Archives pour la catégorie stratégie de définition des risques

activité du rm, E.R.M, GESTION DES RISQUES, identification des risques, place dans l'organisation, quantification-cartographies, RISK MANAGER-FONCTION RISK MANAGER, stratégie de définition des risques, suivi des risques-analyse des résultats

RISQUE CLIMATIQUE : OU EN ETES-VOUS ? 🙈 ? 🙉 ? Plus ? AU-DELA DE l’ASSURANCE, UN CHANGEMENT DE PARADIGME ET LA MISE EN ŒUVRE ORCHESTREE PAR UN RISK MANAGER CORPORATE D’UNE DEMARCHE DE GESTION DU RISQUE CLIMATIQUE (3)

Laisser un commentaire

Je vous ai proposé :

Je vous propose aujourd’hui :

👉 Un article et un excellent rapport à lire pour lui préférer ou a minima lui adjoindre un changement de paradigme et la mise en œuvre orchestrée par un Risk Manager corporate d’une démarche de gestion du risque climatique.

📌 Plus la rubrique lire et relire sur ce sujet :

Dans l’ouvrage  « RISK MANAGEMENT. ORGANISATION ET POSITIONNEMENT DE LA FONCTION RISK MANAGER. METHODES DE GESTION DES RISQUES. »,

CH I Définition des notions mobilisées et contextualisation de la Fonction Risk Manager, Amplificateur de risque 1 : le régulateur, législateur, p. 53-65.

https://librairie.gereso.com/livre-entreprise/risk-management-fris2.html

Sur le blog

Le risque climatique : impact sur les institutions financières et la gestion des risques

A la poursuite du risque climatique…RSE et maîtrise des risques

La nécessaire gestion du risque climatique et ses interactions avec la RSE

Le risque, variable stratégique de la réflexion des entreprises sous l’effet de cinq facteurs : illustration sur le risque climatique.

Risque climatique et assurances.

Le périmètre d’activité des Risk Managers ne cesse de s’élargir.

Réchauffement climatique, cyberattaques, tensions géopolitiques… Dans cette époque turbulente, comment préserver les piliers d’un modèle assurantiel qui joue aussi un rôle social structurant 

« Un monde à +4 degrés n’est pas assurable. » Cette déclaration d’Henri de Castries, à la veille de la COP21 dans une interview au Parisien, avait fait en 2015 grand bruit. Alors PDG d’Axa, le dirigeant pointait une menace sourde, le spectre de l’inassurabilité face aux risques systémiques – et en premier lieu, celui du dérèglement climatique. Huit ans plus tard, le 22 février 2023 au micro de France Info, le ministre de la Transition écologique et de la Cohésion des territoires Christophe Béchu appelait à « sortir du déni » et à « préparer notre pays à +4 degrés » [de réchauffement climatique]. Ambiance.

Ce simple fast forward résume à lui seul les enjeux et dilemmes de l’assurance moderne. À l’ère de la permacrise, comment préserver notre modèle assurantiel ? Face à la multiplication, l’accélération et l’interdépendance des risques, dans une société toujours plus numérisée, pourra-t-on protéger les principes de solidarité et de mutualisation ? Est-il possible d’anticiper et de réduire notre exposition à des évènements dont le dimensionnement et la récurrence ne cessent d’augmenter ?

Explosion du risque cyber

En avril 2022, le Conseil économique, social et environnemental s’est emparé de la question en publiant l’avis Climat, cyber, pandémie : le modèle assurantiel français au défi des risques systémiques. Dans cette note, l’instance fait le constat d’une société toujours plus vulnérable, au rythme de l’évolution de ses systèmes économiques et sociaux. En cause ? La mondialisation, le dérèglement climatique, et la digitalisation, dont les effets s’accroissent et s’interconnectent. Prenons l’exemple de la pandémie : outre ses conséquences sanitaires, le Covid-19 a lourdement grevé les entreprises, avec 180 milliards d’euros de pertes d’exploitation estimées sur la période.

Mais l’épisode a aussi accéléré la numérisation de nos organisations, qui se sont jetées à corps perdu (et de façon bien naturelle) dans les possibilités offertes par le digital pour contrer la mise à l’arrêt forcée de nos activités. Une mutation qui s’est accompagnée de l’explosion du risque cyber, qui n’était pourtant pas marginal avant la pandémie : en 2019, 90% des ETI et des PMI françaises avaient déjà été concernées par une attaque malveillante, selon le CESE. En 2020, les attaques par ransomware ont augmenté de 255%, d’après l’Anssi. Et en 2022, 45% des répondants du baromètre du Club des Experts de la Sécurité de l’Information et du Numérique (CESIN) signalent au moins une cyberattaque « réussie » (c’est-à-dire ayant entraîné des pertes financières et / ou réputationnelles significatives). Enfin, la géopolitique, qui a fait son retour en fanfare dans notre quotidien avec l’invasion de l’Ukraine par la Russie en février 2022, charrie avec elle sa somme de nouvelles menaces cyber, cherchant à déstabiliser le camp ennemi dans un monde toujours plus polarisé.

