Archives pour la catégorie E.R.M

dispositifs de contrôle et plans d'actions, E.R.M, GESTION DES RISQUES

GERER LE CYBER-RISQUE

Laisser un commentaire

Les objectifs de la démarche de gestion des risques sont de :

  • transférer le risque ;
  • atténuer le risque ;
  • lever le risque ;
  • accepter le risque sous sa forme résiduelle (part qui n’a pu être traitée après les contrôles et plans d’actions).

Détails de la démarche de gestion des risques de type ERM dans l’ouvrage d’Aubry et Dufour : « Risk Management. Organisation et positionnement de la Fonction Risk Manager. Méthodes de gestion des risques ; 👉  https://librairie.gereso.com/livre-entreprise/riskmanagement-fris2.html

Comment gérer le cyber-risque ?

  • l’assurance pour le transférer
  • les plans d’actions recommandés par l’ANSII pour le prévenir / atténuer sa probabilité d’occurrence et/ou son impact sur l’organisation

Le post de la quinzaine est consacré à l’assurance pour le transférer avec trois ressources :

  • une veille sur l’actualité / assurance des cyber-rançons : épisode trois par Paul Berger de Gallardo, Avocat.
  • une vidéo à écouter sur B Smart / marché de l’assurance : quid du gap entre la couverture assurances et le coût de l’attaque ? Connaître la capacité de l’assurance cyber à indemniser les sinistres est essentielle ;
  • une analyse et un article sur la création par de grandes entreprises de leur propre société d’assurances.
BONUS Les liens vers les précédents posts du blog / plans d’actions contre le cyber-risque. A LIRE🚴 Comment agir ?

👉 Indispensable, a minima complémentaire à l’assurance, mieux que l’assurance,  https://gestiondesrisques.net/2022/05/05/ca-bouge-du-cote-du-cyber-risque-3-un-projet-de-loi-permettant-a-lassureur-de-rembourser-les-cyber-rancons/ mettre en place des plans d’actions pour gérer le cyber risque 

👉 L’Agence Nationale de Sécurité des Systèmes d’Information (ANSII) propose des plans d’action et cinq mesures préventives pour gérer le cyber-risque.

Plans d’action / fraude au président

https://gestiondesrisques.net/2021/12/09/le-risque-variable-strategique-de-la-reflexion-des-entreprises-3-un-nouveau-risque-la-fraude-au-president-suite-un-exemple-de-plan-dactions/

Plans d’action / cyber-risques liés au télétravail

https://gestiondesrisques.net/2021/10/06/teletravail-risques-et-plans-dactions-ou-quels-plans-dactions-pour-gerer-les-risques-lies-au-teletravail-et-selon-quelle-approche-2/

https://gestiondesrisques.net/2021/09/29/quels-plans-dactions-pour-gerer-les-risques-lies-au-teletravail/

Nécessaire implication des salariés / gestion du cyber-risque

https://gestiondesrisques.net/2018/10/19/implication-des-collaborateurs-dans-la-demarche-de-gestion-des-risques-lexemple-du-cyber-risque/

Plans d’actions préconisés par l’ANSII

https://gestiondesrisques.net/2022/05/20/ca-bouge-du-cote-du-cyber-risque-4-comment-se-premunir-contre-une-cyberattaque/

Point 1 Une veille sur l’actualité / assurance des cyber-rançons : épisode trois

Garanties d’assurance cyber : un amendement majeur adopté en Commission des lois à l’Assemblée

🟢 Septembre 2022 : dépôt d’un projet de loi par le Gouvernement proposant d’encadrer le remboursement des cyber-rançons par les assurances, en rendant obligatoire le dépôt d’une « plainte » par la victime « au plus tard 48 h après le paiement de cette rançon ».

🟠 Octobre 2022 : adoption de l’article 4 au Sénat avec un amendement transformant la condition d’assurance en une « pré-plainte » devant être déposée « dans les 24h suivant l’attaque et avant tout paiement ».

🟠 Novembre 2022 : la Commission des lois de l’Assemblée nationale vote un amendement majeur de Anne Le Hénanff qui :

➡ élargit l’obligation de déposer plainte à toute « clause assurantielle visant à l’indemniser de tout dommage » causé par une cyber-attaque

➡ supprime toute référence à la garantie des rançons !

➡ revient au format d’une « plainte » de la victime dans les « 48h » mais désormais à compter de la « constatation de l’infraction »

🔵 Le projet de loi du Gouvernement, l’étude d’impact et l’avis du Conseil d’Etat ne portaient que sur la cyber-rançon et non sur les autres garanties d’assurance, mais :

🔹 le député et rapporteur sur le projet de loi Florent Boudié a organisé une table ronde sur la question des rançongiciels, avec des points de vue complémentaires et divergents (magistrat, gendarmerie, police, DG Trésor, France Assureurs, parlementaires … et même un avocat !)

🔹 le Ministre de l’intérieur a l’origine du projet de loi s’est dit expressément favorable à cet amendement en ouverture des travaux de la Commission des lois

⁉️ Quelques suppositions et interrogations sur cette nouvelle rédaction :

1️⃣ la condition du dépôt de plainte ne semble pas concerner les garanties d’assurance cyber n’impliquant pas une indemnisation versée à la victime (ex : garantie d’assistance)

2️⃣ la disparition du terme « rançon » n’interdit pour autant ni leur paiement ni leur assurabilité, avec un retour au statu quo antérieur au projet de loi

3️⃣ l’emploi du terme « tout dommage » pour qualifier l’objet des garanties concernées est-il opportun au sein du Code des assurances qui vise habituellement « les pertes et dommages » selon deux notions qui pourraient être autonomes ?

4️⃣ la « constatation de l’infraction » comme point de départ du délai pour déposer plainte est-elle juridiquement appropriée ou faudrait-il plutôt viser la « connaissance de l’atteinte » ?

🔜 Lecture en séance à l’Assemblée et nouveaux amendements à venir !

Point 2 Une vidéo à écouter / marché de l’assurance : quid du gap entre la couverture assurances et le coût de l’attaque ? Connaître la capacité de l’assurance cyber à indemniser les sinistres est essentielle

Dans une économie si numérique, où le risque cyber est un enjeu de souveraineté nationale, l’assurance cyber avec son triptyque de services (remédiation, conseil juridique et communication) et sa capacité à indemniser les sinistres est essentielle.

Parce que le marché est complexe, en connaître la réalité quantitative est indispensable.
Philippe Cotelle, administrateur de l’AMRAE et président de sa commission cyber a ainsi présenté l’édition 2022 de LUCY Lumière sur la cyber-assurance à Delphine Sabattier de B SMART.
A son côté Martin Landais, sous-directeur assurances de Direction générale du Trésor (French Treasury) venu également expliquer l’intérêt pour la France des captives pour l’assurance cyber et pré annoncer le rapport des pouvoirs publics pour faire de l’assurance du risque cyber un levier au service de la résilience de nos entreprises.

Ecoutez la vidéo https://www.bsmart.fr/video/7396-smart-tech-partie-01-juillet-2021

Point 3 Une analyse et un article sur la création par de grandes entreprises de leur propre société d’assurances.

L’assurance cyber : en passe de devenir has been ?

Afin de pallier les défaillances d’un marché en crise, Michelin, Veolia, Airbus, Solvay et d’autres entreprises européennes se sont associés pour créer une mutuelle par capitalisation. Leur objectif ? Être plus résilient face aux crises cyber.

Miris Insurance, c’est leur nom, précise que l’objectif est non seulement « d’apporter des solutions là où les assureurs sont absents » mais aussi de « partager les meilleures pratiques en matière de gestion de risques » cybers.

Mais quid des PME ? Si les moyens des grandes entreprises leur permettent de s’extirper d’un marché défaillant, les PME, quant à elles, restent sur le carreau. Sûrement les plus vulnérables, les PME devront se contenter de l’assurance cyber classique toujours plus onéreuse. En effet, la frilosité des assureurs face au risque cyber est palpable.

Alors non, l’assurance cyber n’est pas en passe de devenir has been. En tout cas, pas pour tout le monde. Certains n’auront tout simplement pas le choix. Reste à découvrir si le retrait du marché d’un nombre suffisant de grandes entreprises permettra aux assureurs de développer une offre sur-mesure pour les PME.
Emmanuelle Hervé

Risque cyber : Airbus, Michelin et BASF créent leur propre société d’assurance

Avec Veolia, Adeo, Sonepar et Solvay, les industriels ont créé une mutuelle en Belgique pour se couvrir contre les risques numériques. Tous ont déjà de l’expérience dans l’auto-assurance, qui peine à décoller en France. La réforme des captives d’assurance pourrait ressurgir lors du débat sur le projet de loi de finances.

Les demandes d’assistance pour des attaques informatiques par rançongiciel ont bondi de plus de 85 % en 2021 en France.

Face aux failles du marché de l’assurance cyber, de grands groupes européens ont mis sur pied une mutuelle dédiée à la couverture des attaques et autres risques numériques. Le géant de l’aéronautique européen Airbus, le spécialiste de l’environnement Veolia, l’équipementier automobile Michelin, Adeo (la maison mère de Leroy Merlin) et Sonepar (le distributeur de matériel électrique), se sont alliés à l’allemand BASF et au belge Solvay au sein d’une structure baptisée Miris Insurance.

