Archives pour la catégorie approche socio-cognitive: rex, apprentissage

La mise en place par les Risk Managers d’outils hors contrôle. L’exemple du Retour d’Expérience.

La mise en place par certains Risk Managers d’outils hors contrôle tels que le retours d’expérience, les réunions, la responsabilité des opérationnels, l’appropriation des outils permettraient aux Risk Managers d’avoir l’appui des opérationnels et d’acquérir une légitimité cognitive (celle qui consiste à s’ancrer dans l’inconscient collectif pour être compris par les parties prenantes, devenir incontournable ; elle est le « graal » de la légitimité.

Nous évoquons ces outils dans nos travaux (Aubry et Montalan, 2007) et dans l’ouvrage La Fonction Risk Manager. Organisation, méthodes et positionnement (2019, p.96).

Je vous propose de découvrir le Retour d’Expérience à travers l’article ci-dessous écrit par mon co-auteur Nicolas Dufour.

La construction d’une mémoire du risque en entreprise est un long apprentissage s’inscrivant dans la constitution (progressive) d’une culture du risque dans l’organisation. Au-delà d’une communication régulière, les actions suivantes peuvent être préconisées :

– dans le cadre des processus de cartographie des risques, réaliser une pré-identification des risques : reprendre les incidents marquants dans la revue des risques, en allant au-delà de l’exercice passé et s’assurer que ces risques restent sous contrôle ou que d’autres situations similaires ne seraient pas susceptibles d’arriver ;

– intégrer les « sachants » au processus de revue des risques, ayant la connaissance historique de l’organisation, même s’ils ont changé d’activité entre le moment de la survenance de certains incidents et celui de la revue des risques (le plus souvent annuelle) ;

– mieux exploiter les effets d’expérience issus des bases incidents, notamment les analyses de causes, même si celles-ci ne sont pas systématiquement documentées ;

– à la manière des méthodes formalisées en EHS (courbe de Bradley formalisant dans le temps la progression enregistrée en termes de réduction des accidents de travail en tenant compte de différentes étapes dans la constitution d’une culture du risque et de la responsabilisation des acteurs), construire des courbes d’apprentissage sur différents risques opérationnels : capacité à réduire les erreurs humaines, à détecter les fraudes…

Implication des collaborateurs dans la démarche de gestion des risques. L’exemple du Cyber risque.

L’identification du risque et la mise en place de plans d’actions sont des étapes « classiques » de la démarche de gestion des risques. Orienter la démarche vers les opérationnels, les prendre en compte et les sensibiliser au risque est moins fréquent. Cela favorise pourtant une culture d’apprentissage et une pro-activité indispensables à la mise en place d’une démarche globale de gestion des risques. Pour une description de la démarche de gestion des risques en cinq étapes, voir Aubry, 2013.

Yann Girard propose de faire des collaborateurs la première ligne de défense de l’entreprise contre la cybercriminalité en les sensibilisant et en les impliquant dans la mise en oeuvre de la démarche.

Cybercriminalité : les collaborateurs, première ligne de défense de l’entreprise

Publié le 16 octobre 2018

Yann Girard

Chief Information Security Officer / Retail BanksFrance

 

Le nombre d’entreprises victimes de fraudes cybercriminelles ne cesse d’augmenter, elles sont des cibles privilégiées quelle que soit leur taille. Ainsi près de 80 % des entreprises ont constaté au moins une cyber-attaque en 2017, 77 % sont des petites et moyennes entreprises. Les conséquences, nous le savons, peuvent s’avérer parfois désastreuses.

Si le vecteur d’attaque est d’origine technologique et parfois extrêmement sophistiqué, la participation involontaire des victimes est la plupart du temps nécessaire au succès des opérations frauduleuses. Les cybercriminels s’appuient sur notre méconnaissance des outils, nos biais cognitifs et notre manque de vigilance pour arriver à leurs fins.

 Avant d’être technologique, la réponse à ce problème passe donc avant tout par la sensibilisation de chacun des collaborateurs de l’entreprise.

 Les 4 scénarios d’attaques suivants, fréquemment observés par les équipes de spécialistes antifraude Société Générale, peuvent ainsi être facilement évités si nous développons les bons réflexes :

–       La fraude au président : demande urgente et confidentielle d’un prétendu responsable hiérarchique ou d’une autorité pour effectuer un virement inhabituel en dérogeant exceptionnellement aux procédures internes. Dans un tel cas, une vérification auprès de sa hiérarchie s’impose.

–       Le fournisseur transmettant de nouvelles coordonnées bancaires pour régler sa prochaine facture. La demande est là aussi loin d’être neutre et nécessite un contre-appel à votre fournisseur pour vérifier s’il en est bien l’émetteur, et une vigilance sur la nouvelle domiciliation bancaire.

–       L’appel d’un faux support informatique, pour prendre le contrôle de votre PC à distance afin de réaliser des tests. Objectif : installer un logiciel qui permettra à l’attaquant de commettre des fraudes, voler vos données ou les détruire. Il est donc essentiel de s’assurer de l’identité de l’interlocuteur, et de la légitimité de l’opération.

