Archives pour la catégorie LEGISLATEUR – REGULATEUR ET AMPLIFICATION DU RISQUE

A VENIR : LA LOI FRANÇAISE SUR LE DEVOIR DE VIGILANCE. BILAN A L OCCASION DE SON 6ème ANNIVERSAIRE

Après une absence de presque deux mois suite à un accident de ski, je suis en mesure de vous annoncer une reprise des publications la semaine prochaine !

Le 27 mars 2023, la loi sur le devoir de vigilance adoptée par la France a fêté son 6ème anniversaire.

Je vous propose à cette occasion, dans les prochaines publications :

  • un rappel des grandes lignes de la loi ;
  • un détour par la notion d’amplification du risque par le régulateur-législateur pour comprendre l’impact qu’elle a pu avoir sur l’approche de gestion des risques des entreprises françaises ;
  • un bilan ;
  • une illustration de ses insuffisances à travers l’exemple de TOTAL.
Publicité

RISQUES ET GESTION DES RISQUES INDISPENSABLES DANS LES COLLECTIVITES TERRITORIALES. ILLUSTRATION SUR LE CYBERRISQUE.

Je commence par vous souhaiter à tous, lecteurs de mon blog, partenaires LinkedIn, partenaires de partenaires…une excellente année 2023. J’espère qu’elle sera marquée par des projets qui vous motivent, des décisions qui vous ressemblent et l’énergie pour agir.

J’ai terminé 2002 avec les collectivités territoriales. Je débute 2023 avec une illustration de l’importance stratégique des risques et de la gestion des risques dans les collectivités territoriales.

Les publications des semaines à venir seront relatives au RGPD à travers une thématique intitulée : LE RGPD QUOI DE NEUF ?

Il est essentiel que les collectivités territoriales se forment aux risques et à leur gestion.

🏆 J’ai partagé avec des élus des collectivités territoriales mes connaissances dans les domaines des RISQUES – GESTION des RISQUES

🗼 Dans le cadre d’une formation d’une journée intitulée « La gestion des risques : prévenir pour agir »

🗼 Organisée le 23 novembre 2022, dans le cadre du Congrès des Maires

🗼 Ses objectifs étaient de montrer aux élus comment catégoriser et caractériser les risques et mettre en place une démarche de gestion des risques (étapes, outils)

🏆 Les élus de Martinique auxquels je m’adressais se sont montrés très intéressés ; ils sont concernés par les risques et leur gestion car :

🗼confrontés aux risques dans leur quotidien ;

🗼placés en première ligne par le régulateur-législateur (voir « RISK MANAGEMENT. ORGANISATION ET POSITIONNEMENT DE LA FONCTION RISK MANAGER. METHODES DE GESTION DES RISQUES. », CH I Définition des notions mobilisées et contextualisation de la Fonction Risk Manager, Amplificateur de risque 1 : le régulateur, législateur, p. 53-65.

https://librairie.gereso.com/livre-entreprise/risk-management-fris2.html

Les collectivités territoriales sont confrontées à toute une « palette de risques » et y sont souvent peu préparées. Je l’ai notamment illustré à travers le cyber risque.

🏆 Pour aller plus loin sur ce thème, je vous propose de :

🗼 relire sur ce blog un article intéressant de cyberattaques contre trois municipalités. On y retrouve les éléments d’identification d’un risque : description de celui-ci, causes, impact. Et quelques Plans d’Actions ;

🗼 de lire ci-dessous un court article écrit dans « The Conversation » et qui alerte une nouvelle fois écrit l’auteur « sur les dangers cyber contre les collectivités territoriale….Espérons que l’on finisse enfin par réaliser – au-delà des ransomwares actuels qui sont déjà fort préoccupants – l’ensemble des enjeux liés à une bonne sécurisation de leurs SI et l’impact qu’auraient des cyberattaques ciblant ces derniers en termes politiques, économiques et sociétaux. Sachant que le conflit actuel en Ukraine tend à rappeler clairement l’importance d’une bonne résilience des CT ainsi que leur rôle majeur en matière de D.O.T…. »

Cyberattaques contre les collectivités territoriales : le pire est-il à venir ?

Depuis le début de la crise du Covid-19 et notamment durant la période de confinement, on assiste à une augmentation sans précédent des cyberattaques touchant les collectivités territoriales françaises (régions, départements, communes, communautés de communes, etc.). Toutefois, ces dernières sont souvent occultées par celles qui affectent les établissements de santé du fait de leurs conséquences potentiellement dramatiques, à l’image de l’attaque qui a touché, début décembre, le centre hospitalier de Versailles, au Chesnay-Rocquencourt (Yvelines).

Nos travaux sur la vulnérabilité des collectivités territoriales françaises face aux cyberattaques ont notamment été sanctionnés par la première (et seule à ce jour) thèse en sciences de gestion soutenue dès 2012 et donné lieu à plusieurs articles scientifiques ultérieurs. Ces travaux furent l’occasion d’appeler à la mise en place d’une politique publique nationale d’accompagnement des collectivités territoriales relativement à la nécessaire sécurisation de leurs systèmes d’information (SI), malheureusement sans grand succès.

Si nous aurions préféré avoir tort quant aux évolutions envisagées, force est de constater que le sujet est finalement apparu sur l’agenda médiatique depuis la crise du Covid pour ne plus la quitter depuis lors. Eu égard à la structuration territoriale française (45 205 collectivités locales en 2022), ces dernières revêtent une importance prépondérante, autant pour leur proximité directe avec les citoyens qu’en termes de services rendus. C’est vraisemblablement ce constat qui a amené de plus en plus de groupes de hackers à les choisir pour cibles.

Les cyberattaques menées demeurent pour le moment essentiellement liées à l’envoi de ransomwares (logiciels malveillants se diffusant à l’intérieur d’un système d’information et chiffrant l’ensemble des données accessibles) et visent un objectif exclusivement pécuniaire au travers de la demande d’une rançon dont le paiement préalable conditionne l’envoi (ou pas) d’un code de déchiffrement. Ce type d’offensive s’avère effectivement d’une efficacité redoutable en cas de sauvegarde non redondante.

Triple défi numérique

Appelant de nos vœux une véritable prise de conscience des enjeux liés à une mauvaise sécurité des SI, il nous semble impératif d’alerter sur d’autres types d’atteintes aux données des collectivités, d’autant plus dangereux selon nous qu’ils s’avèrent potentiellement cumulatifs.

À trop se focaliser sur les rançongiciels touchant leurs serveurs, on en vient à oublier que les collectivités territoriales se situant intrinsèquement à l’intersection de trois univers (politique, économique et sociétal), celles-ci relèvent quotidiennement trois défis numériques majeurs : l’administration électronique, l’e-démocratie et la dématérialisation des appels d’offres.

 Dépassant largement la mise à disposition des administrés de nouveaux moyens de communication, l’administration électronique, régulièrement plébiscitée par les Français depuis plusieurs années, est devenue un outil stratégique de service public. Et cet état de fait devint encore plus évident durant la période de confinement relative au Covid-19 : il est aisé d’imaginer l’impact politique et social qu’auraient engendré des cyberattaques privant des citoyens d’un moyen d’interaction devenu d’autant plus essentiel qu’ils se trouvaient dans l’incapacité de se déplacer pour effectuer la moindre démarche administrative. Il convient par conséquent de sécuriser les SI afférents afin d’assurer une continuité de service public en cas de crise majeure.

Le même problème se pose en ce qui concerne l’e-démocratie. Nous avons récemment mis en évidence l’existence d’une typologie des interactions entre la collectivité et ses administrés selon le support numérique utilisé : interaction forte (échanges directs entre les citoyens et les exécutifs territoriaux), modérée (enquête en ligne ou dialogue sur les réseaux sociaux) ou faible (remontée d’informations ponctuelles à l’initiative des administrés).

Le degré de gravité d’une cyberattaque touchant les SI d’e-démocratie sera donc directement corrélé au vecteur numérique : pertes ou vols potentiels d’informations à caractère personnel dans les deux premières hypothèses et perte de confiance dans tous les cas. Ici encore se pose la question de l’impact de telles attaques contre des outils précisément mis en place pour tenter de favoriser une meilleure participation à la vie publique de citoyens de plus en plus méfiants vis-à-vis des institutions démocratiques.

À cela s’ajoute enfin la possibilité que les SI dédiés aux appels d’offres des collectivités puissent également être ciblés. Que ce soit en termes de fonctionnement ou d’investissement une collectivité, à l’image de la grande majorité des organisations, se trouve dans l’obligation de faire appel à des prestataires extérieurs.