« Aujourd’hui, le marché de l’assurance cyber est volatil et court-termiste, les assureurs ne souhaitant pas s’engager sur leurs capacités futures. C’est un problème car le risque cyber devient structurel et de long terme, les entreprises étant toutes engagées dans la digitalisation de leurs activités », explique Philippe Cotelle, directeur de l’assurance cyber et du management des risques assurantiels chez Airbus.

Ne serait-ce que l’année dernière, le site du gouvernement dédié aux attaques cyber (cybermalveillance.gouv.fr) a reçu 1.851 demandes d’assistance pour des attaques informatiques par rançongiciel, contre 996 en 2020 soit une hausse de plus de 85 %. Et depuis la guerre en Ukraine, les autorités de plusieurs pays alertent sur un risque accru d’attaques cyber. De quoi renforcer l’urgence de s’assurer pour les industriels.

Compléter le marché

Miris n’a pas vocation à se substituer aux assureurs, mais à sécuriser la couverture de ses membres en compensant le manque de capacités sur le marché… ou les prix élevés . Le décalage entre la demande et l’offre s’explique notamment par le manque d’historique et de données sur les risques cyber, qui rend les assureurs frileux. Face à la hausse des prix, une dizaine de grandes entreprises avaient même renoncé à prendre une assurance cyber l’an dernier, selon une enquête de l’Association des managers de risques (Amrae).

Conscient des carences du marché, Bercy a publié au début du mois un rapport visant à améliorer l’écosystème tricolore de l’assurance cyber. Parmi les pistes évoquées : le développement de solutions d’auto-assurance, notamment à travers la création de sociétés captives ou encore des mécanismes de mutualisation du risque et de solidarité financière entre industriels de différents secteurs.

 « Nous ne voulons pas remplacer les assureurs, mais collaborer en complétant leur offre disponible dans une démarche de co-assurance », confirme le représentant d’Airbus au sein de Miris. Et pour minimiser les dommages causés par une cyber-attaque systémique, « nos membres exercent dans des domaines d’activité et géographies diversifiés », ajoute-t-il.

Chacun s’est engagé à apporter 5 millions d’euros de capital, qui pourront générer 25 millions d’euros de couverture individuelle. Les groupes fondateurs ont déjà de l’expérience dans l’auto-assurance, tous ayant leur propre captive interne, agréée en France ou dans un autre pays.

Hospitalité belge

Pour Miris, le choix s’est porté sur la Belgique, avec l’espoir d’obtenir un agrément du régulateur d’ici à début 2023. « C’est le seul pays d’Europe à avoir déjà agréé des mutuelles d’assurance par capitalisation dédiées à un risque spécifique, en l’occurrence les mutuelles nucléaires internationales Emani et Elini [dont EDF, Framatome et Orano sont membres, NDLR], indique Philippe Cotelle. La réglementation locale permet aussi d’adapter la taille de Miris à nos besoins, à savoir la gestion d’un nombre limité de contrats pour commencer. »

La Belgique offre aussi « un terrain neutre entre les membres français et allemands », estime un observateur. Et un environnement plus accueillant que la France, où de tels « pools » ou captives peinent à se développer . Seule une dizaine sont domiciliées dans l’Hexagone contre, par exemple, des centaines au Luxembourg, qui offre un environnement fiscal et technique plus clément. Un déficit que la France promet de corriger depuis plusieurs années.

Après une première volte-face l’an dernier, le gouvernement n’a pas inscrit la réforme fiscale du statut des captives dans le projet de loi de finances (PLF) 2023. Mais il a obtenu le feu vert de la Commission européenne sur la question du respect des règles de concurrence, affirme une source proche des autorités. De quoi permettre au projet de revenir dans le débat parlementaire, via un amendement au PLF.

Dans le sillage de l’Eiopa, le superviseur européen de l’assurance, l’Autorité de contrôle prudentiel et de résolution appelle les assureurs à « examiner l’ensemble des garanties » implicites des risques cyber que peuvent contenir leurs contrats. Ils doivent « clarifier » et « rendre plus explicites les formulations des termes et conditions » de ces couvertures dites silencieuses. Le « manque apparent de préparation de certains organismes pourrait entraîner des pertes importantes et compromettre la stabilité financière globale du secteur », estime le régulateur.

Par Amélie Laurin. 30 sept. 2022.

#risques #risque #analysedesrisques #riskanalysis #identificationdesrisques #gestiondesrisques #riskmanagement #enterpriseriskmanagement #cybersecurité #cyber #assurance #cyberrisque #risquecyber #assurancecyber
#riskmanager #riskofficer #gestionnairederisques #BSMART#AMRAE#LGCO

assurances, élargissement du domaine du risque, cyberisque-cybersécurité, E.R.M, GESTION DES RISQUES, identification des risques, les "affaires", médias et amplification du risque, perception-subjectivité du risque, réglementation et amplification du risque, RISQUES

Analyse des Risques : une façon d’analyser l’ampleur des risques ou comment parler de l’ampleur des risques (2). Le risque géopolitique

Un commentaire

L’actualité témoigne d’une ampleur inédite des risques sous l’effet des cinq facteurs à l’œuvre depuis les années quatre-vingt-dix, qui fait aujourd’hui de sa gestion une variable stratégique de la réflexion des organisations.

🏁 Un ouvrage / « Risk Management. Organisation et Positionnement de la Fonction Risk Manager. Méthodes de Gestion des Risques. » / Paru le 9 juin 2022 / Editions Gereso. https://librairie.gereso.com/livre-entreprise/risk-management-fris2.html

Sites FNAC…

Il s’agit de :

La 2ème édition de notre ouvrage « La Fonction Risk Manager. Organisation, Méthodes et Positionnement » (Editions Gereso, 2019)

Avec un titre plus « large » / La Fonction Risk Manager / La démarche de Gestion des Risques

 Avec de nouveaux exemples :

Comme, dans le chapitre I « Définition des notions et contextualisation de la Fonction Risk Manager, celui intitulé « Du Risque incendie au Risque éthique : l’incendie de l’usine Lubrizol »

Pour illustrer

  • l’imbrication des facteurs déjà mis en œuvre depuis les années quatre-vingt-dix
  • la transversalité du risque.

🎯 Aujourd’hui, après « Risque Ethique et Risque de Réputation » paru sur le blog (https://gestiondesrisques.net/), je vous propose un autre exemple à travers une analyse du risque géopolitique

  Mêmes facteurs : élargissement du domaine de la gestion des risques / subjectivité et perception du risque / amplification du risque par les médias / le régulateur-législateur / réticence des assureurs à l’assurer

Transversalité du risque : Géopolitique / Cyber-sécurité / Supply Chain

🏅Testez cette grille de lecture sur les risques du Top Ten des baromètres de risques –  cyber-risque/risque sanitaire… – ; sur les affaires – Incendie de l’usine Lubrizol…-.

Le risque géopolitique au centre des préoccupations

N° 13 dans le baromètre Allianz 2022 mais N° 4 dans le Top 10 des risques opérationnels / Enquête RiskIn, 2022. Sans surprise, il est en hausse de plusieurs places cette année.

🔄Un risque transversal

Ci-dessous un aperçu de l’enquête :

« L’invasion de l’Ukraine, les sanctions occidentales et la réponse russe entraînent une forte augmentation des risques liés à la cybersécurité et à la chaîne d’approvisionnement.

Le directeur des risques d’un grand gestionnaire d’actifs européen résume succinctement l’impact de la guerre dévastatrice de la Russie en Ukraine sur le profil de risque opérationnel de son entreprise : « Nous avons la guerre en Europe. Pas seulement de petits moments : des choses qui font entièrement bouger notre entreprise. » Et bien que les votes de l’enquête annuelle Top 10 des risques opérationnels de Risk.net aient été exprimés à l’avènement – dans un climat de détérioration des relations et de rassemblement des troupes russes aux frontières de l’Ukraine – la guerre et ses conséquences ont jeté une ombre horrible sur les résultats de cette année.

