Vous, professionnels et étudiants, qui souhaitez découvrir ou approfondir vos connaissances sur le Risk Management et la Fonction Risk Manager. Vous, étudiants, qui commencez vos révisions pour les partiels et qui allez partir en stage : un ouvrage récent (juin 2022) disponible « RISK MANAGEMENT. ORGANISATION ET POSITIONNEMENT DE LA FONCTION RISK MANAGER. METHODES DE GESTION DES RISQUES. »
🏁 Il est disponible depuis le 9 juin 2022 / Sur le site de Gereso Editions, collection Management https://lnkd.in/e_6NhrdS
/ Sur les sites de la FNAC, AMAZON…
🎯 Il s’agit de :
✅ La 2ème édition de notre ouvrage 📖 « La Fonction Risk Manager. Organisation, Méthodes et Positionnement » / paru chez Gereso Editions / en 2019 / labellisé FNEGE dans la catégorie Manuel en 2020
✅ Avec un titre plus « large » / La Fonction Risk Manager / La démarche de Gestion des Risques
✅ Avec des ajouts :
👉 Une nouvelle période d’analyse / de 2019 à aujourd’hui
👉 L’intégration des nouveaux enjeux :
· la loi sur le devoir de vigilance
· le risque éthique et le risque de réputation
· le risque cyber, le risque de fraude et leur gestion
· le rôle du Risk Manager face à la crise sanitaire du Covid 19
👉 De nouveaux exemples
👓 Pour ceux qui découvrent notre ouvrage, vous y trouverez :
✅ Un panorama complet de votre fonction (activité, place dans l’organisation, compétences), de la démarche de gestion des risques et de ses outils
✅ Des préconisations pour faire évoluer la fonction
✅ Une double approche académique et de terrain, au niveau du contenu, de nos parcours professionnels, des personnalités qui nous ont fait l’honneur de rédiger la préface et la postface.
#risques #riskmanagement #gestiondesrisques #ERM #EnterpriseRiskManagement #analysedesrisques #riskmanager #gestionnairederisques #riskofficer #mastergestiondesrisques
Archives pour la catégorie E.R.M
LAFARGE : SANCTIONS LOURDES POUR AVOIR AIDE DES GROUPES TERRORISTES. RISQUE ETHIQUE DANS SA DIMENSION GOUVERNANCE. AMPLIFICATION DU RISQUE. SANCTIONS. ERM ET CREATION DE VALEUR. CQFD…
Pour tous ceux qui pensent encore que la démarche de gestion des risques n’est pas créatrice de valeur, un retour sur « l’affaire » Lafarge.
Voici plusieurs années que je me réfère à « l’affaire » Lafarge sur mon blog et auprès des étudiants de Master pour :
- illustrer dans la catégorie Risque Nouveau, le risque éthique dans sa dimension gouvernance / et revenir en même temps sur l’identification en trois temps d’un risque (étape 2 de la démarche de gestion des risques)
- présentation du risque
- causes de celui-ci (probabilité
- conséquences de celui-ci (impact)
- illustrer le rôle d’amplificateur de risque du régulateur-législateur et par les médias.
Octobre 2022, la sanction est tombée.
O.Roubin écrivait le 21 octobre : « La sanction du Department of Justice (DOJ) contre Lafarge pour ses activités et des flux financiers en Syrie avec des groupes terroristes est tombée : 91M$ d’amende et 687M$ saisis. Sans compter la poursuite de la procédure en France. Lafarge a souligné que le DOJ a reconnu que le groupe avait mis en place des procédures de contrôle appropriées pour désormais détecter, et éviter, toute conduite de cette nature et avait en conséquence estimé qu’il n’était « pas nécessaire » de nommer un contrôleur indépendant.
Des grands groupes persistent à penser que la compliance coûte trop cher et qu’il n’est pas opportun d’investir en l’absence de sanction… Voici une nouvelle confirmation que la non-compliance peut coûter encore plus cher, jusqu’à la disparition possible d’une organisation suites aux sanctions et aux poursuites. »
Pour découvrir ou revenir sur la genèse de cette affaire.
Relire sur le blog deux articles très intéressants de septembre 2021 qui illustrent le risque éthique dans sa dimension gouvernance à travers la mise en examen du groupe Lafarge pour « mise en danger de la vie d’autrui » dans le cadre de ses activités en Syrie entre 2011 et 2014, et plus particulièrement des accords financiers passés avec des groupes armés ;
Lire une synthèse très pédagogique présentée en exposé par un groupe d’étudiants du M1 MER / MRSE de l’Université Paul Sabatier – Toulouse 3 ; ci-dessous le PP intitulé « Lafarge dans le bourbier syrien » réalisé à partir d’une revue de presse dont les éléments sont cités en source. Merci à eux d’avoir accepté que je le partage sur le blog.
MON ACTUALITE. UNE JOURNEE DE FORMATION A DES ELUS. RISQUES – GESTION DES RISQUES – GESTION DE CRISES. CONGRES DES MAIRES.
🏆 Très fière d’avoir partagé avec des élus des collectivités territoriales mes connaissances dans les domaines des RISQUES – GESTION des RISQUES – GESTION DE CRISES.
🗼 Comment ? Une formation d’une journée intitulée « La gestion des risques : prévenir pour agir » / Deux objectifs : catégoriser et caractériser les risques ; donner la démarche de gestion des risques à suivre (étapes, outils)
🗼 Où ? Paris
🗼 Quand ? Le 23 novembre 2022 ; dans le cadre du Congrès des Maires
🗼 Pour qui ? Des élus locaux de la Martinique
🏅 Des élus intéressés, concernés par les risques et leur gestion car :
- confrontés aux risques dans leur quotidien ;
- placés en première ligne par le régulateur-législateur.
🏅 Des élus qui doivent les gérer c’est-à-dire les lever quand c’est possible, les transférer (aux assurances), les atténuer ou les accepter sous leur forme résiduelle
Des élus d’un territoire confronté à une « palette de risques à nulle autre pareille » pour reprendre la terminologie d’un des élus, tous stratégiques : la Montagne Pelée, la montée des eaux, les cyclones de plus en plus fréquents, le chlordécone, la présence en son cœur d’une usine SEVESO… Auxquels s’ajoutent des risques transverses « plus classiques » comme les cyberattaques contre les municipalités par exemple.
Un grand merci CIFELM pour cette opportunité. Un grand merci aux élus pour leur intérêt et la qualité des échanges.
🎯 Il est essentiel que les collectivités territoriales se forment aux risques et à leur gestion.
