Archives pour la catégorie E.R.M

activité du rm, E.R.M, GESTION DES RISQUES, identification des risques, place dans l'organisation, quantification-cartographies, RISK MANAGER-FONCTION RISK MANAGER, stratégie de définition des risques, suivi des risques-analyse des résultats

RISQUE CLIMATIQUE : OU EN ETES-VOUS ? 🙈 ? 🙉 ? Plus ? AU-DELA DE l’ASSURANCE, UN CHANGEMENT DE PARADIGME ET LA MISE EN ŒUVRE ORCHESTREE PAR UN RISK MANAGER CORPORATE D’UNE DEMARCHE DE GESTION DU RISQUE CLIMATIQUE (3)

Laisser un commentaire

Je vous ai proposé :

Je vous propose aujourd’hui :

👉 Un article et un excellent rapport à lire pour lui préférer ou a minima lui adjoindre un changement de paradigme et la mise en œuvre orchestrée par un Risk Manager corporate d’une démarche de gestion du risque climatique.

📌 Plus la rubrique lire et relire sur ce sujet :

Dans l’ouvrage  « RISK MANAGEMENT. ORGANISATION ET POSITIONNEMENT DE LA FONCTION RISK MANAGER. METHODES DE GESTION DES RISQUES. »,

CH I Définition des notions mobilisées et contextualisation de la Fonction Risk Manager, Amplificateur de risque 1 : le régulateur, législateur, p. 53-65.

https://librairie.gereso.com/livre-entreprise/risk-management-fris2.html

Sur le blog

Le risque climatique : impact sur les institutions financières et la gestion des risques

A la poursuite du risque climatique…RSE et maîtrise des risques

La nécessaire gestion du risque climatique et ses interactions avec la RSE

Le risque, variable stratégique de la réflexion des entreprises sous l’effet de cinq facteurs : illustration sur le risque climatique.

Risque climatique et assurances.

Le périmètre d’activité des Risk Managers ne cesse de s’élargir.

Réchauffement climatique, cyberattaques, tensions géopolitiques… Dans cette époque turbulente, comment préserver les piliers d’un modèle assurantiel qui joue aussi un rôle social structurant 

« Un monde à +4 degrés n’est pas assurable. » Cette déclaration d’Henri de Castries, à la veille de la COP21 dans une interview au Parisien, avait fait en 2015 grand bruit. Alors PDG d’Axa, le dirigeant pointait une menace sourde, le spectre de l’inassurabilité face aux risques systémiques – et en premier lieu, celui du dérèglement climatique. Huit ans plus tard, le 22 février 2023 au micro de France Info, le ministre de la Transition écologique et de la Cohésion des territoires Christophe Béchu appelait à « sortir du déni » et à « préparer notre pays à +4 degrés » [de réchauffement climatique]. Ambiance.

Ce simple fast forward résume à lui seul les enjeux et dilemmes de l’assurance moderne. À l’ère de la permacrise, comment préserver notre modèle assurantiel ? Face à la multiplication, l’accélération et l’interdépendance des risques, dans une société toujours plus numérisée, pourra-t-on protéger les principes de solidarité et de mutualisation ? Est-il possible d’anticiper et de réduire notre exposition à des évènements dont le dimensionnement et la récurrence ne cessent d’augmenter ?

Explosion du risque cyber

En avril 2022, le Conseil économique, social et environnemental s’est emparé de la question en publiant l’avis Climat, cyber, pandémie : le modèle assurantiel français au défi des risques systémiques. Dans cette note, l’instance fait le constat d’une société toujours plus vulnérable, au rythme de l’évolution de ses systèmes économiques et sociaux. En cause ? La mondialisation, le dérèglement climatique, et la digitalisation, dont les effets s’accroissent et s’interconnectent. Prenons l’exemple de la pandémie : outre ses conséquences sanitaires, le Covid-19 a lourdement grevé les entreprises, avec 180 milliards d’euros de pertes d’exploitation estimées sur la période.

Mais l’épisode a aussi accéléré la numérisation de nos organisations, qui se sont jetées à corps perdu (et de façon bien naturelle) dans les possibilités offertes par le digital pour contrer la mise à l’arrêt forcée de nos activités. Une mutation qui s’est accompagnée de l’explosion du risque cyber, qui n’était pourtant pas marginal avant la pandémie : en 2019, 90% des ETI et des PMI françaises avaient déjà été concernées par une attaque malveillante, selon le CESE. En 2020, les attaques par ransomware ont augmenté de 255%, d’après l’Anssi. Et en 2022, 45% des répondants du baromètre du Club des Experts de la Sécurité de l’Information et du Numérique (CESIN) signalent au moins une cyberattaque « réussie » (c’est-à-dire ayant entraîné des pertes financières et / ou réputationnelles significatives). Enfin, la géopolitique, qui a fait son retour en fanfare dans notre quotidien avec l’invasion de l’Ukraine par la Russie en février 2022, charrie avec elle sa somme de nouvelles menaces cyber, cherchant à déstabiliser le camp ennemi dans un monde toujours plus polarisé.

Et de fait, en 2023, les professionnels français de l’assurance placent encore le risque cyber en tête des menaces, en termes de probabilité d’occurrence et d’impact à moyen terme, suivi par le dérèglement climatique et l’environnement économique dégradé. Réalisée tous les ans par France Assureurs (nom d’usage de la Fédération française de l’assurance), la Cartographie prospective des risques recueille l’appréciation des risques par des dirigeants représentant 97% des placements du secteur. Un exercice équivalent, mais cette fois-ci à l’échelle du globe, peut se trouver du côté du Future Risk Report 2022, réalisé par Axa, Ipsos et Eurasia groupe. Pour celui-ci, la vulnérabilité cyber monte au troisième rang des préoccupations des experts, derrière les risques climatique et géopolitique.

La cybercriminalité, troisième économie mondiale

Si les risques cyber intègrent une « nouvelle normalité » dans le panorama des risques selon Axa, l’assureur français rappelle toutefois que nous n’avons pas encore eu à essuyer une cyber attaque à grande échelle, paralysant nos centres vitaux : santé, énergie, systèmes de paiement… 51% des experts interrogés par le Future Risk Report citent l’arrêt des infrastructures critiques et des services essentiels comme principal cyber risque. Une crainte partagée par Mario Greco, interviewé en décembre 2022 par le Financial Times. Le directeur général de Zurich Insurance considère que c’est le risque cyber qui pourrait bien, avant même les catastrophes naturelles et / ou les conséquences du réchauffement climatique, devenir inassurable : « Si quelqu’un prend le contrôle de parties vitales de nos infrastructures, quelles seront les conséquences ? Nous devons comprendre qu’il ne s’agit pas seulement de données, mais de civilisation. Ces gens peuvent vraiment disrupter nos vies. »

Et l’on ne peut s’empêcher de penser aux hôpitaux, actuellement touchés de plein fouet par une véritable série noire cyber. Des systèmes informatiques vieillissants, le manque de moyens financiers et humains, le manque d’acculturation digitale… alliés à l’accélération technologique des processus et pratiques font des établissements de santé des cibles de premier choix. Sans parler du caractère ultra-sensible – et donc ultra bankable – des données de santé : selon le cabinet Sopra Steria, sur la base de données IBM, un dossier médical peut s’échanger jusqu’à 350 dollars sur le dark web, 50 fois plus qu’un dossier bancaire ! Mais d’autres types d’infrastructures critiques sont dans le viseur des hackers : collectivités, ministères, institutions, équipements… En mai 2021, le plus grand oléoduc d’essence des Etats-Unis a ainsi été ciblé par un ransomware, obligeant son opérateur à interrompre ses activités. Selon le sénateur Rémi Cardon, auteur d’un rapport sur le risque cyber, si la cybercriminalité était une économie nationale, elle serait troisième au niveau mondial, derrière les Etats-Unis et la Chine, avec 6 000 milliards d’euros – un montant qui a doublé depuis 2015. Thierry Breton, le commissaire européen chargé du marché intérieur, vient d’ailleurs d’annoncer aux Echos la mise en place d’un cyber-bouclier européen, un projet à plus d’un milliard d’euros.

