Archives pour la catégorie LEGISLATEUR – REGULATEUR ET AMPLIFICATION DU RISQUE

dispositifs de contrôle et plans d'actions, GESTION DES RISQUES, normes, RISQUES, sanitaire-COVID 19

Achats et Gestion des Risques ou la Supply Chain à l’épreuve du Covid 19

Laisser un commentaire

Une interview intéressante de Laurent Giordani sur les rapports entre  le département achats et le risk management. Une mise en perspective concrète qui souligne l’intérêt de penser de manière globale le dispositif opérationnel de continuité d’activité (en particulier concernant les relations fournisseurs)

Le risk management ne peut plus être le parent pauvre des politiques achats »

Comment les achats peuvent-il anticiper la relance? Quels enseignements tirer de cette crise? Quelle stratégie achats pour demain? L’avis de Laurent Giordani, associé du cabinet de conseil en management Kyu Associés, responsable de l’expertise Risk Management.

Quelles doivent être, selon vous, les points de vigilance prioritaires des services achats en cette période compliquée ?

Avant tout, il s’agit de ne pas s’éparpiller dans ce contexte particulièrement dense. Le premier point de vigilance, c’est l’évolution des besoins. A charge pour les achats d’être bien connectés aux donneurs d’ordre internes pour transmettre le bon signal aux fournisseurs.

Le deuxième point de vigilance est bien entendu l’évaluation des impacts sur les capacités. C’est plus que jamais le moment de suivre et mettre à jour son rating de risque fournisseur, à la fois sur les aspects opérationnels – production, approvisionnements, stocks, distribution – et santé financière. Cela passe par une connexion étroite et suivie avec ses partenaires clé, qui doivent eux-mêmes conduire la même démarche.

Enfin, le troisième point de vigilance est la capacité des fournisseurs à organiser la continuité et la reprise d’activité. Dans un baromètre des Risques Supply Chain que nous avons réalisé en décembre dernier, seuls 40% des répondants affirmaient disposer d’un Plan de Continuité d’Activité opérationnel. Au-delà de l’ampleur inédite et imprévisible de cette pandémie, cela montre le manque de préparation des entreprises en général à gérer des crises majeures et réagir efficacement.

Comment peuvent-ils aider à pérenniser l’activité économique de l’entreprise ? Doivent-ils rompre les contrats en cours si les produits ne sont pas de prioritaires pour eux ?

Il n’y a pas de réponse générale, c’est vraiment du cas par cas à l’échelle de l’entreprise voire même du fournisseur. Mais pour ne pas affecter encore plus la capacité de reprise, mieux vaut éviter au maximum les annulations pour ne pas aggraver la santé financière des fournisseurs fragiles. Dans la mesure du possible, il faut plutôt privilégier des décalages de planning.

Comment identifier rapidement les fournisseurs stratégiques en difficulté et quelles mesures mettre en oeuvre pour les préserver ?

Il n’y a pas de recette miracle. Malgré le confinement, c’est le moment d’être hyper connectés avec ses partenaires. Une cellule de crise doit être activée pour aligner les projections et suivre un plan d’actions commun. Il s’agit aussi d’amener ses partenaires clés à déployer ce type de dispositif en cascade avec leurs fournisseurs pour essayer de couvrir l’ensemble de la chaîne.

Attention toutefois au terme stratégique. Il ne concerne pas que le top 10 des fournisseurs en termes de chiffres d’affaires, mais bien les fournisseurs dont la capacité est incontournable. Hyundai a par exemple été contraint, fin février, d’arrêter la plus grosse usine d’assemblage du monde pour une rupture de composants de câblage de faible valeur.

Les plus fragiles auront avant tout besoin de soutien financier, via des commandes ou une réduction des délais de paiement. Système U a par exemple décidé de payer comptant les PME fournissant des produits locaux. Autre type de support : la capacité d’analyse. Comme nous le disions précédemment, beaucoup d’entreprises ne sont pas préparées à la gestion de crise. Un support méthodologique et des capacités d’analyse peuvent leur permettre de prendre les bonnes décisions et maintenir la tête hors de l’eau.

Est-il possible d’identifier de nouveaux fournisseurs afin de limiter la pénurie des approvisionnements ?

Là encore, il n’y a pas de réponse générique. Entre qualifier une nouvelle source de principe actif dans l’industrie pharmaceutique ou trouver un nouveau façonnier pour une enseigne de mode, ce ne sont clairement pas les mêmes implications. Reste à savoir s’il est plus pertinent de chercher à trouver un nouveau fournisseur ou de se consacrer à accompagner la reprise du panel existant. Comme la crise est à présent mondiale, peu de fournisseurs vont échapper aux perturbations…

Plus qu’une logique de pallier les ruptures, le sourcing doit servir à mieux équilibrer le potentiel de risque face aux futurs développements de la crise. Si, par exemple, 90% de la capacité est répartie entre l’Inde et le Bangladesh, il est plus qu’urgent de trouver des sources alternatives !