La dématérialisation de ces procédures fut précisément menée pour permettre une meilleure fluidité dans la gestion des appels d’offres, ainsi que dans le souci de permettre de simplifier les procédures afin de permettre à des petites et moyennes entreprises (PME) de répondre à ceux-ci avec une chance raisonnable de succès. Une offensive numérique visant les échanges entre les soumissionnaires et la collectivité s’avérerait également lourde de conséquences, non seulement en matière économique mais également en termes de crédibilité intrinsèque.

Acteurs de la défense

Face à l’ensemble des défis précités, on peut espérer que le volet dédié au financement numérique des collectivités territoriales du plan gouvernemental « France Relance » permettra d’améliorer sensiblement la sécurisation des SI territoriaux. Pour autant, l’opportunité budgétaire ne fait pas tout, a fortiori lorsque les projets potentiellement finançables entrent immanquablement en compétition les uns avec les autres et que les capacités d’accompagnement financier d’origine étatique demeurent par nature limitées.

Or, il convient de conserver à l’esprit qu’en matière de sécurisation des SI, comme nous le mettions déjà en évidence dans le premier ouvrage dédié à cette problématique et paru dès 2014, l’une des conditions essentielles du succès, voire la principale d’entre elles, relève d’une volonté politique forte au sens ou l’impulsion doit venir directement des exécutifs territoriaux.

Notre expérience d’universitaire spécialiste du sujet et d’ancien élu d’une ville de plus de 100 000 habitants nous incite donc à préconiser la définition d’une véritable politique publique d’accompagnement des collectivités territoriales en matière de sécurisation de leurs SI. Et ce d’autant plus qu’à la lumière des enseignements tactiques issus du conflit ukrainien, on redécouvre la nécessité de renforcer la défense opérationnelle du territoire français dont les collectivités territoriales demeurent des parties prenantes essentielles.

Rémy Février. Décembre 2022

ASSURANCE CYBER-RANCONS : une nouveauté le 18 octobre 2022 !

La semaine dernière, je vous faisais un point sur la légalisation par le gouvernement de l’indemnisation des cyber-rançons à partir d’un article et des deux réactions face à cette légalisation. https://gestiondesrisques.net/2022/10/13/blog-https-gestiondesrisques-net-la-rentree-un-peu-en-decale/

Rebondissement, le 18 octobre 2022 : la condition de plainte est modifiée par le Sénat.

Celui-ci nous rappelle, s’il en était besoin, le contenu souvent peu structurant des mesures prises par les pouvoirs publics français (loi NRE, loi SF, principe de précaution…). Or celui-ci est bien souvent à l’origine des logiques de sur-réaction ou de sous-réaction des entreprises. Voir le rôle d’amplificateur du risque du régulateur-législateur que je présente dans mes travaux comme l’un des facteurs qui explique l’ampleur considérable prise depuis la fin des années quatre-vingt-dix par la Fonction Risk Manager. Voir Ouvrage d’Aubry et Dufour : « Risk Management. Organisation et positionnement de la Fonction Risk Manager. Méthodes de gestion des risques ; p.53-65. 👉  https://librairie.gereso.com/livre-entreprise/riskmanagement-fris2.html

Je vous livre ci-dessous l’analyse de Paul Berger de Gallardo, Avocat / Assurances, cyber, risques industriels. 

🔔 Assurer la cyber-rançon : la condition de la plainte modifiée par le Sénat 🔔

🔹 7 septembre 2022 : dépôt d’un projet de loi par le Gouvernement proposant d’encadrer le remboursement des cyber-rançons par les #assurances, en rendant obligatoire le dépôt d’une « plainte » par la victime « au plus tard 48 h après le paiement de cette rançon ».

🔸 7 octobre 2022 : rédaction d’un amendement du sénateur Rémi Cardon qui transforme la condition d’assurance en une « pré-plainte » devant être déposée « dans les 24h suivant l’attaque et avant tout paiement ».

➡ Objectif : informer au plus vite les autorités compétentes pour agir dès la #cyber-attaque et réduire le nombre de rançons versées.

🔹 18 octobre 2022 : adoption du texte par le Sénat avec l’amendement précité, puis transmission à l’Assemblée nationale.

❓ Quelques interrogations sur cette condition d’assurance modifiée :

🔹 le dépôt d’un pré-plainte est-il opportun alors que ce mode de déclaration n’est pas prévu ni adapté pour les situations d’urgence ?

🔹 le point de départ du délai de 24h fixé au jour de l’attaque et non à celui de la demande de rançon est-il pertinent, alors que certains rançongiciels commencent à œuvrer bien avant que la victime en ait connaissance ?
🔹 le délai de 24h est-il tenable pour une (petite) entreprise sous le coup d’une cyber-attaque ?

Blog. La rentrée, un peu en décalé…

Comme d’habitude, une thématique / une progression / les liens vers les précédentes publications du blog sur cette thématique au début de chaque nouvelle publication.

La thématique de la rentrée : octobre, le cyber-mois

La progression :

–      Un élément de contexte : l’impact du régulateur-législateur comme amplificateur du risque illustré à travers un article « Cyberattaque : le gouvernement légalise l’indemnisation des rançons », deux réactions et une mise en perspective

–      L’évaluation du cyber-risque (ses causes, ses conséquences) à partir de l’actualité ; les cyberattaques continuent : un rapide état des lieux et un focus sur les cyberattaques visant les hôpitaux à partir de deux articles 

–      Les solutions pour prévenir le risque, l’atténuer ou l’accepter sous sa forme résiduelle

  • Le transfert vers les assureurs / lien vers une émission
  • La création par des grands groupes de leur propre société d’assurance
  • Les plans d’actions préconisés par l’ANSII

Les liens vers les précédentes publications du blog sur cette thématique :

🏅Le cyber risque, risque n°1 pour les entreprises.

Un risque nouveau aux modalités multiples, un risque subjectif qui le rend difficile à appréhender et à gérer, un risque difficile (« illusoire ») à assurer, un risque amplifié par le régulateur-législateur

❓Evaluation du risque : une probabilité élevée (voir causes nombreuses) ; un impact fort (voir coût élevé)

 🚴 Comment agir ?

👉 Indispensable, a minima complémentaire à l’assurance, mieux que l’assurance,  https://gestiondesrisques.net/2022/05/05/ca-bouge-du-cote-du-cyber-risque-3-un-projet-de-loi-permettant-a-lassureur-de-rembourser-les-cyber-rancons/ mettre en place des plans d’actions pour gérer le cyber risque 

👉 L’Agence Nationale de Sécurité des Systèmes d’Information (ANSII) propose des plans d’action et cinq mesures préventives pour gérer le cyber-risque.

Plans d’action / fraude au président

https://gestiondesrisques.net/2021/12/09/le-risque-variable-strategique-de-la-reflexion-des-entreprises-3-un-nouveau-risque-la-fraude-au-president-suite-un-exemple-de-plan-dactions/

Plans d’action / cyber-risques liés au télétravail

https://gestiondesrisques.net/2021/10/06/teletravail-risques-et-plans-dactions-ou-quels-plans-dactions-pour-gerer-les-risques-lies-au-teletravail-et-selon-quelle-approche-2/

https://gestiondesrisques.net/2021/09/29/quels-plans-dactions-pour-gerer-les-risques-lies-au-teletravail/

Nécessaire implication des salariés / gestion du cyber-risque

https://gestiondesrisques.net/2018/10/19/implication-des-collaborateurs-dans-la-demarche-de-gestion-des-risques-lexemple-du-cyber-risque/

Plans d’actions préconisés par l’ANSII

https://gestiondesrisques.net/2022/05/20/ca-bouge-du-cote-du-cyber-risque-4-comment-se-premunir-contre-une-cyberattaque/

Assurance : Bercy donne son feu vert à l’indemnisation des cyber-rançons

Dans un rapport obtenu par « Les Echos », le ministère de l’Economie plaide à son tour en faveur de la prise en charge des rançons en cas d’attaque cyber, à condition que l’entreprise victime porte plainte. La mesure figure dans un projet de loi du ministère de l’Intérieur, qui sera présenté ce mercredi.

Il n’y aura pas d’exception française sur les cyber-rançons. Le ministère de l’Economie acte à son tour le principe d’indemnisation des rançons payées par les entreprises et autres entités visées par les pirates du Net. A condition que la victime porte plainte, stipule, le très attendu rapport de Bercy pour « Le développement de l’assurance cyber », publié ce mercredi et consulté par « Les Echos ».