Renforcer les partenariats public privé

Sur le front du dérèglement climatique, l’inquiétude des professionnels ne décroît pas. Pour France Assureurs, elle s’installe même de façon structurelle chez les professionnels, au deuxième rang de leurs préoccupations. Un constat logique, après les extrêmes climatiques de 2022, qui ont porté la facture des catastrophes naturelles à plus de 10 milliards d’euros en France. A l’échelle du globe, c’est même la première fois que le risque climatique arrive en tête du classement Future Risks, pour toutes les régions du monde – en 2021, seule l’Europe lui accordait la première place.

Et tandis que la transition vers une économie bas-carbone s’accompagne de ses propres risques, notamment économiques, ce mouvement pourtant indispensable est rendu plus complexe encore, par les risques géopolitiques et énergétiques. Ces derniers sont montés en flèche dans le Future Risk Report, qui insiste sur la nécessité d’une approche holistique, mais aussi des partenariats public-privé (PPP) plus étroits selon les experts interrogés. Des PPP que la France pratique déjà avec le régime catastrophes naturelles ou la récente assurance récolte, et qu’elle pourrait encore approfondir, pour faire face au caractère systémique des risques. On parle notamment de la cybersécurité – encore une fois.

Verdir l’économie pour prévenir les risques climatiques

Mais outre son rôle majeur de prévention et de protection des risques, l’assurance est aussi un financeur incontournable de l’économie. A fin 2021, les assureurs français cumulaient plus de 2 700 milliards d’euros de placements, dont 62% dans des actifs d’entreprises et 111 milliards investis dans les PME / ETI, selon France Assureurs. Autant dire que le secteur est un levier incontournable pour la transition vers une économie résiliente et durable.

C’est à ce titre que le Conseil économique, social et environnemental engage le secteur à aller plus loin, avec « une politique de gestion d’actifs qui d’une part se désengage massivement des secteurs émetteurs de carbone, et plus généralement de tous les secteurs qui par leur activité, contribuent à la dégradation de l’environnement, et d’autre part priorise les investissements qui favorisent l’accélération de la transition énergétique et écologique à hauteur d’au minimum 10 % du montant de cette gestion. » Autre axe de prévention : le bâti, par exemple ne pas reconstruire à l’identique pour éviter de futurs sinistres, quand la situation l’exige.

Changement de paradigme et nouvelle culture du risque

Autant de préconisations parmi les 14 autres proposées dans l’avis du CESE. Car pour la troisième assemblée de la République, la pérennité d’un système assurantiel accessible et protecteur pour tous reposera sur trois piliers, recouvrant toute la chaîne du risque : la connaissance, la prévention et l’indemnisation. Mais entre autres mesures « techniques » destinés à renforcer la soutenabilité financière du système, c’est aussi à une forme de révolution culturelle que le CESE appelle : « un changement de paradigme » piloté par « l’Etat-stratège », via la création d’une autorité politique de plein pouvoir, chargée de la prévention et de la gestion des risques majeurs. Une nouvelle culture du risque à acquérir à l’échelle de la société en somme, avec une attention particulière portée à la cybersécurité ou au risk management, dans laquelle la filière aura un rôle majeur à jouer.

Autre enjeu, celui consistant à mieux partager le risque, en créant par exemple une offre socle cyber à destination des TPE / PME, ou en favorisant par exemple l’accès à un premier niveau d’assurances pour tous, pour éviter que certains choisissent de ne plus s’assurer, avec de réels risques économiques et sociaux. C’est ainsi le cas en Outre-mer, qui enregistre une faible couverture, alors même que le risque climatique s’accroît. Au moment où les tensions s’exacerbent et la vulnérabilité ressentie par la population s’accroît, la mission de l’assurance sera aussi celle-ci : faire vivre et perdurer dans une société en profonde mutation une certaine idée de la solidarité au service de l’avenir.

Carolina Tomaz. Rédactrice en chef du Livre des Tendances de L’ADN.

RISQUES ET OPPORTUNITES LIES AU CHANGEMENT CLIMATIQUE

A lire sur le site de l’AMRAE dans la Bibliothèque.

Ce que j’aime :

👍Un titre qui prend en compte la dimension positive du risque

👍Un travail de groupe

👍Un chapitre sur la méthodologie d’analyse des risques liés au changement climatique

👍Un chapitre sur la mise en application d’une démarche

👍Un paragraphe sur le rôle du Risk Manager. Rôle qui se rapproche des rôles que je décris dans mes ouvrages comme étant celui du Risk Manager « architecte » de la gestion des risques et dans mon dernier article de recherche comme étant celui de la Fonction Risk Manager (FRM) managériale ; tous les deux en chemin, dans la période de maturité de la fonction, vers une FRM pilote de la démarche Enterprise Risk Management.

👉 Pour aller plus loin que ce paragraphe un peu rapide :

Voir :

Dans l’ouvrage  « RISK MANAGEMENT. ORGANISATION ET POSITIONNEMENT DE LA FONCTION RISK MANAGER. METHODES DE GESTION DES RISQUES. », CH 2 L’activité des Risk Managers ; CH 5 La place des Risk Managers dans l’organisation.

https://librairie.gereso.com/livre-entreprise/risk-management-fris2.html

Dernier article de recherche sur les rôles de la FRM sur sa période d’émergence :

Aubry C., « La Fonction Risk Manager dans les entreprises françaises non financières : ses rôles sur la période de son émergence », Revue Management et Avenir, n°134, avril, p.61-82, 2023. https://www.cairn.info/revue-management-et-avenir-2023-2-page-61.htm

activité du rm, élargissement du domaine du risque, compétences, E.R.M, GESTION DES RISQUES, le métier: naissance et évolution, RISK MANAGER-FONCTION RISK MANAGER, RISQUES

PROFESSIONNELS, ETUDIANTS (EN REVISION, PRETS A PARTIR EN STAGE), UN OUVRAGE RECENT (JUIN 2022) : « RISK MANAGEMENT. ORGANISATION ET POSITIONNEMENT DE LA FONCTION RISK MANAGER. METHODES DE GESTION DES RISQUES. »

Laisser un commentaire

Vous, professionnels et étudiants, qui souhaitez découvrir ou approfondir vos connaissances sur le Risk Management et la Fonction Risk Manager. Vous, étudiants, qui commencez vos révisions pour les partiels et qui allez partir en stage : un ouvrage récent (juin 2022) disponible « RISK MANAGEMENT. ORGANISATION ET POSITIONNEMENT DE LA FONCTION RISK MANAGER. METHODES DE GESTION DES RISQUES. »

🏁 Il est disponible depuis le 9 juin 2022 / Sur le site de Gereso Editions, collection Management  https://lnkd.in/e_6NhrdS
/ Sur les sites de la FNAC, AMAZON…

🎯 Il s’agit de :
✅ La 2ème édition de notre ouvrage 📖 « La Fonction Risk Manager. Organisation, Méthodes et Positionnement » / paru chez Gereso Editions / en 2019 / labellisé FNEGE dans la catégorie Manuel en 2020
✅ Avec un titre plus « large » / La Fonction Risk Manager / La démarche de Gestion des Risques
✅ Avec des ajouts :
👉 Une nouvelle période d’analyse / de 2019 à aujourd’hui
👉 L’intégration des nouveaux enjeux :
·        la loi sur le devoir de vigilance
·        le risque éthique et le risque de réputation
·        le risque cyber, le risque de fraude et leur gestion
·        le rôle du Risk Manager face à la crise sanitaire du Covid 19
👉 De nouveaux exemples
 
👓 Pour ceux qui découvrent notre ouvrage, vous y trouverez : 
✅ Un panorama complet de votre fonction (activité, place dans l’organisation, compétences), de la démarche de gestion des risques et de ses outils
✅ Des préconisations pour faire évoluer la fonction
✅ Une double approche académique et de terrain, au niveau du contenu, de nos parcours professionnels, des personnalités qui nous ont fait l’honneur de rédiger la préface et la postface. 