Comment les achats peuvent-ils anticiper la relance ? Est-il possible de préempter des stocks ?

Oui, c’est possible et c’est même indispensable dans un certain nombre de cas. Qu’il s’agisse de composants clé type électronique ou d’équipements de protection, les achats doivent anticiper les pénuries pour être les premiers servis. Les fluctuations des cours sur les matières premières sont aussi à surveiller pour prendre les bonnes options.

Au-delà des stocks, il faut aussi négocier des réservations de capacité industrielles et logistiques. Et concernant les masques de protection, cela peut même aller jusqu’à développer de nouvelles capacités, vu la concurrence à l’achat actuelle et à venir.

Quels sont, selon vous, les premiers enseignements à en tirer pour établir les futures politiques achats ?

L’enseignement majeur est que le Risk Management ne peut plus être le parent pauvre des politiques achats face aux enjeux de compétitivité. La résilience doit nécessairement être revalorisée dans les choix de sourcing et de schémas industriels.

La présence d’un dispositif de Risk Management chez le fournisseur n’est plus suffisante, il faut mesurer sa qualité et en faire une partie prenante des critères de mieux disance.

Quels seront, demain, les grands axes de réflexion à privilégier en termes d’achats ?

Il est encore tôt pour le dire. Mais a minima, les achats devront répondre aux trois enjeux mis en évidence par cette crise : la maîtrise, l’agilité et la résilience.

Après cette crise, il ne sera plus acceptable de ne pas avoir de visibilité sur ses fournisseurs au-delà du rang 1. Nombreux sont ceux qui sont encore dans ce cas et qui auront perdu un temps précieux et connu de mauvaises surprises.

Il faudra également se donner les moyens d’être plus agiles. L’équilibrage des capacités, et donc des risques, devra être mieux balancé face à la massification à outrance.

Le dernier axe de réflexion porte sur la continuité d’activité. Développer un dispositif opérationnel de continuité d’activité va devenir un pré-requis. Mais pour que le dispositif assure le bon niveau de résilience à un coût acceptable, il faut aussi le penser de manière globale entre les donneurs d’ordre et leurs partenaires stratégiques. Cela pourrait être une évolution majeure dans la manière de penser et d’organiser sa relation fournisseur.

Pensez-vous qu’il va y avoir une vague massive de relocalisation, de priorité aux achats locaux ?

Massive, certainement pas. Ce pourra être le cas pour certaines productions stratégiques s’il y a une impulsion politique forte pour privilégier l’indépendance vis-à-vis de la Chine à la rentabilité économique. Pour le reste, la compétitivité restera nécessairement un facteur clé qui ne permettra pas de rebasculer totalement vers des achats locaux. Dans un certain nombre de secteurs les savoir-faire ne sont également plus là et sont monopolisés par l’Asie.

En revanche, il est souhaitable de ré-équilibrer ses schémas industriels pour répondre aux enjeux de maîtrise, d’agilité et de résilience. Une intégration plus forte des savoir-faire et la production en zone pour zone sont clairement des réponses à ces enjeux et doivent être intégrées dans les stratégies achats.

Publié par Aude Guesnon le 7 avr. 2020

cyberisque-cybersécurité, réglementation et amplification du risque, rgpd, RISQUES, télétravail

Deux articles sur les risques liés au télétravail. Le 1er dresse un état de la situation (télétravail en période de confinement), identifie les principaux risques, fait des recommandations pour les atténuer. Le 2ème (visionnaire) paru en 2018 rappelle le contexte réglementaire qui accentue l’intérêt des entreprises pour ce risque à savoir le RGPD ; il est ce que j’appelle dans mes travaux un amplificateur de risque.

Laisser un commentaire

Recommandations de sécurité informatique pour le télétravail en situation de crise

La situation de crise et de confinement liée à l’épidémie du CORONAVIRUS – COVID-19 engendre une intensification du recours au télétravail. Pour beaucoup d’employeurs et de collaborateurs, cette situation inédite et qui va s’inscrire dans la durée, n’avait pas été anticipée. Une mise en œuvre non-maîtrisée du télétravail peut augmenter considérablement les risques de sécurité pour les entreprises ou organisations qui y recourent. Elle peut même mettre en danger leur activité face à une cybercriminalité qui redouble d’efforts pour profiter de cette nouvelle opportunité.
En complément des mesures générales de vigilance cybersécurité publiées sur la crise du CORONAVIRUS – COVID-19, cet article décrit les conseils de Cybermalveillance.gouv.fr tant pour les collaborateurs que pour les employeurs afin de limiter les risques de sécurité informatique liés au télétravail.

État de la situation

La crise sanitaire mondiale du CORONAVIRUS – COVID-19 a nécessité la mise en place de mesures de confinement et de stricte limitation des déplacements aux seuls motifs indispensables. Face à cette situation exceptionnelle et inédite, les entreprises, associations, administrations ou collectivités qui en avaient la possibilité ont dû mettre en place le télétravail pour préserver au moins les activités essentielles que ce mode de fonctionnement peut permettre.