Cette disposition est inscrite dans le projet de loi d’orientation et de programmation du ministère de l’Intérieur, qui sera présenté ce mercredi en conseil des ministres. Il s’agit de la deuxième version d’un premier texte présenté en mars, dont l’examen n’avait pas débuté sous la précédente mandature. Le texte sera discuté au Parlement à partir d’octobre.

Danger de mort

« Ce projet de loi, qui s’appuie sur les travaux de notre groupe de travail, constitue un point d’équilibre entre la volonté de ne pas financer l’écosystème des cyberattaquants et la volonté d’éviter la mort de PME et TPE touchées par une attaque », explique Bercy. En France, la rançon moyenne réclamée atteignait environ 6.400 euros en 2021, en hausse de 50 % par an depuis 2016, mais certaines demandes se chiffrent en millions d’euros.

Le feu vert du ministère de l’Economie est une nouveauté. « Au moment de la prise de position du ministère de l’Intérieur, il y avait apparemment un manque de coordination entre la Place Beauvau, Bercy et la Justice », explique un bon connaisseur du dossier.

Dès le début d’année, le Haut Comité juridique de la place financière de Paris, saisi par Bercy, avait pris position en faveur de l’indemnisation des rançongiciels par les assureurs . A l’inverse, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) prône de son côté une interdiction , tout comme un rapport parlementaire publié fin 2021, ou bien « un encadrement strict ».

La prise en charge des rançons n’est pas formellement interdite en France. « Le remboursement d’une rançon par l’assureur est a priori licite et peut être comparé à l’assurance couvrant le risque de vol dont le fait générateur est une effraction », souligne même le rapport.

Attentisme

Pour autant, AXA France puis Generali France y avaient renoncé dans l’attente d’une clarification des autorités, de crainte d’être accusés d’être « pousse-au-crime ». Pour minimiser les risques, le rapport insiste sur la nécessaire coopération entre toutes les parties prenantes, notamment les forces de police et de justice.

Aujourd’hui, le gouvernement est pragmatique. Si la France n’offre pas un cadre juridique au paiement des rançons, le risque pourrait se déplacer sur d’autres marchés européens ou mondiaux : les entreprises tricolores pourraient être attaquées dans leurs implantations à l’étranger, ou tentées de souscrire des contrats auprès d’acteurs non régulés en France.

D’autres pistes sont avancées pour renforcer l’attractivité de l’assurance cyber, qui reste un marché de niche. « Les risques cyber sont une priorité du gouvernement pour protéger notre société, notre modèle social et notre souveraineté, rappelle le ministère de l’Economie. La crise sanitaire a été un révélateur des opportunités qu’apportent les moyens numériques pour notre économie, mais aussi des risques encourus par les entreprises, notamment les PME et TPE. Or, sur le plan de l’assurance cyber, l’Europe est en retard sur les Etats-Unis. »

Observatoire de la menace cyber

En France, les polices d’assurance cyber stricto sensu ont collecté 219 millions d’euros de primes en 2021, soit 3,9 % du marché de l’assurance dommages des professionnels dans l’Hexagone. Les grandes entreprises sont les principales utilisatrices de contrats vendus par une poignée d’acteurs : AXA et les anglo-saxons Chubb, AIG et Beazley. L’an dernier, une dizaine de groupes français y ont toutefois renoncé , jugeant les garanties trop limitées ou trop chères, selon l’Association des managers de risques (Amrae).

Pour développer des pratiques de place, l’ACPR, le régulateur de l’assurance, devra « étudier les principales clauses du marché », en coordination avec l’association France Assureurs, explique Bercy. « Il ne s’agit pas de définir des clauses type dans le Code des assurances, mais d’analyser s’il est nécessaire de prendre des dispositions pour améliorer le niveau d’information des assurés », précise le ministère. Autre ambition, à moyen terme : créer un observatoire de la menace cyber, pour répondre au manque criant de données.

Amélie Laurin. Le 7 sept. 2022

L’analyse d’Emmanuelle Hervé


💻 C’est une nouvelle surprenante. Alors que les cyberattaques font rage dans les hôpitaux, leur statut public interdit tout paiement de rançon. Pour les entreprises privées, la règle est encore floue.

📃 Plus de 200 rançons ont été recensées l’an passé. Jusqu’à présent, l’État n’interdisait pas de payer les pirates, mais le déconseillait vivement. Le gouvernement va mettre fin à la zone grise entourant le paiement, par les assureurs, des rançons liées à des piratages informatiques. Les entreprises pourraient ainsi payer les escrocs et se faire rembourser par leurs assureurs en échange d’un dépôt de plainte.

🖲 Cette mesure liée aux cyber-rançons « sera partie intégrante du projet de loi d’orientation et de programmation du ministère de l’Intérieur (LOPMI) », ajoute le ministère de l’Économie.  Si certaines rançons peuvent atteindre plusieurs millions d’euros, la moyenne des montants demandés se situe autour de 6 400 € en 2021, en hausse annuelle de 50 % sur les cinq dernières années.

🦾 Si les assurances et le gouvernement se montrent favorables au remboursement, l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI – Agence nationale de la sécurité des systèmes d’information) prône de son côté une interdiction, emboîtant le pas d’un rapport parlementaire publié fin 2021 et porté par la députée LREM, Valéria Faure-Muntian.  Certaines critiques alarmant le gouvernement sur le risque d’escalade des cyberattaques en cas de paiement des rançons. Rappelons que le marché de l’assurance cyber ne représente que 219 millions d’euros de primes en 2021, soit 3,9 % du marché de l’assurance dommages des professionnels en France.

La réaction de Guillaume Poupard, directeur de l’ANSII

Désabusé, Guillaume Poupard, directeur de l’ANSSI, a réagi ce matin avec humour à l’annonce en commentaire d’une publication LinkedIn. En effet, l’agence prône de son côté une interdiction ou, à minima, un « encadrement strict ».
Conditionnée à un dépôt de plainte, la mesure exprime la volonté du gouvernement de ménager les PME et TPE touchées par des cyberattaques.
Alimentation de la criminalité et déresponsabilisation des acteurs, la communauté #cyber a vivement réagi à la mesure et aux dangers qu’elle peut représenter.

Une interrogation sur le rôle de l’état comme amplificateur de risques

Le législateur-régulateur a contribué et contribue à la diffusion de ce que M. Power appelle l’image d’un monde plus risqué et l’ont amplifiée. Ils amplifient la notion de responsabilité du dirigeant en cas de négligence.

Le concept d’amplification sociale du risque suggère que les risques sont amplifiés et instrumentalisés par des institutions telles que le régulateur-législateur et les médias. Le rôle du régulateur-législateur a commencé en France avec la Loi de Sécurité Financière…les lois, règlements, normes n’ont cessé de se multiplier.

Voir Ouvrage d’Aubry et Dufour : « Risk Management. Organisation et positionnement de la Fonction Risk Manager. Méthodes de gestion des risques ; p.53-65.

👉  https://librairie.gereso.com/livre-entreprise/riskmanagement-fris2.html

CA BOUGE DU COTE DU CYBER-RISQUE (3) UN PROJET DE LOI PERMETTANT A L’ASSUREUR DE REMBOURSER LES CYBER-RANCONS

🏅Le cyber risque, risque n°1 pour les entreprises.

Un risque nouveau aux modalités multiples, un risque subjectif qui le rend difficile à appréhender et à gérer, un risque difficile (« illusoire ») à assurer, un risque amplifié par le régulateur-législateur

❓Evaluation du risque : une probabilité élevée (voir causes nombreuses) ; un impact fort (voir coût élevé)

 🚴 Comment agir ?

👉 Un projet de loi permettant le remboursement par l’assureur des cyber-rançons

Le post très pédagogique de Paul Berger de Gallardo, avocat, pour faire un point sur le projet de loi

Deux articles pour vous positionner. Et vous quel est votre avis sur ce projet de loi ? Une bonne solution pour les assureurs ? Une solution pour gérer le cyberrisque ?  

👉Les plans d’action préconisés par l’ANSII pour gérer le cyberrisque – dans 15 jours sur le blog

LE POST TRES PEDAGOGIQUE DE PAUL BERGER DE GALLARDO, AVOCAT, POUR FAIRE UN POINT SUR LE PROJET DE LOI.

🔐 Le remboursement par l’assureur des cyber-rançons conditionné à un dépôt de plainte ?

🚨 Un projet de loi prévoit d’encadrer les clauses de remboursement des rançongiciels par les #assurances, en rendant obligatoire le dépôt d’une plainte par la victime dans les 48h après le paiement de cette rançon.

