-delà de l’exercice passé et s’assurer que ces risques restent sous contrôle ou que d’autres situations similaires ne seraient pas susceptibles d’arriver ;

– intégrer les « sachants » au processus de revue des risques, ayant la connaissance historique de l’organisation, même s’ils ont changé d’activité entre le moment de la survenance de certains incidents et celui de la revue des risques (le plus souvent annuelle) ;

– mieux exploiter les effets d’expérience issus des bases incidents, notamment les analyses de causes, même si celles-ci ne sont pas systématiquement documentées ;

– à la manière des méthodes formalisées en EHS (courbe de Bradley formalisant dans le temps la progression enregistrée en termes de réduction des accidents de travail en tenant compte de différentes étapes dans la constitution d’une culture du risque et de la responsabilisation des acteurs), construire des courbes d’apprentissage sur différents risques opérationnels : capacité à réduire les erreurs humaines, à détecter les fraudes…

Implication des collaborateurs dans la démarche de gestion des risques. L’exemple du Cyber risque.

L’identification du risque et la mise en place de plans d’actions sont des étapes « classiques » de la démarche de gestion des risques. Orienter la démarche vers les opérationnels, les prendre en compte et les sensibiliser au risque est moins fréquent. Cela favorise pourtant une culture d’apprentissage et une pro-activité indispensables à la mise en place d’une démarche globale de gestion des risques. Pour une description de la démarche de gestion des risques en cinq étapes, voir Aubry, 2013.

Yann Girard propose de faire des collaborateurs la première ligne de défense de l’entreprise contre la cybercriminalité en les sensibilisant et en les impliquant dans la mise en oeuvre de la démarche.

Cybercriminalité : les collaborateurs, première ligne de défense de l’entreprise

Publié le 16 octobre 2018

Yann Girard

Chief Information Security Officer / Retail BanksFrance

 

Le nombre d’entreprises victimes de fraudes cybercriminelles ne cesse d’augmenter, elles sont des cibles privilégiées quelle que soit leur taille. Ainsi près de 80 % des entreprises ont constaté au moins une cyber-attaque en 2017, 77 % sont des petites et moyennes entreprises. Les conséquences, nous le savons, peuvent s’avérer parfois désastreuses.

Si le vecteur d’attaque est d’origine technologique et parfois extrêmement sophistiqué, la participation involontaire des victimes est la plupart du temps nécessaire au succès des opérations frauduleuses. Les cybercriminels s’appuient sur notre méconnaissance des outils, nos biais cognitifs et notre manque de vigilance pour arriver à leurs fins.

 Avant d’être technologique, la réponse à ce problème passe donc avant tout par la sensibilisation de chacun des collaborateurs de l’entreprise.

 Les 4 scénarios d’attaques suivants, fréquemment observés par les équipes de spécialistes antifraude Société Générale, peuvent ainsi être facilement évités si nous développons les bons réflexes :

–       La fraude au président : demande urgente et confidentielle d’un prétendu responsable hiérarchique ou d’une autorité pour effectuer un virement inhabituel en dérogeant exceptionnellement aux procédures internes. Dans un tel cas, une vérification auprès de sa hiérarchie s’impose.

–       Le fournisseur transmettant de nouvelles coordonnées bancaires pour régler sa prochaine facture. La demande est là aussi loin d’être neutre et nécessite un contre-appel à votre fournisseur pour vérifier s’il en est bien l’émetteur, et une vigilance sur la nouvelle domiciliation bancaire.

–       L’appel d’un faux support informatique, pour prendre le contrôle de votre PC à distance afin de réaliser des tests. Objectif : installer un logiciel qui permettra à l’attaquant de commettre des fraudes, voler vos données ou les détruire. Il est donc essentiel de s’assurer de l’identité de l’interlocuteur, et de la légitimité de l’opération.

–       Le troyen bancaire, reçu dans un mail de phishing souvent anxiogène ou promotionnel, qui vous incite à cliquer sur des liens ou des pièces jointes. Encore une fois, le risque est qu’un logiciel malveillant s’infiltre dans votre système d’information. Les mails sont le premier vecteur d’attaques, méfiance donc vis-à-vis des pièces jointes et des liens cliquables.

Ces scénarios d’attaques par ingénierie sociale sont très classiques mais fonctionnent encore malheureusement trop souvent : ils sont détectables et doivent éveiller notre vigilance. D’autant que les impacts peuvent être lourds, entre conséquences financières (jusqu’au redressement ou la liquidation judiciaire), et conséquences sociales et humaines (licenciements…).