#risques#risque#analysedesrisques#riskanalysis#identificationdesrisques#gestiondesrisques#riskmanagement#enterpriseriskmanagement#amplificationrisque#regulateurlegislateur#riskmanager#riskofficer#gestionnairederisques#CIFELM#collectiviteterritoriale#elus#martinique#LGCO #LGTO
DEUX COMPLEMENTS / PLANS D’ACTION POUR GERER LE CYBERRISQUE
Liens vers deux post de LI du 6 décembre 2012
Suivre les MOOC de la CNIL et de l’ANSII
https://www.linkedin.com/posts/caroline-aubry-_compliance-activity-7005836271872798720-WR0L?utm_source=share&utm_medium=member_desktop
En plus des vidéos détournées des Fables de La Fontaine et de celles de la campagne de sensibilisation de SPIE : une plateforme ludique pour sensibiliser les collaborateurs
GERER LE CYBER-RISQUE. SENSIBILISER SES COLLABORATEURS. SE POSER LES BONNES QUESTIONS. ACTUALITE – Assurances des Cyber-rançons –
Les objectifs de la démarche de gestion des risques sont de :
- transférer le risque ;
- atténuer le risque ;
- lever le risque ;
- accepter le risque sous sa forme résiduelle (part qui n’a pu être traitée après les contrôles et plans d’actions).
Détails de la démarche de gestion des risques de type ERM dans l’ouvrage d’Aubry et Dufour : « Risk Management. Organisation et positionnement de la Fonction Risk Manager. Méthodes de gestion des risques ; 👉 https://librairie.gereso.com/livre-entreprise/riskmanagement-fris2.html
Comment gérer le cyber-risque ?
- l’assurance pour le transférer
- les plans d’actions recommandés par l’ANSII pour le prévenir / atténuer sa probabilité d’occurrence et/ou son impact sur l’organisation
Les liens vers les précédents posts du blog / plans d’actions contre le cyber-risque. A LIRE
🚴 Comment agir ?
👉 Indispensable, a minima complémentaire à l’assurance, mieux que l’assurance, https://gestiondesrisques.net/2022/05/05/ca-bouge-du-cote-du-cyber-risque-3-un-projet-de-loi-permettant-a-lassureur-de-rembourser-les-cyber-rancons/ mettre en place des plans d’actions pour gérer le cyber risque
👉 L’Agence Nationale de Sécurité des Systèmes d’Information (ANSII) propose des plans d’action et cinq mesures préventives pour gérer le cyber-risque.
Plans d’action / fraude au président
https://gestiondesrisques.net/2021/12/09/le-risque-variable-strategique-de-la-reflexion-des-entreprises-3-un-nouveau-risque-la-fraude-au-president-suite-un-exemple-de-plan-dactions/
Plans d’action / cyber-risques liés au télétravail
https://gestiondesrisques.net/2021/10/06/teletravail-risques-et-plans-dactions-ou-quels-plans-dactions-pour-gerer-les-risques-lies-au-teletravail-et-selon-quelle-approche-2/
https://gestiondesrisques.net/2021/09/29/quels-plans-dactions-pour-gerer-les-risques-lies-au-teletravail/
Nécessaire implication des salariés / gestion du cyber-risque
https://gestiondesrisques.net/2018/10/19/implication-des-collaborateurs-dans-la-demarche-de-gestion-des-risques-lexemple-du-cyber-risque/
Plans d’actions préconisés par l’ANSII
https://wordpress.com/post/gestiondesrisques.net/1496
Le post de la quinzaine est consacré aux plans d’actions pour prévenir le cyber-risque.
L’identification du risque et la mise en place de plans d’actions sont des étapes « classiques » de la démarche de gestion des risques. Orienter la démarche vers les opérationnels, les prendre en compte et les sensibiliser au risque est moins fréquent. Cela favorise pourtant une culture d’apprentissage et une pro-activité indispensables à la mise en place d’une démarche globale de gestion des risques.
- un article sur l’importance de la sensibilisation, la faille étant souvent humaine
- s vidéos de sensibilisation de l’ANSII destinées aux collaborateurs
- la campagne de sensibilisation de SPIE à la cyber-sécurité
Se poser les bonnes questions.
- le guide de l’ANSII destiné aux TPE-PME sous la forme de treize questions à se poser. Au moment où le gouvernement débloque sur ce sujet 30 millions d’euros pour les PME-ETI
- S’y ajoute une veille sur l’actualité / assurance des cyber-rançons : épilogue de l’assurance des cyber-rançons avec la présentation par Paul Berger de Gallardo, Avocat, des grandes lignes du nouvel article du Code des assurances adapté par l’Assemblée.
Cyberattaques : la faille est souvent interne et humaine
Les anciens employés représenteraient 12 % des incidents de sécurité, après eux, les plus dangereux étant les fournisseurs et autres partenaires.
Les anciens employés et les prestataires constituent une menace sévère mais souvent mal appréciée par l’entreprise.
Les entreprises sont une cible historique des cyberattaques. Mais le premier risque […] trouve son origine au sein même de votre entreprise. L’humain commet en effet des erreurs ou des négligences qui sont une source de grands dangers pour toutes les organisations.
Au sein des entreprises, il est récurrent que la faille de sécurité soit d’origine humaine. En effet, selon une étude réalisée en 2018 par le cabinet Deloitte auprès de ses clients, « 63 % des incidents de sécurité proviennent d’un employé actif au sein des effectifs ». Ces employés ne trahissent pas forcément volontairement leur entreprise, une grande partie d’entre eux commettent des erreurs par inadvertance, erreurs qui ont des conséquences potentiellement dommageables pour leur organisation.
Selon cette même étude, les anciens employés représenteraient 12 % des incidents de sécurité, après eux, les plus dangereux étant les fournisseurs et autres partenaires qui représentent 15 % de ces risques.
Invalider les droits d’anciens employés
Souvent, lorsqu’un employé, voire un stagiaire, quitte une entreprise ou une administration, les droits qui lui avaient été accordés ne sont pas clos et ses identifiant et mot de passe restent valides et donc utilisables. Cela crée une brèche dans la sécurité de l’entreprise et au bout de quelques années, cela peut concerner un nombre d’anciens employés important et donc une faille sécuritaire considérable. Le risque est d’autant plus grand pour les employés quittant l’entreprise en mauvais termes qui sont susceptibles de vouloir nuire à leurs anciens employeurs.
Gare aux prestataires
Les personnels extérieurs à nos organisations avec lesquels nous interagissons représentent également un risque. Certains se servent de cette position pour vous nuire, d’autres peuvent profiter de leur présence dans votre organisation pour vous espionner. Il est également possible que des personnels compromettent des données que vous leur avez confiées en ne les sécurisant pas suffisamment. Cette lacune dans la sécurité peut être volontaire ou non. Ces risques doivent rester présents à votre esprit, car il faudrait être devin pour prédire comment des relations humaines peuvent évoluer, sans oublier les troubles ou fragilités psychiques dont peuvent souffrir ceux avec qui vous avez partagé tout ou partie des données numériques de votre organisation.