🔹 Quoi ? Le rançongiciel ou ransomware est ainsi défini par l’ANSSI – Agence nationale de la sécurité des systèmes d’information : « envoi à la victime d’un logiciel malveillant qui chiffre l’ensemble de ses données et lui demande une rançon en échange du mot de passe de déchiffrement ».

🔸Pourquoi ? 20 % des entreprises françaises déclarent avoir subi au moins une attaque par rançongiciel au cours de l’année 2020, atteignant souvent l’activité économique et perturbant parfois la production.

🔕 L’absence fréquente de plainte des victimes, par crainte de reconnaître leur vulnérabilité et de ternir leur image, empêche toute investigation.

🔹Est-ce légal de payer une rançon, et d’être remboursé par son assurance ? Ainsi que l’a rappelé récemment le HCJP (Haut Comité Juridique de la Place Financière de Paris), le paiement d’une rançon par la victime d’une extorsion ne constitue ni un délit ni un acte de complicité dès lors que le consentement au paiement n’est pas libre mais résulte de la contrainte.

➡️ L’assurance du risque de rançongiciel ne paraît se heurter à aucun obstacle juridique majeur.

🔸 Quelles sont les solutions possibles ? L’étude d’impact du projet de loi a analysé trois solutions : 1️⃣ assujettir le remboursement d’une rançon versée par un assureur au dépôt de plainte 2️⃣ rendre obligatoire la déclaration à TRACFIN de tout paiement d’une rançon 3️⃣ promouvoir au niveau européen l’interdiction du paiement des rançons par les assureurs suite à une #cyber-attaque.

⁉️ Pourquoi retenir la première solution ? L’interdiction du paiement des rançons et de leur #assurance pèserait de manière démesurée sur les entreprises qui jouent parfois leur survie. Le dépôt d’une plainte rapide permettrait aux autorités compétentes de bénéficier des informations nécessaires à la poursuite des infractions et de « casser » le modèle de rentabilité des cyber‑attaquants.

🔹 Comment ? Par la création d’un article L. 12-10-1 du Code des assurances prévoyant cette condition de garantie au sein d’un nouveau chapitre « L’assurance des risques de cyber-attaques ».

🕰 La règle envisagée serait d’application immédiate et entrerait en vigueur également pour les contrats en cours.

⬇️ Que pensez-vous du paiement des cyber-rançons, de leur assurabilité et de ce projet de condition de garantie ? ⬇️

DEUX ARTICLES POUR VOUS POSITIONNER / ET VOUS QUEL EST VOTRE AVIS SUR CE PROJET DE LOI ? SOLUTION POUR GERER LE CYBERRISQUE ? 

Loi LOPMI : pour payer la rançon, il faudra déposer plainte

Sécurité : Le nouveau projet de loi d’orientation et de programmation encadre notamment la transition numérique des forces de l’ordre et propose un régime encadrant le paiement des rançons dans les affaires de rançongiciels.

Le projet égrène une douzaine de mesures, dont une partie concerne le développement des capacités des policiers et des gendarmes en matière de réponse aux crimes et délits en lien avec le numérique, ainsi que des dispositions visant à équiper les forces de l’ordre de nouveaux équipements.

Parmi les nouvelles dispositions, le gouvernement propose une première approche visant à encadrer le paiement des rançons suite à des attaques au ransomware. Comme le précise l’article 5 du projet de loi, le versement d’une rançon couverte par l’assureur de la société victime est possible si la victime accepte de déposer plainte dans les 48 heures après le paiement de la rançon.

Pas d’interdiction du paiement des rançons

Une manière de trancher le débat qui faisait rage depuis plusieurs mois autour du paiement des rançons exigées par les groupes de rançongiciels. Le directeur de l’Anssi avait allumé la mèche en fustigeant publiquement les « intermédiaires » qui acceptaient de payer les rançons, mais il avait également reconnu que cette possibilité devait rester ouverte dans certains cas. Depuis, les assureurs étaient nombreux à réclamer « une clarification » des règles sur le sujet, certains ayant choisi de cesser de proposer leurs assurances cyber prévoyant le paiement de rançons dans les affaires de ransomware.

En la matière, le gouvernement a donc choisi de s’aligner sur la proposition émise par le haut comité juridique de la place financière de Paris, qui avait été saisi du sujet et a publié un rapport à la fin du mois de janvier sur la question. Le haut comité recommandait de ne pas interdire purement et simplement le paiement des rançons, mais de conditionner celui-ci à un dépôt de plainte. Cette approche laisse donc une certaine marge de manœuvre aux victimes et à leurs assureurs, en leur permettant d’envisager le paiement d’une rançon pour espérer récupérer l’accès aux données. Et elle donne un coup de pouce aux forces de l’ordre qui ont du mal à convaincre les entreprises de déposer plainte après une attaque informatique.

Renforcer les forces de l’ordre sur le numérique

Outre cette disposition, le projet de loi prévoit également d’étendre les enquêtes sous pseudonyme, jusqu’alors réservées à certains délits concernant le trafic de drogues et d’armes, à l’ensemble des crimes et délits punis d’une peine d’emprisonnement. Le projet de loi prévoit également d’ouvrir aux forces de police la saisie « d’actifs numériques », terme utilisé pour décrire les cryptomonnaies et autres actifs basés sur une blockchain, aujourd’hui fréquemment utilisés dans le blanchiment d’argent et les affaires de rançongiciels.

Le texte reprend des mesures annoncées par le président de la République lors du discours de clôture du Beauvau de la sécurité, comme la place d’un « numéro 17 » dédié à la fraude informatique, la création de 1 500 postes de cyberpatrouilleurs et la création d’une agence du numérique des forces de sécurité, chargée de superviser l’équipement des policiers et gendarmes en smartphones et accessoires nécessaires aux enquêtes. Le montant prévu de ces différents investissements est estimé à 8 milliards d’euros.

Adopté en conseil des ministres, le texte doit maintenant être soumis au vote du parlement. Mais, calendrier oblige, celui-ci ne sera présenté qu’après l’élection présidentielle, donc pour la prochaine législature. Un timing relevé par le Conseil d’Etat dans son avis sur la loi, qui remarque le calendrier « pour le moins habituel » pour un projet de loi de ce type.

Par Louis Adam. Mars 2022

Cyberattaques : les assureurs rassurés sur la possibilité de couvrir les rançons

Un projet de loi prévoit qu’une entreprise victime d’une cyberattaque et contrainte de payer une rançon devra déposer plainte pour obtenir la prise en charge de ce paiement par son assureur. Une bonne nouvelle pour les représentants du secteur.

Les promesses ont mis du baume au coeur des syndicats de policiers mais aussi… des assureurs. Le plan de modernisation des moyens des forces de l’ordre , présenté par le gouvernement à la mi-mars, est en effet considéré par la profession comme une bonne nouvelle pour le développement dans l’Hexagone des assurances contre les cyberattaques.

Le projet de loi, dit LOPMI, prévoit notamment d’obliger les entreprises victimes d’un rançongiciel à porter plainte dans les 48 heures suivant le paiement d’une rançon pour obtenir sa prise en charge par l’assurance. Et ce, afin « d’améliorer l’information des forces de sécurité et de l’autorité judiciaire, et de ‘casser’ le modèle de rentabilité des cyberattaquants », note le projet.

Pas de changement sur le fond

« La France, comme les autres pays dans le monde, ne veut pas interdire l’incorporation de la garantie sur le paiement des rançons dans les contrats d’assurance cyber », a salué la semaine dernière, lors d’une conférence de presse, la présidente de la fédération France Assureurs, Florence Lustman, se félicitant d’une telle clarification.

La portée de cette disposition est à relativiser. Déposé à quelques semaines de l’élection présidentielle, le projet de loi n’est à ce stade pas à l’étude au Parlement et son avenir dépendra du résultat du scrutin. Par ailleurs, si la mesure était adoptée, elle ne changerait pas les habitudes. Elle « ne change rien sur le fond car les assureurs imposaient déjà un dépôt de plainte », explique Mickaël Robart, expert chez le courtier Diot-Siaci.

« Mais elle montre que le risque cyber est plutôt traité par les assureurs de façon responsable. » Ceux-ci veulent croire qu’avec ce projet de loi, il n’y a plus d’insécurité juridique : les services de l’Etat ont tranché, notamment Bercy qui a lancé l’été dernier des travaux sur la cyberassurance .