Le risque global d’une augmentation des cyberattaques parrainées par l’État en réponse aux sanctions est « une probabilité », déclare un responsable du cyber-risque. Cependant, l’impact de l’instabilité mondiale a des ramifications potentielles beaucoup plus larges pour le profil de menace de sa banque, ajoute le dirigeant : « Je ne prendrais pas seulement ce cas pour mélanger les deux entièrement – le risque géopolitique a [un] élément cyber, mais aussi la chaîne d’approvisionnement ». Et des éléments de résilience aussi. »

La résilience est la capacité à maintenir des services ou des opérations critiques pendant les périodes de perturbation. Les attentes ont été formalisées par les principes de résilience des régulateurs britanniques – qui devraient entrer en vigueur fin mars 2022 – et ont été testées dans le monde réel sous la forme de la pandémie de Covid-19, ainsi que la menace très réelle de pannes frappant les réseaux de paiement. Et d’autres éléments clés de l’infrastructure mondiale à la suite de l’invasion de l’Ukraine.

activité du rm, élargissement du domaine du risque, éthique-gouvernance, compétences, Corruption, cyberisque-cybersécurité, E.R.M, identification des risques, le métier: naissance et évolution, médias et amplification du risque, place dans l'organisation, quantification-cartographies, réglementation et amplification du risque, réputation-image, RISK MANAGER-FONCTION RISK MANAGER, RISQUES, stratégie de définition des risques, suivi des risques-analyse des résultats

Ouvrage, disponible aujourd’hui 9 juin 2022, « RISK MANAGEMENT. ORGANISATION ET POSITIONNEMENT DE LA FONCTION RISK MANAGER. METHODES DE GESTION DES RISQUES. »

Laisser un commentaire
Professionnels qui souhaitez découvrir ou approfondir vos connaissances sur le Risk Management et la Fonction Risk Manager : un ouvrage, disponible aujourd’hui 9 juin 2022, « RISK MANAGEMENT. ORGANISATION ET POSITIONNEMENT DE LA FONCTION RISK MANAGER. METHODES DE GESTION DES RISQUES. »
🏁 Il est disponible aujourd’hui, 9 juin 2022 / Sur le site de GERESO Editions, collection Management https://librairie.gereso.com/livre-entreprise/risk-management-fris2.html
/ Sur les sites de la FNAC, AMAZON… 

🎯 Il s’agit de :
La 2ème édition de notre ouvrage 📖  « La Fonction Risk Manager. Organisation, Méthodes et Positionnement » / paru chez Gereso Editions / en 2019 / labellisé FNEGE dans la catégorie Manuel en 2020
✅ Avec un titre plus « large » / La Fonction Risk Manager / La démarche de Gestion des Risques
✅ Avec des ajouts :
👉 Une nouvelle période d’analyse / de 2019 à aujourd’hui
👉 L’intégration des nouveaux enjeux :
  • la loi sur le devoir de vigilance
  • le risque éthique et le risque de réputation
  • le risque cyber, le risque de fraude et leur gestion
  • le rôle du Risk Manager face à la crise sanitaire du Covid 19

👉 De nouveaux exemples

👓 Pour ceux qui découvrent notre ouvrage, vous y trouverez : 
✅ Un panorama complet de votre fonction (activité, place dans l’organisation, compétences), de la démarche de gestion des risques et de ses outils
✅ Des préconisations pour faire évoluer la fonction
✅ Une double approche académique et de terrain, au niveau du contenu, de nos parcours professionnels, des personnalités qui nous ont fait l’honneur de rédiger la préface et la postface.  

#risques #riskmanagement #gestiondesrisques #ERM#EnterpriseRiskManagement#analysedesrisques #riskmanager #gestionnairederisques #riskofficer #mastergestiondesrisques
élargissement du domaine du risque, éthique-gouvernance, E.R.M, identification des risques, les "affaires", réglementation et amplification du risque, responsabilité pénale des dirigeants

Une façon d’analyser l’ampleur des risques ou comment parler de l’ampleur des risques.

2 commentaires

L’actualité témoigne d’une ampleur inédite des risques sous l’effet des cinq facteurs à l’œuvre depuis les années quatre-vingt-dix, qui fait aujourd’hui de sa gestion une variable stratégique de la réflexion des organisations.

🏁 Un ouvrage à venir / « Risk Management. Organisation et Positionnement de la Fonction Risk Manager. Méthodes de Gestion des Risques. » / Parution le 9 juin 2022 / Editions Gereso.

https://librairie.gereso.com/livre-entreprise/risk-management-fris2.html

Il s’agit de :

La 2ème édition de notre ouvrage «  La Fonction Risk Manager. Organisation, Méthodes et Positionnement » (Editions Gereso, 2019)

Avec un titre plus « large » / La Fonction Risk Manager / La démarche de Gestion des Risques

 Avec de nouveaux exemples :

Comme, dans le chapitre I « Définition des notions et contextualisation de la Fonction Risk Manager, celui intitulé « Le Risque de Réputation et le Risque Ethique : une « nouvelle » affaire Nike

Pour illustrer

  • l’imbrication des facteurs déjà mis en œuvre depuis les années quatre-vingt-dix
  • la transversalité du risque.

🎯 Aujourd’hui, je vous propose un autre exemple à travers un article de Nathalie Belhoste sur ce qu’il est convenu d’appeler l’affaire Lafarge.

  Même intitulé : Risque de Réputation et Risque Ethique.

 Mêmes facteurs : élargissement du domaine de la gestion des risques / subjectivité et perception du risque / amplification du risque par les médias / le régulateur-législateur / réticence des assureurs à l’assurer / les « affaires » / amplification du risque par le régulateur-législateur.

  Transversalité du risque : Réputation / Ethique / Géopolitique.

🏅Testez cette grille de lecture sur les risques du Top Ten des baromètres de risques –  cyber-risque/risque sanitaire… – ; sur les affaires – Incendie de l’usine Lubrizol…-.

Affaire Lafarge en Syrie, pour Nathalie Belhoste, il y a eu « une myopie organisationnelle »

Que nous apprend l’affaire Lafarge en Syrie sur la responsabilité des entreprises en temps de guerre ?

Nathalie Belhoste, professeure associée à l’école de management de Grenoble : « De mon point de vue, cette affaire révèle plusieurs failles dans la compréhension des éléments par les entreprises. Le cimentier a fait preuve d’une myopie organisationnelle dans le sens où il a voulu rester à tout prix pour sauver des investissements énormes (680 millions d’euros sur le site) et s’est retrouvé dans une situation de dépendance vis-à-vis d’acteurs illégitimes et illégaux. Ce phénomène a été renforcé par une gestion à distance entre l’usine et le siège social qui a pu nuire à l’appréciation du danger de la complexité locale. Par ailleurs, les signaux forts auraient dû être observés et ne l’ont pas été (comme le développement des sanctions et embargos au fil des années). »
De nombreuses entreprises s’en sont allées de Russie, comme Renault et McDonald’s tout récemment, que ce soit par solidarité avec l’Ukraine ou parce qu’elles étaient asphyxiées par les sanctions. Quel parallèle peut-on faire avec l’affaire Lafarge ?« Rappelons d’abord que les situations sont bien différentes : en Syrie, il s’agissait d’une guerre civile, tandis qu’en Ukraine, c’est un conflit entre deux États-nations. Toutefois, on voit que les entreprises ne réagissent plus avec la même temporalité. On se pose beaucoup plus tôt la question de savoir s’il faut rester dans un pays en guerre. Des affaires comme celles de Lafarge ont permis de se rendre compte du coût pénal à ne pas appliquer la loi. Et il ne faut pas oublier la mise en place de la loi Sapin II et l’instauration du devoir de vigilance en 2017 (qui imposent aux entreprises des procédures de vérification des tiers afin notamment de lutter contre la corruption, le trafic d’influence, l’atteinte aux droits humains, à l’environnement et à la santé des personnes). Cela oblige les entreprises à être plus conscientes des conséquences de leurs actions. »
Parfois, c’est la pression de la société civile qui a poussé les entreprises à partir de Russie…« Oui, tout à fait. Et c’est une différence fondamentale entre les deux situations : la mobilisation a été beaucoup plus rapide en 2022 pour l’Ukraine qu’elle ne l’a été en 2011 en Syrie. Bien sûr, la médiatisation et la lecture claire de la guerre en Syrie se sont faites plus graduellement, mais on voit aussi que la société civile a changé. Les ONG et la population sont bien plus sensibilisées et ont appelé très rapidement au boycott de plusieurs entreprises restées en Russie. Il est intéressant de voir qu’elles ne sont pas toutes logées à la même enseigne et que certaines, moins connues du grand public, sont restées sans subir les foudres de la vindicte populaire. »

Repères

Une possible mise en examen de Lafarge

La cour d’appel de Paris rendra mercredi sa décision sur la validité de la mise en examen du groupe pour « complicité de crimes contre l’humanité ». Lafarge SA est soupçonné d’avoir versé en 2013 et 2014, via une filiale, près de 13 millions d’euros à des groupes terroristes, dont l’organisation État islamique (EI), afin de maintenir l’activité d’une cimenterie en Syrie alors que le pays s’enfonçait dans la guerre. Le groupe a toujours contesté toute responsabilité dans la destination de ces versements à des organisations terroristes. Dans ses réquisitions, le parquet général a demandé le maintien de la mise en examen pour « complicité de crimes contre l’humanité » de Lafarge mais a requis l’annulation de sa mise en examen pour « mise en danger de la vie d’autrui ». Les avocats du cimentier n’ont pas souhaité faire de commentaire avant le délibéré de mercredi.

Nathalie Belhoste. 17/05/2022. 

élargissement du domaine du risque, cyberisque-cybersécurité, dispositifs de contrôle et plans d'actions, E.R.M

CA BOUGE DU COTE DU CYBER-RISQUE (4) COMMENT SE PREMUNIR CONTRE UNE CYBERATTAQUE.