Certaines de ces organisations étaient déjà préparées au télétravail, mais pas pour y faire face de manière aussi massive et en s’inscrivant autant dans la durée.

Pour beaucoup d’autres organisations, la mise en place du télétravail a dû se faire dans l’urgence, voire elles ont dû l’initier « à distance » avec des collaborateurs confinés et sans réelle maîtrise des mesures de sécurité à mettre en place pour protéger de manière satisfaisante le système d’information de l’organisation.

Dans certains cas, et faute d’avoir pu déployer les moyens nécessaires, le télétravail s’opère même depuis les équipements personnels des collaborateurs, dont le niveau de sécurité ne peut pas être évalué et encore moins garanti.

Parallèlement, on peut observer dans cette crise du CORONAVIRUS – COVID-19 une intensification des activités de cybercriminels qui, comme dans toute situation exceptionnelle, cherchent à profiter de l’aubaine et des vulnérabilités induites.

Cette situation engendre une augmentation des risques de cybermalveillance pour les organisations qu’il est indispensable de juguler au mieux sous peine de dommages considérables.

Principaux risques et cybermenaces liés au télétravail

Avec l’intensification du télétravail, les cybercriminels vont chercher à mettre à profit la possible désorganisation et confusion des entreprises et organisations, ainsi que la dématérialisation des procédures qui en résulte, pour intensifier leurs attaques.
Les principales cyberattaques que l’ont peut envisager sont :

– L’hameçonnage (phishing) : Messages (email, SMS, chat…) visant à dérober des informations confidentielles (mots de passe, informations personnelles ou bancaires) en usurpant l’identité d’un tiers de confiance. Conséquences possibles : piratage de comptes professionnels de messagerie ou d’accès aux systèmes d’information de l’organisation, intrusion sur le réseau de l’entreprise, rançongiciels (ransomware), fraude aux faux ordres de virement… En savoir plus.

– Les rançongiciels (ransomware) : Attaque qui consiste à chiffrer ou empêcher l’accès aux données de l’entreprise et à généralement réclamer une rançon pour les libérer. Ce type d’attaque s’accompagne de plus en plus souvent d’un vol de données et d’une destruction préalables des sauvegardes. Ces attaques sont généralement rendues possibles par une intrusion sur le réseau de l’entreprise, soit par ses accès à distance, soit par la compromission de l’équipement d’un collaborateur. Conséquence : arrêt de l’activité de l’entreprise, perte de données… En savoir plus.

– Le vol de données : Attaque qui consiste à s’introduire sur le réseau de l’entreprise, ou sur ses hébergement externes (cloud), pour lui dérober des données afin de la faire « chanter », ou de les revendre, ou encore de les diffuser pour lui nuire. Comme pour les rançongiciels (cf. supra), ces attaques sont généralement possibles par une intrusion dans le réseau ou sur les systèmes hébergées de l’entreprise via ses accès à distance ou bien encore par la compromission du poste d’un collaborateur. Conséquences : atteinte à l’activité et à l’image de l’entreprise ou de l’organisation.

– Les faux ordres de virement (FOVI/BEC) : Escroquerie réalisée, parfois suite au piratage d’un compte de messagerie, par message et même téléphone, en usurpant l’identité d’un dirigeant ou d’un de ses mandataires, d’un fournisseur ou d’un prestataire, voire d’un collaborateur, pour demander un virement exceptionnel et confidentiel, ou un changement des coordonnées de règlement (RIB) d’une facture ou d’un salaire. Conséquence : perte financière pour l’entreprise ou l’organisation.

« Bien connaître les risques permet de mieux détecter les attaques et de comprendre l’intérêt des mesures de sécurité à appliquer. »

10 recommandations de sécurité pour les télétravailleurs

Vous êtes confinés et devez avoir recours au télétravail pour maintenir votre activité. Vous ne disposez parfois pas d’équipement professionnel pour télétravailler et devez le faire avec vos moyens informatiques personnels (ordinateur, tablette, téléphone, comptes de messagerie…).
Afin de préserver au mieux la sécurité de votre entreprise, appliquez les 10 recommandations suivantes :