Autrement dit, ils n’iront pas dans le sens du patron de l’Agence nationale de la sécurité des systèmes d’information (ANSII) et de la vice-procureure en charge de la cybersécurité au parquet de Paris. Au printemps dernier, ces derniers avaient estimé que la prise en charge des rançons par l’assurance pouvait encourager la cybercriminalité.

Pas de changement chez AXA France

En octobre, un rapport parlementaire avait préconisé l’interdiction du paiement des rançons. Au contraire, en début d’année, des experts avaient mis en garde contre les effets d’une telle interdiction.

Signe que le sujet est sensible, Generali France a décidé en début d’année de tourner le dos au paiement des rançons. Quant à AXA France, qui avait décidé de suspendre sa garantie rançon l’an dernier, il n’a pas changé de politique avec la loi LOPMI, indique un porte-parole.

Solenn Poullennec. Avril 2022.

LE LEGISLATEUR-REGULATEUR, AMPLIFICATEUR DE RISQUE. DEUX NOUVELLES ILLUSTRATIONS ISSUES DE L’ACTUALITE. (2) LOI SAPIN II – L’OCDE POINTE LES PROGRES DE LA FRANCE MAIS SOULIGNE LE CHEMIN LUI RESTANT A PARCOURIR POUR PROTEGER LES ENTREPRISES –

RAPPEL LOI SAPIN II

La loi Sapin II vise à prévenir les risques de blanchiment des capitaux, de financement du terrorisme et de la corruption – la corruption est le fait pour toute personne de solliciter une personne dépositaire de l’autorité publique, moyennant rémunération, un acte relevant de ses fonctions –. Elle propose six mesures pour cartographier le risque de corruption et le prévenir au niveau organisationnel et individuel. Cette loi n’oblige pas à une communication extérieure spécifique mais elle engage la responsabilité personnelle des dirigeants et celle de la société en tant que personne morale.

Nicolas Dufour et moi-même présentons davantage la loi Sapin II ainsi que les réglementations en vigueur et la soft-law (principe de précaution) dans notre ouvrage ; voir « La Fonction Risk Manager. Organisation. Méthodes et Positionnement », Ed Gereso, p.50. 

https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html

LIRE OU RELIRE

Vous pouvez également lire ou relire d’autres articles sur ce sujet sur le blog dans les rubriques corruption et/ou Loi Sapin II ou en recherchant par mots clés ou dans les archives mensuelles par date.

Par exemple, un article présentant les principaux résultats de l’enquête de l’Agence Française Anticorruption avec un lien pour y accéder, un article sur la cartographie des risques de corruption, un article intitulé « Trois ans après, où en sont les entreprises ? »

RISQUE DE CORRUPTION : LES PROGRES. LE CHEMIN A PARCOURIR

Cinq ans après la naissance de la loi Sapin 2, le cabinet de Bruno Le Maire donne son feu vert à ce qui ressemble à une nouvelle loi « Sapin 3 ». La loi Sapin 2 a marqué un véritable tournant dans la lutte contre la corruption en France en introduisant des changements importants dans la loi, en créant l’Agence française de lutte contre la corruption, et en ajoutant une dimension préventive qui n’existait pas ailleurs : l’obligation pour certaines entreprises privées de mettre en place des mesures anti-corruption.

Dans leur rapport rendu le 7 juillet 2021, les députés Raphaël Gauvain et Olivier Marleix, corapporteurs de la Commission des lois de l’Assemblée nationale chargée de l’évaluation de la loi Sapin 2, dressent un bilan positif de la loi Sapin II, mais notent que la France n’a pas progressé dans les indices internationaux de perception de la corruption depuis 2015. Ils ont relevé qu’en 2020, la France était classée 23e sur l’IPC de Transparency International, au même niveau qu’en 2015.

Je vous propose ci-dessous un article très complet qui fait le point sur les progrès accomplis et le chemin qui reste à parcourir avant d’aborder dans un prochain article ce que l’on sait de la loi Sapin III.

Risque de corruption : l’OCDE pointe les progrès de la France mais souligne le chemin lui restant à parcourir pour protéger les entreprises

Des progrès sont avérés mais la France doit encore intensifier ses efforts.

Le Groupe de travail sur la corruption, qui regroupe 44 pays de l’OCDE, a publié fin 2021 un rapport évaluant les progrès effectués depuis 2012 par la France dans la mise en œuvre de l’infraction de Corruption d’Agent Public Etranger (CAPE).

Les progrès réels de la lutte anticorruption

Le verdict est globalement positif : en quelques années, la France est devenue un interlocuteur « crédible » en matière de lutte contre la CAPE, et ce grâce à une restructuration profonde de son cadre législatif anti-corruption.

Plusieurs réformes sont à l’origine de ces progrès. D’abord, la création en 2013 du PNF (Parquet National Financier) et d’un service de police judiciaire dédié à la criminalité financière (OCLCIFF) ont permis d’augmenter le nombre de sanctions pénales pour corruption.

Ensuite, la loi Sapin 2, qui a permis d’introduire dans le droit français une obligation de conformité pour les entreprises. Ces mesures préventives, alliées à l’introduction de la justice négociée par CJIP (Convention Judiciaire d’Intérêt Public) ont radicalement transformé la responsabilité des personnes morales. Désormais, les entreprises sont intégrées à la stratégie de lutte anticorruption, puisqu’elles sont tenues – en amont – de prévenir les cas potentiels et – en aval – de prendre des mesures correctives et de coopérer avec les autorités.

Depuis 2012, 14 affaires de CAPE ont été résolues, aboutissant à la sanction de 19 personnes physiques et 23 personnes morales. Parmi ces affaires, 5 ont été résolues hors procès, grâce à une CJIP. Au demeurant, ces poursuites ont ciblé des acteurs économiques de grande envergure comme entre autres Airbus, Bolloré SE ou Systra.

Selon le rapport, il s’agit d’un véritable progrès si l’on compare à la période pré-2012, au cours de laquelle seules 3 condamnations de personnes physiques (et aucune personne morale) avaient eu lieu, pour des affaires d’envergure mineure. Cependant, même si ces résultats sont encourageants, le rapport met aussi en lumière un certain nombre de vulnérabilités du modèle français.

Des acquis fragiles, à consolider d’urgence

Même si le nombre d’enquêtes ouvertes pour CAPE a été multiplié par 3,5 depuis 2012, seulement 13% d’entre elles ont donné lieu à des condamnations ou à un règlement par CJIP. Cette proportion est très faible par rapport aux économies européennes comparables, pour lesquelles 39% des enquêtes donnent lieu à une condamnation. Par ailleurs, un nombre important d’allégations n’ont donné lieu à aucune enquête.

Selon le rapport, cette insuffisance n’est pas liée à une absence de volonté politique, mais au manque de ressources affectées à l’ensemble des maillons de la chaîne pénale. L’augmentation de ces moyens est donc une condition sine qua non à l’efficacité de la lutte anticorruption en France.

Le Groupe estime aussi que les avancées de la France sont fragilisées par certaines réformes récentes ou en cours. En 2021, par exemple, la durée d’enquête préliminaire a été limitée à trois ans : le rapport recommande d’allonger cette durée, afin de s’assurer de disposer de tous les éléments nécessaires à une sanction rapide et efficace

Autre hic : la possible refonte de l’AFA et de ses missions, envisagée par la proposition de loi déposée fin 2021 par le député Raphaël Gauvain, suscite des inquiétudes quant à la poursuite du travail d’accompagnement et de contrôle des entreprises. Le Groupe recommande donc de tout faire pour préserver les missions et les moyens alloués à l’AFA.

Le reste des recommandations concerne surtout la poursuite des avancées entamées : préserver le rôle d’enquête du PNF (ciblé par des critiques après la condamnation de Nicolas Sarkozy), poursuivre les efforts afin de développer une justice négociée efficace grâce aux CJIP, et continuer à améliorer la coordination entre les différents services pour l’émergence d’une justice mieux coordonnée.

La France ne doit donc pas relâcher ses efforts, et cela semble en bonne voie à ce jour : parmi les chantiers actuels, on peut citer la loi pour la confiance dans l’institution judiciaire visant à renforcer l’indépendance du parquet (adoptée fin 2021), ou encore la transposition (en cours) de la dispositive européenne sur les lanceurs d’alerte. Fin 2023, la France présentera à l’OCDE un rapport détaillant les mesures prises pour mettre en œuvre ces recommandations.

Cas détectés : la partie émergée de l’iceberg ?