Prenons un exemple concret. De nombreux organismes sous-traitent le ménage de leurs locaux à une entreprise spécialisée, et l’on ne remarque plus les passages des personnes chargées de cette tâche, car on est habitué à leur présence quotidienne. Cette invisibilité les rend potentiellement dangereux : par opportunisme ou en étant téléguidés par des personnes malveillantes, ils vont pouvoir récupérer des documents, regarder ce qui est affiché sur les écrans des ordinateurs, photographier des mots de passe négligemment inscrits sur des Post-it® par des employés tête en l’air, capter des informations ou des adresses de personnes qui pourront ensuite être ciblées par des campagnes de phishing ou de chantage par exemple.
Faire de la pédagogie
C’est pour cela qu’il est important que tous les collaborateurs soient sensibilisés au risque cyber et aux bonnes pratiques à mettre en oeuvre. Comme pour les gestes barrières en période de pandémie, nous les connaissons, mais nous avons toujours de bonnes raisons de nous en affranchir ou de les oublier. Là aussi, il ne faut pas hésiter à faire de la pédagogie pour que ces gestes soient bien ancrés dans les esprits de chacun et deviennent des automatismes. Il ne faut pas laisser son écran déverrouillé lorsqu’on n’est pas dans son bureau ou laisser en évidence son mot de passe écrit traîner sur son bureau, ne pas ouvrir les pièces jointes d’e-mails suspects même si les e-mails infectés sont parfois difficiles à détecter.
Lucie et Thierry Brenet. Les Echos. 22 novembre
Les vidéos de sensibilisation de l’ANSII à destination des collaborateurs
Ce post est l’occasion de revenir la dernière campagne de communication de Cybermalveillance.gouv.fr, en collaboration avec l’agence The Pill, qui a retravaillé avec humour et créativité 4 des plus célèbres fables du poète français.
Avec pour objectif de sensibiliser les collectivités, la campagne adapte les iconiques animaux à notre époque pour mettre en lumière les préjugés habituels des acteurs qui ne prêtent que peu d’attention à la cybersécurité : “Je n’ai pas le temps”, “Je n’ai pas le budget”, “Je n’y connais rien, je ne suis pas concerné” et enfin “Ce n’est pas ma priorité”.
Autant de problématiques abordées avec créativité, et toujours en vers, dans 4 petits films animés parmi lesquels on retrouve : Le Corbeau et le Renard, Le Lièvre et la Tortue, La Cigale et la Fourmi et enfin Le Loup et l’Agneau.
Une campagne à découvrir ci-dessous sur Youtube et qui, même si elle s’adresse aux collectivités, ne manquera pas de faire écho aux problématiques des professionnels et même du grand public.
Le Loup et l’Agneau
Problématique : “Ce n’est pas ma priorité”
Le Corbeau et le Renard
Problématique : “Je n’y connais rien, je ne suis pas concerné”
Le Lièvre et la Tortue
Problématique : “Je n’ai pas le temps”
La Cigale et la Fourmi
Problématique : “Je n’ai pas le budget”
La campagne de sensibilisation de SPIE
12 vidéos très courtes mais percutantes
Un exemple, la clé USB : https://lnkd.in/ghDpwp84
La liste complète ici : https://lnkd.in/gv96aSCn
La cybersécurité pour les TPE / PME en 13 questions
Avec la digitalisation des entreprises, le nombre d’attaques informatiques augmente et il faut savoir prévenir les risques potentiels.
Il est bon de mettre en application quelques bonnes pratiques simples ou plus élaborées qui permettent de se protéger d’un certain nombre de cybermenaces.
Découvrez la mise à jour du guide de l’#ANSSI réalisé avec la Direction Générale des Entreprises et le soutien de Cybermalveillance.gouv.fr, France Num et la CPME nationale.
Une veille sur l’actualité / assurance des cyber-rançons : épilogue
✅ Cyberattaques : le nouveau chapitre du Code des assurances adopté à l’Assemblée nationale
🚨 15 novembre 2022 à 22h : vote sur l’article 4 de la #LOPMI sur l’assurance des cyber-attaques, 127 voix POUR 89 voix CONTRE
⚠️ Quelques clarifications importantes par rapport au texte de la Commission des lois, grâce aux amendements notamment du député Philippe Latombe :
🔹 L’exigence du dépôt de plainte porte désormais sur tout contrat d’assurance visant à indemniser un assuré « des pertes et dommages » (et non plus de « tout dommage ») causés par une cyber-attaque, selon une distinction classique en droit des assurances.
🔹 Le délai de la victime pour déposer plainte passe de 48h à 72h / commence à courir à compter de la « connaissance de l’atteinte par la victime » et non plus à compter de la « constatation de l’infraction ».
🔹 Cet article s’applique uniquement aux personnes morales et aux personnes physiques dans le cadre de leur activité professionnelle, et donc pas aux consommateurs.
🔜 Le texte déjà voté en première lecture au Sénat et désormais à l’Assemblée nationale devrait faire l’objet d’une Commission mixte paritaire entre députés et sénateurs selon la procédure accélérée engagée par le Gouvernement.
#risques #risque #analysedesrisques #riskanalysis #identificationdesrisques #gestiondesrisques #riskmanagement #enterpriseriskmanagement #cybersecurité #cyber #assurance #cyberrisque #risquecyber #assurancecyber #PME
#riskmanager #riskofficer #gestionnairederisques
#ANSII #LGTO #LGCO
GERER LE CYBER-RISQUE
Les objectifs de la démarche de gestion des risques sont de :
- transférer le risque ;
- atténuer le risque ;
- lever le risque ;
- accepter le risque sous sa forme résiduelle (part qui n’a pu être traitée après les contrôles et plans d’actions).
Détails de la démarche de gestion des risques de type ERM dans l’ouvrage d’Aubry et Dufour : « Risk Management. Organisation et positionnement de la Fonction Risk Manager. Méthodes de gestion des risques ; 👉 https://librairie.gereso.com/livre-entreprise/riskmanagement-fris2.html
Comment gérer le cyber-risque ?
- l’assurance pour le transférer
- les plans d’actions recommandés par l’ANSII pour le prévenir / atténuer sa probabilité d’occurrence et/ou son impact sur l’organisation
Le post de la quinzaine est consacré à l’assurance pour le transférer avec trois ressources :
- une veille sur l’actualité / assurance des cyber-rançons : épisode trois par Paul Berger de Gallardo, Avocat.
- une vidéo à écouter sur B Smart / marché de l’assurance : quid du gap entre la couverture assurances et le coût de l’attaque ? Connaître la capacité de l’assurance cyber à indemniser les sinistres est essentielle ;
- une analyse et un article sur la création par de grandes entreprises de leur propre société d’assurances.
BONUS Les liens vers les précédents posts du blog / plans d’actions contre le cyber-risque. A LIRE🚴 Comment agir ?