Et de fait, en 2023, les professionnels français de l’assurance placent encore le risque cyber en tête des menaces, en termes de probabilité d’occurrence et d’impact à moyen terme, suivi par le dérèglement climatique et l’environnement économique dégradé. Réalisée tous les ans par France Assureurs (nom d’usage de la Fédération française de l’assurance), la Cartographie prospective des risques recueille l’appréciation des risques par des dirigeants représentant 97% des placements du secteur. Un exercice équivalent, mais cette fois-ci à l’échelle du globe, peut se trouver du côté du Future Risk Report 2022, réalisé par Axa, Ipsos et Eurasia groupe. Pour celui-ci, la vulnérabilité cyber monte au troisième rang des préoccupations des experts, derrière les risques climatique et géopolitique.

La cybercriminalité, troisième économie mondiale

Si les risques cyber intègrent une « nouvelle normalité » dans le panorama des risques selon Axa, l’assureur français rappelle toutefois que nous n’avons pas encore eu à essuyer une cyber attaque à grande échelle, paralysant nos centres vitaux : santé, énergie, systèmes de paiement… 51% des experts interrogés par le Future Risk Report citent l’arrêt des infrastructures critiques et des services essentiels comme principal cyber risque. Une crainte partagée par Mario Greco, interviewé en décembre 2022 par le Financial Times. Le directeur général de Zurich Insurance considère que c’est le risque cyber qui pourrait bien, avant même les catastrophes naturelles et / ou les conséquences du réchauffement climatique, devenir inassurable : « Si quelqu’un prend le contrôle de parties vitales de nos infrastructures, quelles seront les conséquences ? Nous devons comprendre qu’il ne s’agit pas seulement de données, mais de civilisation. Ces gens peuvent vraiment disrupter nos vies. »

Et l’on ne peut s’empêcher de penser aux hôpitaux, actuellement touchés de plein fouet par une véritable série noire cyber. Des systèmes informatiques vieillissants, le manque de moyens financiers et humains, le manque d’acculturation digitale… alliés à l’accélération technologique des processus et pratiques font des établissements de santé des cibles de premier choix. Sans parler du caractère ultra-sensible – et donc ultra bankable – des données de santé : selon le cabinet Sopra Steria, sur la base de données IBM, un dossier médical peut s’échanger jusqu’à 350 dollars sur le dark web, 50 fois plus qu’un dossier bancaire ! Mais d’autres types d’infrastructures critiques sont dans le viseur des hackers : collectivités, ministères, institutions, équipements… En mai 2021, le plus grand oléoduc d’essence des Etats-Unis a ainsi été ciblé par un ransomware, obligeant son opérateur à interrompre ses activités. Selon le sénateur Rémi Cardon, auteur d’un rapport sur le risque cyber, si la cybercriminalité était une économie nationale, elle serait troisième au niveau mondial, derrière les Etats-Unis et la Chine, avec 6 000 milliards d’euros – un montant qui a doublé depuis 2015. Thierry Breton, le commissaire européen chargé du marché intérieur, vient d’ailleurs d’annoncer aux Echos la mise en place d’un cyber-bouclier européen, un projet à plus d’un milliard d’euros.

Renforcer les partenariats public privé

Sur le front du dérèglement climatique, l’inquiétude des professionnels ne décroît pas. Pour France Assureurs, elle s’installe même de façon structurelle chez les professionnels, au deuxième rang de leurs préoccupations. Un constat logique, après les extrêmes climatiques de 2022, qui ont porté la facture des catastrophes naturelles à plus de 10 milliards d’euros en France. A l’échelle du globe, c’est même la première fois que le risque climatique arrive en tête du classement Future Risks, pour toutes les régions du monde – en 2021, seule l’Europe lui accordait la première place.

Et tandis que la transition vers une économie bas-carbone s’accompagne de ses propres risques, notamment économiques, ce mouvement pourtant indispensable est rendu plus complexe encore, par les risques géopolitiques et énergétiques. Ces derniers sont montés en flèche dans le Future Risk Report, qui insiste sur la nécessité d’une approche holistique, mais aussi des partenariats public-privé (PPP) plus étroits selon les experts interrogés. Des PPP que la France pratique déjà avec le régime catastrophes naturelles ou la récente assurance récolte, et qu’elle pourrait encore approfondir, pour faire face au caractère systémique des risques. On parle notamment de la cybersécurité – encore une fois.