Plus globalement le rapport estime que le nombre de cas détectés est probablement dérisoire par rapport au profil économique de la France et au nombre d’allégations de corruption dans les médias.  En tant qu’acteur majeur dans l’économie mondiale, la France est en effet très présente dans des juridictions à haut risque comme l’Asie ou l’Afrique, et les entreprises françaises s’exposent dans des domaines risqués : aéronautique et spatial, production d’énergie nucléaire, industries manufacturières et extractives, armement, construction…

L’une des priorités, selon le rapport, doit donc être l’amélioration de la détection. La France a déjà pris certaines mesures afin d’améliorer la coordination entre ses services : par exemple en 2020, la circulaire Belloubet a enjoint les intervenants à « exploiter l’ensemble des canaux de signalement existants ». Mais ces canaux, comme les postes diplomatiques ou les lanceurs d’alertes, ont été très peu utilisés ; la grande majorité des affaires poursuivies étant toujours détectées par Tracfin, la cellule de renseignement française anti-blanchiment, on peut dire que la diversification des sources d’alerte n’a pas fonctionné.

Résultat : à ce jour, un grand nombre d’affaires n’ont pas été détectées par les autorités françaises… Mais par des autorités étrangères.

Aux entreprises d’agir à l’international

Ce cas de figure fréquent, en plus d’alerter sur l’efficacité relative des mesures déployées, peut être lourd de conséquences pour les entreprises françaises. Lorsqu’une autorité étrangère détecte un cas de CAPE, il est en effet d’autant plus probable que cela donne lieu à des poursuites contre des sociétés qui, à l’international, doivent naviguer dans une multiplicité de législations locales et extraterritoriales.

Pour se protéger d’une telle éventualité, la compliance reste la principale arme des firmes françaises. Et un grand nombre d’entre elles semble en avoir pris conscience : on peut ainsi voir, derrière le récent classement EcoVadis qui place les entreprises françaises à la 3ème position mondiale en matière de responsabilité sociale et d’achats responsables, l’influence de la loi Sapin 2 et l’importance accordée aux due diligences d’intégrité avant de s’associer à un partenaire commercial tiers.

Là  aussi, les progrès restent pourtant à relativiser. Fin 2020, un baromètre a révélé que les entreprises françaises peinent à développer une vision d’ensemble des risques à l’étranger : réglementations locales, coutumes et pratiques à risque, connaissance des partenaires locaux… Les entreprises ont, elles aussi, un long chemin à parcourir et de nombreux efforts à fournir.

Faciliter la détection et la sanction des infractions pour les services de l’Etat et mieux prendre en main les enjeux de conformité pour les entreprises : telles sont les deux conditions qui semblent aujourd’hui indispensables pour confirmer les progrès de la France dans la lutte contre la corruption internationale.

Brune Lange ; 20 janvier 2022

Partager sur print

Sources

SKAN1 Outlook : Loi Sapin 2 : succès et évolutions du modèle anticorruption français

Dalloz Actualités : Durée maximale des enquêtes préliminaires : de la lenteur à l’arrêt ?

SKAN1 Outlook : En route vers une loi « Sapin 3 » ? Retour sur le projet déposé par le député Raphaël Gauvain pour renforcer la lutte anticorruption

France Inter : Le Parquet national financier sous le feu des critiques

SKAN1 Outlook : Une nouvelle enquête du PNF sur Thales ravive le débat sur les lanceurs d’alerte

  • Justice négociée par CJIP

SKAN1 Outlook : La CJIP de l’affaire AIRBUS

SKAN1 Outlook : La CJIP Systra pour corruption en Asie Centrale

  • Entreprises françaises à l’international

SKAN1 Outlook : Extraterritorialité : année record du FCPA, enjeu prioritaire pour les autres acteurs

Ministère de l’Economie : palmarès Ecovadis des performances RSE

SKAN1 Outlook : Entreprises françaises : un bilan mitigé pour les dispositifs de conformité Sapin 2

LE RISQUE, VARIABLE STRATEGIQUE DE LA REFLEXION DES ENTREPRISES (4). DUE DILIGENCES : LE CAS DES INTERMEDIAIRES

Dernier ou avant-dernier partage avant Noël. Je vous souhaite à tous de bonnes fêtes. Et je joins le visuel « clin d’oeil » de l’an dernier pour profiter des vacances pour partager, lire toujours et encore…

Comment le risque est devenu une variable stratégique. Deux facteurs explicatifs sont l’élargissement du domaine du risque et son amplification depuis 2004 par le régulateur-législateur.

  1. Les due diligences sont un de ces nouveaux risques que je vous présente depuis plusieurs semaines. L’article que je vous propose cette semaine vous le présente en trois étapes de la démarche de gestion des risques : identification ; évaluation et cartographie ; mise en oeuvre de plans d’actions ; diffusion des résultats au sein de l’organisation pour que se développe une culture du risque. 
  2. Ce nouveau risque entre dans le champ de l’amplification sociale du risque.  Comme le suggère le concept d’amplification sociale du risque, les risques sont amplifiés et instrumentalisés par des institutions telles que le régulateur-législateur et les médias (Pidgeon et al, 2003). Le rôle du régulateur-législateur a commencé en France avec la Loi de Sécurité Financière. Sur fond de scandales et de crise, les interventions du régulateur-législateur  ont amèné les entreprises à renforcer les systèmes de contrôle interne et de gestion des risques : loi du 3 juillet 2008, ordonnance du 8 décembre 2008 ; rapport du 8 décembre 2009de l’AMF ; loi Sapin II du 9 décembre 2016

RAPPEL LOI SAPIN II

La loi Sapin II vise à prévenir les risques de blanchiment des capitaux, de financement du terrorisme et de la corruption – la corruption est le fait pour toute personne de solliciter une personne dépositaire de l’autorité publique, moyennant rémunération, un acte relevant de ses fonctions Elle propose six mesures pour cartographier le risque de corruption et le prévenir au niveau organisationnel et individuel. Cette loi n’oblige pas à une communication extérieure spécifique mais elle engage la responsabilité personnelle des dirigeants et celle de la société en tant que personne morale.

Nicolas Dufour et moi-même présentons davantage la loi Sapin II ainsi que les réglementations en vigueur et la soft-law (principe de précaution) dans notre ouvrage ; voir « La Fonction Risk Manager. Organisation. Méthodes et Positionnement », Ed Gereso, p.50. 

https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html

LIRE OU RELIRE

Vous pouvez également lire ou relire d’autres articles sur ce sujet sur le blog dans les rubriques corruption et/ou Loi Sapin II ou en recherchant par mots clés ou dans les archives mensuelles par date. .

Due diligences : le cas des intermédiaires

Obligation légale en vertu de la loi Sapin II, les due diligences apparaissent comme l’un des piliers principaux de tout programme de conformité robuste, que celui-ci soit dédié à l’anticorruption ou à d’autres enjeux ESG. Parmi les tiers à évaluer – clients, fournisseurs et intermédiaires – ces derniers demeurent les plus à risque. Comment les définir ? Comment les évaluer ? Quelles mesures de remédiation adopter pour continuer de nouer des relations contractuelles avec eux ? C’était l’objet de notre dernier atelier pratique !

L’intermédiaire, un (in)dispensable ?

Le recours à des intermédiaires pour faciliter, mener à leur terme ou sécuriser des relations commerciales est une pratique courante du commerce international et du marché à l’export. Cet usage, légal, s’avère néanmoins porteur de risques juridiques, financiers et réputationels conséquents eu égard aux réglementations anticorruptions. Un grand groupe européen du secteur de l’aéronautique en a récemment fait les frais en étant condamné au paiement d’une amende de plusieurs milliards d’euros pour des allégations de corruption via des réseaux d’« agents » – l’autre dénomination des intermédiaires.

Si l’emploi de ce type de tiers reste autorisé, de nombreuses entreprises souhaitent désormais le limiter au maximum. Certaines d’entre elles assument même de ne plus y avoir recours du tout, quitte à se fermer certains marchés.

Reste que pour certains marchés, le concours d’agents continue d’apparaitre comme indispensable pour de nombreuses équipes commerciales. « C’est un enjeu culturel » affirme l’un des experts qui s’est exprimé lors de notre dernier atelier pratique, « mais il est maintenant fondamental de remettre en cause ces pratiques et de s’interroger systématiquement sur l’opportunité réelle de recourir à ce type de tiers ». S’il convient alors de restreindre l’usage d’intermédiaires aux situations de nécessité, ce délaissement progressif doit néanmoins s’accompagner d’un « développement des capacités d’intelligence stratégique et économique au sein même des entreprises ou dans leur environnement proche » avance un autre participant.