  1. Si vous disposez d’équipements professionnels, séparez vos usages : Séparez bien vos usages professionnels et personnels au risque de les confondre et de générer des fautes de sécurité qui pourraient être préjudiciables à votre entreprise. L’activité professionnelle doit se faire sur vos moyens professionnels et seulement sur vos moyens professionnels et l’activité personnelle doit se faire seulement sur vos moyens personnels. En savoir plus.
  2. Appliquez strictement les consignes de sécurité de votre entreprise : Ces mesures de sécurité visent à protéger votre entreprise, donc votre activité. Si vous rencontrez des difficultés à appliquer les mesures prescrites, remontez l’information et demandez conseil à votre entreprise, mais ne les contournez pas de votre propre chef, car vous n’êtes probablement pas en mesure d’apprécier l’étendue des risques que vous pourriez prendre et faire prendre à votre entreprise
  3. Ne faites pas en télétravail ce que vous ne feriez pas au bureau : A fortiori sur vos équipements professionnels si vous en disposez. Ayez une utilisation responsable et vigilante de vos équipements et accès professionnels. Si vous utilisez vos moyens personnels en télétravail, ayez conscience que vos activités personnelles peuvent faire prendre un risque aussi à votre entreprise, redoublez donc d’attention et de prudence.
  4. Appliquez les mises à jour de sécurité sur tous vos équipements connectés (PC, tablettes, téléphones…) : Et ce dès qu’elles vous sont proposées afin de corriger les failles de sécurité qui pourraient être utilisées par des pirates pour s’y introduire et les utiliser pour attaquer le réseau de votre entreprise au travers de vos accès. En savoir plus.
  5. Vérifiez que vous utilisez bien un antivirus et scannez vos équipements : Vérifiez que tous vos équipements connectés (PC, téléphones, tablettes…) sont bien protégés par un antivirus, qu’il est bien à jour, et effectuez une analyse complète (scan) de vos matériels. Si un matériel ne peut avoir d’antivirus, évitez le plus possible de l’utiliser pour accéder au réseau de votre entreprise.
  6. Renforcez la sécurité de vos mots de passe : Utilisez des mots de passe suffisamment longs, complexes et différents sur tous les équipement et services auxquels vous accédez, qu’ils soient personnels ou professionnels. La majorité des attaques est due à des mots de passe trop simples ou réutilisés. Au moindre doute ou même en prévention, changez-les et activez la double authentification chaque fois que cela est possible. En savoir plus.
  7. Sécurisez votre connexion WiFi : Le télétravail s’opère en général principalement sur votre connexion WiFi personnelle. Il est donc primordial de bien la sécuriser pour éviter toute intrusion sur votre réseau qui pourrait être utilisée pour attaquer votre entreprise. Utilisez un mot de passe suffisamment long et complexe (voir plus haut) et assurez vous que vous utilisez bien le chiffrement de votre connexion en WPA2. Pensez également à mettre à jour régulièrement votre « box Internet » en la redémarrant ou depuis son interface d’administration.
  8. Sauvegardez régulièrement votre travail : La sauvegarde est le seul moyen permettant de retrouver ses données en cas de cyberattaques, mais également en cas de panne ou de perte de son équipement. Si vous en avez la possibilité, sauvegardez régulièrement votre travail sur le réseau de l’entreprise ou les moyens qu’elle met à disposition à cet effet, mais aussi sur un support externe à votre équipement (clé ou disque USB) que vous débranchez une fois la sauvegarde effectuée. En savoir plus.
  9. Méfiez-vous des messages inattendus : Que ce soit par messagerie (email, SMS, chat…) en cas de message inattendu ou alarmiste, demandez toujours confirmation à l’émetteur par un autre moyen. Il peut s’agir d’une attaque par hameçonnage (phishing) visant à vous dérober des informations confidentielles (mots de passe), de l’envoi d’un virus par pièce-jointe ou d’un lien qui vous attirerait sur un site piégé, ou encore d’une tentative d’arnaque aux faux ordres de virement (voir menaces supra).
  10. N’installez vos applications que dans un cadre « officiel » et évitez les sites suspects : Sur vos équipements professionnels, n’installez de nouvelles applications qu’après l’accord de votre support informatique. Sur vos équipements personnels utilisés en télétravail, n’installez des applications que depuis les sites ou magasins officiels des éditeurs (exemple : Apple App Store,Google Play Store) pour limiter les risques d’installation d’une application piégée pour pirater votre équipement. De même, évitez les sites Internet suspects ou frauduleux (téléchargement, vidéo, streaming illégaux) qui pourraient également piéger vos équipements.

12 recommandations de sécurité liées au télétravail pour les employeurs

Pour faire face à la crise et au confinement imposé par l’épidémie du CORONAVIRUS – COVID-19 les employeurs, entreprises, associations, administrations, collectivités se sont vues devoir mettre en place ou développer dans l’urgence le télétravail pour maintenir, au moins a minima,  leurs activités essentielles. L’ouverture vers l’extérieur du système d’information de l’entreprise peut engendrer des risques sérieux de sécurité qui pourraient mettre à mal l’entreprise, voire engager sa survie en cas de cyberattaque.
Voici 12 recommandations à mettre en œuvre pour limiter au mieux les risques :