👉 Indispensable, a minima complémentaire à l’assurance, mieux que l’assurance, https://gestiondesrisques.net/2022/05/05/ca-bouge-du-cote-du-cyber-risque-3-un-projet-de-loi-permettant-a-lassureur-de-rembourser-les-cyber-rancons/ mettre en place des plans d’actions pour gérer le cyber risque
👉 L’Agence Nationale de Sécurité des Systèmes d’Information (ANSII) propose des plans d’action et cinq mesures préventives pour gérer le cyber-risque.
Plans d’action / fraude au président
Plans d’action / cyber-risques liés au télétravail
Nécessaire implication des salariés / gestion du cyber-risque
Plans d’actions préconisés par l’ANSII
Point 1 Une veille sur l’actualité / assurance des cyber-rançons : épisode trois
Garanties d’assurance cyber : un amendement majeur adopté en Commission des lois à l’Assemblée
🟢 Septembre 2022 : dépôt d’un projet de loi par le Gouvernement proposant d’encadrer le remboursement des cyber-rançons par les assurances, en rendant obligatoire le dépôt d’une « plainte » par la victime « au plus tard 48 h après le paiement de cette rançon ».
🟠 Octobre 2022 : adoption de l’article 4 au Sénat avec un amendement transformant la condition d’assurance en une « pré-plainte » devant être déposée « dans les 24h suivant l’attaque et avant tout paiement ».
🟠 Novembre 2022 : la Commission des lois de l’Assemblée nationale vote un amendement majeur de Anne Le Hénanff qui :
➡ élargit l’obligation de déposer plainte à toute « clause assurantielle visant à l’indemniser de tout dommage » causé par une cyber-attaque
➡ supprime toute référence à la garantie des rançons !
➡ revient au format d’une « plainte » de la victime dans les « 48h » mais désormais à compter de la « constatation de l’infraction »
🔵 Le projet de loi du Gouvernement, l’étude d’impact et l’avis du Conseil d’Etat ne portaient que sur la cyber-rançon et non sur les autres garanties d’assurance, mais :
🔹 le député et rapporteur sur le projet de loi Florent Boudié a organisé une table ronde sur la question des rançongiciels, avec des points de vue complémentaires et divergents (magistrat, gendarmerie, police, DG Trésor, France Assureurs, parlementaires … et même un avocat !)
🔹 le Ministre de l’intérieur a l’origine du projet de loi s’est dit expressément favorable à cet amendement en ouverture des travaux de la Commission des lois
⁉️ Quelques suppositions et interrogations sur cette nouvelle rédaction :
1️⃣ la condition du dépôt de plainte ne semble pas concerner les garanties d’assurance cyber n’impliquant pas une indemnisation versée à la victime (ex : garantie d’assistance)
2️⃣ la disparition du terme « rançon » n’interdit pour autant ni leur paiement ni leur assurabilité, avec un retour au statu quo antérieur au projet de loi
3️⃣ l’emploi du terme « tout dommage » pour qualifier l’objet des garanties concernées est-il opportun au sein du Code des assurances qui vise habituellement « les pertes et dommages » selon deux notions qui pourraient être autonomes ?
4️⃣ la « constatation de l’infraction » comme point de départ du délai pour déposer plainte est-elle juridiquement appropriée ou faudrait-il plutôt viser la « connaissance de l’atteinte » ?
🔜 Lecture en séance à l’Assemblée et nouveaux amendements à venir !
Point 2 Une vidéo à écouter / marché de l’assurance : quid du gap entre la couverture assurances et le coût de l’attaque ? Connaître la capacité de l’assurance cyber à indemniser les sinistres est essentielle
Dans une économie si numérique, où le risque cyber est un enjeu de souveraineté nationale, l’assurance cyber avec son triptyque de services (remédiation, conseil juridique et communication) et sa capacité à indemniser les sinistres est essentielle.
Parce que le marché est complexe, en connaître la réalité quantitative est indispensable.
Philippe Cotelle, administrateur de l’AMRAE et président de sa commission cyber a ainsi présenté l’édition 2022 de LUCY Lumière sur la cyber-assurance à Delphine Sabattier de B SMART.
A son côté Martin Landais, sous-directeur assurances de Direction générale du Trésor (French Treasury) venu également expliquer l’intérêt pour la France des captives pour l’assurance cyber et pré annoncer le rapport des pouvoirs publics pour faire de l’assurance du risque cyber un levier au service de la résilience de nos entreprises.
Ecoutez la vidéo https://www.bsmart.fr/video/7396-smart-tech-partie-01-juillet-2021
Point 3 Une analyse et un article sur la création par de grandes entreprises de leur propre société d’assurances.
L’assurance cyber : en passe de devenir has been ?
Afin de pallier les défaillances d’un marché en crise, Michelin, Veolia, Airbus, Solvay et d’autres entreprises européennes se sont associés pour créer une mutuelle par capitalisation. Leur objectif ? Être plus résilient face aux crises cyber.
Miris Insurance, c’est leur nom, précise que l’objectif est non seulement « d’apporter des solutions là où les assureurs sont absents » mais aussi de « partager les meilleures pratiques en matière de gestion de risques » cybers.
Mais quid des PME ? Si les moyens des grandes entreprises leur permettent de s’extirper d’un marché défaillant, les PME, quant à elles, restent sur le carreau. Sûrement les plus vulnérables, les PME devront se contenter de l’assurance cyber classique toujours plus onéreuse. En effet, la frilosité des assureurs face au risque cyber est palpable.
Alors non, l’assurance cyber n’est pas en passe de devenir has been. En tout cas, pas pour tout le monde. Certains n’auront tout simplement pas le choix. Reste à découvrir si le retrait du marché d’un nombre suffisant de grandes entreprises permettra aux assureurs de développer une offre sur-mesure pour les PME.
Emmanuelle Hervé
Risque cyber : Airbus, Michelin et BASF créent leur propre société d’assurance
Avec Veolia, Adeo, Sonepar et Solvay, les industriels ont créé une mutuelle en Belgique pour se couvrir contre les risques numériques. Tous ont déjà de l’expérience dans l’auto-assurance, qui peine à décoller en France. La réforme des captives d’assurance pourrait ressurgir lors du débat sur le projet de loi de finances.
Les demandes d’assistance pour des attaques informatiques par rançongiciel ont bondi de plus de 85 % en 2021 en France.
Face aux failles du marché de l’assurance cyber, de grands groupes européens ont mis sur pied une mutuelle dédiée à la couverture des attaques et autres risques numériques. Le géant de l’aéronautique européen Airbus, le spécialiste de l’environnement Veolia, l’équipementier automobile Michelin, Adeo (la maison mère de Leroy Merlin) et Sonepar (le distributeur de matériel électrique), se sont alliés à l’allemand BASF et au belge Solvay au sein d’une structure baptisée Miris Insurance.