#risques #riskmanagement #gestiondesrisques #ERM #EnterpriseRiskManagement #analysedesrisques #riskmanager #gestionnairederisques #riskofficer #mastergestiondesrisques

élargissement du domaine du risque, éthique-gouvernance, E.R.M, identification des risques, les "affaires", médias et amplification du risque, réglementation et amplification du risque, RISQUES

LAFARGE : SANCTIONS LOURDES POUR AVOIR AIDE DES GROUPES TERRORISTES. RISQUE ETHIQUE DANS SA DIMENSION GOUVERNANCE. AMPLIFICATION DU RISQUE. SANCTIONS. ERM ET CREATION DE VALEUR. CQFD…

Laisser un commentaire

Pour tous ceux qui pensent encore que la démarche de gestion des risques n’est pas créatrice de valeur, un retour sur « l’affaire » Lafarge.

Voici plusieurs années que je me réfère à « l’affaire » Lafarge sur mon blog et auprès des étudiants de Master pour :

  • illustrer dans la catégorie Risque Nouveau, le risque éthique dans sa dimension gouvernance / et revenir en même temps sur l’identification en trois temps d’un risque (étape 2 de la démarche de gestion des risques)
  • présentation du risque
  • causes de celui-ci (probabilité
  • conséquences de celui-ci (impact)

Octobre 2022, la sanction est tombée.

O.Roubin écrivait le 21 octobre : « La sanction du Department of Justice (DOJ) contre Lafarge pour ses activités et des flux financiers en Syrie avec des groupes terroristes est tombée : 91M$ d’amende et 687M$ saisis. Sans compter la poursuite de la procédure en France. Lafarge a souligné que le DOJ a reconnu que le groupe avait mis en place des procédures de contrôle appropriées pour désormais détecter, et éviter, toute conduite de cette nature et avait en conséquence estimé qu’il n’était « pas nécessaire » de nommer un contrôleur indépendant.
Des grands groupes persistent à penser que la compliance coûte trop cher et qu’il n’est pas opportun d’investir en l’absence de sanction… Voici une nouvelle confirmation que la non-compliance peut coûter encore plus cher, jusqu’à la disparition possible d’une organisation suites aux sanctions et aux poursuites. »

Pour découvrir ou revenir sur la genèse de cette affaire.

Relire sur le blog deux articles très intéressants de septembre 2021 qui illustrent le risque éthique dans sa dimension gouvernance à travers la mise en examen du groupe Lafarge pour « mise en danger de la vie d’autrui » dans le cadre de ses activités en Syrie entre 2011 et 2014, et plus particulièrement des accords financiers passés avec des groupes armés ;

Lire une synthèse très pédagogique présentée en exposé par un groupe d’étudiants du M1 MER / MRSE de l’Université Paul Sabatier – Toulouse 3 ; ci-dessous le PP intitulé « Lafarge dans le bourbier syrien » réalisé à partir d’une revue de presse dont les éléments sont cités en source. Merci à eux d’avoir accepté que je le partage sur le blog.

Actualités Recherche, élargissement du domaine du risque, communication de crise, E.R.M, GESTION DES RISQUES, identification des risques, quantification-cartographies, RISQUES, stratégie de définition des risques, suivi des risques-analyse des résultats

MON ACTUALITE. UNE JOURNEE DE FORMATION A DES ELUS. RISQUES – GESTION DES RISQUES – GESTION DE CRISES. CONGRES DES MAIRES.

Laisser un commentaire

🏆 Très fière d’avoir partagé avec des élus des collectivités territoriales mes connaissances dans les domaines des RISQUES – GESTION des RISQUES – GESTION DE CRISES.

🗼 Comment ? Une formation d’une journée intitulée « La gestion des risques : prévenir pour agir » / Deux objectifs : catégoriser et caractériser les risques ; donner la démarche de gestion des risques à suivre (étapes, outils)

🗼 Où ? Paris

🗼 Quand ? Le 23 novembre 2022 ; dans le cadre du Congrès des Maires

🗼 Pour qui ? Des élus locaux de la Martinique 

🏅 Des élus intéressés, concernés par les risques et leur gestion car :

  • confrontés aux risques dans leur quotidien ;
  • placés en première ligne par le régulateur-législateur.

🏅 Des élus qui doivent les gérer c’est-à-dire les lever quand c’est possible, les transférer (aux assurances), les atténuer ou les accepter sous leur forme résiduelle

Des élus d’un territoire confronté à une « palette de risques à nulle autre pareille » pour reprendre la terminologie d’un des élus, tous stratégiques : la Montagne Pelée, la montée des eaux, les cyclones de plus en plus fréquents, le chlordécone, la présence en son cœur d’une usine SEVESO… Auxquels s’ajoutent des risques transverses « plus classiques » comme les cyberattaques contre les municipalités par exemple.

Un grand merci CIFELM pour cette opportunité. Un grand merci aux élus pour leur intérêt et la qualité des échanges.

🎯 Il est essentiel que les collectivités territoriales se forment aux risques et à leur gestion.

#risques#risque#analysedesrisques#riskanalysis#identificationdesrisques#gestiondesrisques#riskmanagement#enterpriseriskmanagement#amplificationrisque#regulateurlegislateur#riskmanager#riskofficer#gestionnairederisques#CIFELM#collectiviteterritoriale#elus#martinique#LGCO #LGTO

approche socio-cognitive: rex, apprentissage, dispositifs de contrôle et plans d'actions, E.R.M, GESTION DES RISQUES

DEUX COMPLEMENTS / PLANS D’ACTION POUR GERER LE CYBERRISQUE

Laisser un commentaire

Liens vers deux post de LI du 6 décembre 2012

Suivre les MOOC de la CNIL et de l’ANSII
https://www.linkedin.com/posts/caroline-aubry-_compliance-activity-7005836271872798720-WR0L?utm_source=share&utm_medium=member_desktop

En plus des vidéos détournées des Fables de La Fontaine et de celles de la campagne de sensibilisation de SPIE : une plateforme ludique pour sensibiliser les collaborateurs

https://www.linkedin.com/posts/caroline-aubry-_kama%C3%A9-la-plateforme-qui-sensibilise-%C3%A0-la-activity-7005839871030267904-1Mg0?utm_source=share&utm_medium=member_desktop

approche socio-cognitive: rex, apprentissage, cyberisque-cybersécurité, E.R.M, GESTION DES RISQUES, RISQUES, suivi des risques-analyse des résultats

GERER LE CYBER-RISQUE. SENSIBILISER SES COLLABORATEURS. SE POSER LES BONNES QUESTIONS. ACTUALITE – Assurances des Cyber-rançons –

Laisser un commentaire

Les objectifs de la démarche de gestion des risques sont de :

  • transférer le risque ;
  • atténuer le risque ;
  • lever le risque ;
  • accepter le risque sous sa forme résiduelle (part qui n’a pu être traitée après les contrôles et plans d’actions).