  1. Définissez et mettez en œuvre une politique d’équipement des télétravailleurs : Privilégiez autant que possible pour le télétravail l’utilisation de moyens mis à disposition, sécurisés et maîtrisés par l’entreprise. Lorsque ce n’est pas possible, donnez des directives d’utilisation et de sécurisation claires aux employés en ayant conscience que leurs équipements personnels ne pourront jamais avoir un niveau de sécurité vérifiable (voire sont peut être déjà compromis par leur usage personnel).
  2. Maîtrisez vos accès extérieurs : Limitez l’ouverture de vos accès extérieurs ou distants (RDP) aux seules personnes et services indispensables, et filtrer strictement ces accès sur votre pare-feu. Cloisonnez les systèmes pour lesquels un accès à distance n’est pas nécessaire pour les préserver, surtout s’ils revêtent un caractère sensible pour l’activité de l’entreprise.
  3. Sécurisez vos accès extérieurs : Systématisez les connexions sécurisées à vos infrastructures par l’emploi d’un « VPN » (Virtual Private Network ou « réseau privé virtuel » en français). Outre le chiffrement de vos connexions extérieures, ces dispositifs permettent également de renforcer la sécurité de vos accès distants en les limitant aux seuls équipements authentifiés. La mise en place sur ces connexions VPN d’une double authentification sera également à privilégier pour se prémunir de toute usurpation.
  4. Renforcez votre politique de gestion des mots de passe : Qu’il s’agisse des mots de passe des utilisateurs en télétravail, mais aussi de ceux en charge du support informatique, les mots de passe doivent être suffisamment longs, complexes et uniques sur chaque équipement ou service utilisé. La majorité des attaques est due à des mots de passe trop simples ou réutilisés. Au moindre doute ou même en prévention, changez-les et activez la double authentification chaque fois que cela est possible. En savoir plus.
  5. Ayez une politique stricte de déploiement des mises à jour de sécurité : Et ce, dès qu’elles sont disponibles et sur tous les équipements accessibles de votre système d’information (postes nomades, de bureau, tablettes, smartphones, serveurs, équipements réseaux ou de sécurité…) car les cybercriminels mettent peu de temps à exploiter les failles lorsqu’ils en ont connaissance. Un défaut de mise à jour d’un équipement est souvent la cause d’une intrusion dans le réseau des entreprises. En savoir plus.
  6. Durcissez la sauvegarde de vos données et activités : Les sauvegardes seront parfois le seul moyen pour l’entreprise de recouvrer ses données suite à une cyberattaque. Les sauvegardes doivent être réalisées et testées régulièrement pour s’assurer qu’elles fonctionnent. Des sauvegardes déconnectées sont souvent indispensables pour faire face à une attaque destructrice par rançongiciel (ransomware). En outre, il convient également de s’assurer du niveau de sauvegarde de ses hébergements externes (cloud, site Internet d’entreprise, service de messagerie…) pour s’assurer que le service souscrit est bien en adéquation avec les risques encourus par l’entreprise. En savoir plus.
  7. Utilisez des solutions antivirales professionnelles : Les solutions antivirales professionnelles permettent de protéger les entreprises de la plupart des attaques virales connues, mais également parfois des messages d’hameçonnage (phishing), voire de certains rançongiciels (ransomware). Utiliser des solutions différentes pour la protection des infrastructures et pour les terminaux peut s’avérer très complémentaire et donc démultiplier l’efficacité de la protection dans un principe de défense en profondeur.
  8. Mettez en place une journalisation de l’activité de tous vos équipements d’infrastructure : Ayez une journalisation systématique et d’une durée de rétention suffisamment longue de tous les accès et activités de vos équipements d’infrastructure (serveurs, pare-feu, proxy…), voire des postes de travail. Cette journalisation sera souvent le seul moyen de pouvoir comprendre comment a pu se produire une cyberattaque et donc de pouvoir y remédier, ainsi que d’évaluer l’étendue de l’attaque.
  9. Supervisez l’activité de vos accès externes et systèmes sensibles : Cette supervision doit vous permettre de pouvoir détecter toute activité anormale qui pourrait être le signe d’une cyberattaque, tels une connexion suspecte d’un utilisateur inconnu, ou d’un utilisateur connu en dehors de ses horaires habituels, ou encore un volume inhabituel de téléchargement d’informations…
  10. Sensibilisez et apportez un soutien réactif à vos collaborateurs en télétravail : Donnez aux télétravailleurs des consignes claires sur ce qu’ils peuvent faire ou ne pas faire et sensibilisez les aux risques de sécurité liés au télétravail. Cela doit se faire avec pédagogie pour vous assurer de leur adhésion et donc de l’efficacité des consignes. Les utilisateurs sont souvent le premier rempart pour éviter, voire détecter les cyberattaques. Utilisez au besoin nos supports et notre kit de sensibilisation ou encore les recommandations aux télétravailleurs décrites supra. Ces utilisateurs coupés de leur entreprise ont également besoin d’un soutien de qualité et réactif pour éviter toute dérive.
  11. Préparez-vous à affronter une cyberattaque : L’actualité démontre qu’aucune organisation, quelle que soit sa taille, n’est à l’abri d’une cyberattaque. Il faut donc admettre que cela n’arrive pas qu’aux autres. La question n’est donc plus de savoir si on va être victime d’une cyberattaque, mais quand on le sera. Il faut donc s’y préparer. L’évaluation des scénarios d’attaques possibles (cf. menaces supra) permet d’anticiper les mesures à prendre pour s’en protéger et de définir également la conduite à tenir pour réagir quand elle surviendra : plans de crise et de communication, contractualisation avec des prestataires spécialisés pour recourir à leur assistance…
  12. Dirigeants : impliquez-vous et montrez l’exemple ! La sécurité est toujours une contrainte qu’il faut accepter à la mesure des enjeux qui peuvent s’avérer vitaux pour les entreprises. L’implication et l’adhésion des dirigeants aux mesures de sécurité est indispensable, tout comme leur comportement qui doit se vouloir exemplaire afin de s’assurer de l’adhésion des collaborateurs.