« Aujourd’hui, le marché de l’assurance cyber est volatil et court-termiste, les assureurs ne souhaitant pas s’engager sur leurs capacités futures. C’est un problème car le risque cyber devient structurel et de long terme, les entreprises étant toutes engagées dans la digitalisation de leurs activités », explique Philippe Cotelle, directeur de l’assurance cyber et du management des risques assurantiels chez Airbus.
Ne serait-ce que l’année dernière, le site du gouvernement dédié aux attaques cyber (cybermalveillance.gouv.fr) a reçu 1.851 demandes d’assistance pour des attaques informatiques par rançongiciel, contre 996 en 2020 soit une hausse de plus de 85 %. Et depuis la guerre en Ukraine, les autorités de plusieurs pays alertent sur un risque accru d’attaques cyber. De quoi renforcer l’urgence de s’assurer pour les industriels.
Compléter le marché
Miris n’a pas vocation à se substituer aux assureurs, mais à sécuriser la couverture de ses membres en compensant le manque de capacités sur le marché… ou les prix élevés . Le décalage entre la demande et l’offre s’explique notamment par le manque d’historique et de données sur les risques cyber, qui rend les assureurs frileux. Face à la hausse des prix, une dizaine de grandes entreprises avaient même renoncé à prendre une assurance cyber l’an dernier, selon une enquête de l’Association des managers de risques (Amrae).
Conscient des carences du marché, Bercy a publié au début du mois un rapport visant à améliorer l’écosystème tricolore de l’assurance cyber. Parmi les pistes évoquées : le développement de solutions d’auto-assurance, notamment à travers la création de sociétés captives ou encore des mécanismes de mutualisation du risque et de solidarité financière entre industriels de différents secteurs.
« Nous ne voulons pas remplacer les assureurs, mais collaborer en complétant leur offre disponible dans une démarche de co-assurance », confirme le représentant d’Airbus au sein de Miris. Et pour minimiser les dommages causés par une cyber-attaque systémique, « nos membres exercent dans des domaines d’activité et géographies diversifiés », ajoute-t-il.
Chacun s’est engagé à apporter 5 millions d’euros de capital, qui pourront générer 25 millions d’euros de couverture individuelle. Les groupes fondateurs ont déjà de l’expérience dans l’auto-assurance, tous ayant leur propre captive interne, agréée en France ou dans un autre pays.
Hospitalité belge
Pour Miris, le choix s’est porté sur la Belgique, avec l’espoir d’obtenir un agrément du régulateur d’ici à début 2023. « C’est le seul pays d’Europe à avoir déjà agréé des mutuelles d’assurance par capitalisation dédiées à un risque spécifique, en l’occurrence les mutuelles nucléaires internationales Emani et Elini [dont EDF, Framatome et Orano sont membres, NDLR], indique Philippe Cotelle. La réglementation locale permet aussi d’adapter la taille de Miris à nos besoins, à savoir la gestion d’un nombre limité de contrats pour commencer. »
La Belgique offre aussi « un terrain neutre entre les membres français et allemands », estime un observateur. Et un environnement plus accueillant que la France, où de tels « pools » ou captives peinent à se développer . Seule une dizaine sont domiciliées dans l’Hexagone contre, par exemple, des centaines au Luxembourg, qui offre un environnement fiscal et technique plus clément. Un déficit que la France promet de corriger depuis plusieurs années.
Après une première volte-face l’an dernier, le gouvernement n’a pas inscrit la réforme fiscale du statut des captives dans le projet de loi de finances (PLF) 2023. Mais il a obtenu le feu vert de la Commission européenne sur la question du respect des règles de concurrence, affirme une source proche des autorités. De quoi permettre au projet de revenir dans le débat parlementaire, via un amendement au PLF.
Dans le sillage de l’Eiopa, le superviseur européen de l’assurance, l’Autorité de contrôle prudentiel et de résolution appelle les assureurs à « examiner l’ensemble des garanties » implicites des risques cyber que peuvent contenir leurs contrats. Ils doivent « clarifier » et « rendre plus explicites les formulations des termes et conditions » de ces couvertures dites silencieuses. Le « manque apparent de préparation de certains organismes pourrait entraîner des pertes importantes et compromettre la stabilité financière globale du secteur », estime le régulateur.
Par Amélie Laurin. 30 sept. 2022.
#risques #risque #analysedesrisques #riskanalysis #identificationdesrisques #gestiondesrisques #riskmanagement #enterpriseriskmanagement #cybersecurité #cyber #assurance #cyberrisque #risquecyber #assurancecyber
#riskmanager #riskofficer #gestionnairederisques #BSMART#AMRAE#LGCO
Analyse des Risques : une façon d’analyser l’ampleur des risques ou comment parler de l’ampleur des risques (2). Le risque géopolitique
L’actualité témoigne d’une ampleur inédite des risques sous l’effet des cinq facteurs à l’œuvre depuis les années quatre-vingt-dix, qui fait aujourd’hui de sa gestion une variable stratégique de la réflexion des organisations.
🏁 Un ouvrage / « Risk Management. Organisation et Positionnement de la Fonction Risk Manager. Méthodes de Gestion des Risques. » / Paru le 9 juin 2022 / Editions Gereso. https://librairie.gereso.com/livre-entreprise/risk-management-fris2.html
Sites FNAC…
Il s’agit de :
✅ La 2ème édition de notre ouvrage « La Fonction Risk Manager. Organisation, Méthodes et Positionnement » (Editions Gereso, 2019)
✅ Avec un titre plus « large » / La Fonction Risk Manager / La démarche de Gestion des Risques
➕ Avec de nouveaux exemples :
✅ Comme, dans le chapitre I « Définition des notions et contextualisation de la Fonction Risk Manager, celui intitulé « Du Risque incendie au Risque éthique : l’incendie de l’usine Lubrizol »
✅ Pour illustrer
- l’imbrication des facteurs déjà mis en œuvre depuis les années quatre-vingt-dix
- la transversalité du risque.
🎯 Aujourd’hui, après « Risque Ethique et Risque de Réputation » paru sur le blog (https://gestiondesrisques.net/), je vous propose un autre exemple à travers une analyse du risque géopolitique
✅ Mêmes facteurs : élargissement du domaine de la gestion des risques / subjectivité et perception du risque / amplification du risque par les médias / le régulateur-législateur / réticence des assureurs à l’assurer
✅ Transversalité du risque : Géopolitique / Cyber-sécurité / Supply Chain
🏅Testez cette grille de lecture sur les risques du Top Ten des baromètres de risques – cyber-risque/risque sanitaire… – ; sur les affaires – Incendie de l’usine Lubrizol…-.
Le risque géopolitique au centre des préoccupations
↗ N° 13 dans le baromètre Allianz 2022 mais N° 4 dans le Top 10 des risques opérationnels / Enquête RiskIn, 2022. Sans surprise, il est en hausse de plusieurs places cette année.