Détails de la démarche de gestion des risques de type ERM dans l’ouvrage d’Aubry et Dufour : « Risk Management. Organisation et positionnement de la Fonction Risk Manager. Méthodes de gestion des risques ; 👉  https://librairie.gereso.com/livre-entreprise/riskmanagement-fris2.html

Comment gérer le cyber-risque ?

  • l’assurance pour le transférer
  • les plans d’actions recommandés par l’ANSII pour le prévenir / atténuer sa probabilité d’occurrence et/ou son impact sur l’organisation

Les liens vers les précédents posts du blog / plans d’actions contre le cyber-risque. A LIRE

🚴 Comment agir ?
👉 Indispensable, a minima complémentaire à l’assurance, mieux que l’assurance,  https://gestiondesrisques.net/2022/05/05/ca-bouge-du-cote-du-cyber-risque-3-un-projet-de-loi-permettant-a-lassureur-de-rembourser-les-cyber-rancons/ mettre en place des plans d’actions pour gérer le cyber risque 
👉 L’Agence Nationale de Sécurité des Systèmes d’Information (ANSII) propose des plans d’action et cinq mesures préventives pour gérer le cyber-risque.
Plans d’action / fraude au président
https://gestiondesrisques.net/2021/12/09/le-risque-variable-strategique-de-la-reflexion-des-entreprises-3-un-nouveau-risque-la-fraude-au-president-suite-un-exemple-de-plan-dactions/
Plans d’action / cyber-risques liés au télétravail
https://gestiondesrisques.net/2021/10/06/teletravail-risques-et-plans-dactions-ou-quels-plans-dactions-pour-gerer-les-risques-lies-au-teletravail-et-selon-quelle-approche-2/
https://gestiondesrisques.net/2021/09/29/quels-plans-dactions-pour-gerer-les-risques-lies-au-teletravail/
Nécessaire implication des salariés / gestion du cyber-risque
https://gestiondesrisques.net/2018/10/19/implication-des-collaborateurs-dans-la-demarche-de-gestion-des-risques-lexemple-du-cyber-risque/
Plans d’actions préconisés par l’ANSII

https://wordpress.com/post/gestiondesrisques.net/1496

Le post de la quinzaine est consacré aux plans d’actions pour prévenir le cyber-risque.

L’identification du risque et la mise en place de plans d’actions sont des étapes « classiques » de la démarche de gestion des risques. Orienter la démarche vers les opérationnels, les prendre en compte et les sensibiliser au risque est moins fréquent. Cela favorise pourtant une culture d’apprentissage et une pro-activité indispensables à la mise en place d’une démarche globale de gestion des risques.

  • un article sur l’importance de la sensibilisation, la faille étant souvent humaine
  • s vidéos de sensibilisation de l’ANSII destinées aux collaborateurs
  • la campagne de sensibilisation de SPIE à la cyber-sécurité

Se poser les bonnes questions.

  • le guide de l’ANSII destiné aux TPE-PME sous la forme de treize questions à se poser. Au moment où le gouvernement débloque sur ce sujet 30 millions d’euros pour les PME-ETI
  • S’y ajoute une veille sur l’actualité / assurance des cyber-rançons : épilogue de l’assurance des cyber-rançons avec la présentation par Paul Berger de Gallardo, Avocat, des grandes lignes du nouvel article du Code des assurances adapté par l’Assemblée.

Cyberattaques : la faille est souvent interne et humaine

Les anciens employés représenteraient 12 % des incidents de sécurité, après eux, les plus dangereux étant les fournisseurs et autres partenaires. 

Les anciens employés et les prestataires constituent une menace sévère mais souvent mal appréciée par l’entreprise.

Les entreprises sont une cible historique des cyberattaques. Mais le premier risque […] trouve son origine au sein même de votre entreprise. L’humain commet en effet des erreurs ou des négligences qui sont une source de grands dangers pour toutes les organisations.

Au sein des entreprises, il est récurrent que la faille de sécurité soit d’origine humaine. En effet, selon une étude réalisée en 2018 par le cabinet Deloitte auprès de ses clients, « 63 % des incidents de sécurité proviennent d’un employé actif au sein des effectifs ». Ces employés ne trahissent pas forcément volontairement leur entreprise, une grande partie d’entre eux commettent des erreurs par inadvertance, erreurs qui ont des conséquences potentiellement dommageables pour leur organisation.

Selon cette même étude, les anciens employés représenteraient 12 % des incidents de sécurité, après eux, les plus dangereux étant les fournisseurs et autres partenaires qui représentent 15 % de ces risques.

Invalider les droits d’anciens employés

Souvent, lorsqu’un employé, voire un stagiaire, quitte une entreprise ou une administration, les droits qui lui avaient été accordés ne sont pas clos et ses identifiant et mot de passe restent valides et donc utilisables. Cela crée une brèche dans la sécurité de l’entreprise et au bout de quelques années, cela peut concerner un nombre d’anciens employés important et donc une faille sécuritaire considérable. Le risque est d’autant plus grand pour les employés quittant l’entreprise en mauvais termes qui sont susceptibles de vouloir nuire à leurs anciens employeurs.

Gare aux prestataires

Les personnels extérieurs à nos organisations avec lesquels nous interagissons représentent également un risque. Certains se servent de cette position pour vous nuire, d’autres peuvent profiter de leur présence dans votre organisation pour vous espionner. Il est également possible que des personnels compromettent des données que vous leur avez confiées en ne les sécurisant pas suffisamment. Cette lacune dans la sécurité peut être volontaire ou non. Ces risques doivent rester présents à votre esprit, car il faudrait être devin pour prédire comment des relations humaines peuvent évoluer, sans oublier les troubles ou fragilités psychiques dont peuvent souffrir ceux avec qui vous avez partagé tout ou partie des données numériques de votre organisation.

Prenons un exemple concret. De nombreux organismes sous-traitent le ménage de leurs locaux à une entreprise spécialisée, et l’on ne remarque plus les passages des personnes chargées de cette tâche, car on est habitué à leur présence quotidienne. Cette invisibilité les rend potentiellement dangereux : par opportunisme ou en étant téléguidés par des personnes malveillantes, ils vont pouvoir récupérer des documents, regarder ce qui est affiché sur les écrans des ordinateurs, photographier des mots de passe négligemment inscrits sur des Post-it® par des employés tête en l’air, capter des informations ou des adresses de personnes qui pourront ensuite être ciblées par des campagnes de phishing ou de chantage par exemple.

Faire de la pédagogie

C’est pour cela qu’il est important que tous les collaborateurs soient sensibilisés au risque cyber et aux bonnes pratiques à mettre en oeuvre. Comme pour les gestes barrières en période de pandémie, nous les connaissons, mais nous avons toujours de bonnes raisons de nous en affranchir ou de les oublier. Là aussi, il ne faut pas hésiter à faire de la pédagogie pour que ces gestes soient bien ancrés dans les esprits de chacun et deviennent des automatismes. Il ne faut pas laisser son écran déverrouillé lorsqu’on n’est pas dans son bureau ou laisser en évidence son mot de passe écrit traîner sur son bureau, ne pas ouvrir les pièces jointes d’e-mails suspects même si les e-mails infectés sont parfois difficiles à détecter.

Lucie et Thierry Brenet. Les Echos. 22 novembre

Les vidéos de sensibilisation de l’ANSII à destination des collaborateurs

Ce post est l’occasion de revenir la dernière campagne de communication de Cybermalveillance.gouv.fr, en collaboration avec l’agence The Pill, qui a retravaillé avec humour et créativité 4 des plus célèbres fables du poète français.