 

Travail nomade : risk managers et DRH limitent les risques

JULIE LE BOLZER

L’employeur doit s’assurer que le télétravailleur est convenablement équipé.

Bénéficiant d’une vision transverse, le risk manager apporte une méthode pour cartographier les risques inhérents au travail nomade.

D’après les entreprises matures sur le sujet, le travail à distance constitue notamment un vecteur de bien-être, d’engagement, de performance et de baisse du stress pour les collaborateurs concernés. Reste que le télétravail n’est pas sans risques.

Pour identifier les grains de sable qui pourraient venir contrarier sa mise en oeuvre, les directions des ressources humaines (DRH) ont tout intérêt à s’appuyer sur l’expertise et la méthode de cartographie des risk managers« Par essence, le responsable des risques occupe une fonction transverse et prouve son efficacité dès lors qu’il oeuvre en interface avec les autres départements de l’entreprise », explique François Beaume, vice-président chargé des risques digitaux de l’Association pour le management des risques et des assurances de l’entreprise (Amrae).

Accompagnement et confiance réciproque

En interagissant avec les différentes directions, le risk manager peut cartographier l’ensemble des failles et aider les services concernés, comme les ressources humaines, à mieux identifier et quantifier les risques« Le premier risque lié au télétravail est le manque de conformité juridique, d’où la nécessité pour la DRH de travailler sur la question avec les instances représentatives du personnel », pointe François Malan, vice-président métier et formation de l’Amrae.

De son avis, cette consultation du terrain et des règles clairement définies permettent d’emporter l’adhésion des collaborateurs et des managers« Le télétravail ne doit pas devenir une source de frustration avec des collaborateurs qui se retrouvent exclus du dispositif alors qu’ils pourraient y prétendre. L’accompagnement des managers et la confiance réciproque sont indispensables pour réussir cette transformation », prévient-il.

La cartographie des risques permet d’identifier les adaptations de process et d’organisation nécessaires au maintien de la performance de l’entreprise. « Les entreprises de services, par exemple, ne peuvent pas se permettre de ne pas être accessibles aux clients. Il s’agit donc de veiller à ce que tous les membres d’une même équipe ne soient pas en télétravail au même moment », souligne François Malan.

Equipement suffisant et installation aux normes

Autre élément essentiel à la mise en place d’une politique de télétravail : l’aspect technique. L’employeur doit s’assurer que le télétravailleur est convenablement équipé, avec une connexion Internet suffisante et une installation électrique non défectueuse.« Le plus souvent, c’est l’entreprise qui dote les collaborateurs des outils nécessaires et les assure. Si elle ne fournit pas les équipements et qu’elle n’assure pas le matériel, elle doit inviter le télétravailleur à se rapprocher de son assureur et elle peut interdire le recours à des logiciels non sécurisés », rappelle François Beaume.

En effet, le risque cyber constitue l’un des principaux dangers du télétravail. Il s’avère donc essentiel d’impliquer le directeur des services d’information (DSI) à la démarche. « On a coutume de dire que 50 % des risques cyber sont liés aux individus et aux comportements des personnes. Si les collaborateurs sont conscients de la menace et adoptent une certaine hygiène informatique, l’entreprise se met davantage à l’abri », remarque François Beaume, estimant que la formation constitue la pierre angulaire de la sécurité informatique« Les firewall, antivirus, antimalware, VPN [« virtual private network » ou réseau privé virtuel, NDLR] et autres ne se révèlent réellement efficaces que si l’ensemble des équipes est sensibilisé », dit-il, insistant sur « la nécessité de mettre autour de la table la DRH, la DSI, le service juridique et le risk manager pour que les mesures qui sont prises soient cohérentes entre elles ».

Si ce travail transverse entre les différentes entités de l’entreprise constitue un rempart aux risques, il n’est pas encore effectué naturellement dans toutes les entreprises. « Dans les organisations moins matures, le risk manager n’est associé qu’aux projets considérés comme stratégiques. Si le télétravail est jugé comme tel, le risk manager interviendra dès le début. Mais cela est encore loin d’être le cas partout », conclut François Malan.