3 commentaires
🏅Le cyber risque, risque n°1 pour les entreprises.
Un risque nouveau aux modalités multiples, un risque subjectif qui le rend difficile à appréhender et à gérer, un risque difficile (« illusoire ») à assurer, un risque amplifié par le régulateur-législateur
❓Evaluation du risque : une probabilité élevée (voir causes nombreuses) ; un impact fort (voir coût élevé)
 🚴 Comment agir ?
👉 Indispensable, a minima complémentaire à l’assurance, mieux que l’assurance, mettre en place des plans d’actions pour gérer le cyber risque :
–          Le prévenir
–          L’atténuer
–          L’accepter sous sa forme résiduelle

👉 L’Agence Nationale de Sécurité des Systèmes d’Information (ANSII) propose des plans d’action et cinq mesures préventives pour gérer le cyber-risque.

🏔 En savoir plus : à relire sur le blog
Plans d’action / fraude au président
https://gestiondesrisques.net/2021/12/09/le-risque-variable-strategique-de-la-reflexion-des-entreprises-3-un-nouveau-risque-la-fraude-au-president-suite-un-exemple-de-plan-dactions/
Plans d’action / cyber-risques liés au télétravail
https://gestiondesrisques.net/2021/10/06/teletravail-risques-et-plans-dactions-ou-quels-plans-dactions-pour-gerer-les-risques-lies-au-teletravail-et-selon-quelle-approche-2/
https://gestiondesrisques.net/2021/09/29/quels-plans-dactions-pour-gerer-les-risques-lies-au-teletravail/
Nécessaire implication des salariés / gestion du cyber-risque
https://gestiondesrisques.net/2018/10/19/implication-des-collaborateurs-dans-la-demarche-de-gestion-des-risques-lexemple-du-cyber-risque/
🏔 En savoir plus : à découvrir ci-dessous un article sur les plans d’actions préconisés par l’ANSII

Comment se prémunir d’une cyberattaque ?

Depuis quelques années, les cyberattaques se multiplient, en particulier en temps de crise, qu’elle soit sanitaire ou sécuritaire. L’occasion de faire le point sur les recommandations de l’Agence nationale de la sécurité des systèmes d’information (ANSSI) pour vous protéger en ligne.

Vous recevez un courriel estampillé Trésor public vous demandant de fournir vos coordonnées bancaires pour procéder à un remboursement ?

Un service de transport vous demande par sms de cliquer sur un lien pour régler les taxes douanières d’un colis ?

Vous recevez un courriel de la part de la gendarmerie nationale vous accusant d’un délit et vous demandant de répondre sous peine de poursuites ?

Soyez vigilant : les demandes adressées de manière autoritaire ou intimidante, par courriel ou par SMS, dissimulent parfois des tentatives d’arnaques.

Outre la bonne pratique qui consiste à séparer ses usages personnels et professionnels, voici les recommandations de l’ANSSI pour vous prémunir des attaques cyber.

1. Utilisez des mots de passe robustes

L’un des premiers réflexes consiste à définir des mots de passe robustes, à la fois difficiles à trouver par un système automatisé et à deviner pour une tierce personne.

Privilégiez des mots de passe longs, complexes et composés de différents types de caractères (des chiffres, des lettres majuscules, des lettres minuscules et des caractères spéciaux).

2. Préservez votre identité numérique

Préservez votre identité numérique en vous montrant vigilant en ligne et les réseaux sociaux : prenez soin de vos données personnelles et ne communiquez pas vos informations sensibles (numéro de téléphone, adresse ou numéro de carte bleue).

3. Protégez votre messagerie

Si vous recevez un message d’une personne que vous connaissez bien, mais que le contenu est étonnant (un titre en anglais ou dans une autre langue, une demande inhabituelle), faites preuve de prudence !

Vous devez garder en mémoire que l’identité de l’expéditeur peut être usurpée. Soyez attentif à tout indice mettant en doute l’origine réelle d’un courriel : incohérence de forme ou de fond entre le message reçu et ceux que votre interlocuteur légitime vous envoie habituellement.

Dans le même sens, ne répondez pas aux demandes suspectes d’expéditeurs inconnus.

Les demandes d’informations confidentielles sont rarement faites par courriel. Soyez donc attentifs à ces tentatives dites d’hameçonnage, aussi appelées phishing. Par exemple, le règlement de vos impôts passe uniquement par votre profil de contribuable sur le site impots.gouv.fr : le Trésor public ne vous demandera jamais vos coordonnées bancaires par courriel.

Vérifiez les liens qui figurent dans vos courriels avant de cliquer dessus. Si vous avez un doute, saisissez vous-même l’adresse du site dans la barre d’adresse du navigateur.

Assurez-vous également qu’en passant la souris au-dessus du lien proposé, l’adresse du site soit conforme à l’expéditeur annoncé. Souvent, le contenu des sites frauduleux comporte des fautes de français, mais de plus en plus, les tentatives d’hameçonnage emploient un français correct.

Enfin, soyez vigilant avant d’ouvrir les pièces jointes. Elles constituent le principal vecteur d’attaque et peuvent véhiculer des programmes malveillants.

4. Mettez à jour vos équipements

Votre ordinateur doit être équipé d’un antivirus efficace, ainsi que d’un système d’exploitation et de logiciels à jour pour se protéger des cyberattaques.

Les hackers ciblent les ordinateurs utilisant des logiciels qui ne sont pas à jour pour exploiter les vulnérabilités non corrigées.

5. Évitez la connexion aux réseaux non sécurisés

Évitez aussi les réseaux publics ou inconnus. Privilégiez la connexion de votre abonnement téléphonique (3G ou 4G) lorsque vous êtes en déplacement.

Les réseaux wi-fi publics sont souvent mal sécurisés, et peuvent être contrôlés ou usurpés par des pirates qui pourraient ainsi voir passer et capturer vos informations personnelles ou confidentielles (mots de passe, numéro de carte bancaire…).

Si vous n’avez d’autre choix que d’utiliser un wi-fi public, veillez à ne jamais y réaliser d’opérations sensibles et utilisez si possible un réseau privé virtuel (VPN).

6. Sauvegardez régulièrement vos données

Enfin, il faut penser à sauvegarder vos fichiers régulièrement sur un support externe à votre équipement (clé ou disque USB) que vous débranchez une fois la sauvegarde effectuée. En cas de piratage de votre ordinateur, vous risquez de perdre des données (photos, fichiers, contacts, messages…).

Si vous êtes victime d’une cyberattaque

Prévenez vos contacts, changez vos mots de passe, obtenez de l’assistance auprès de cybermalveillance.gouv.fr, déposez plainte.

ANSII. 16/03/2022

Cybersécurité : 5 mesures préventives préconisées par l’ANSSI pour protéger les entreprises

Face aux tensions liées au contexte international actuel, les entreprises doivent rester vigilantes et mettre en place une série d’actions de prévention.

L’ANSSI recommande aux entreprises de rester en alerte face aux cybermenaces.

Alors que la guerre entre la Russie et l’Ukraine gagne aussi le terrain du cyberespace, avec des cyberattaques qui se multiplient des deux côtés, Guillaume Poupard, directeur général de l’Agence nationale de la sécurité des systèmes d’information (ANSSI), recommande aux organisations françaises de redoubler de vigilance.

Les tensions internationales actuelles, notamment entre la Russie et l’Ukraine, peuvent parfois s’accompagner d’effets dans le cyberespace qui doivent être anticipés. Si aucune cybermenace visant les organisations françaises en lien avec les récents événements n’a pour l’instant été détectée, l’ANSSI suit néanmoins la situation de près. Dans ce contexte, la mise en œuvre des mesures de cybersécurité et le renforcement du niveau de vigilance sont essentielles pour garantir la protection au bon niveau des organisations, explique Guillaume Poupard dans un post LinkedIn.

Concrètement, le directeur général de l’ANSSI demande aux entreprises et aux administrations françaises de suivre avec attention les alertes ainsi que les avis de sécurité publiés et mis à jour régulièrement par le Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques (CERT-FR). Chaque organisation est également invitée à mettre en place « à court terme » une série de mesures pour « limiter la probabilité d’une cyberattaque ainsi que ses potentiels effets ». L’ANSSI rappelle également que, pour que ces actions soient réellement efficaces, elles doivent « s’inscrire dans une démarche de cybersécurité globale et de long terme ».

Les 5 mesures cyber préventives recommandées par l’ANSSI

Le message relayé par Guillaume Poupard s’accompagne d’un document réalisé par l’Agence nationale de la sécurité des systèmes d’information présentant les « mesures cyber préventives prioritaires » liées aux « tensions internationales actuelles ».