Ci-dessous un aperçu de l’enquête :
« L’invasion de l’Ukraine, les sanctions occidentales et la réponse russe entraînent une forte augmentation des risques liés à la cybersécurité et à la chaîne d’approvisionnement.
Le directeur des risques d’un grand gestionnaire d’actifs européen résume succinctement l’impact de la guerre dévastatrice de la Russie en Ukraine sur le profil de risque opérationnel de son entreprise : « Nous avons la guerre en Europe. Pas seulement de petits moments : des choses qui font entièrement bouger notre entreprise. » Et bien que les votes de l’enquête annuelle Top 10 des risques opérationnels de Risk.net aient été exprimés à l’avènement – dans un climat de détérioration des relations et de rassemblement des troupes russes aux frontières de l’Ukraine – la guerre et ses conséquences ont jeté une ombre horrible sur les résultats de cette année.
Le risque global d’une augmentation des cyberattaques parrainées par l’État en réponse aux sanctions est « une probabilité », déclare un responsable du cyber-risque. Cependant, l’impact de l’instabilité mondiale a des ramifications potentielles beaucoup plus larges pour le profil de menace de sa banque, ajoute le dirigeant : « Je ne prendrais pas seulement ce cas pour mélanger les deux entièrement – le risque géopolitique a [un] élément cyber, mais aussi la chaîne d’approvisionnement ». Et des éléments de résilience aussi. »
La résilience est la capacité à maintenir des services ou des opérations critiques pendant les périodes de perturbation. Les attentes ont été formalisées par les principes de résilience des régulateurs britanniques – qui devraient entrer en vigueur fin mars 2022 – et ont été testées dans le monde réel sous la forme de la pandémie de Covid-19, ainsi que la menace très réelle de pannes frappant les réseaux de paiement. Et d’autres éléments clés de l’infrastructure mondiale à la suite de l’invasion de l’Ukraine.
Ouvrage, disponible aujourd’hui 9 juin 2022, « RISK MANAGEMENT. ORGANISATION ET POSITIONNEMENT DE LA FONCTION RISK MANAGER. METHODES DE GESTION DES RISQUES. »
Professionnels qui souhaitez découvrir ou approfondir vos connaissances sur le Risk Management et la Fonction Risk Manager : un ouvrage, disponible aujourd’hui 9 juin 2022, « RISK MANAGEMENT. ORGANISATION ET POSITIONNEMENT DE LA FONCTION RISK MANAGER. METHODES DE GESTION DES RISQUES. »
🏁 Il est disponible aujourd’hui, 9 juin 2022 / Sur le site de GERESO Editions, collection Management https://librairie.gereso.com/livre-entreprise/risk-management-fris2.html
/ Sur les sites de la FNAC, AMAZON…
🎯 Il s’agit de :
✅ La 2ème édition de notre ouvrage 📖 « La Fonction Risk Manager. Organisation, Méthodes et Positionnement » / paru chez Gereso Editions / en 2019 / labellisé FNEGE dans la catégorie Manuel en 2020
✅ Avec un titre plus « large » / La Fonction Risk Manager / La démarche de Gestion des Risques
✅ Avec des ajouts :
👉 Une nouvelle période d’analyse / de 2019 à aujourd’hui
👉 L’intégration des nouveaux enjeux :
- la loi sur le devoir de vigilance
- le risque éthique et le risque de réputation
- le risque cyber, le risque de fraude et leur gestion
- le rôle du Risk Manager face à la crise sanitaire du Covid 19
👉 De nouveaux exemples
👓 Pour ceux qui découvrent notre ouvrage, vous y trouverez :
✅ Un panorama complet de votre fonction (activité, place dans l’organisation, compétences), de la démarche de gestion des risques et de ses outils
✅ Des préconisations pour faire évoluer la fonction
✅ Une double approche académique et de terrain, au niveau du contenu, de nos parcours professionnels, des personnalités qui nous ont fait l’honneur de rédiger la préface et la postface.
#risques #riskmanagement #gestiondesrisques #ERM#EnterpriseRiskManagement#analysedesrisques #riskmanager #gestionnairederisques #riskofficer #mastergestiondesrisques
Une façon d’analyser l’ampleur des risques ou comment parler de l’ampleur des risques.
L’actualité témoigne d’une ampleur inédite des risques sous l’effet des cinq facteurs à l’œuvre depuis les années quatre-vingt-dix, qui fait aujourd’hui de sa gestion une variable stratégique de la réflexion des organisations.
🏁 Un ouvrage à venir / « Risk Management. Organisation et Positionnement de la Fonction Risk Manager. Méthodes de Gestion des Risques. » / Parution le 9 juin 2022 / Editions Gereso.
https://librairie.gereso.com/livre-entreprise/risk-management-fris2.html
Il s’agit de :
✅ La 2ème édition de notre ouvrage « La Fonction Risk Manager. Organisation, Méthodes et Positionnement » (Editions Gereso, 2019)
✅ Avec un titre plus « large » / La Fonction Risk Manager / La démarche de Gestion des Risques
➕ Avec de nouveaux exemples :
✅ Comme, dans le chapitre I « Définition des notions et contextualisation de la Fonction Risk Manager, celui intitulé « Le Risque de Réputation et le Risque Ethique : une « nouvelle » affaire Nike
✅ Pour illustrer
- l’imbrication des facteurs déjà mis en œuvre depuis les années quatre-vingt-dix
- la transversalité du risque.
🎯 Aujourd’hui, je vous propose un autre exemple à travers un article de Nathalie Belhoste sur ce qu’il est convenu d’appeler l’affaire Lafarge.
✅ Même intitulé : Risque de Réputation et Risque Ethique.
✅ Mêmes facteurs : élargissement du domaine de la gestion des risques / subjectivité et perception du risque / amplification du risque par les médias / le régulateur-législateur / réticence des assureurs à l’assurer / les « affaires » / amplification du risque par le régulateur-législateur.
✅ Transversalité du risque : Réputation / Ethique / Géopolitique.
🏅Testez cette grille de lecture sur les risques du Top Ten des baromètres de risques – cyber-risque/risque sanitaire… – ; sur les affaires – Incendie de l’usine Lubrizol…-.
Affaire Lafarge en Syrie, pour Nathalie Belhoste, il y a eu « une myopie organisationnelle »
Que nous apprend l’affaire Lafarge en Syrie sur la responsabilité des entreprises en temps de guerre ?