Julie Le Bolzer

Entré en application le 25 mai 2018, le règlement général sur la protection des données (RGPD) oblige les entreprises à prendre des mesures techniques et organisationnelles garantissant la sécurité des données personnelles qu’elles traitent dans le cadre de leurs activités (données RH, consommateurs, clients, fournisseurs…). « Avec le travail à distance, certains collaborateurs sont amenés à manipuler des données personnelles en dehors de l’entreprise, d’où la nécessité de prendre en compte la dimension télétravail dans la politique de protection des données personnelles pour en garantir la sécurité effective grâce à un bon usage des outils informatiques », prévient Guillaume Bordier, avocat associé chez Capstan Avocats.

 

élargissement du domaine du risque, cyberisque-cybersécurité, normes, RISQUES

Préparation de la Table Ronde sur la Cybersécurité organisée par la Mêlée Numérique en juin 2020 : nouvelles cyberattaques.

Un commentaire

Pour préparer ma participation à la Table Ronde organisée aujourd’hui (reportée au mois de juin 2020) par la Mêlée Numérique à Toulouse, j’ai entrepris de lister toutes les cyberattaques connues et intervenues contre des organisations française depuis janvier 2020. Ma liste est déjà longue.

Je vous dépose ci-dessous un article intéressant de cyberattaques contre trois municipalités. On y retrouve les éléments d’identification d’un risque : description de celui-ci, causes, impact. Et quelques Plans d’Actions proposés par Deloitte et détaillés dans un rapport intitulé « Ransoming government : What state and local governments can do to break free from ransomware attacks ».

Marseille, Martigues, Charleville-Mézières : les villes françaises sous attaque des ransomwares

Technologie : « Cette cyberattaque, inédite par son ampleur et sa force de frappe, n’a pu être évitée » assurent les responsables locaux. L’attaque touche des systèmes informatiques très importants en cette période d’élection et de pandémie de Coronavirus.

Par La rédaction de ZDNet.fr | lundi 16 mars 2020

Impossible dimanche soir pour les journalistes présents en mairie de Marseille d’obtenir les résultats du premier tour des municipales. La cause ? Une attaque informatique qui paralyse depuis le 14 mars dernier les systèmes informatiques de la municipalité, phocéenne.

La métropole Aix-Marseille-Provence a également été victime de l’attaque, tout comme la ville voisine de Martigues. 300 machines informatiques ont été bloquées assure l’Agence nationale de sécurité des systèmes d’information (Anssi) à l’AFP.

Problème, ces machines devaient créer les listes d’émargement des procurations en vue des élections. Les listes ont donc du être faites à la main, ce qui a ajouté au chaos rapporté sur place dans les bureaux de vote, pour diverses raisons. La Provence précise de son côté que les systèmes informatiques de la région PACA seraient également concernés.

« Cette cyberattaque, inédite par son ampleur et sa force de frappe, n’a pu être évitée »

La mairie de Marseille a assuré que « les élections municipales auraient lieu normalement ». Reste que lundi matin le site de la métropole ne fonctionnait pas. La mairie de Martigues prévient quant à elle que « l’accueil du public sera affecté dans les prochains jours » du fait de cette cyberattaque.

« Malgré les précautions extrêmes prises au quotidien pour protéger les équipements informatiques et se prémunir des virus et du piratage, cette cyberattaque, inédite par son ampleur et sa force de frappe, n’a pu être évitée » a déclaré par communiqué Martine Vassal, candidate Les Républicains à la mairie de Marseille, et présidente de la métropole Aix-Marseille-Provence. « Cette attaque repose sur un rançongiciel (ransomware), un logiciel malveillant qui bloque l’accès à un ordinateur ou à des fichiers en les chiffrant, tout en réclamant à la victime le paiement d’une rançon ».

Elle précise par ailleurs que les équipes techniques sont à pied d’œuvre pour faire un diagnostic précis des systèmes compromis afin d’ »arrêter la propagation » de cette attaque et d’en « limiter l’impact ». Pour éviter un dysfonctionnement de plus grande ampleur, la Métropole a demandé à ses agents de ne pas allumer leur ordinateur fixe ou portable. La collectivité explique travailler avec les instances nationales de sécurité, pour « permettre le rétablissement du réseau informatique dans les meilleurs délais ».

Le secteur public en première ligne

« Les systèmes de sauvegarde et de récupération devraient permettre de limiter les dégâts et récupérer la plupart des données », tient-elle à rassurer. L’enquête a été confiée à la sous-direction de la lutte contre la cybercriminalité de la police nationale.

Mardi dernier, ce sont les systèmes informatiques de la ville de Charleville-Mézières et d’Ardenne Métropole qui étaient visés par une attaque similaire. Selon le média local l’Ardennais, la mairie avait du faire appel à des experts en cybersécurité pour débloquer les systèmes. Le lendemain, la ville ardennaise avait annoncé un retour progressif à la normale.