Dans ce diaporama d’une dizaine de pages, l’ANSSI détaille ses 5 recommandations à destination des entreprises, afin de renforcer leur niveau de sécurité informatique :

  1. Renforcer l’authentification sur les systèmes d’information : il s’agit ici de mettre en œuvre une authentification forte pour les comptes particulièrement exposés (administrateurs, personnel de direction, cadres dirigeants…), nécessitant 2 facteurs, soit « un mot de passe, un tracé de déverrouillage ou une signature», soit « un support matériel (carte à puce, jeton USB, carte magnétique, RFID) ou a minima un autre code reçu par un autre canal (SMS) ».
  2. Accroître la supervision de sécurité : un système de supervision des événements journalisés devra être mis en place pour « détecter une éventuelle compromission et de réagir le plus tôt possible ».
  3. Sauvegarder hors-ligne les données et les applications critiques : les sauvegardes effectuées doivent être réalisées en étant déconnectées du système d’information « pour prévenir leur chiffrement », et des solutions de stockage à froid (disques durs externes, bandes magnétiques) peuvent être utilisées afin de « protéger les sauvegardes d’une infection des systèmes et de conserver les données critiques à la reprise d’activité ».
  4. Établir une liste priorisée des services numériques critiques de l’entité : l’ANSSI conseille de réaliser un inventaire des services numériques d’une organisation en les listant par type de sensibilité, et d’identifier les dépendances vis-à-vis des prestataires externes.
  5. S’assurer de l’existence d’un dispositif de gestion de crise adapté à une cyberattaque : les entreprises doivent déterminer les contacts d’urgence et établir un plan de réponse adapté à la gestion des cyberattaques.

Alexandra Patard / 2 mars 2022.

élargissement du domaine du risque, cyberisque-cybersécurité, E.R.M, GESTION DES RISQUES, LEGISLATEUR - REGULATEUR ET AMPLIFICATION DU RISQUE, RISQUES

CA BOUGE DU COTE DU CYBER-RISQUE (3) UN PROJET DE LOI PERMETTANT A L’ASSUREUR DE REMBOURSER LES CYBER-RANCONS

5 commentaires

🏅Le cyber risque, risque n°1 pour les entreprises.

Un risque nouveau aux modalités multiples, un risque subjectif qui le rend difficile à appréhender et à gérer, un risque difficile (« illusoire ») à assurer, un risque amplifié par le régulateur-législateur

❓Evaluation du risque : une probabilité élevée (voir causes nombreuses) ; un impact fort (voir coût élevé)

 🚴 Comment agir ?

👉 Un projet de loi permettant le remboursement par l’assureur des cyber-rançons

Le post très pédagogique de Paul Berger de Gallardo, avocat, pour faire un point sur le projet de loi

Deux articles pour vous positionner. Et vous quel est votre avis sur ce projet de loi ? Une bonne solution pour les assureurs ? Une solution pour gérer le cyberrisque ?  

👉Les plans d’action préconisés par l’ANSII pour gérer le cyberrisque – dans 15 jours sur le blog

LE POST TRES PEDAGOGIQUE DE PAUL BERGER DE GALLARDO, AVOCAT, POUR FAIRE UN POINT SUR LE PROJET DE LOI.

🔐 Le remboursement par l’assureur des cyber-rançons conditionné à un dépôt de plainte ?

🚨 Un projet de loi prévoit d’encadrer les clauses de remboursement des rançongiciels par les #assurances, en rendant obligatoire le dépôt d’une plainte par la victime dans les 48h après le paiement de cette rançon.

🔹 Quoi ? Le rançongiciel ou ransomware est ainsi défini par l’ANSSI – Agence nationale de la sécurité des systèmes d’information : « envoi à la victime d’un logiciel malveillant qui chiffre l’ensemble de ses données et lui demande une rançon en échange du mot de passe de déchiffrement ».

🔸Pourquoi ? 20 % des entreprises françaises déclarent avoir subi au moins une attaque par rançongiciel au cours de l’année 2020, atteignant souvent l’activité économique et perturbant parfois la production.

🔕 L’absence fréquente de plainte des victimes, par crainte de reconnaître leur vulnérabilité et de ternir leur image, empêche toute investigation.

🔹Est-ce légal de payer une rançon, et d’être remboursé par son assurance ? Ainsi que l’a rappelé récemment le HCJP (Haut Comité Juridique de la Place Financière de Paris), le paiement d’une rançon par la victime d’une extorsion ne constitue ni un délit ni un acte de complicité dès lors que le consentement au paiement n’est pas libre mais résulte de la contrainte.

➡️ L’assurance du risque de rançongiciel ne paraît se heurter à aucun obstacle juridique majeur.

🔸 Quelles sont les solutions possibles ? L’étude d’impact du projet de loi a analysé trois solutions : 1️⃣ assujettir le remboursement d’une rançon versée par un assureur au dépôt de plainte 2️⃣ rendre obligatoire la déclaration à TRACFIN de tout paiement d’une rançon 3️⃣ promouvoir au niveau européen l’interdiction du paiement des rançons par les assureurs suite à une #cyber-attaque.

⁉️ Pourquoi retenir la première solution ? L’interdiction du paiement des rançons et de leur #assurance pèserait de manière démesurée sur les entreprises qui jouent parfois leur survie. Le dépôt d’une plainte rapide permettrait aux autorités compétentes de bénéficier des informations nécessaires à la poursuite des infractions et de « casser » le modèle de rentabilité des cyber‑attaquants.

🔹 Comment ? Par la création d’un article L. 12-10-1 du Code des assurances prévoyant cette condition de garantie au sein d’un nouveau chapitre « L’assurance des risques de cyber-attaques ».

🕰 La règle envisagée serait d’application immédiate et entrerait en vigueur également pour les contrats en cours.

⬇️ Que pensez-vous du paiement des cyber-rançons, de leur assurabilité et de ce projet de condition de garantie ? ⬇️

DEUX ARTICLES POUR VOUS POSITIONNER / ET VOUS QUEL EST VOTRE AVIS SUR CE PROJET DE LOI ? SOLUTION POUR GERER LE CYBERRISQUE ? 

Loi LOPMI : pour payer la rançon, il faudra déposer plainte

Sécurité : Le nouveau projet de loi d’orientation et de programmation encadre notamment la transition numérique des forces de l’ordre et propose un régime encadrant le paiement des rançons dans les affaires de rançongiciels.

Le projet égrène une douzaine de mesures, dont une partie concerne le développement des capacités des policiers et des gendarmes en matière de réponse aux crimes et délits en lien avec le numérique, ainsi que des dispositions visant à équiper les forces de l’ordre de nouveaux équipements.

Parmi les nouvelles dispositions, le gouvernement propose une première approche visant à encadrer le paiement des rançons suite à des attaques au ransomware. Comme le précise l’article 5 du projet de loi, le versement d’une rançon couverte par l’assureur de la société victime est possible si la victime accepte de déposer plainte dans les 48 heures après le paiement de la rançon.

Pas d’interdiction du paiement des rançons

Une manière de trancher le débat qui faisait rage depuis plusieurs mois autour du paiement des rançons exigées par les groupes de rançongiciels. Le directeur de l’Anssi avait allumé la mèche en fustigeant publiquement les « intermédiaires » qui acceptaient de payer les rançons, mais il avait également reconnu que cette possibilité devait rester ouverte dans certains cas. Depuis, les assureurs étaient nombreux à réclamer « une clarification » des règles sur le sujet, certains ayant choisi de cesser de proposer leurs assurances cyber prévoyant le paiement de rançons dans les affaires de ransomware.

En la matière, le gouvernement a donc choisi de s’aligner sur la proposition émise par le haut comité juridique de la place financière de Paris, qui avait été saisi du sujet et a publié un rapport à la fin du mois de janvier sur la question. Le haut comité recommandait de ne pas interdire purement et simplement le paiement des rançons, mais de conditionner celui-ci à un dépôt de plainte. Cette approche laisse donc une certaine marge de manœuvre aux victimes et à leurs assureurs, en leur permettant d’envisager le paiement d’une rançon pour espérer récupérer l’accès aux données. Et elle donne un coup de pouce aux forces de l’ordre qui ont du mal à convaincre les entreprises de déposer plainte après une attaque informatique.

Renforcer les forces de l’ordre sur le numérique

Outre cette disposition, le projet de loi prévoit également d’étendre les enquêtes sous pseudonyme, jusqu’alors réservées à certains délits concernant le trafic de drogues et d’armes, à l’ensemble des crimes et délits punis d’une peine d’emprisonnement. Le projet de loi prévoit également d’ouvrir aux forces de police la saisie « d’actifs numériques », terme utilisé pour décrire les cryptomonnaies et autres actifs basés sur une blockchain, aujourd’hui fréquemment utilisés dans le blanchiment d’argent et les affaires de rançongiciels.

Le texte reprend des mesures annoncées par le président de la République lors du discours de clôture du Beauvau de la sécurité, comme la place d’un « numéro 17 » dédié à la fraude informatique, la création de 1 500 postes de cyberpatrouilleurs et la création d’une agence du numérique des forces de sécurité, chargée de superviser l’équipement des policiers et gendarmes en smartphones et accessoires nécessaires aux enquêtes. Le montant prévu de ces différents investissements est estimé à 8 milliards d’euros.

Adopté en conseil des ministres, le texte doit maintenant être soumis au vote du parlement. Mais, calendrier oblige, celui-ci ne sera présenté qu’après l’élection présidentielle, donc pour la prochaine législature. Un timing relevé par le Conseil d’Etat dans son avis sur la loi, qui remarque le calendrier « pour le moins habituel » pour un projet de loi de ce type.