Évaluer et remédier

Lorsque l’entreprise juge nécessaire de recourir à un intermédiaire, elle se trouve alors dans l’obligation de conduire une due diligence à son égard, c’est-à-dire une évaluation préalable de sa maturité vis-à-vis de la prévention de la corruption. Pour cela, encore faut-il que tout le monde s’accorde sur ce que recouvre la notion d’intermédiaire. Bien qu’elle puisse varier significativement en fonction des sociétés considérées, tous les experts interrogés s’accordent sur le fait que la qualité d’intermédiaire ne dépend pas des appellations que peuvent en donner les opérationnels : consultants, agents commerciaux, prestataires de services, voire traders, lobbyistes, avocats ?

Aussi pour faciliter le travail des équipes E&C, il peut être judicieux de recenser et de cartographier le type d’intermédiaires couramment utilisés dans l’entreprise, d’en dresser une typologie et de définir pour chacun d’entre eux les rôles et responsabilités à priori attendus. Cet exercice facilitera ensuite grandement le travail du compliance officer lors du suivi de la relation ou de prochaines relations contractuelles.

En fonction de la taille et de l’organisation des entreprises, le process de due diligence en tant que tel est soit centralisé, soit délégué aux compliance officers locaux. L’évaluation s’effectue grâce à des outils informatiques et des bases de données bien connues des professionnels du domaine, soit en externe grâce à des prestataires de service spécialisés. Les solutions disponibles – et par conséquent les due diligence réalisées – sont donc assez similaires entre les différentes entreprises.

En revanche, la façon de traiter les résultats délicats diffèrent. Selon la criticité du risque, les mesures de remédiation varient et vont de l’inscription de clauses anti-corruption spécifiques, à l’audit sur pièce voire sur site, jusqu’au refus pur et simple de nouer une relation contractuelle, même si cela peut signifier le retrait pur et simple d’un marché potentiel.

Une culture de la due diligence

Pour renforcer la robustesse du dispositif de due diligence, tout en favorisant une culture de compliance au sein de l’entreprise, de nombreuses directions E&C délèguent en partie le process de due diligence aux équipes locales et aux opérationnels en charge de la relation avec l’intermédiaire. Ainsi il peut être demandé aux équipes commerciales de réaliser une due diligence de premier niveau, superficielle mais suffisante pour écarter les intermédiaires les plus à risques.

Ce transfert de responsabilité partiel participe à la sensibilisation des opérateurs et à l’intégration des contraintes légales au plus près de l’activité. Cette acculturation doit en outre permettre une meilleure compréhension de la part de ces derniers des contraintes de temps et de budget attachées à la réalisation de due diligences robustes.

Pour ce faire, les équipes opérationnelles doivent être formés aux enjeux de l’anticorruption et à l’utilisation des outils informatiques de screening. A ces actions de sensibilisation, peuvent s’adjoindre, le cas échéant, des mesures de sanction (blâmes, avertissements, assortis généralement de sessions de formation dédiées) en cas de non-respect de l’obligation de due diligence précontractuelle.

Récemment, une juridiction est même aller jusqu’à considérer que le licenciement d’un directeur commercial qui ne s’inquiétait pas de la due diligence anti-corruption devant être réalisée avant la signature d’un contrat reposait bien sur une cause réelle et sérieuse[1]. Un argument massue qui devrait permettre aux compliance officers de rappeler à ceux qui l’oublieront, que les due diligences sont belles et bien devenues des prérequis indispensables à toute relation contractuelle avec un intermédiaire… A bon entendeur !

[1] https://www.doctrine.fr/d/CA/Angers/2021/C65C9311DC30A792F5983

Mai 2021

Risque de corruption

Cartographie du risque de corruption : 10 erreurs à éviter. Actualités : arrêt de la Cour d’appel / extension de la loi Sapin II ?

LIRE ou RELIRE sur le Blog

Dans les rubriques corruption et/ou Loi Sapin II ou en recherchant par mots clés ou dans les archives mensuelles par date, vous pourrez lire ou relire les articles suivants.

En juillet 2020, un article sur la cartographie des risques de corruption.

En février 2020, les principaux résultats de l’enquête sur le niveau de maturité des dispositions anticorruption en entreprise réalisée par l’Autorité Française Anticorruption (AFA) lançait.

En octobre 2020, un article intitulé « Trois ans après, où en sont les entreprises ? » 

Mardi mai 2021 : Bolloré, affaire en cours / le rapport d’activité de l’AFA 2000.

Loi Sapin II et rôle du régulateur comme amplificateur de risques dans La Fonction Risk Manager. Organisation. Méthodes et Positionnement.
https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html
Aujourd’hui, je vous propose deux documents :
  • 10 erreurs à éviter pour vos cartographies de risques / article qui fait suite à celui sur les cartographies
  • un arrêt d’appel à suivre : « extension » de la Loi Sapin II ?

10 erreurs à éviter dans la cartographie de vos risques de corruption

Le challenge consiste à construire une démarche à la fois efficace et conforme aux exigences légales et aux recommandations du régulateur (« si si… c’est possible… »). Vous ne souhaitez bien évidemment pas que s’applique à vous le constat que formulait l’Agence Française Anticorruption dans son dernier rapport annuel : « d’autres mesures, comme la cartographie des risques de corruption ou l’évaluation des tiers, pourtant déterminantes pour la robustesse du dispositif anticorruption, pâtissent encore trop souvent d’approximations méthodologiques ».

Forts des quelques dizaines de cartographies des risques de corruption réalisées ou auditées, nous nous proposons de partager avec vous notre liste non-exhaustive de 10 de ces erreurs ou « approximations méthodologiques » :

  1. Couverture partielle des activités de l’entreprise : la cartographie doit être réalisée aux bornes du groupe, sur l’ensemble de ses activités, en prenant en compte les zones géographiques d’implantation.
  2. Inventaire de risques trop globaux : les risques doivent prendre la forme de scénarios précis et adaptés aux spécificités de l’entreprise. Le « risque de corruption active » peut au mieux être considéré comme une catégorie ou une typologie de risque mais pas comme un risque élémentaire.
  3. Inventaire des risques trop génériques : il est bien sûr tentant de s’appuyer sur des catalogues de risques standards trouvés sur internet ou dans certains forums professionnels. Ces catalogues peuvent aider et guider dans l’identification des risques, cependant la démarche ne saurait se résumer à une sélection « tick in the box », au risque de rater l’exception, le risque spécifique qui est souvent le plus redoutable car méconnu du plus grand nombre.
  4. Méthodologie d’évaluation des risques inadaptée : le risque de corruption présente un certain nombre de spécificités qui doivent être capturées dans la méthodologie mise en œuvre et notamment les facteurs aggravants (géographie, secteur d’activité, tiers, etc.), les méthodes se limitant à une cotation globale probabilité / impact ne permettent pas d’appréhender de manière pertinente ce risque.
  5. Implication insuffisante du top management : que ce soit pour la validation de la méthodologie à mettre en œuvre, des personnes à impliquer, du niveau de risque acceptable, de la cartographie ou des plans d’actions associés, son implication est clé et renvoie à l’engagement de l’instance dirigeante.
  6. Démarche mise en œuvre en chambre par le compliance officer assisté d’un ou deux autres experts (risk manager, contrôleur interne, consultant…) : leurs points de vue sont bien sûr utiles et nécessaires, mais seuls les acteurs opérationnels peuvent avoir une vision précise et concrète des zones d’exposition de l’entreprise.
  7. Démarche déployée de manière hétérogène dans les entités du groupe : la difficulté d’une approche déployée aux bornes du groupe réside dans la mobilisation d’un grand nombre d’acteurs dont les compétences, l’expérience et la culture sont hétérogènes, ce qui peut facilement conduire à une cartographie également hétérogène.
  8. Manque de traçabilité des travaux : toutes les étapes de la démarche doivent être matérialisées et documentées. La démarche doit être efficace, conforme et auditable.
  9. Une approche en silo par rapport aux autres piliers de la loi Sapin 2 : la cartographie est un élément central doit  alimenter les autres piliers et également être nourrie par ces derniers au travers, par exemple, des résultats des contrôles, des résultats du dispositif d’alerte, des évaluations de tiers, etc.
  10. Une approche limitée à la réalisation d’une « photo » : la cartographie ne saurait être un objectif final, ce n’est qu’un outil au service du management des risques ainsi identifiés. Elle doit conduire à l’action, à la recherche de mesures correctives pour prévenir et / ou maîtriser les risques en question.