D’où l’importance de sensibiliser les collaborateurs avant tout : ils doivent être conscients des menaces potentielles pour anticiper les scénarios d’attaques et protéger l’entreprise.

Identifiez ce qui est vital pour votre business, les collaborateurs les plus susceptibles d’être ciblés (trésoriers, équipes comptables…), et accompagnez- les en conséquence à travers des formations, des simulations, une charte de bonnes pratiques cybersécurité…

Société Générale organise par exemple chaque année ses Cybersecurity Hours, programme de conférences, ateliers pédagogiques et actions de sensibilisation à la Sécurité de l’Information. Elles ont lieu en octobre, pendant le mois européen de la Cybersécurité. Votre banque, dans son rôle de tiers de confiance, reste d’ailleurs un interlocuteur privilégié pour bénéficier de conseils et de recommandations sur ces sujets.

Nous ne pourrons jamais empêcher les fraudeurs d’essayer mais chacun d’entre nous peut leur compliquer la tâche voire déjouer leurs tentatives par des réflexes simples à acquérir et à entretenir. Déployer des solutions de sécurité en entreprise pour se protéger est nécessaire mais cela reste un investissement vain si les collaborateurs ne sont pas sensibilisés.

Notion de risque. Quand risque rime avec opportunité et innovation

Risque et danger sont souvent associés. La notion de risque est ancienne, ancrée dans la société et associée à une connotation de peur, de danger. Méric et al (2009) rappellent que les conséquences néfastes de l’occurrence du risque sont le postulat implicite du risque. Laperche (2003) établit un lien entre le risque, expression du danger et la nécessité de le récompenser ou de le réduire. Pourtant le risque doit également être vu comme une opportunité.  

Les risques logistiques poussent Saica à innover

Le 11/09/2018

Le leader de la fabrication de papier recyclé pour carton ondulé, qui vient de racheter le français Emin Leydier, développe des solutions innovantes pour faire face à l’allongement de la chaîne logistique. Et à la multiplication des risques.

La vie d’un colis n’a jamais été aussi risquée. Au cours de son transport, il peut effectuer une dizaine de chutes, de 30 cm à 2 mètres, à chacun de ses aiguillages dans les centres de tri. Autant dire plusieurs dizaines entre le magasin et le destinataire final. Et ce sans compter les risques d’écrasement, d’ouverture, voire de vol… Pour protéger ces envois, le groupe espagnol Saica développe des solutions innovantes. « L’e-commerce a rendu obsolètes les logiques d’emballage, de palettisation notamment, les clients ne connaissant pas le poids supporté par leur produit au cours du trajet, ni la position qu’il aura, ni l’impact des autres emballages dans le camion », explique Franck Reberat, responsable développement produit de l’entreprise.

Autre contrainte : les emballages destinés à l’e-commerce doivent, à défaut d’être inviolables, rendre difficile l’accès au produit et inclure des témoins d’ouverture. « Le consommateur est de plus en plus sensible à l’état de livraison de son colis », commente le responsable.

Table de vibration

Le groupe a travaillé avec l’université de Saragosse pour identifier les risques d’une chaîne logistique. Ce programme d’essais basé sur l’utilisation d’une table de vibration et d’outils de simulation de chutes, a débouché sur la création de Saica E-Wine. Une caisse spécialement conçue pour le transport du vin, l’un des produits les plus fragiles et pourtant les plus achetés sur Internet. Autre exemple : un emballage pour les fleurs, poussant le bouquet vers l’extérieur lors de l’ouverture. « L’objectif est dans ce cas de permettre au consommateur de ressentir l’émotion attendue avec ce type de produit », complète Franck Reberat. Le groupe propose via le site Internet du journal « L’Usine nouvelle », 80 références d’emballages destinées aux TPE et PME.

Saica est le leader de la fabrication de papier recyclé pour carton ondulé en Europe. Avec le  rachat du français Emin Leydier en mars, il a porté sa capacité de production à plus de 3 millions de tonnes. Aujourd’hui, le secteur de l’e-commerce représente entre 5 et 10 % de l’activité du groupe, notamment au Royaume-Uni, où il vend la moitié de la production d’une usine exclusivement à Amazon.

Guillaume Roussange