Verdir l’économie pour prévenir les risques climatiques

Mais outre son rôle majeur de prévention et de protection des risques, l’assurance est aussi un financeur incontournable de l’économie. A fin 2021, les assureurs français cumulaient plus de 2 700 milliards d’euros de placements, dont 62% dans des actifs d’entreprises et 111 milliards investis dans les PME / ETI, selon France Assureurs. Autant dire que le secteur est un levier incontournable pour la transition vers une économie résiliente et durable.

C’est à ce titre que le Conseil économique, social et environnemental engage le secteur à aller plus loin, avec « une politique de gestion d’actifs qui d’une part se désengage massivement des secteurs émetteurs de carbone, et plus généralement de tous les secteurs qui par leur activité, contribuent à la dégradation de l’environnement, et d’autre part priorise les investissements qui favorisent l’accélération de la transition énergétique et écologique à hauteur d’au minimum 10 % du montant de cette gestion. » Autre axe de prévention : le bâti, par exemple ne pas reconstruire à l’identique pour éviter de futurs sinistres, quand la situation l’exige.

Changement de paradigme et nouvelle culture du risque

Autant de préconisations parmi les 14 autres proposées dans l’avis du CESE. Car pour la troisième assemblée de la République, la pérennité d’un système assurantiel accessible et protecteur pour tous reposera sur trois piliers, recouvrant toute la chaîne du risque : la connaissance, la prévention et l’indemnisation. Mais entre autres mesures « techniques » destinés à renforcer la soutenabilité financière du système, c’est aussi à une forme de révolution culturelle que le CESE appelle : « un changement de paradigme » piloté par « l’Etat-stratège », via la création d’une autorité politique de plein pouvoir, chargée de la prévention et de la gestion des risques majeurs. Une nouvelle culture du risque à acquérir à l’échelle de la société en somme, avec une attention particulière portée à la cybersécurité ou au risk management, dans laquelle la filière aura un rôle majeur à jouer.

Autre enjeu, celui consistant à mieux partager le risque, en créant par exemple une offre socle cyber à destination des TPE / PME, ou en favorisant par exemple l’accès à un premier niveau d’assurances pour tous, pour éviter que certains choisissent de ne plus s’assurer, avec de réels risques économiques et sociaux. C’est ainsi le cas en Outre-mer, qui enregistre une faible couverture, alors même que le risque climatique s’accroît. Au moment où les tensions s’exacerbent et la vulnérabilité ressentie par la population s’accroît, la mission de l’assurance sera aussi celle-ci : faire vivre et perdurer dans une société en profonde mutation une certaine idée de la solidarité au service de l’avenir.

Carolina Tomaz. Rédactrice en chef du Livre des Tendances de L’ADN.

RISQUES ET OPPORTUNITES LIES AU CHANGEMENT CLIMATIQUE

A lire sur le site de l’AMRAE dans la Bibliothèque.

Ce que j’aime :

👍Un titre qui prend en compte la dimension positive du risque

👍Un travail de groupe

👍Un chapitre sur la méthodologie d’analyse des risques liés au changement climatique

👍Un chapitre sur la mise en application d’une démarche

👍Un paragraphe sur le rôle du Risk Manager. Rôle qui se rapproche des rôles que je décris dans mes ouvrages comme étant celui du Risk Manager « architecte » de la gestion des risques et dans mon dernier article de recherche comme étant celui de la Fonction Risk Manager (FRM) managériale ; tous les deux en chemin, dans la période de maturité de la fonction, vers une FRM pilote de la démarche Enterprise Risk Management.

👉 Pour aller plus loin que ce paragraphe un peu rapide :

Voir :

Dans l’ouvrage  « RISK MANAGEMENT. ORGANISATION ET POSITIONNEMENT DE LA FONCTION RISK MANAGER. METHODES DE GESTION DES RISQUES. », CH 2 L’activité des Risk Managers ; CH 5 La place des Risk Managers dans l’organisation.

https://librairie.gereso.com/livre-entreprise/risk-management-fris2.html

Dernier article de recherche sur les rôles de la FRM sur sa période d’émergence :

Aubry C., « La Fonction Risk Manager dans les entreprises françaises non financières : ses rôles sur la période de son émergence », Revue Management et Avenir, n°134, avril, p.61-82, 2023. https://www.cairn.info/revue-management-et-avenir-2023-2-page-61.htm

Actualités Recherche, élargissement du domaine du risque, communication de crise, E.R.M, GESTION DES RISQUES, identification des risques, quantification-cartographies, RISQUES, stratégie de définition des risques, suivi des risques-analyse des résultats

MON ACTUALITE. UNE JOURNEE DE FORMATION A DES ELUS. RISQUES – GESTION DES RISQUES – GESTION DE CRISES. CONGRES DES MAIRES.