Par Louis Adam. Mars 2022

Cyberattaques : les assureurs rassurés sur la possibilité de couvrir les rançons

Un projet de loi prévoit qu’une entreprise victime d’une cyberattaque et contrainte de payer une rançon devra déposer plainte pour obtenir la prise en charge de ce paiement par son assureur. Une bonne nouvelle pour les représentants du secteur.

Les promesses ont mis du baume au coeur des syndicats de policiers mais aussi… des assureurs. Le plan de modernisation des moyens des forces de l’ordre , présenté par le gouvernement à la mi-mars, est en effet considéré par la profession comme une bonne nouvelle pour le développement dans l’Hexagone des assurances contre les cyberattaques.

Le projet de loi, dit LOPMI, prévoit notamment d’obliger les entreprises victimes d’un rançongiciel à porter plainte dans les 48 heures suivant le paiement d’une rançon pour obtenir sa prise en charge par l’assurance. Et ce, afin « d’améliorer l’information des forces de sécurité et de l’autorité judiciaire, et de ‘casser’ le modèle de rentabilité des cyberattaquants », note le projet.

Pas de changement sur le fond

« La France, comme les autres pays dans le monde, ne veut pas interdire l’incorporation de la garantie sur le paiement des rançons dans les contrats d’assurance cyber », a salué la semaine dernière, lors d’une conférence de presse, la présidente de la fédération France Assureurs, Florence Lustman, se félicitant d’une telle clarification.

La portée de cette disposition est à relativiser. Déposé à quelques semaines de l’élection présidentielle, le projet de loi n’est à ce stade pas à l’étude au Parlement et son avenir dépendra du résultat du scrutin. Par ailleurs, si la mesure était adoptée, elle ne changerait pas les habitudes. Elle « ne change rien sur le fond car les assureurs imposaient déjà un dépôt de plainte », explique Mickaël Robart, expert chez le courtier Diot-Siaci.

« Mais elle montre que le risque cyber est plutôt traité par les assureurs de façon responsable. » Ceux-ci veulent croire qu’avec ce projet de loi, il n’y a plus d’insécurité juridique : les services de l’Etat ont tranché, notamment Bercy qui a lancé l’été dernier des travaux sur la cyberassurance .

Autrement dit, ils n’iront pas dans le sens du patron de l’Agence nationale de la sécurité des systèmes d’information (ANSII) et de la vice-procureure en charge de la cybersécurité au parquet de Paris. Au printemps dernier, ces derniers avaient estimé que la prise en charge des rançons par l’assurance pouvait encourager la cybercriminalité.

Pas de changement chez AXA France

En octobre, un rapport parlementaire avait préconisé l’interdiction du paiement des rançons. Au contraire, en début d’année, des experts avaient mis en garde contre les effets d’une telle interdiction.

Signe que le sujet est sensible, Generali France a décidé en début d’année de tourner le dos au paiement des rançons. Quant à AXA France, qui avait décidé de suspendre sa garantie rançon l’an dernier, il n’a pas changé de politique avec la loi LOPMI, indique un porte-parole.

Solenn Poullennec. Avril 2022.

élargissement du domaine du risque, cyberisque-cybersécurité, E.R.M, GESTION DES RISQUES, identification des risques, quantification-cartographies, RISQUES

CA BOUGE DU COTE DU CYBER RISQUE (2) QUEL IMPACT ? QUEL COUT ?

4 commentaires
Nouvelles publications sur le Blog consacrées au cyber risque et à la cyber sécurité.
ERM, Gestion des Risques, Analyse du risque, Evaluation du cyber risque.
  • Après l’avoir décrit, contextualisé et identifié ses modalités, un résumé des causes et conséquences du cyber risque (risque cyber) ;
  • Deux articles proposant une estimation de son coût. Ces études font écho à celles déjà menées sur le risque réputation.
A lire et à relire sur le blog dans la catégorie Risque et la sous-catégorie Cyber risque et cyber sécurité :
Rappel de ce qu’est le cyber risque – analyse du risque / description, contextualisation, modalités ; dernières attaques – :
CA BOUGE DU COTE DU CYBER-RISQUE (1) Contextualisation et modalités des cyber-menaces. Entreprises, municipalités, hôpitaux, écoles…
Estimations / évaluation du risque / coût du risque de réputation :
What Price Reputation ? Article intéressant sur l’impact d’une dégradation de la réputation sur la valorisation boursière
Le cyber risque dans les classements de risques :  
https://gestiondesrisques.net/2022/01/20/un-2eme-classement-des-risques-par-les-entreprises-le-barometre-dallianz/ https://gestiondesrisques.net/2022/01/17/classement-des-risques-par-les-entreprises/
La réticence des assureurs à assurer le cyber risque :
https://gestiondesrisques.net/2021/03/09/risques-assurances-marche-des-assurances-cyberrisque-et-assurances/
 Le RGPD dans le rôle d’amplificateur de risque et la nécessité de mettre en place une démarche de gestion des risques (ERM) :
https://gestiondesrisques.net/2021/01/26/rgpd-best-practices-et-plans-dactions/
Le cyber risque et le télétravail. Démarche de gestion des risques (ERM) et plans d’actions :
https://gestiondesrisques.net/2021/10/06/teletravail-risques-et-plans-dactions-ou-quels-plans-dactions-pour-gerer-les-risques-lies-au-teletravail-et-selon-quelle-approche-2/
https://gestiondesrisques.net/2021/09/14/teletravail-et-risques-2/

Cyber risque : causes et conséquences

Pour compléter l’analyse (étape d’identification) du cyber risque, nous pouvons citer comme causes de sa survenance :

  • la mauvaise protection des réseaux locaux ;
  • l’absence de mise à jour par les utilisateurs ;
  • des systèmes et logiciels anciens et vulnérables ; une mauvaise sécurisation des données ;
  • l’augmentation des activités en ligne, notamment avec le télétravail ;
  • la prise en compte insuffisante du risque par manque de moyens financiers, de personnel qualifié, de sensibilisation et de culture du risque notamment dans les municipalités ;
  • le sous-contrôle du risque…

Ses conséquences sur l’organisation sont multiformes et peuvent être lourdes :

  • interruption du fonctionnement d’un service et détermination nécessaire d’un délai de retour à la normale qui peut prendre la forme d’une paralysie pendant plusieurs semaines de l’accueil dans les mairies et dans les hôpitaux avec un impact sur les rendez-vous, les interventions, l’imagerie, les actes…et les patients eux-mêmes, l’arrêt de la production de certains sites dans les entreprises…

Quel Impact ? Quel coût ?

 Risque cyber : une société mal préparée peut perdre jusqu’à 20 % de sa valeur 

Investisseurs et repreneurs tiennent compte des risques cyber dans l’évaluation des entreprises qu’ils convoitent. Une société mal préparée peut perdre jusqu’à 20 % de sa valeur. Alors avant d’ouvrir son capital ou de vendre, un audit informatique complet s’impose.

Les cyberattaques ont augmenté de 13 % l’année dernière, selon la société Orange cyberdefense. Et ce sont les TPE et PME qui sont le plus souvent visées. Elles font l’objet de 3 attaques sur 4. Quant au risque le plus élevé, il s’agit du ransomware ou rançongiciel qui constitue 38 % des incidents enregistrés. Les conséquences de ces attaques sont, elles, très difficiles à évaluer.

En cas de cyberattaque, les pertes de données mais aussi les pertes financières varient d’une entreprise à l’autre, selon le degré de préparation ou d’impréparation plutôt de chaque entreprise. Peu d’études ont tenté jusque-là d’en évaluer précisément le coût direct, et surtout indirect.

Un vol de données dévalorise l’actif

Une enquête réalisée par Bessé, en partenariat avec PwC France, avec Guy-Philippe Goldstein, chercheur et spécialiste des questions de cyberdéfense, apporte un éclairage nouveau sur cette question. L’étude analyse 30 incidents majeurs de cybersécurité s’étant produits dans 28 entreprises mondiales entre 2008 et 2017.

Les deux tiers de ces sociétés ont vu leur valeur boursière affectée avec, en moyenne, plus d’un an après l’incident, une perte de la valeur patrimoniale de 10 %, et même de 20 % pour les entreprises les moins réactives et les moins bien préparées. Au bout de douze mois, la diminution globale du cours de l’action est de 19,5 %, ce qui peut être vu comme une perte structurelle pour l’entreprise, et génère de facto un déficit de confiance.

Si la variation du cours de Bourse traduit l’impact du cyberrisque sur les entreprises cotées, quel est l’indicateur pour les entreprises non cotées ? Investisseurs et repreneurs potentiels analysent et estiment les risques cyber dans leur calcul de valorisation. « La menace cyber impacte la valeur des actifs. Un entrepreneur qui achète des données clients, et qui n’est pas certain de leur sécurité, va généralement défalquer 20 % de la valeur de la société cible », rapporte Laurent Bernier, dirigeant de la société Les Oies du Cyber, spécialisée dans la cybersécurité pour les PME.

L’ampleur des enjeux plaide donc pour une stratégie d’anticipation et une analyse amont du risque cyber. « La cybermenace concerne aussi bien la réputation de l’entreprise que la perte de confiance, poursuit Laurent Bernier. Si l’entreprise se voit piller dix ans d’historique clients, un secret de fabrication dans un vol de données, si une cyberattaque remet en cause la relation avec l’un de ses principaux clients à la suite d’une fuite d’informations, le nouvel acquéreur va perdre une partie de la jouissance future du bien ».