Avec pour objectif de sensibiliser les collectivités, la campagne adapte les iconiques animaux à notre époque pour mettre en lumière les préjugés habituels des acteurs qui ne prêtent que peu d’attention à la cybersécurité : “Je n’ai pas le temps”, “Je n’ai pas le budget”, “Je n’y connais rien, je ne suis pas concerné” et enfin “Ce n’est pas ma priorité”.

Autant de problématiques abordées avec créativité, et toujours en vers, dans 4 petits films animés parmi lesquels on retrouve : Le Corbeau et le Renard, Le Lièvre et la Tortue, La Cigale et la Fourmi et enfin Le Loup et l’Agneau.

Une campagne à découvrir ci-dessous sur Youtube et qui, même si elle s’adresse aux collectivités, ne manquera pas de faire écho aux problématiques des professionnels et même du grand public.

Le Loup et l’Agneau

Problématique : “Ce n’est pas ma priorité”

Le Corbeau et le Renard

Problématique : “Je n’y connais rien, je ne suis pas concerné”

Le Lièvre et la Tortue

Problématique : “Je n’ai pas le temps”

La Cigale et la Fourmi

Problématique : “Je n’ai pas le budget”

La campagne de sensibilisation de SPIE

12 vidéos très courtes mais percutantes

Un exemple, la clé USB : https://lnkd.in/ghDpwp84

La liste complète ici : https://lnkd.in/gv96aSCn

La cybersécurité pour les TPE / PME en 13 questions


Avec la digitalisation des entreprises, le nombre d’attaques informatiques augmente et il faut savoir prévenir les risques potentiels.
Il est bon de mettre en application quelques bonnes pratiques simples ou plus élaborées qui permettent de se protéger d’un certain nombre de cybermenaces.

Découvrez la mise à jour du guide de l’#ANSSI réalisé avec la Direction Générale des Entreprises et le soutien de Cybermalveillance.gouv.fr, France Num et la CPME nationale.

Une veille sur l’actualité / assurance des cyber-rançons : épilogue  

✅ Cyberattaques : le nouveau chapitre du Code des assurances adopté à l’Assemblée nationale

🚨 15 novembre 2022 à 22h : vote sur l’article 4 de la #LOPMI sur l’assurance des cyber-attaques, 127 voix POUR 89 voix CONTRE

⚠️ Quelques clarifications importantes par rapport au texte de la Commission des lois, grâce aux amendements notamment du député Philippe Latombe :

🔹 L’exigence du dépôt de plainte porte désormais sur tout contrat d’assurance visant à indemniser un assuré « des pertes et dommages » (et non plus de « tout dommage ») causés par une cyber-attaque, selon une distinction classique en droit des assurances.

🔹 Le délai de la victime pour déposer plainte passe de 48h à 72h / commence à courir à compter de la « connaissance de l’atteinte par la victime » et non plus à compter de la « constatation de l’infraction ».

🔹 Cet article s’applique uniquement aux personnes morales et aux personnes physiques dans le cadre de leur activité professionnelle, et donc pas aux consommateurs.

🔜 Le texte déjà voté en première lecture au Sénat et désormais à l’Assemblée nationale devrait faire l’objet d’une Commission mixte paritaire entre députés et sénateurs selon la procédure accélérée engagée par le Gouvernement.

#risques #risque #analysedesrisques #riskanalysis #identificationdesrisques #gestiondesrisques #riskmanagement #enterpriseriskmanagement #cybersecurité #cyber #assurance #cyberrisque #risquecyber #assurancecyber #PME
#riskmanager #riskofficer #gestionnairederisques 

#ANSII #LGTO #LGCO

dispositifs de contrôle et plans d'actions, E.R.M, GESTION DES RISQUES

GERER LE CYBER-RISQUE

Laisser un commentaire

Les objectifs de la démarche de gestion des risques sont de :

  • transférer le risque ;
  • atténuer le risque ;
  • lever le risque ;
  • accepter le risque sous sa forme résiduelle (part qui n’a pu être traitée après les contrôles et plans d’actions).

Détails de la démarche de gestion des risques de type ERM dans l’ouvrage d’Aubry et Dufour : « Risk Management. Organisation et positionnement de la Fonction Risk Manager. Méthodes de gestion des risques ; 👉  https://librairie.gereso.com/livre-entreprise/riskmanagement-fris2.html

Comment gérer le cyber-risque ?

  • l’assurance pour le transférer
  • les plans d’actions recommandés par l’ANSII pour le prévenir / atténuer sa probabilité d’occurrence et/ou son impact sur l’organisation

Le post de la quinzaine est consacré à l’assurance pour le transférer avec trois ressources :

  • une veille sur l’actualité / assurance des cyber-rançons : épisode trois par Paul Berger de Gallardo, Avocat.
  • une vidéo à écouter sur B Smart / marché de l’assurance : quid du gap entre la couverture assurances et le coût de l’attaque ? Connaître la capacité de l’assurance cyber à indemniser les sinistres est essentielle ;
  • une analyse et un article sur la création par de grandes entreprises de leur propre société d’assurances.
BONUS Les liens vers les précédents posts du blog / plans d’actions contre le cyber-risque. A LIRE🚴 Comment agir ?

👉 Indispensable, a minima complémentaire à l’assurance, mieux que l’assurance,  https://gestiondesrisques.net/2022/05/05/ca-bouge-du-cote-du-cyber-risque-3-un-projet-de-loi-permettant-a-lassureur-de-rembourser-les-cyber-rancons/ mettre en place des plans d’actions pour gérer le cyber risque 

👉 L’Agence Nationale de Sécurité des Systèmes d’Information (ANSII) propose des plans d’action et cinq mesures préventives pour gérer le cyber-risque.

Plans d’action / fraude au président

https://gestiondesrisques.net/2021/12/09/le-risque-variable-strategique-de-la-reflexion-des-entreprises-3-un-nouveau-risque-la-fraude-au-president-suite-un-exemple-de-plan-dactions/

Plans d’action / cyber-risques liés au télétravail

https://gestiondesrisques.net/2021/10/06/teletravail-risques-et-plans-dactions-ou-quels-plans-dactions-pour-gerer-les-risques-lies-au-teletravail-et-selon-quelle-approche-2/

https://gestiondesrisques.net/2021/09/29/quels-plans-dactions-pour-gerer-les-risques-lies-au-teletravail/

Nécessaire implication des salariés / gestion du cyber-risque

https://gestiondesrisques.net/2018/10/19/implication-des-collaborateurs-dans-la-demarche-de-gestion-des-risques-lexemple-du-cyber-risque/

Plans d’actions préconisés par l’ANSII

https://gestiondesrisques.net/2022/05/20/ca-bouge-du-cote-du-cyber-risque-4-comment-se-premunir-contre-une-cyberattaque/

Point 1 Une veille sur l’actualité / assurance des cyber-rançons : épisode trois

Garanties d’assurance cyber : un amendement majeur adopté en Commission des lois à l’Assemblée

🟢 Septembre 2022 : dépôt d’un projet de loi par le Gouvernement proposant d’encadrer le remboursement des cyber-rançons par les assurances, en rendant obligatoire le dépôt d’une « plainte » par la victime « au plus tard 48 h après le paiement de cette rançon ».

🟠 Octobre 2022 : adoption de l’article 4 au Sénat avec un amendement transformant la condition d’assurance en une « pré-plainte » devant être déposée « dans les 24h suivant l’attaque et avant tout paiement ».

🟠 Novembre 2022 : la Commission des lois de l’Assemblée nationale vote un amendement majeur de Anne Le Hénanff qui :

➡ élargit l’obligation de déposer plainte à toute « clause assurantielle visant à l’indemniser de tout dommage » causé par une cyber-attaque

➡ supprime toute référence à la garantie des rançons !