Laisser un commentaire

🏆 Très fière d’avoir partagé avec des élus des collectivités territoriales mes connaissances dans les domaines des RISQUES – GESTION des RISQUES – GESTION DE CRISES.

🗼 Comment ? Une formation d’une journée intitulée « La gestion des risques : prévenir pour agir » / Deux objectifs : catégoriser et caractériser les risques ; donner la démarche de gestion des risques à suivre (étapes, outils)

🗼 Où ? Paris

🗼 Quand ? Le 23 novembre 2022 ; dans le cadre du Congrès des Maires

🗼 Pour qui ? Des élus locaux de la Martinique 

🏅 Des élus intéressés, concernés par les risques et leur gestion car :

  • confrontés aux risques dans leur quotidien ;
  • placés en première ligne par le régulateur-législateur.

🏅 Des élus qui doivent les gérer c’est-à-dire les lever quand c’est possible, les transférer (aux assurances), les atténuer ou les accepter sous leur forme résiduelle

Des élus d’un territoire confronté à une « palette de risques à nulle autre pareille » pour reprendre la terminologie d’un des élus, tous stratégiques : la Montagne Pelée, la montée des eaux, les cyclones de plus en plus fréquents, le chlordécone, la présence en son cœur d’une usine SEVESO… Auxquels s’ajoutent des risques transverses « plus classiques » comme les cyberattaques contre les municipalités par exemple.

Un grand merci CIFELM pour cette opportunité. Un grand merci aux élus pour leur intérêt et la qualité des échanges.

🎯 Il est essentiel que les collectivités territoriales se forment aux risques et à leur gestion.

#risques#risque#analysedesrisques#riskanalysis#identificationdesrisques#gestiondesrisques#riskmanagement#enterpriseriskmanagement#amplificationrisque#regulateurlegislateur#riskmanager#riskofficer#gestionnairederisques#CIFELM#collectiviteterritoriale#elus#martinique#LGCO #LGTO

activité du rm, élargissement du domaine du risque, éthique-gouvernance, compétences, Corruption, cyberisque-cybersécurité, E.R.M, identification des risques, le métier: naissance et évolution, médias et amplification du risque, place dans l'organisation, quantification-cartographies, réglementation et amplification du risque, réputation-image, RISK MANAGER-FONCTION RISK MANAGER, RISQUES, stratégie de définition des risques, suivi des risques-analyse des résultats

Ouvrage, disponible aujourd’hui 9 juin 2022, « RISK MANAGEMENT. ORGANISATION ET POSITIONNEMENT DE LA FONCTION RISK MANAGER. METHODES DE GESTION DES RISQUES. »

Laisser un commentaire
Professionnels qui souhaitez découvrir ou approfondir vos connaissances sur le Risk Management et la Fonction Risk Manager : un ouvrage, disponible aujourd’hui 9 juin 2022, « RISK MANAGEMENT. ORGANISATION ET POSITIONNEMENT DE LA FONCTION RISK MANAGER. METHODES DE GESTION DES RISQUES. »
🏁 Il est disponible aujourd’hui, 9 juin 2022 / Sur le site de GERESO Editions, collection Management https://librairie.gereso.com/livre-entreprise/risk-management-fris2.html
/ Sur les sites de la FNAC, AMAZON… 

🎯 Il s’agit de :
La 2ème édition de notre ouvrage 📖  « La Fonction Risk Manager. Organisation, Méthodes et Positionnement » / paru chez Gereso Editions / en 2019 / labellisé FNEGE dans la catégorie Manuel en 2020
✅ Avec un titre plus « large » / La Fonction Risk Manager / La démarche de Gestion des Risques
✅ Avec des ajouts :
👉 Une nouvelle période d’analyse / de 2019 à aujourd’hui
👉 L’intégration des nouveaux enjeux :
  • la loi sur le devoir de vigilance
  • le risque éthique et le risque de réputation
  • le risque cyber, le risque de fraude et leur gestion
  • le rôle du Risk Manager face à la crise sanitaire du Covid 19

👉 De nouveaux exemples

👓 Pour ceux qui découvrent notre ouvrage, vous y trouverez : 
✅ Un panorama complet de votre fonction (activité, place dans l’organisation, compétences), de la démarche de gestion des risques et de ses outils
✅ Des préconisations pour faire évoluer la fonction
✅ Une double approche académique et de terrain, au niveau du contenu, de nos parcours professionnels, des personnalités qui nous ont fait l’honneur de rédiger la préface et la postface.  