Auditer le système d’information

Un investisseur ou un repreneur va donc s’efforcer de comprendre comment l’entreprise qu’il convoite se protège, se prépare et cherche à diminuer l’impact d’une éventuelle attaque. Pour cela, il va analyser en profondeur les dispositifs de prévention et les outils de réponse. Notamment en menant un audit. « Plus l’entreprise est digitale, plus l’audit est complexe », prévient Laurent Bernier. Il convient de détailler la politique de mots de passe et d’autorisations, les conditions de connexion sur site et en dehors de l’entreprise.

Un audit devrait aussi comporter un scanner des vulnérabilités pour identifier les points faibles des infrastructures matérielles et logicielles afin de détecter rapidement les failles de sécurité qui pourraient être exploitées par une personne malveillante. Enfin, il faut s’assurer que l’entreprise a bien mis au point un plan de continuité efficace en cas d’incident majeur

Pour que cette analyse soit la plus pertinente, l’investisseur ou le repreneur s’entoure en général d’un expert qui devra s’assurer de la qualité des outils informatiques et évaluer le dispositif technique de détection des attaques. Evidemment, cette analyse devrait aussi être conduite par toute entreprise qui souhaite ouvrir son capital ou trouver un repreneur. « Pour prouver sa fiabilité, un vendeur a tout intérêt à anticiper. Cette démarche demande du temps, environ un an. Une entreprise bien protégée, dotée d’une approche globale et structurée, va augmenter sa valeur de 10 à 15 % », conclut l’expert en cybersécurité Laurent Bernier.

Mallory Lallane  Le 22/03/ 2022

78 % des entreprises françaises ont subi une attaque par ransomware au cours de cinq dernières années

Et 69 % d’entre elles ont versé une rançon, selon une étude d’ExtraHop

La nouvelle enquête Cyber Confidence Index d’ExtraHop révèle que les décideurs en matière de sécurité et d’informatique ont confiance dans la posture de sécurité de leur entreprise malgré la fréquence des attaques

Parmi les autres principaux résultats de l’enquête :

  • Coût élevé des ransomwares : 69 % des participants admettent avoir déjà versé une rançon tandis que 36 % des entreprises victimes d’une attaque par ransomware déclarent avoir payé la somme demandée dans la plupart ou la totalité des cas. En outre, les victimes de ransomwares font état d’autres préjudices, parmi lesquels une interruption de l’activité (45 %) ou du travail des utilisateurs (40 %) ou encore une perte de propriété intellectuelle et une atteinte à leur image de marque (41 %).
  • Dommages causés à l’activité : les attaques de ransomwares touchent l’ensemble de l’entreprise. 45 % des participants déclarent avoir subi une interruption d’activité résultant d’attaques contre l’infrastructure informatique (IT), 32 % à la suite d’attaques contre l’infrastructure opérationnelle (OT) et 40 % déplorent une interruption du travail des utilisateurs causée par des attaques ciblant ceux-ci.

Sandra Coret. Le 10 mars 2022.

élargissement du domaine du risque, E.R.M, le métier: naissance et évolution

RISQUE-GESTION DES RISQUES-RISK MANAGER : UNE ACTUALITE CHARGEE

3 commentaires

Il y a des semaines où les alertes se multiplient. Nous vivons une de ces périodes.

EN RESUME :

🏅Une multiplication des cyberattaques…

CA BOUGE DU COTE DU CYBER-RISQUE (1) Contextualisation et modalités des cyber-menaces. Entreprises, municipalités, hôpitaux, écoles…

🏅Le cyber risque qui peut devenir risque de réputation (Voir Emma) ; le risque opérationnel qui se peut se transformer en risque de réputation (Affaires Buitoni et Kinder à deux jours d’intervalle)…Transversalité du Risque.

https://www.linkedin.com/feed/update/urn:li:activity:6915342632881725440/

🏅Le risque éthique dans sa dimension gouvernance amplifié par le régulateur-législateur (loi sur le devoir de vigilance) : Mac Donald’s

https://www.linkedin.com/posts/caroline-irigoyen-hse_travail-forc%C3%A9-harc%C3%A8lement-sexuel-abus-de-activity-6917002519051157504-BxF9?utm_source=linkedin_share&utm_medium=member_desktop_web

🏅Le rapport GIEC qui positionne le risque climatique comme risque majeur sur les cartographies…

https://www.linkedin.com/posts/caroline-aubry-_climat-le-mode-demploi-du-giec-pour-activity-6917012187194552320–L0L?utm_source=linkedin_share&utm_medium=member_desktop_web

🏅La guerre en Ukraine qui « révèle » le risque géopolitique…

🏆 Cette actualité rappelle, s’il en est besoin, que le risque est (doit être) une variable stratégique de la réflexion des organisations, que la mise en place d’une gestion des risques de type ERM est incontournable et que la fonction qui est (doit être) à la manœuvre est la Fonction Risk Manager.

C’est ma thématique de recherche. Riche et passionnante.

Bonne lecture.

Ci-dessous un article sur « l’affaire » Buitoni.

E. coli dans les pizzas Buitoni : ouverture d’une enquête pour « homicides involontaires »

Le parquet de Paris a entamé des investigations pour « homicides involontaires », « tromperie » et « mise en danger d’autrui ». Mercredi, la Direction générale de la santé a confirmé qu’il existait un lien entre l’apparition de plusieurs cas graves de contamination d’enfants par la bactérie E. coli et la consommation de pizzas Fraîch’up de Buitoni.

Le groupe Nestlé, propriétaire de la marque Buitoni, fait face à une enquête. Le parquet de Paris a indiqué ce vendredi avoir entamé des investigations après plusieurs cas graves de contamination d’enfants par la bactérie Escherichia coli et des décès, Mercredi, les autorités sanitaires avaient annoncé avoir établi un lien entre la consommation des pizzas surgelées de la gamme Fraîch’up de Buitoni et des cas graves de contamination.

Cette enquête confiée au pôle santé publique (PSP) du parquet de Paris dont la compétence est nationale, a été ouverte le 22 mars. « Le PSP, sur dessaisissement des parquets de Nancy et Saint-Malo et en application de sa compétence en matière d’infractions portant atteinte à la santé », s’est saisi de l’enquête, a ainsi précisé le parquet de Paris.

Deux enfants décédés

Dans le détail, l’enquête porte sur les infractions de « tromperie sur une marchandise, exposition ou vente de produits alimentaires corrompus ou falsifiés et nuisibles pour la santé, mise sur le marché d’un produit préjudiciable à la santé, mise en danger d’autrui, blessures involontaires et homicides involontaires ».

Elle a été confiée à l’Office central de lutte contre les atteintes à l’environnement et à la santé publique (Oclaesp), la Direction générale de la gendarmerie nationale, le service des enquêtes de la Direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF) et la Brigade nationale d’enquêtes vétérinaires et phytosanitaires (BNEVP) du ministère de l’agriculture, a précisé le parquet.

La France connaît depuis fin février une recrudescence de cas de syndromes hémolytiques et urémiques (SHU) liés à une contamination à E. coli. Santé Publique France indiquait mercredi que 75 cas étaient en cours d’investigation, dont 41 pour lesquels des syndromes hémolytiques et urémiques « similaires » ont été identifiés, et 34 pour lesquels des analyses supplémentaires sont en cours. Les enfants malades sont âgés de 1 à 18 ans. Deux d’entre eux sont décédés, même si le lien avec les pizzas n’a pas été confirmé dans leurs cas.

Les premiers tests réalisés par Nestlé, propriétaire de la marque Buitoni, sur le site de Caudry, dans le Nord, où sont fabriquées ces pizzas, sont revenus négatifs . « On ne comprend pas ce qui a pu arriver, mais nous allons développer un protocole d’analyse que nous allons soumettre aux autorités », avait précisé Jérôme Jaton, directeur général industriel de Nestlé, lors d’une conférence de presse ce mercredi.

Source AFP

approche socio-cognitive: rex, apprentissage, élargissement du domaine du risque, cyberisque-cybersécurité, dispositifs de contrôle et plans d'actions, E.R.M, psychosociaux, télétravail

QUELS PLANS D’ACTIONS POUR GERER LES RISQUES LIES AU TELETRAVAIL ET SELON QUELLE APPROCHE ?

5 commentaires

L’identification des risques liés au télétravail (étape 2 de la démarche de gestion des risques que je présente dans mes travaux) et leur mesure (probabilité/impact) (étape 3) permettent aux RM de les placer dans la cartographie des risques.

Voyons maintenant comment les gérer ?

Une grille de lecture / un article

👉 La mise en place de plans d’actions relève de l’étape 4 de la démarche de la gestion des risques.

En résumé, à quoi correspond-elle ?

Elle consiste à analyser les systèmes de contrôle interne : existe-t-il des dispositifs de contrôle ? De quels types sont-ils (procédures, chartes, formations, responsabilisation, assurances) ? Sont-ils efficaces, pertinents, fiables ?