Nathalie Belhoste, professeure associée à l’école de management de Grenoble : « De mon point de vue, cette affaire révèle plusieurs failles dans la compréhension des éléments par les entreprises. Le cimentier a fait preuve d’une myopie organisationnelle dans le sens où il a voulu rester à tout prix pour sauver des investissements énormes (680 millions d’euros sur le site) et s’est retrouvé dans une situation de dépendance vis-à-vis d’acteurs illégitimes et illégaux. Ce phénomène a été renforcé par une gestion à distance entre l’usine et le siège social qui a pu nuire à l’appréciation du danger de la complexité locale. Par ailleurs, les signaux forts auraient dû être observés et ne l’ont pas été (comme le développement des sanctions et embargos au fil des années). »
De nombreuses entreprises s’en sont allées de Russie, comme Renault et McDonald’s tout récemment, que ce soit par solidarité avec l’Ukraine ou parce qu’elles étaient asphyxiées par les sanctions. Quel parallèle peut-on faire avec l’affaire Lafarge ?« Rappelons d’abord que les situations sont bien différentes : en Syrie, il s’agissait d’une guerre civile, tandis qu’en Ukraine, c’est un conflit entre deux États-nations. Toutefois, on voit que les entreprises ne réagissent plus avec la même temporalité. On se pose beaucoup plus tôt la question de savoir s’il faut rester dans un pays en guerre. Des affaires comme celles de Lafarge ont permis de se rendre compte du coût pénal à ne pas appliquer la loi. Et il ne faut pas oublier la mise en place de la loi Sapin II et l’instauration du devoir de vigilance en 2017 (qui imposent aux entreprises des procédures de vérification des tiers afin notamment de lutter contre la corruption, le trafic d’influence, l’atteinte aux droits humains, à l’environnement et à la santé des personnes). Cela oblige les entreprises à être plus conscientes des conséquences de leurs actions. »
Parfois, c’est la pression de la société civile qui a poussé les entreprises à partir de Russie…« Oui, tout à fait. Et c’est une différence fondamentale entre les deux situations : la mobilisation a été beaucoup plus rapide en 2022 pour l’Ukraine qu’elle ne l’a été en 2011 en Syrie. Bien sûr, la médiatisation et la lecture claire de la guerre en Syrie se sont faites plus graduellement, mais on voit aussi que la société civile a changé. Les ONG et la population sont bien plus sensibilisées et ont appelé très rapidement au boycott de plusieurs entreprises restées en Russie. Il est intéressant de voir qu’elles ne sont pas toutes logées à la même enseigne et que certaines, moins connues du grand public, sont restées sans subir les foudres de la vindicte populaire. »
Repères
Une possible mise en examen de Lafarge
La cour d’appel de Paris rendra mercredi sa décision sur la validité de la mise en examen du groupe pour « complicité de crimes contre l’humanité ». Lafarge SA est soupçonné d’avoir versé en 2013 et 2014, via une filiale, près de 13 millions d’euros à des groupes terroristes, dont l’organisation État islamique (EI), afin de maintenir l’activité d’une cimenterie en Syrie alors que le pays s’enfonçait dans la guerre. Le groupe a toujours contesté toute responsabilité dans la destination de ces versements à des organisations terroristes. Dans ses réquisitions, le parquet général a demandé le maintien de la mise en examen pour « complicité de crimes contre l’humanité » de Lafarge mais a requis l’annulation de sa mise en examen pour « mise en danger de la vie d’autrui ». Les avocats du cimentier n’ont pas souhaité faire de commentaire avant le délibéré de mercredi.
Nathalie Belhoste. 17/05/2022.
CA BOUGE DU COTE DU CYBER-RISQUE (4) COMMENT SE PREMUNIR CONTRE UNE CYBERATTAQUE.
🏅Le cyber risque, risque n°1 pour les entreprises.
❓ Un risque nouveau aux modalités multiples, un risque subjectif qui le rend difficile à appréhender et à gérer, un risque difficile (« illusoire ») à assurer, un risque amplifié par le régulateur-législateur
❓Evaluation du risque : une probabilité élevée (voir causes nombreuses) ; un impact fort (voir coût élevé)
🚴 Comment agir ?
👉 Indispensable, a minima complémentaire à l’assurance, mieux que l’assurance, mettre en place des plans d’actions pour gérer le cyber risque :
– Le prévenir
– L’atténuer
– L’accepter sous sa forme résiduelle
👉 L’Agence Nationale de Sécurité des Systèmes d’Information (ANSII) propose des plans d’action et cinq mesures préventives pour gérer le cyber-risque.
🏔 En savoir plus : à relire sur le blog
Plans d’action / fraude au président
https://gestiondesrisques.net/2021/12/09/le-risque-variable-strategique-de-la-reflexion-des-entreprises-3-un-nouveau-risque-la-fraude-au-president-suite-un-exemple-de-plan-dactions/
Plans d’action / cyber-risques liés au télétravail
https://gestiondesrisques.net/2021/10/06/teletravail-risques-et-plans-dactions-ou-quels-plans-dactions-pour-gerer-les-risques-lies-au-teletravail-et-selon-quelle-approche-2/
https://gestiondesrisques.net/2021/09/29/quels-plans-dactions-pour-gerer-les-risques-lies-au-teletravail/
Nécessaire implication des salariés / gestion du cyber-risque
https://gestiondesrisques.net/2018/10/19/implication-des-collaborateurs-dans-la-demarche-de-gestion-des-risques-lexemple-du-cyber-risque/
🏔 En savoir plus : à découvrir ci-dessous un article sur les plans d’actions préconisés par l’ANSII
Comment se prémunir d’une cyberattaque ?
Depuis quelques années, les cyberattaques se multiplient, en particulier en temps de crise, qu’elle soit sanitaire ou sécuritaire. L’occasion de faire le point sur les recommandations de l’Agence nationale de la sécurité des systèmes d’information (ANSSI) pour vous protéger en ligne.
Vous recevez un courriel estampillé Trésor public vous demandant de fournir vos coordonnées bancaires pour procéder à un remboursement ?
Un service de transport vous demande par sms de cliquer sur un lien pour régler les taxes douanières d’un colis ?
Vous recevez un courriel de la part de la gendarmerie nationale vous accusant d’un délit et vous demandant de répondre sous peine de poursuites ?
Soyez vigilant : les demandes adressées de manière autoritaire ou intimidante, par courriel ou par SMS, dissimulent parfois des tentatives d’arnaques.
Outre la bonne pratique qui consiste à séparer ses usages personnels et professionnels, voici les recommandations de l’ANSSI pour vous prémunir des attaques cyber.
1. Utilisez des mots de passe robustes
L’un des premiers réflexes consiste à définir des mots de passe robustes, à la fois difficiles à trouver par un système automatisé et à deviner pour une tierce personne.
Privilégiez des mots de passe longs, complexes et composés de différents types de caractères (des chiffres, des lettres majuscules, des lettres minuscules et des caractères spéciaux).
2. Préservez votre identité numérique
Préservez votre identité numérique en vous montrant vigilant en ligne et les réseaux sociaux : prenez soin de vos données personnelles et ne communiquez pas vos informations sensibles (numéro de téléphone, adresse ou numéro de carte bleue).