Une « extension » de la Loi Sapin II avec un arrêt d’appel à suivre

Arrêt (d’appel) intéressant et un peu inquiétant qui valide une sanction que même la loi #sapin2 n’a pas envisagé : une sanction disciplinaire non pas pour corruption mais pour ne pas avoir effectué l’évaluation d’un tiers à risque… Cela va aider les #complianceofficer à déployer ce pilier !

La Cour d’Appel d’Angers juge que le licenciement du Directeur Commercial qui ne s’inquiète pas de la due diligence devant être réalisée avant la signature d’un contrat repose sur une cause réelle et sérieuse (11 Mars 2021 – n° 19/00128).

Le Directeur Commercial d’une entreprise organise un rendez-vous de signature d’un contrat commercial international avec un distributeur basé aux Emirats Arabes Unis, alors que les vérifications et validations, notamment anticorruption, n’avaient pas été effectuées.

La Cour juge qu’il s’agit d’une faute de nature à conférer une cause réelle et sérieuse au licenciement compte-tenu du niveau de responsabilité du Directeur Commercial et de la nature particulière de l’activité de l’entreprise.

Il ne s’agit toutefois pas d’une faute grave en l’absence de mauvaise foi, de déloyauté ainsi qu’en l’absence de danger grave et immédiat pour l’entreprise.


RISQUE DE corruption. Loi SAPIN II. LIRE ou RELIRE sur le Blog. SANCTIONS. RAPPORT ANNUEL de l’AUTORITE FRANCAISE ANTICORRUPTION (AFA).

Comme le suggère le concept d’amplification sociale du risque, les risques sont amplifiés et instrumentalisés par des institutions telles que le régulateur-législateur et les médias (Pidgeon et al, 2003).

Le rôle du régulateur-législateur a commencé en France avec la Loi de Sécurité Financière. Sur fond de scandales et de crise, les interventions du régulateur-législateur  ont amèné les entreprises à renforcer les systèmes de contrôle interne et de gestion des risques : loi du 3 juillet 2008, ordonnance du 8 décembre 2008 ; rapport du 8 décembre 2009de l’AMF ; loi Sapin II du 9 décembre 2016

RAPPEL LOI SAPIN

La loi Sapin IIvise à prévenir les risques de blanchiment des capitaux, de financement du terrorisme et de la corruption – la corruption est le fait pour toute personne de solliciter une personne dépositaire de l’autorité publique, moyennant rémunération, un acte relevant de ses fonctions -.

Elle propose six mesures pour cartographier le risque de corruption et le prévenir au niveau organisationnel et individuel. Cette loi n’oblige pas à une communication extérieure spécifique mais elle engage la responsabilité personnelle des dirigeants et celle de la société en tant que personne morale.

Nicolas Dufour et moi-même présentons davantage la loi Sapin II ainsi que les réglementations en vigueur et la soft-law (principe de précaution) dans notre ouvrage ; voir « La Fonction Risk Manager. Organisation. Méthodes et Positionnement », Ed Gereso, p.50. https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html

LIRE ou RELIRE sur le Blog

Dans les rubriques corruption et/ou Loi Sapin II ou en recherchant par mots clés ou dans les archives mensuelles par date, vous pourrez lire ou relire les articles suivants.

En juillet 2020, un article sur la cartographie des risques de corruption.

En février 2020, les principaux résultats de l’enquête sur le niveau de maturité des dispositions anticorruption en entreprise réalisée par l’Autorité Française Anticorruption (AFA) lançait.

En octobre 2020, un article intitulé « Trois ans après, où en sont les entreprises ? » 

Aujourd’hui, je vous propose de compléter cet état des lieux par un nouvel exemple de Corruption – les affaires sont toujours là et les sanctions arrivent – et la lecture du rapport d’activité de l’AFA 2000 – le régulateur également -.

Mardi prochain, sur ce même sujet nous parlerons cartographies des risques de corruption avec les erreurs à éviter et « extension » de la Loi Sapin II avec un arrêt d’appel à suivre.

Corruption au Togo : le groupe Bolloré va s’acquitter d’une amende de 12 millions d’euros

Le tribunal judiciaire de Paris a homologué vendredi une convention judiciaire d’intérêt public négociée entre le groupe et le Parquet national Financier. La holding a reconnu lors de l’audience des faits de corruption et d’abus de confiance afin de décrocher la gestion du port de Lomé, au Togo.

Le groupe dirigé par Vincent Bolloré va s’acquitter d’une amende de 12 millions d’euros. (RIC PIERMONT/AFP)

Plus de dix millions d’euros d’amende et un suivi serré de l’agence française anticorruption pendant deux ans : le tribunal judiciaire de Paris a validé, vendredi, la convention judiciaire d’intérêt public (CJIP) négociée par le Parquet national Financier (PNF) et le groupe Bolloré. Ce dernier était mis en cause pour des faits de corruption et d’abus de confiance, commis entre 2009 et 2011 au Togo.

Dans le détail, la holding du groupe aux quatre pôles (communication, mobilité électrique et stockage d’énergie, transports et logistiques, participations financières) va s’acquitter d’une amende de 12 millions d’euros à verser « au Trésor public sous dix jours », indique le PNF dans un communiqué.

Bolloré SE doit également provisionner 4 millions d’euros afin d’assumer le coût d’un programme de mise en conformité aux règles de l’agence française anticorruption, qui va durer deux ans. « Conformément à la loi, il appartient à Financière de l’Odet SE [la société présidée par Vincent Bolloré qui détient 64 % du groupe, NDLR] et Bolloré SE de décider dans un délai de 10 jours si cet accord devient définitif », a réagi le groupe dans un communiqué.

Ces deux conditions, si elles sont respectées, marqueront la fin des poursuites : la CJIP, instaurée par la loi Sapin 2, est une procédure qui permet à une personne morale d’éviter la tenue d’un procès en négociant une sanction financière.

Risque

Le groupe s’exonère donc d’un risque non négligeable : plusieurs pays interdisent aux entreprises condamnées pour corruption de candidater pour leurs marchés publics, ce qui aurait pu être très préjudiciable à la branche logistique, qui exploite plusieurs concessions portuaires en Afrique.

Cette CJIP intervient après l’ouverture d’une information judiciaire, ouverte en 2013 pour des faits de « corruption d’agent public étranger, abus de confiance et complicité d’abus de confiance ». La holding avait été mise en examen pour avoir fourni, en partie gracieusement, les services de la branche communication de Havas afin de décrocher la gestion des ports de Lomé, au Togo, et de Conakry, en Guinée. La mise en examen concernant la Guinée a été annulée pour cause de prescription.

Le tribunal judiciaire de Paris a, par ailleurs, refusé de valider la comparution sur reconnaissance préalable de culpabilité négociée par Vincent Bolloré et le PNF, pour ces mêmes faits. La juge a estimé « nécessaire » la tenue d’un procès pour l’homme d’affaires.

Basile Dekonink. Publié le 26 févr. 2021.

Rapport d’activité de l’AFA 2020

« L’année 2020 a été marquée, en son début, par le lancement du premier plan national pluriannuel de lutte contre la corruption, qui traduit l’engagement gouvernemental à agir contre la corruption, aussi bien par la prévention que la poursuite et la sanction.

L’ensemble des activités de l’AFA a été affecté  par le contexte sanitaire, qui l’a amenée à adapter ses méthodes de travail et à aménager ses actions de contrôle, tenant compte des répercussions de la crise sur les acteurs concernés.

Les activités de conseil se sont poursuivies à distance, par audio ou visioconférence. L’année 2020 a été plus particulièrement celle de la révision des recommandations de l’AFA, à destination de tous les acteurs publics et économiques. Les nouvelles recommandations, publiées au Journal officiel le 12 janvier 2021 bénéficient ainsi des enseignements de plus de trois années de conseil et de contrôle et précisent le contenu du référentiel anticorruption français.

Les activités de contrôle ont pour leur part évolué, afin d’appréhender des risques plus conjoncturels ou plus sectoriels que ne l’avaient permis les contrôles menés jusqu’alors. Une telle évolution est apparue nécessaire notamment dans la perspective de grands évènements sportifs auxquels l’AFA est associée, s’agissant du contrôle des dispositifs de prévention de la corruption mis en œuvre par les personnes morales chargées de leur organisation, de leur déroulement ou de la reconfiguration des sites.

Quant à l’activité internationale, elle est restée dense et s’est particulièrement illustrée par la publication d’un rapport d’analyse de la cartographie mondiale des autorités anticorruption, rassemblant 171 autorités de 114 pays, mené sous l’égide du réseau des autorités nationales de lutte contre la corruption, que l’AFA a présidé jusqu’à la fin de l’année. »

Consulter et télécharger le rapport d’activité 2020