Les conclusions quant à ces dispositifs de contrôle du risque permettent à l’entreprise de définir un ou des plans d’actions (bénéfice/ressources à investir) destinés à améliorer la couverture des risques majeurs (action sur l’impact et/ou la probabilité).

Les plans d’actions sont diffusés via la responsabilisation et la mise en réseau. En face de chaque risque majeur est positionné un responsable chargé d’un plan d’actions (également appelé le « propriétaire » du risque) : un réseau  de responsabilité est ainsi mis en place. Pour chaque famille de risques, des experts sont choisis pour aider ces « propriétaires » de risque : un réseau de soutien est mis en place. Un comité de risques central chapeaute ces deux réseaux.

Ces outils donnent à la démarche de gestion des risques son caractère dynamique.

👉 Des accords d’entreprise sont un plan d’actions pour prévenir les risques liés au télétravail.

Dans le cadre de leurs recherches, Caroline Diard et Nicolas Dufour (mon co-auteur pour l’ouvrage « La Fonction Risk Manager. Organisation, Méthodes et Positionnement » https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html) ont mesuré l’efficacité d’accords d’entreprise dans cinq grandes banques contre trois types de risques liés au télétravail : la surconnexion, la surcharge de travail, et une mauvaise articulation entre le contrôle et l’autonomie du télétravailleur.

👉 Une gestion des risques technique et socio-cognitive. D’une logique de contrôle à une logique de soutien.

A côté de la formalisation comme moyen de prévenir les risques, ils évoquent d’autres moyens tels que l’évolution des modes managériaux, l’autonomie, la co-construction de nouvelles normes, l’autodiscipline, les bonnes pratiques.

Les risques psycho-sociaux liés au télétravail comme tous les risques ne sont pas seulement un « problème » technique mais également un « problème » de facteur humain.

C’est une idée qui m’est chère et qui ressort des entretiens que j’ai pu mener avec des RM : la gestion des risques doit être à la fois technique et socio-cognitive, passer d’une logique de contrôle à une logique de soutien.

Elle rejoint la mise en place du « risk management intelligent» préconisés par Power (2004, 2007, 2009, 2016). Dans un article, j’écris : « Préférer une logique de soutien à la logique de contrôle qui prévaut à la mise en place de la gestion des risques transformerait la Fonction Risk Manager en instrument de légitimité cognitive. L’accès des RM au terrain serait facilité ; les obstacles associés à la logique de contrôle (manque de communication interne en direction des opérationnels, méfiance vis-à-vis des opérationnels, manque de motivation, de disponibilité et inertie des opérationnels, poids de la sanction venant de la direction) seraient allégés. Cette première dynamique passe par la mise en place d’une approche globale technique et socio-cognitive (Chautru, 2008 ; Aubry et Montalan, 2007). »

👉 A lire

Dans les banques, les accords d’entreprise limitent en partie les risques liés au télétravail

« En 2019, une étude de l’Association nationale des directeurs des ressources humaines (ANDRH) montrait que, dans la majorité des cas, le recours au télétravail était formalisé soit par un accord de groupe ou d’entreprise, soit par une charte d’employeur. Parmi ces sociétés, on retrouve de nombreuses banques, l’un des secteurs où cette pratique se concentre particulièrement.

Dans le cadre de nos recherches (menées fin 2019), nous avons évalué l’efficacité de tels accords dans 5 grandes banques contre trois types de risques liés au télétravail : la surconnexion, la surcharge de travail, et une mauvaise articulation entre le contrôle et l’autonomie du télétravailleur. Il ressort de notre étude, publiée dans la Revue de l’organisation responsable, que les accords d’entreprise permettent effectivement de réduire les deux premiers types de risques, mais leur portée reste limitée pour gérer le troisième enjeu.

Une surcharge de travail limitée

En ce qui concerne le droit à la déconnexion, les accords d’entreprise reprennent les dispositifs introduits dans le Code du travail en 2017. La possibilité d’être connecté 24 heures sur 24 rend en effet le télétravailleur disponible et induit parfois une situation de connexion subie. L’organisation doit donc anticiper la perméabilité de la frontière entre vie privée et professionnelle.

Dans l’une des banques étudiées, l’accord prévoit explicitement que :

« Aucun courriel ne sera adressé avant 8 h le matin et après 19 h 30 le soir ; aucun courriel ne sera adressé durant les week-ends et jours fériés sauf en cas de manifestations commerciales de type foires et salons auxquelles participerait le salarié nomade ».

Même si certains salariés reconnaissent des « difficultés à déconnecter » ou encore « consulter souvent les messages via le smartphone », ils déclarent globalement respecter la séparation vie privée – vie professionnelle, évoquant notamment l’efficacité en ce sens d’un cadrage lié à une connexion à distance qui s’interrompt par module de 4 heures.

Pour ce qui est de la charge du travail du salarié, en pratique, la mise en place du télétravail ne devrait pas avoir d’effet. Dans le cas des banques étudiées, le respect des horaires semble être prévu par les accords et les directions s’attachent à respecter la loi.

Or, nos observations terrain, comme d’autres travaux de recherche, révèlent une tendance à l’augmentation de la charge de travail lorsque celui-ci est réalisé à distance. Il semble s’agir d’initiatives des salariés qui témoignent avoir des difficultés à « poser des limites », comme l’un d’entre eux nous l’a confié.

Les accords permettent toutefois de contenir le phénomène. Dans une caisse régionale étudiée, la règle selon laquelle le télétravailleur doit rester joignable aux horaires habituels de l’équipe, ou encore la définition stricte des horaires « 8h30 – 12h30/13h30 – 18 h », constituent par exemple des mesures appréciées de certains, qui se disent même « plus performants ». La limitation à un jour de télétravail par semaine permet en outre de laisser la charge de travail quasi inchangée.

Du contrôle à l’« autocontrôle »

Lorsqu’on l’interroge sur une éventuelle surcharge de travail, un répondant reconnaît l’apparition d’une plus grande amplitude horaire, mais aussi d’« une souplesse appréciable ». Ce témoignage illustre bien la nécessité d’un management différent du travail à distance, qui doit prendre en compte les bouleversements en termes de contrôle, d’autonomie et de confiance dans l’organisation. D’autant plus que l’autonomie gagnée rend le collaborateur redevable, parfois tenté de prouver son engagement et sa loyauté.

Dans une situation de télétravail, le collaborateur doit en effet s’adapter à des situations inédites, en l’absence de manager, définissant alors par lui-même un mode de fonctionnement. De son côté, le manager peut être tenté de recourir au contrôle technologique du travail effectué, ce qui peut donner lieu à certaines dérives.

Dans tous les accords étudiés, signés au sein de 5 banques, l’accès au télétravail est fondé sur la capacité du salarié à travailler en autonomie et à distance, et concerne les collaborateurs ne nécessitant pas de soutien managérial physique rapproché. L’accord d’une banque précise par exemple que :

« Une autonomie d’organisation du temps de travail est reconnue aux salariés nomades ».

D’autres accords prévoient une commission de suivi ou définissent encore le cadre hebdomadaire, par exemple « à raison d’un jour par semaine, fixé en concertation avec le manager ».

En revanche, la notion de contrôle n’apparaît pas systématiquement. Aucun des collaborateurs ou managers interrogés dans l’étude n’a évoqué de mise en place de logiciel spécifique de surveillance. Tous les managers disent accorder toute leur confiance aux collaborateurs. Ils n’ont pas la sensation de suivre de façon particulièrement étroite les télétravailleurs.

Cependant, le reporting est systématiquement évoqué, à l’image du témoignage de cet interviewé :

« Je contrôle au moins une fois par mois qu’elle réponde au téléphone le jour du télétravail, je regarde de temps en temps s’il est connecté et je lui demande un reporting le soir ».

L’autonomie et la délégation peuvent donc devenir un moyen de transférer la responsabilité des objectifs sur les collaborateurs. Autrement dit, une forme d’« autocontrôle » succède au contrôle qui repose désormais sur une auto-évaluation davantage que sur un lien hiérarchique entre manager et managé.

Autrement dit, la perception mouvante d’autonomie et de contrôle dépend autant de la relation managériale que de l’application de l’accord d’entreprise. Sur les risques liés à ce bouleversement dans le lien hiérarchique, l’accord d’entreprise – dans les banques mais sans doute également dans d’autres secteurs tertiaires – semble donc une réponse plus incomplète qu’il ne peut l’être concernant la surconnexion ou la surcharge de travail.

Dans un récent article publié dans The Conversation, nous avions d’ailleurs plus largement regretté l’absence de prise en compte de ces risques dans l’Accord national interprofessionnel (ANI) « pour une mise en œuvre réussie du télétravail » conclu par les partenaires sociaux, le 26 novembre 2020. C’est donc probablement sur ce point-là que les négociations, à tous les échelons et dans bon nombre de secteurs, devraient évoluer ces prochaines années. »

Caroline Diard Enseignant-chercheur en management des RH et Droit, ESC Amiens.

Nicolas Dufour Professeur affilié, PSB Paris School of Business – UGEI.

Mai 2021