–       Le troyen bancaire, reçu dans un mail de phishing souvent anxiogène ou promotionnel, qui vous incite à cliquer sur des liens ou des pièces jointes. Encore une fois, le risque est qu’un logiciel malveillant s’infiltre dans votre système d’information. Les mails sont le premier vecteur d’attaques, méfiance donc vis-à-vis des pièces jointes et des liens cliquables.

Ces scénarios d’attaques par ingénierie sociale sont très classiques mais fonctionnent encore malheureusement trop souvent : ils sont détectables et doivent éveiller notre vigilance. D’autant que les impacts peuvent être lourds, entre conséquences financières (jusqu’au redressement ou la liquidation judiciaire), et conséquences sociales et humaines (licenciements…).

D’où l’importance de sensibiliser les collaborateurs avant tout : ils doivent être conscients des menaces potentielles pour anticiper les scénarios d’attaques et protéger l’entreprise.

Identifiez ce qui est vital pour votre business, les collaborateurs les plus susceptibles d’être ciblés (trésoriers, équipes comptables…), et accompagnez- les en conséquence à travers des formations, des simulations, une charte de bonnes pratiques cybersécurité…

Société Générale organise par exemple chaque année ses Cybersecurity Hours, programme de conférences, ateliers pédagogiques et actions de sensibilisation à la Sécurité de l’Information. Elles ont lieu en octobre, pendant le mois européen de la Cybersécurité. Votre banque, dans son rôle de tiers de confiance, reste d’ailleurs un interlocuteur privilégié pour bénéficier de conseils et de recommandations sur ces sujets.

Nous ne pourrons jamais empêcher les fraudeurs d’essayer mais chacun d’entre nous peut leur compliquer la tâche voire déjouer leurs tentatives par des réflexes simples à acquérir et à entretenir. Déployer des solutions de sécurité en entreprise pour se protéger est nécessaire mais cela reste un investissement vain si les collaborateurs ne sont pas sensibilisés.

Notion de risque. Quand risque rime avec opportunité et innovation

Risque et danger sont souvent associés. La notion de risque est ancienne, ancrée dans la société et associée à une connotation de peur, de danger. Méric et al (2009) rappellent que les conséquences néfastes de l’occurrence du risque sont le postulat implicite du risque. Laperche (2003) établit un lien entre le risque, expression du danger et la nécessité de le récompenser ou de le réduire. Pourtant le risque doit également être vu comme une opportunité.  

Les risques logistiques poussent Saica à innover

Le 11/09/2018

Le leader de la fabrication de papier recyclé pour carton ondulé, qui vient de racheter le français Emin Leydier, développe des solutions innovantes pour faire face à l’allongement de la chaîne logistique. Et à la multiplication des risques.

La vie d’un colis n’a jamais été aussi risquée. Au cours de son transport, il peut effectuer une dizaine de chutes, de 30 cm à 2 mètres, à chacun de ses aiguillages dans les centres de tri. Autant dire plusieurs dizaines entre le magasin et le destinataire final. Et ce sans compter les risques d’écrasement, d’ouverture, voire de vol… Pour protéger ces envois, le groupe espagnol Saica développe des solutions innovantes. « L’e-commerce a rendu obsolètes les logiques d’emballage, de palettisation notamment, les clients ne connaissant pas le poids supporté par leur produit au cours du trajet, ni la position qu’il aura, ni l’impact des autres emballages dans le camion », explique Franck Reberat, responsable développement produit de l’entreprise.

Autre contrainte : les emballages destinés à l’e-commerce doivent, à défaut d’être inviolables, rendre difficile l’accès au produit et inclure des témoins d’ouverture. « Le consommateur est de plus en plus sensible à l’état de livraison de son colis », commente le responsable.

Table de vibration

Le groupe a travaillé avec l’université de Saragosse pour identifier les risques d’une chaîne logistique. Ce programme d’essais basé sur l’utilisation d’une table de vibration et d’outils de simulation de chutes, a débouché sur la création de Saica E-Wine. Une caisse spécialement conçue pour le transport du vin, l’un des produits les plus fragiles et pourtant les plus achetés sur Internet. Autre exemple : un emballage pour les fleurs, poussant le bouquet vers l’extérieur lors de l’ouverture. « L’objectif est dans ce cas de permettre au consommateur de ressentir l’émotion attendue avec ce type de produit », complète Franck Reberat. Le groupe propose via le site Internet du journal « L’Usine nouvelle », 80 références d’emballages destinées aux TPE et PME.

Saica est le leader de la fabrication de papier recyclé pour carton ondulé en Europe. Avec le  rachat du français Emin Leydier en mars, il a porté sa capacité de production à plus de 3 millions de tonnes. Aujourd’hui, le secteur de l’e-commerce représente entre 5 et 10 % de l’activité du groupe, notamment au Royaume-Uni, où il vend la moitié de la production d’une usine exclusivement à Amazon.

Guillaume Roussange