➡ revient au format d’une « plainte » de la victime dans les « 48h » mais désormais à compter de la « constatation de l’infraction »

🔵 Le projet de loi du Gouvernement, l’étude d’impact et l’avis du Conseil d’Etat ne portaient que sur la cyber-rançon et non sur les autres garanties d’assurance, mais :

🔹 le député et rapporteur sur le projet de loi Florent Boudié a organisé une table ronde sur la question des rançongiciels, avec des points de vue complémentaires et divergents (magistrat, gendarmerie, police, DG Trésor, France Assureurs, parlementaires … et même un avocat !)

🔹 le Ministre de l’intérieur a l’origine du projet de loi s’est dit expressément favorable à cet amendement en ouverture des travaux de la Commission des lois

⁉️ Quelques suppositions et interrogations sur cette nouvelle rédaction :

1️⃣ la condition du dépôt de plainte ne semble pas concerner les garanties d’assurance cyber n’impliquant pas une indemnisation versée à la victime (ex : garantie d’assistance)

2️⃣ la disparition du terme « rançon » n’interdit pour autant ni leur paiement ni leur assurabilité, avec un retour au statu quo antérieur au projet de loi

3️⃣ l’emploi du terme « tout dommage » pour qualifier l’objet des garanties concernées est-il opportun au sein du Code des assurances qui vise habituellement « les pertes et dommages » selon deux notions qui pourraient être autonomes ?

4️⃣ la « constatation de l’infraction » comme point de départ du délai pour déposer plainte est-elle juridiquement appropriée ou faudrait-il plutôt viser la « connaissance de l’atteinte » ?

🔜 Lecture en séance à l’Assemblée et nouveaux amendements à venir !

Point 2 Une vidéo à écouter / marché de l’assurance : quid du gap entre la couverture assurances et le coût de l’attaque ? Connaître la capacité de l’assurance cyber à indemniser les sinistres est essentielle

Dans une économie si numérique, où le risque cyber est un enjeu de souveraineté nationale, l’assurance cyber avec son triptyque de services (remédiation, conseil juridique et communication) et sa capacité à indemniser les sinistres est essentielle.

Parce que le marché est complexe, en connaître la réalité quantitative est indispensable.
Philippe Cotelle, administrateur de l’AMRAE et président de sa commission cyber a ainsi présenté l’édition 2022 de LUCY Lumière sur la cyber-assurance à Delphine Sabattier de B SMART.
A son côté Martin Landais, sous-directeur assurances de Direction générale du Trésor (French Treasury) venu également expliquer l’intérêt pour la France des captives pour l’assurance cyber et pré annoncer le rapport des pouvoirs publics pour faire de l’assurance du risque cyber un levier au service de la résilience de nos entreprises.

Ecoutez la vidéo https://www.bsmart.fr/video/7396-smart-tech-partie-01-juillet-2021

Point 3 Une analyse et un article sur la création par de grandes entreprises de leur propre société d’assurances.

L’assurance cyber : en passe de devenir has been ?

Afin de pallier les défaillances d’un marché en crise, Michelin, Veolia, Airbus, Solvay et d’autres entreprises européennes se sont associés pour créer une mutuelle par capitalisation. Leur objectif ? Être plus résilient face aux crises cyber.

Miris Insurance, c’est leur nom, précise que l’objectif est non seulement « d’apporter des solutions là où les assureurs sont absents » mais aussi de « partager les meilleures pratiques en matière de gestion de risques » cybers.

Mais quid des PME ? Si les moyens des grandes entreprises leur permettent de s’extirper d’un marché défaillant, les PME, quant à elles, restent sur le carreau. Sûrement les plus vulnérables, les PME devront se contenter de l’assurance cyber classique toujours plus onéreuse. En effet, la frilosité des assureurs face au risque cyber est palpable.

Alors non, l’assurance cyber n’est pas en passe de devenir has been. En tout cas, pas pour tout le monde. Certains n’auront tout simplement pas le choix. Reste à découvrir si le retrait du marché d’un nombre suffisant de grandes entreprises permettra aux assureurs de développer une offre sur-mesure pour les PME.
Emmanuelle Hervé

Risque cyber : Airbus, Michelin et BASF créent leur propre société d’assurance

Avec Veolia, Adeo, Sonepar et Solvay, les industriels ont créé une mutuelle en Belgique pour se couvrir contre les risques numériques. Tous ont déjà de l’expérience dans l’auto-assurance, qui peine à décoller en France. La réforme des captives d’assurance pourrait ressurgir lors du débat sur le projet de loi de finances.

Les demandes d’assistance pour des attaques informatiques par rançongiciel ont bondi de plus de 85 % en 2021 en France.

Face aux failles du marché de l’assurance cyber, de grands groupes européens ont mis sur pied une mutuelle dédiée à la couverture des attaques et autres risques numériques. Le géant de l’aéronautique européen Airbus, le spécialiste de l’environnement Veolia, l’équipementier automobile Michelin, Adeo (la maison mère de Leroy Merlin) et Sonepar (le distributeur de matériel électrique), se sont alliés à l’allemand BASF et au belge Solvay au sein d’une structure baptisée Miris Insurance.

« Aujourd’hui, le marché de l’assurance cyber est volatil et court-termiste, les assureurs ne souhaitant pas s’engager sur leurs capacités futures. C’est un problème car le risque cyber devient structurel et de long terme, les entreprises étant toutes engagées dans la digitalisation de leurs activités », explique Philippe Cotelle, directeur de l’assurance cyber et du management des risques assurantiels chez Airbus.

Ne serait-ce que l’année dernière, le site du gouvernement dédié aux attaques cyber (cybermalveillance.gouv.fr) a reçu 1.851 demandes d’assistance pour des attaques informatiques par rançongiciel, contre 996 en 2020 soit une hausse de plus de 85 %. Et depuis la guerre en Ukraine, les autorités de plusieurs pays alertent sur un risque accru d’attaques cyber. De quoi renforcer l’urgence de s’assurer pour les industriels.

Compléter le marché

Miris n’a pas vocation à se substituer aux assureurs, mais à sécuriser la couverture de ses membres en compensant le manque de capacités sur le marché… ou les prix élevés . Le décalage entre la demande et l’offre s’explique notamment par le manque d’historique et de données sur les risques cyber, qui rend les assureurs frileux. Face à la hausse des prix, une dizaine de grandes entreprises avaient même renoncé à prendre une assurance cyber l’an dernier, selon une enquête de l’Association des managers de risques (Amrae).

Conscient des carences du marché, Bercy a publié au début du mois un rapport visant à améliorer l’écosystème tricolore de l’assurance cyber. Parmi les pistes évoquées : le développement de solutions d’auto-assurance, notamment à travers la création de sociétés captives ou encore des mécanismes de mutualisation du risque et de solidarité financière entre industriels de différents secteurs.

 « Nous ne voulons pas remplacer les assureurs, mais collaborer en complétant leur offre disponible dans une démarche de co-assurance », confirme le représentant d’Airbus au sein de Miris. Et pour minimiser les dommages causés par une cyber-attaque systémique, « nos membres exercent dans des domaines d’activité et géographies diversifiés », ajoute-t-il.

Chacun s’est engagé à apporter 5 millions d’euros de capital, qui pourront générer 25 millions d’euros de couverture individuelle. Les groupes fondateurs ont déjà de l’expérience dans l’auto-assurance, tous ayant leur propre captive interne, agréée en France ou dans un autre pays.