#risques #riskmanagement #gestiondesrisques #ERM#EnterpriseRiskManagement#analysedesrisques #riskmanager #gestionnairederisques #riskofficer #mastergestiondesrisques
activité du rm, approche:logique de contrôle, communication de crise, compétences, contrôle, GESTION DES RISQUES, identification des risques, perception-subjectivité du risque, place dans l'organisation, réglementation et amplification du risque, relation avec la dg, les opérationnels et les autres fonctions, rgpd, RISK MANAGER-FONCTION RISK MANAGER, RISQUES, stratégie de définition des risques

« La Fonction Risk Manager. Organisation, Méthodes et Positionnement » labellisé par la Fondation Nationale pour l’Enseignement de la Gestion des Entreprises (FNEGE).

Laisser un commentaire

Moins d’un an après sa parution, l’ouvrage que j’ai co-écrit avec Nicolas Dufour, RM dans une Mutuelle, a reçu le label 2020 de la FNEGE. Label de qualité et reconnaissance de nos pairs dont nous sommes très fiers.  Nous espérons que cette labellisation vous donnera envie de lire notre ouvrage. FNEGE 2

élargissement du domaine du risque, cyberisque-cybersécurité, dispositifs de contrôle et plans d'actions, GESTION DES RISQUES, identification des risques, RISQUES, stratégie de définition des risques

Contrer le cyber risque, risque n°1 du baromètre Allianz 2019.

2 commentaires

Ci-dessous un article intéressant paru dans les Echos. Je vous conseille la lecture du dossier des Echos sur ce sujet.

Contrer le risque : toutes les étapes dans un guide de l’Anssi et de l’Amrae

L’Agence nationale de la sécurité des systèmes d’information et l’Association pour le management des risques ont conjugué leurs expertises pour apporter aux entreprises, dans un guide gratuit, une réponse globale et pratique au risque cyber.

Voilà devenus réels les pires scénarios de science-fiction… Dans un monde où les nouvelles technologies ont pénétré toutes les strates de l’entreprise, une atteinte aux infrastructures informatiques peut remettre en question l’existence même d’une organisation.

Arrivées à ce même constat – celui que le risque cyber a glissé du domaine technique vers le champ stratégique -, l’Agence nationale de la sécurité des systèmes d’information (Anssi) et l’Association pour le management des risques et des assurances de l’entreprise (Amrae) ont mutualisé leurs compétences dans un guide cosigné.

Destiné aux acteurs économiques moins matures en termes de cybersécurité, depuis les PME jusqu’aux grandes sociétés cotées, administrateurs ou services publics, « Maîtrise du risque numérique, l’atout confiance » est téléchargeable gratuitement sur les sites des deux organisations.

« L’objectif est de généraliser la prise de conscience et de rendre accessible au plus grand nombre les principes pratiques d’une politique de sécurité numérique », explique Brigitte Bouquot, présidente de l’Amrae. « Ce guide a également une ambition européenne : nous plaidons pour un partage à l’échelle du continent », poursuit Guillaume Poupard, directeur général de l’Anssi.

Lancé officiellement la semaine dernière au cours du forum de la Fédération européenne des associations de risk management (Ferma) à Berlin, ce vademecum détaille 15 étapes clefs de la mise en oeuvre d’une stratégie de cybersécurité.

Parmi elles : une appropriation du sujet par la direction générale« Il n’y a que le dirigeant qui puisse débloquer des budgets, doter l’entreprise d’une gouvernance de la cybersécurité et mettre toute l’organisation en ordre de marche », pointe Fabien Caparros, chef de la division chargée des méthodes de management de la sécurité numérique de l’Anssi et contributeur du guide.

Fil conducteur de l’ouvrage, la nécessité de mettre la prévention au service de la croissance de l’entreprise imprègne chaque conseil énoncé. Ainsi, dans les démarches jugées essentielles à une politique de sécurité, la cartographie des impacts fait écho à la méthodologie des risk managers. « Nous préconisons d’anticiper les scénarios les plus impactants, en évaluant leurs conséquences financières ou réputationnelles. Si l’entreprise a en permanence un oeil sur ses vulnérabilités, elle pourra réduire le risque », estime Philippe Cotelle, président de la commission systèmes d’information de l’Amrae, qui a également participé à la rédaction.

Dossier: Cybersécurité : les entreprises contre-attaquent

Valorisation du risque

Autre pilier d’une stratégie visant la protection, la défense et la résilience, la capacité à tenir sur le long terme. « La démarche en faveur de la sécurité doit être tenable dans le temps, ce qui se révèle compliqué, car le numérique évolue en permanence. Pour cela, l’organisation doit se donner les moyens d’être agile et performante », prévient Fabien Caparros.

Outre le rappel des enjeux et une boîte à outils, le guide insiste sur la notion de valorisation de la prise en compte du risque cyber. « Cela suppose des investissements conséquents, mais, en retour, l’entreprise sera perçue comme un partenaire de confiance par ses clients et ses investisseurs », souligne Philippe Cotelle.