Si l’épidémie de ransomware touche les systèmes informatiques des collectivités locales tout comme ceux des entreprises, il existe des raisons plus spécifiques pour lesquelles les pirates s’entichent des sites de mairies et communauté d’agglomération.

L’utilisation de systèmes et de logiciels anciens est un problème qui provoque des faiblesses dans ces organisations

Mercredi dernier, Deloitte a publié un rapport intitulé « Ransoming government : What state and local governments can do to break free from ransomware attacks », qui examine comment ces attaques peuvent avoir lieu – et ce que les employés du secteur public devraient faire pour relever le défi des ransomwares. Selon les chercheurs, comme les collectivités locales proposent de plus en plus de services numériques, la surface d’attaque s’est radicalement accrue ces dernières années.

« Il y a quelques décennies, il y avait peut-être quelques ordinateurs dans (ces organisations) », note le rapport. « Chacun de ces ordinateurs est un point d’accès potentiel pour les logiciels malveillants, avec pour conséquence que la surface d’attaque potentielle qu’une collectivité locale doit protéger s’est considérablement accrue sans investissements proportionnels dans la cybersécurité ».

L’utilisation de systèmes et de logiciels anciens, dépassés et inadéquats est un autre problème qui provoque des faiblesses dans ces organisations. Les défaillances dans la gestion des cycles de patchs, les systèmes d’exploitation anciens qui ont dépassé les dates de fin de support, et les budgets serrés empêchant la modernisation et contribuent aux infections par les ransomwares.

Le manque de budget est la principale préoccupation des RSSI de ces organisations

« Pour les organisations publiques nationales et locales qui fonctionnent avec des systèmes anciens, la mise à jour de ces systèmes peut être une bataille redoutable » note Deloitte.

Cependant, l’étude suggère que même si les systèmes anciens peuvent représenter un défi, le facteur humain est le plus grand problème pour le secteur public. Sans personnel qualifié et sans une sensibilisation générale à la cybersécurité, la possibilité que les pirates utilisent les vulnérabilités, le phishing et l’ingénierie sociale pour compromettre les réseaux augmente.

Une enquête menée par la NASCIO et Deloitte montre que le manque de budget est la principale préoccupation des RSSI et responsables de sécurité informatique de ces organisations depuis 2010. Seulement un à deux pour cent du budget informatique moyen de ces organisations est utilisé à des fins de cybersécurité.

Par ailleurs, il s’avère que les collectivités locales paient le plus souvent les preneurs d’otage de leurs systèmes d’information plutôt que d’essayer de restaurer les systèmes par des sauvegardes – si cela est possible – ou de faire face à la possibilité de longues semaines à compter uniquement sur des documents papier. Un exemple cité dans l’étude est celui de la ville de Baltimore, qui a refusé de céder à une demande de rançon de 76 000 $, pour ensuite perdre plus de 18 millions de dollars en frais de recouvrement et en pertes de revenus.

Selon Deloitte, les considérations essentielles des collectivités locales pour lutter contre le risque de ransomware doivent être :

  • Une architecture de systèmes plus intelligente :La modernisation de l’IT ne peut être reportée qu’un certain temps et, compte tenu des dommages financiers que peuvent causer les rançons, il convient d’envisager au plus tôt la réorganisation des anciens systèmes pour prévenir ces attaques.
  • Formation du personnel :La formation et la fidélisation du personnel sont essentielles, tout comme les partenariats entre les secteurs public et privé pour élargir les réserves de talents disponibles.
  • Gestion des correctifs :Deloitte suggère que des pratiques adéquates de gestion des correctifs soient appliquées et que l’on envisage à la fois le cloisonnement des données et les sauvegardes offline.
  • Cyberassurance :Si la cyberassurance peut couvrir le coût des attaques par rançon, son utilisation doit être envisagée avec prudence. Ces politiques peuvent avoir un effet d’entraînement en incitant les pirates à exiger des paiements importants.

 

activité du rm, approche:logique de contrôle, communication de crise, compétences, contrôle, GESTION DES RISQUES, identification des risques, perception-subjectivité du risque, place dans l'organisation, réglementation et amplification du risque, relation avec la dg, les opérationnels et les autres fonctions, rgpd, RISK MANAGER-FONCTION RISK MANAGER, RISQUES, stratégie de définition des risques

« La Fonction Risk Manager. Organisation, Méthodes et Positionnement » labellisé par la Fondation Nationale pour l’Enseignement de la Gestion des Entreprises (FNEGE).

Laisser un commentaire

Moins d’un an après sa parution, l’ouvrage que j’ai co-écrit avec Nicolas Dufour, RM dans une Mutuelle, a reçu le label 2020 de la FNEGE. Label de qualité et reconnaissance de nos pairs dont nous sommes très fiers.  Nous espérons que cette labellisation vous donnera envie de lire notre ouvrage. FNEGE 2