3. Protégez votre messagerie
Si vous recevez un message d’une personne que vous connaissez bien, mais que le contenu est étonnant (un titre en anglais ou dans une autre langue, une demande inhabituelle), faites preuve de prudence !
Vous devez garder en mémoire que l’identité de l’expéditeur peut être usurpée. Soyez attentif à tout indice mettant en doute l’origine réelle d’un courriel : incohérence de forme ou de fond entre le message reçu et ceux que votre interlocuteur légitime vous envoie habituellement.
Dans le même sens, ne répondez pas aux demandes suspectes d’expéditeurs inconnus.
Les demandes d’informations confidentielles sont rarement faites par courriel. Soyez donc attentifs à ces tentatives dites d’hameçonnage, aussi appelées phishing. Par exemple, le règlement de vos impôts passe uniquement par votre profil de contribuable sur le site impots.gouv.fr : le Trésor public ne vous demandera jamais vos coordonnées bancaires par courriel.
Vérifiez les liens qui figurent dans vos courriels avant de cliquer dessus. Si vous avez un doute, saisissez vous-même l’adresse du site dans la barre d’adresse du navigateur.
Assurez-vous également qu’en passant la souris au-dessus du lien proposé, l’adresse du site soit conforme à l’expéditeur annoncé. Souvent, le contenu des sites frauduleux comporte des fautes de français, mais de plus en plus, les tentatives d’hameçonnage emploient un français correct.
Enfin, soyez vigilant avant d’ouvrir les pièces jointes. Elles constituent le principal vecteur d’attaque et peuvent véhiculer des programmes malveillants.
4. Mettez à jour vos équipements
Votre ordinateur doit être équipé d’un antivirus efficace, ainsi que d’un système d’exploitation et de logiciels à jour pour se protéger des cyberattaques.
Les hackers ciblent les ordinateurs utilisant des logiciels qui ne sont pas à jour pour exploiter les vulnérabilités non corrigées.
5. Évitez la connexion aux réseaux non sécurisés
Évitez aussi les réseaux publics ou inconnus. Privilégiez la connexion de votre abonnement téléphonique (3G ou 4G) lorsque vous êtes en déplacement.
Les réseaux wi-fi publics sont souvent mal sécurisés, et peuvent être contrôlés ou usurpés par des pirates qui pourraient ainsi voir passer et capturer vos informations personnelles ou confidentielles (mots de passe, numéro de carte bancaire…).
Si vous n’avez d’autre choix que d’utiliser un wi-fi public, veillez à ne jamais y réaliser d’opérations sensibles et utilisez si possible un réseau privé virtuel (VPN).
6. Sauvegardez régulièrement vos données
Enfin, il faut penser à sauvegarder vos fichiers régulièrement sur un support externe à votre équipement (clé ou disque USB) que vous débranchez une fois la sauvegarde effectuée. En cas de piratage de votre ordinateur, vous risquez de perdre des données (photos, fichiers, contacts, messages…).
Si vous êtes victime d’une cyberattaque
Prévenez vos contacts, changez vos mots de passe, obtenez de l’assistance auprès de cybermalveillance.gouv.fr, déposez plainte.
ANSII. 16/03/2022
Cybersécurité : 5 mesures préventives préconisées par l’ANSSI pour protéger les entreprises
Face aux tensions liées au contexte international actuel, les entreprises doivent rester vigilantes et mettre en place une série d’actions de prévention.
L’ANSSI recommande aux entreprises de rester en alerte face aux cybermenaces.
Alors que la guerre entre la Russie et l’Ukraine gagne aussi le terrain du cyberespace, avec des cyberattaques qui se multiplient des deux côtés, Guillaume Poupard, directeur général de l’Agence nationale de la sécurité des systèmes d’information (ANSSI), recommande aux organisations françaises de redoubler de vigilance.
Les tensions internationales actuelles, notamment entre la Russie et l’Ukraine, peuvent parfois s’accompagner d’effets dans le cyberespace qui doivent être anticipés. Si aucune cybermenace visant les organisations françaises en lien avec les récents événements n’a pour l’instant été détectée, l’ANSSI suit néanmoins la situation de près. Dans ce contexte, la mise en œuvre des mesures de cybersécurité et le renforcement du niveau de vigilance sont essentielles pour garantir la protection au bon niveau des organisations, explique Guillaume Poupard dans un post LinkedIn.
Concrètement, le directeur général de l’ANSSI demande aux entreprises et aux administrations françaises de suivre avec attention les alertes ainsi que les avis de sécurité publiés et mis à jour régulièrement par le Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques (CERT-FR). Chaque organisation est également invitée à mettre en place « à court terme » une série de mesures pour « limiter la probabilité d’une cyberattaque ainsi que ses potentiels effets ». L’ANSSI rappelle également que, pour que ces actions soient réellement efficaces, elles doivent « s’inscrire dans une démarche de cybersécurité globale et de long terme ».
Les 5 mesures cyber préventives recommandées par l’ANSSI
Le message relayé par Guillaume Poupard s’accompagne d’un document réalisé par l’Agence nationale de la sécurité des systèmes d’information présentant les « mesures cyber préventives prioritaires » liées aux « tensions internationales actuelles ».
Dans ce diaporama d’une dizaine de pages, l’ANSSI détaille ses 5 recommandations à destination des entreprises, afin de renforcer leur niveau de sécurité informatique :
- Renforcer l’authentification sur les systèmes d’information : il s’agit ici de mettre en œuvre une authentification forte pour les comptes particulièrement exposés (administrateurs, personnel de direction, cadres dirigeants…), nécessitant 2 facteurs, soit « un mot de passe, un tracé de déverrouillage ou une signature», soit « un support matériel (carte à puce, jeton USB, carte magnétique, RFID) ou a minima un autre code reçu par un autre canal (SMS) ».
- Accroître la supervision de sécurité : un système de supervision des événements journalisés devra être mis en place pour « détecter une éventuelle compromission et de réagir le plus tôt possible ».
- Sauvegarder hors-ligne les données et les applications critiques : les sauvegardes effectuées doivent être réalisées en étant déconnectées du système d’information « pour prévenir leur chiffrement », et des solutions de stockage à froid (disques durs externes, bandes magnétiques) peuvent être utilisées afin de « protéger les sauvegardes d’une infection des systèmes et de conserver les données critiques à la reprise d’activité ».
- Établir une liste priorisée des services numériques critiques de l’entité : l’ANSSI conseille de réaliser un inventaire des services numériques d’une organisation en les listant par type de sensibilité, et d’identifier les dépendances vis-à-vis des prestataires externes.
- S’assurer de l’existence d’un dispositif de gestion de crise adapté à une cyberattaque : les entreprises doivent déterminer les contacts d’urgence et établir un plan de réponse adapté à la gestion des cyberattaques.
Alexandra Patard / 2 mars 2022.
Blog de Caroline Aubry 