L’une des caractéristiques du risque cyber étant sa transversalité, « Maîtrise du risque numérique, l’atout confiance » est destiné à tous : dirigeants, gestionnaires des risques, directeurs des systèmes d’information, responsable de la sécurité des systèmes d’information, mais aussi responsables métiers, directeurs des ressources humaines, directeurs financiers, etc. « Le but n’est pas d’avoir un discours suscitant la peur et prônant le tout sécuritaire, mais de rappeler que si la maison brûle, nous avons les outils pour la protéger et mettre en sécurité ses occupants », conclut Brigitte Bouquot.

« L’Amrae continue à évangéliser les entreprises éloignées du risk management »

« La complémentarité de l’Anssi, sur les volets techniques et normatifs, et de l’Amrae, sur les aspects stratégiques et de gouvernance, n’a cessé de se resserrer ces dernières années. Dans ce guide exhaustif, l’Anssi apporte sa culture héritée d’un environnement étatique, voire militaire, là où l’Amrae continue à évangéliser les entreprises éloignées du risk management. Notre objectif commun est de faire en sorte que notre écosystème mette en place toutes les conditions d’une confiance numérique. » Brigitte Bouquot est présidente de l’Amrae

« Le numérique représente un vecteur de menaces toujours plus destructrices »

« L’Amrae et l’Anssi n’ont pas la même approche du risque numérique et parlent des langages différents, mais nous partageons une ambition commune : nous glisser dans la peau de la cible et répondre à ses préoccupations. L’enjeu est majeur à l’heure où le numérique représente autant une source d’opportunités qu’un vecteur de menaces, toujours plus sophistiquées et destructrices. Le risque zéro n’existe pas, mais ce livre entend être au côté des entreprises dans une logique d’amélioration continue. » Guillaume Poupard est directeur général de l’Anssi

Julie Le Bolzer

élargissement du domaine du risque, cyberisque-cybersécurité, dispositifs de contrôle et plans d'actions, GESTION DES RISQUES, identification des risques, RISQUES, stratégie de définition des risques

Cyber risque

Laisser un commentaire

Je vous propose deux articles sur le Cyber risque. Encore lui !

Le premier (Risques IT : Êtes-vous prêt pour la prochaine cyberattaque ?) préconise la mise en place d’une démarche de gestion des risques.

Le second (Le cyber-risque est (aussi) une affaire de Comex) va au-delà en préconisant la mise en place d’une gouvernance des cyber risques. Celle-ci semble bien (trop) ambitieuse dans la plupart des entreprises françaises, dans lesquelles la Fonction Risk Manager est encore une fonction en émergence mais l’auteur a le mérite de fixer l’objectif à atteindre.

Article 1 

Opinion | Risques IT : Êtes-vous prêt pour la prochaine cyberattaque ?

ALAIN-GABRIEL GOMANE / Senior Product Marketing Manager, MEGA International Le 12/10

Il y a un peu plus d’un an, Wannacry frappait lourdement de nombreuses entreprises et services publics. Cette attaque, provoquée par une simple absence de mise à jour, n’a pas connu d’équivalent depuis. Mais il pourrait ne s’agir que d’une période de calme avant la tempête.

Quoi qu’il en soit, il est indispensable pour toutes les organisations de gérer l’obsolescence de leurs applications, mais plus généralement, des risques IT, afin d’être moins vulnérables aux potentielles cyberattaques.

L’importance d’une culture de gestion des risques

Le développement des outils numériques engendre de nouveaux risques en matière de cyberattaques. Les hackers sont de plus en plus nombreux et usent de techniques toujours plus perfectionnées pour pirater leurs victimes. Selon des données de la Commission européenne, 80 % des entreprises de la zone ont déjà été touchées au moins une fois par une attaque depuis 2016, qu’il s’agisse de vol de données, d’actes frauduleux, ou de déstabilisations. Pourtant, les organisations n’ont pas toujours conscience du danger d’une cyberattaque. Et c’est seulement lorsqu’elles y sont confrontées qu’elles développent une culture de gestion des risques.

Par exemple, l’an dernier, le National Health Service (NHS) du Royaume-Uni a été victime d’un piratage. Cette organisation possédait un très grand parc informatique dont les machines étaient équipées de Windows XP, un système d’exploitation qui n’est plus mis à jour par Microsoft. Les pirates ont donc utilisé cette faille et sont parvenus à toucher cinquante hôpitaux. Ces derniers n’avaient plus accès à leurs applications de gestion des historiques médicaux, et n’étaient plus en mesure d’effectuer la moindre opération médicale ou chirurgicale pendant plusieurs jours. Mais NHS n’a pas été la seule victime de Wannacry. D’autres géants ont également été impactés à l’image de Vodafone, FedEx, Renault, Telefónica, le ministère de l’Intérieur russe ou encore la Deutsche Bahn !