Hospitalité belge

Pour Miris, le choix s’est porté sur la Belgique, avec l’espoir d’obtenir un agrément du régulateur d’ici à début 2023. « C’est le seul pays d’Europe à avoir déjà agréé des mutuelles d’assurance par capitalisation dédiées à un risque spécifique, en l’occurrence les mutuelles nucléaires internationales Emani et Elini [dont EDF, Framatome et Orano sont membres, NDLR], indique Philippe Cotelle. La réglementation locale permet aussi d’adapter la taille de Miris à nos besoins, à savoir la gestion d’un nombre limité de contrats pour commencer. »

La Belgique offre aussi « un terrain neutre entre les membres français et allemands », estime un observateur. Et un environnement plus accueillant que la France, où de tels « pools » ou captives peinent à se développer . Seule une dizaine sont domiciliées dans l’Hexagone contre, par exemple, des centaines au Luxembourg, qui offre un environnement fiscal et technique plus clément. Un déficit que la France promet de corriger depuis plusieurs années.

Après une première volte-face l’an dernier, le gouvernement n’a pas inscrit la réforme fiscale du statut des captives dans le projet de loi de finances (PLF) 2023. Mais il a obtenu le feu vert de la Commission européenne sur la question du respect des règles de concurrence, affirme une source proche des autorités. De quoi permettre au projet de revenir dans le débat parlementaire, via un amendement au PLF.

Dans le sillage de l’Eiopa, le superviseur européen de l’assurance, l’Autorité de contrôle prudentiel et de résolution appelle les assureurs à « examiner l’ensemble des garanties » implicites des risques cyber que peuvent contenir leurs contrats. Ils doivent « clarifier » et « rendre plus explicites les formulations des termes et conditions » de ces couvertures dites silencieuses. Le « manque apparent de préparation de certains organismes pourrait entraîner des pertes importantes et compromettre la stabilité financière globale du secteur », estime le régulateur.

Par Amélie Laurin. 30 sept. 2022.

#risques #risque #analysedesrisques #riskanalysis #identificationdesrisques #gestiondesrisques #riskmanagement #enterpriseriskmanagement #cybersecurité #cyber #assurance #cyberrisque #risquecyber #assurancecyber
#riskmanager #riskofficer #gestionnairederisques #BSMART#AMRAE#LGCO

assurances, élargissement du domaine du risque, cyberisque-cybersécurité, E.R.M, GESTION DES RISQUES, identification des risques, les "affaires", médias et amplification du risque, perception-subjectivité du risque, réglementation et amplification du risque, RISQUES

Analyse des Risques : une façon d’analyser l’ampleur des risques ou comment parler de l’ampleur des risques (2). Le risque géopolitique

Un commentaire

L’actualité témoigne d’une ampleur inédite des risques sous l’effet des cinq facteurs à l’œuvre depuis les années quatre-vingt-dix, qui fait aujourd’hui de sa gestion une variable stratégique de la réflexion des organisations.

🏁 Un ouvrage / « Risk Management. Organisation et Positionnement de la Fonction Risk Manager. Méthodes de Gestion des Risques. » / Paru le 9 juin 2022 / Editions Gereso. https://librairie.gereso.com/livre-entreprise/risk-management-fris2.html

Sites FNAC…

Il s’agit de :

La 2ème édition de notre ouvrage « La Fonction Risk Manager. Organisation, Méthodes et Positionnement » (Editions Gereso, 2019)

Avec un titre plus « large » / La Fonction Risk Manager / La démarche de Gestion des Risques

 Avec de nouveaux exemples :

Comme, dans le chapitre I « Définition des notions et contextualisation de la Fonction Risk Manager, celui intitulé « Du Risque incendie au Risque éthique : l’incendie de l’usine Lubrizol »

Pour illustrer

  • l’imbrication des facteurs déjà mis en œuvre depuis les années quatre-vingt-dix
  • la transversalité du risque.

🎯 Aujourd’hui, après « Risque Ethique et Risque de Réputation » paru sur le blog (https://gestiondesrisques.net/), je vous propose un autre exemple à travers une analyse du risque géopolitique

  Mêmes facteurs : élargissement du domaine de la gestion des risques / subjectivité et perception du risque / amplification du risque par les médias / le régulateur-législateur / réticence des assureurs à l’assurer

Transversalité du risque : Géopolitique / Cyber-sécurité / Supply Chain

🏅Testez cette grille de lecture sur les risques du Top Ten des baromètres de risques –  cyber-risque/risque sanitaire… – ; sur les affaires – Incendie de l’usine Lubrizol…-.

Le risque géopolitique au centre des préoccupations

N° 13 dans le baromètre Allianz 2022 mais N° 4 dans le Top 10 des risques opérationnels / Enquête RiskIn, 2022. Sans surprise, il est en hausse de plusieurs places cette année.

🔄Un risque transversal

Ci-dessous un aperçu de l’enquête :

« L’invasion de l’Ukraine, les sanctions occidentales et la réponse russe entraînent une forte augmentation des risques liés à la cybersécurité et à la chaîne d’approvisionnement.

Le directeur des risques d’un grand gestionnaire d’actifs européen résume succinctement l’impact de la guerre dévastatrice de la Russie en Ukraine sur le profil de risque opérationnel de son entreprise : « Nous avons la guerre en Europe. Pas seulement de petits moments : des choses qui font entièrement bouger notre entreprise. » Et bien que les votes de l’enquête annuelle Top 10 des risques opérationnels de Risk.net aient été exprimés à l’avènement – dans un climat de détérioration des relations et de rassemblement des troupes russes aux frontières de l’Ukraine – la guerre et ses conséquences ont jeté une ombre horrible sur les résultats de cette année.

Le risque global d’une augmentation des cyberattaques parrainées par l’État en réponse aux sanctions est « une probabilité », déclare un responsable du cyber-risque. Cependant, l’impact de l’instabilité mondiale a des ramifications potentielles beaucoup plus larges pour le profil de menace de sa banque, ajoute le dirigeant : « Je ne prendrais pas seulement ce cas pour mélanger les deux entièrement – le risque géopolitique a [un] élément cyber, mais aussi la chaîne d’approvisionnement ». Et des éléments de résilience aussi. »

La résilience est la capacité à maintenir des services ou des opérations critiques pendant les périodes de perturbation. Les attentes ont été formalisées par les principes de résilience des régulateurs britanniques – qui devraient entrer en vigueur fin mars 2022 – et ont été testées dans le monde réel sous la forme de la pandémie de Covid-19, ainsi que la menace très réelle de pannes frappant les réseaux de paiement. Et d’autres éléments clés de l’infrastructure mondiale à la suite de l’invasion de l’Ukraine.

activité du rm, élargissement du domaine du risque, éthique-gouvernance, compétences, Corruption, cyberisque-cybersécurité, E.R.M, identification des risques, le métier: naissance et évolution, médias et amplification du risque, place dans l'organisation, quantification-cartographies, réglementation et amplification du risque, réputation-image, RISK MANAGER-FONCTION RISK MANAGER, RISQUES, stratégie de définition des risques, suivi des risques-analyse des résultats

Ouvrage, disponible aujourd’hui 9 juin 2022, « RISK MANAGEMENT. ORGANISATION ET POSITIONNEMENT DE LA FONCTION RISK MANAGER. METHODES DE GESTION DES RISQUES. »

Laisser un commentaire
Professionnels qui souhaitez découvrir ou approfondir vos connaissances sur le Risk Management et la Fonction Risk Manager : un ouvrage, disponible aujourd’hui 9 juin 2022, « RISK MANAGEMENT. ORGANISATION ET POSITIONNEMENT DE LA FONCTION RISK MANAGER. METHODES DE GESTION DES RISQUES. »
🏁 Il est disponible aujourd’hui, 9 juin 2022 / Sur le site de GERESO Editions, collection Management https://librairie.gereso.com/livre-entreprise/risk-management-fris2.html
/ Sur les sites de la FNAC, AMAZON… 