Des organisations encore trop peu protégées face aux cyberattaques

Qu’il s’agisse de systèmes d’exploitation ou d’applications, les solutions informatiques peuvent comporter des failles qui ne sont pas toujours corrigées suffisamment rapidement par leurs éditeurs. Par ailleurs, nombreuses sont les organisations qui ne procèdent pas assez régulièrement aux mises à jour de sécurités. Face à elles, elles ont pourtant des cyberpirates qui justement exploitent ces vulnérabilités en utilisant notamment le phishing (usurpation d’identité au travers d’emails frauduleux) afin d’obtenir des données ou de l’argent, et créer des incidents ou interruptions de service.

Alors que les DSI sont bien au fait de ces risques, elles sont encore peu nombreuses à avoir déployé un véritable programme de gestion des risques IT. Cette situation s’explique par le fait que les mises à jour supposent de longues préparations qui consomment énormément de ressources. C’est ainsi qu’une faille peut être présente plusieurs mois avant qu’elle ne soit corrigée. Par ailleurs, les directions générales ont tendance à imposer un rythme de performance court-termiste et par conséquent opposé aux politiques de sécurité qui représentent des coûts, mais ne sont profitables qu’à moyen ou long terme. La sécurité est en effet vue le plus souvent comme un centre de coûts.

Faire de la DSI un centre de profits

Il serait intéressant de connaitre le coût d’une attaque informatique telle que Wannacry pour savoir ce que les victimes ont dû dépenser pour les enquêtes techniques, les honoraires de leurs avocats, les primes d’assurance. À cela pourraient également s’ajouter les coûts non quantifiables liés à l’arrêt d’activité ou à la perte de confiance de leurs clients. Enfin, on peut également se poser la question des efforts et ressources dédiées pour sécuriser les données clients, pour se mettre en conformité réglementaire (en particulier à la RGPD entrée en vigueur il y a quelques semaines) ou pour améliorer les dispositifs de cybersécurité… Si les victimes de Wannacry n’ont bien entendu pas communiqué sur ce montant, les conséquences existent bel et bien.

Pour tirer les leçons de cette attaque, les organisations, qu’elles en aient été ou non les victimes, ont tout intérêt à anticiper la prochaine attaque en préparant les conditions pour la contrecarrer. Il s’agirait de réduire au maximum le nombre de failles exploitables par les hackers, mais également de minimiser l’impact qu’une telle attaque puisse avoir sur toute l’entreprise.

Avant de corriger les failles, il est évidemment indispensable de les identifier. Créer un référentiel de toutes les applications ainsi que des technologies qui les supportent permet d’en maîtriser l’obsolescence. Une fois ce travail réalisé, la DSI peut choisir soit de migrer les technologies obsolètes vers de nouvelles versions plus sécurisées, soit de retirer de la circulation des systèmes applicatifs dangereux pour les redévelopper. Une autre option consiste à continuer l’utilisation de ces technologies obsolètes : la DSI devra alors déclarer et gérer les risques IT engendrés.

Lorsque les failles sont identifiées et qu’une décision a été prise, il deviendra nécessaire d’analyser l’impact potentiel des applications rendues indisponibles par une attaque. Cela passe par une analyse des processus et des fonctions de l’entreprise qui travaillent avec les applications potentiellement touchées. Afin de minimiser cet impact, il est impératif de mettre au point ainsi qu’implémenter un plan d’urgence.

Article 2

Le cyber-risque est (aussi) une affaire de Comex !

mardi 9 octobre 2018, par La Rédaction

Tribune. Selon un rapport publié par le Forum économique mondial de Davos en 2018 (1), la cybermenace se hisse désormais, pour les dirigeants, à la troisième place des risques considérés comme les plus probables. Et c’est naturellement cette perception qui pousse ces mêmes dirigeants à ne plus les ignorer. Par Hervé Ysnel, CGI Business Consulting

Les dirigeants ne tournent plus le dos devant la cybermenace. D’une part, les cyber-risques ont gagné en visibilité médiatique – aucun dirigeant d’entreprise ne veut faire la une des journaux télévisés sur ces sujets ! -, qu’il s’agisse de fuites de données ou d’interruptions brutales d’activité. D’autre part, les défaillances des entreprises en matière de cybersécurité entament fortement leur réputation, l’image, le capital confiance et in fine, ont un impact sur leur performance financière. Comment ne pas citer Saint-Gobain qui a vu fondre son chiffre d’affaires de plus de 200 millions d’euros suite à l’attaque NotPetya ou Equifax qui a perdu les données personnelles de ses clients et par ricochet 35 % de sa valorisation en quelques jours. Le lien entre cybersécurité et valorisation financière n’est plus à faire. Des agences (2) de notation se sont positionnées sur ce créneau en attribuant désormais une note au niveau de cybersécurité.