🎯 Il s’agit de :
La 2ème édition de notre ouvrage 📖  « La Fonction Risk Manager. Organisation, Méthodes et Positionnement » / paru chez Gereso Editions / en 2019 / labellisé FNEGE dans la catégorie Manuel en 2020
✅ Avec un titre plus « large » / La Fonction Risk Manager / La démarche de Gestion des Risques
✅ Avec des ajouts :
👉 Une nouvelle période d’analyse / de 2019 à aujourd’hui
👉 L’intégration des nouveaux enjeux :
  • la loi sur le devoir de vigilance
  • le risque éthique et le risque de réputation
  • le risque cyber, le risque de fraude et leur gestion
  • le rôle du Risk Manager face à la crise sanitaire du Covid 19

👉 De nouveaux exemples

👓 Pour ceux qui découvrent notre ouvrage, vous y trouverez : 
✅ Un panorama complet de votre fonction (activité, place dans l’organisation, compétences), de la démarche de gestion des risques et de ses outils
✅ Des préconisations pour faire évoluer la fonction
✅ Une double approche académique et de terrain, au niveau du contenu, de nos parcours professionnels, des personnalités qui nous ont fait l’honneur de rédiger la préface et la postface.  

#risques #riskmanagement #gestiondesrisques #ERM#EnterpriseRiskManagement#analysedesrisques #riskmanager #gestionnairederisques #riskofficer #mastergestiondesrisques
élargissement du domaine du risque, éthique-gouvernance, E.R.M, identification des risques, les "affaires", réglementation et amplification du risque, responsabilité pénale des dirigeants

Une façon d’analyser l’ampleur des risques ou comment parler de l’ampleur des risques.

2 commentaires

L’actualité témoigne d’une ampleur inédite des risques sous l’effet des cinq facteurs à l’œuvre depuis les années quatre-vingt-dix, qui fait aujourd’hui de sa gestion une variable stratégique de la réflexion des organisations.

🏁 Un ouvrage à venir / « Risk Management. Organisation et Positionnement de la Fonction Risk Manager. Méthodes de Gestion des Risques. » / Parution le 9 juin 2022 / Editions Gereso.

https://librairie.gereso.com/livre-entreprise/risk-management-fris2.html

Il s’agit de :

La 2ème édition de notre ouvrage «  La Fonction Risk Manager. Organisation, Méthodes et Positionnement » (Editions Gereso, 2019)

Avec un titre plus « large » / La Fonction Risk Manager / La démarche de Gestion des Risques

 Avec de nouveaux exemples :

Comme, dans le chapitre I « Définition des notions et contextualisation de la Fonction Risk Manager, celui intitulé « Le Risque de Réputation et le Risque Ethique : une « nouvelle » affaire Nike

Pour illustrer

  • l’imbrication des facteurs déjà mis en œuvre depuis les années quatre-vingt-dix
  • la transversalité du risque.

🎯 Aujourd’hui, je vous propose un autre exemple à travers un article de Nathalie Belhoste sur ce qu’il est convenu d’appeler l’affaire Lafarge.

  Même intitulé : Risque de Réputation et Risque Ethique.

 Mêmes facteurs : élargissement du domaine de la gestion des risques / subjectivité et perception du risque / amplification du risque par les médias / le régulateur-législateur / réticence des assureurs à l’assurer / les « affaires » / amplification du risque par le régulateur-législateur.

  Transversalité du risque : Réputation / Ethique / Géopolitique.

🏅Testez cette grille de lecture sur les risques du Top Ten des baromètres de risques –  cyber-risque/risque sanitaire… – ; sur les affaires – Incendie de l’usine Lubrizol…-.

Affaire Lafarge en Syrie, pour Nathalie Belhoste, il y a eu « une myopie organisationnelle »

Que nous apprend l’affaire Lafarge en Syrie sur la responsabilité des entreprises en temps de guerre ?

Nathalie Belhoste, professeure associée à l’école de management de Grenoble : « De mon point de vue, cette affaire révèle plusieurs failles dans la compréhension des éléments par les entreprises. Le cimentier a fait preuve d’une myopie organisationnelle dans le sens où il a voulu rester à tout prix pour sauver des investissements énormes (680 millions d’euros sur le site) et s’est retrouvé dans une situation de dépendance vis-à-vis d’acteurs illégitimes et illégaux. Ce phénomène a été renforcé par une gestion à distance entre l’usine et le siège social qui a pu nuire à l’appréciation du danger de la complexité locale. Par ailleurs, les signaux forts auraient dû être observés et ne l’ont pas été (comme le développement des sanctions et embargos au fil des années). »
De nombreuses entreprises s’en sont allées de Russie, comme Renault et McDonald’s tout récemment, que ce soit par solidarité avec l’Ukraine ou parce qu’elles étaient asphyxiées par les sanctions. Quel parallèle peut-on faire avec l’affaire Lafarge ?« Rappelons d’abord que les situations sont bien différentes : en Syrie, il s’agissait d’une guerre civile, tandis qu’en Ukraine, c’est un conflit entre deux États-nations. Toutefois, on voit que les entreprises ne réagissent plus avec la même temporalité. On se pose beaucoup plus tôt la question de savoir s’il faut rester dans un pays en guerre. Des affaires comme celles de Lafarge ont permis de se rendre compte du coût pénal à ne pas appliquer la loi. Et il ne faut pas oublier la mise en place de la loi Sapin II et l’instauration du devoir de vigilance en 2017 (qui imposent aux entreprises des procédures de vérification des tiers afin notamment de lutter contre la corruption, le trafic d’influence, l’atteinte aux droits humains, à l’environnement et à la santé des personnes). Cela oblige les entreprises à être plus conscientes des conséquences de leurs actions. »
Parfois, c’est la pression de la société civile qui a poussé les entreprises à partir de Russie…« Oui, tout à fait. Et c’est une différence fondamentale entre les deux situations : la mobilisation a été beaucoup plus rapide en 2022 pour l’Ukraine qu’elle ne l’a été en 2011 en Syrie. Bien sûr, la médiatisation et la lecture claire de la guerre en Syrie se sont faites plus graduellement, mais on voit aussi que la société civile a changé. Les ONG et la population sont bien plus sensibilisées et ont appelé très rapidement au boycott de plusieurs entreprises restées en Russie. Il est intéressant de voir qu’elles ne sont pas toutes logées à la même enseigne et que certaines, moins connues du grand public, sont restées sans subir les foudres de la vindicte populaire. »

Repères

Une possible mise en examen de Lafarge

La cour d’appel de Paris rendra mercredi sa décision sur la validité de la mise en examen du groupe pour « complicité de crimes contre l’humanité ». Lafarge SA est soupçonné d’avoir versé en 2013 et 2014, via une filiale, près de 13 millions d’euros à des groupes terroristes, dont l’organisation État islamique (EI), afin de maintenir l’activité d’une cimenterie en Syrie alors que le pays s’enfonçait dans la guerre. Le groupe a toujours contesté toute responsabilité dans la destination de ces versements à des organisations terroristes. Dans ses réquisitions, le parquet général a demandé le maintien de la mise en examen pour « complicité de crimes contre l’humanité » de Lafarge mais a requis l’annulation de sa mise en examen pour « mise en danger de la vie d’autrui ». Les avocats du cimentier n’ont pas souhaité faire de commentaire avant le délibéré de mercredi.

Nathalie Belhoste. 17/05/2022.