Ce sujet qui empêche les dirigeants de dormir…

Dans un contexte tendu où la menace est chaque jour plus prégnante, il est plus que temps pour les entreprises d’adopter une réelle gouvernance du cyber-risque. Jusqu’ici, le terme même de gouvernance était employé à tort. Les organisations se contentaient plutôt de réduire (3) le risque avec des projets et plans d’actions de responsables de la sécurité des systèmes d’information (RSSI) souvent très compétents mais ayant rarement l’oreille du Comex pour y trouver budgets et prise de décision stratégique.

Quand on parle de gouvernance, il faut l’entendre selon la célèbre maxime militaire, “gouverner, c’est prévoir”. La cybermenace pèse désormais tellement sur l’avenir d’une organisation qu’elle doit nécessairement s’inviter dans les discussions des conseils d’administration. La prise de décision doit en effet remonter dans les plus hautes sphères de l’organisation. L’objectif n’est pas simplement de prévenir mais aussi de garantir la conformité, alors que de plus en plus d’instances, nationales ou internationales, légifèrent et poussent les entreprises à agir plus concrètement.

Vers une nouvelle organisation

Partons de ce postulat : toute entreprise est susceptible de connaître un incident majeur lié à la cybersécurité. Celles qui s’en sortiront (sans trop de dommages) seront celles qui auront anticipé. Anticiper, cela signifie par exemple prévoir des plans de continuité d’activité et de gestion de crise. Il est donc primordial que le Comex s’intéresse à ce sujet pour ajuster son niveau d’implication et se positionner dans la prise de décision et le pilotage des crises.

Au-delà, il est également essentiel de nommer un responsable du risque cyber au Comex. Un grand groupe bancaire a d’ailleurs récemment intégré dans son comité de direction un représentant de la sécurité en la personne d’un ancien Général. Preuve que la prise de conscience germe, lentement mais sûrement. De nombreuses entreprises suivent cette démarche en faisant porter le risque cyber à un acteur de la sûreté, de la conformité, du contrôle… Le choix se faisant principalement selon l’organisation et le secteur d’activité de l’entreprise.

La nécessaire évolution du pilotage du risque

Si le sujet des cyber-risques gagne en visibilité au sein des sphères dirigeantes, une stratégie nouvelle va devoir être définie et impulsée. Car pour décider, les dirigeants doivent pouvoir disposer de toutes les données de l’équation. Un exemple : faut-il lancer rapidement un produit potentiellement vulnérable ou faut-il au contraire prendre du temps pour aboutir à un produit plus fini et risquer de perdre des parts de marché ?

De fait, les responsables du cyber-risque doivent arriver avec de nouvelles approches, telles que des méthodes d’appréciation ou d’analyse de risque global et plus de quantification (4) normée des risques. L’enjeu consistant au final à rapprocher des risques de natures différentes et travailler de concert avec les autres fonctions de défense de l’entreprise : contrôle interne, audit interne, risk management… Le concept d’Entreprise Risk Management (ERM) prend alors tout son sens.
Selon la même logique, les reportings doivent évoluer, dans la forme et le fond. Les indicateurs doivent pouvoir répondre aux questions des dirigeants, aussi bien sur les dépenses en sécurité que sur les activités clés à maintenir en cas d’incident, la conformité à la réglementation ou les pratiques d‘acteurs semblables (il faut pouvoir se positionner !).
Cette petite révolution est bien sûr bousculée par le numérique et les avancées qu’il permet en matière de gestion des cyber-risques. La digitalisation de la fonction de RSSI est en marche : les outils de GRC (Gouvernance-Gestion des risques-Conformité ou Governance-Risk Management-Compliance en anglais) automatisent de nombreuses tâches pour permettre, dans un futur proche, couplé avec le SOC (Security Operation Center), un suivi en temps réel du cyber-risque. Ainsi, la numérisation va conditionner la qualité et l’efficacité de la mission réalisée par le représentant du cyber-risque et donc sa capacité à répondre aux besoins de ses dirigeants.

(1) https://www.weforum.org/reports/the-global-risks-report-2018

(2) Les agences BitSight ou Ratingcy par exemple, ou Cyrating en Europe

(3) En complément de la réduction du risque, le transfert du risque à un Tiers et principalement à la cyberassurance prend son envol depuis quelques mois

(4) Les méthodes d’analyse de risque cyber font de plus en plus appel à la quantification financière des incidents et des risques ce qui facilite la comparaison entre des risques de nature différente.