Archives pour la catégorie Non classé

Cyberrisque, Non classé

Préparation de la Table Ronde sur la Cybersécurité organisée par la Mêlée Numérique en juin 2020 : nouvelles cyberattaques.

Laisser un commentaire

Pour préparer ma participation à la Table Ronde organisée aujourd’hui (reportée au mois de juin 2020) par la Mêlée Numérique à Toulouse, j’ai entrepris de lister toutes les cyberattaques connues et intervenues contre des organisations française depuis janvier 2020. Ma liste est déjà longue.

Je vous dépose ci-dessous un article intéressant de cyberattaques contre trois municipalités. On y retrouve les éléments d’identification d’un risque : description de celui-ci, causes, impact. Et quelques Plans d’Actions proposés par Deloitte et détaillés dans un rapport intitulé « Ransoming government : What state and local governments can do to break free from ransomware attacks ».

Marseille, Martigues, Charleville-Mézières : les villes françaises sous attaque des ransomwares

Technologie : « Cette cyberattaque, inédite par son ampleur et sa force de frappe, n’a pu être évitée » assurent les responsables locaux. L’attaque touche des systèmes informatiques très importants en cette période d’élection et de pandémie de Coronavirus.

Par La rédaction de ZDNet.fr | lundi 16 mars 2020

Impossible dimanche soir pour les journalistes présents en mairie de Marseille d’obtenir les résultats du premier tour des municipales. La cause ? Une attaque informatique qui paralyse depuis le 14 mars dernier les systèmes informatiques de la municipalité, phocéenne.

La métropole Aix-Marseille-Provence a également été victime de l’attaque, tout comme la ville voisine de Martigues. 300 machines informatiques ont été bloquées assure l’Agence nationale de sécurité des systèmes d’information (Anssi) à l’AFP.

Problème, ces machines devaient créer les listes d’émargement des procurations en vue des élections. Les listes ont donc du être faites à la main, ce qui a ajouté au chaos rapporté sur place dans les bureaux de vote, pour diverses raisons. La Provence précise de son côté que les systèmes informatiques de la région PACA seraient également concernés.

« Cette cyberattaque, inédite par son ampleur et sa force de frappe, n’a pu être évitée »

La mairie de Marseille a assuré que « les élections municipales auraient lieu normalement ». Reste que lundi matin le site de la métropole ne fonctionnait pas. La mairie de Martigues prévient quant à elle que « l’accueil du public sera affecté dans les prochains jours » du fait de cette cyberattaque.

« Malgré les précautions extrêmes prises au quotidien pour protéger les équipements informatiques et se prémunir des virus et du piratage, cette cyberattaque, inédite par son ampleur et sa force de frappe, n’a pu être évitée » a déclaré par communiqué Martine Vassal, candidate Les Républicains à la mairie de Marseille, et présidente de la métropole Aix-Marseille-Provence. « Cette attaque repose sur un rançongiciel (ransomware), un logiciel malveillant qui bloque l’accès à un ordinateur ou à des fichiers en les chiffrant, tout en réclamant à la victime le paiement d’une rançon ».

Elle précise par ailleurs que les équipes techniques sont à pied d’œuvre pour faire un diagnostic précis des systèmes compromis afin d’ »arrêter la propagation » de cette attaque et d’en « limiter l’impact ». Pour éviter un dysfonctionnement de plus grande ampleur, la Métropole a demandé à ses agents de ne pas allumer leur ordinateur fixe ou portable. La collectivité explique travailler avec les instances nationales de sécurité, pour « permettre le rétablissement du réseau informatique dans les meilleurs délais ».

Le secteur public en première ligne

« Les systèmes de sauvegarde et de récupération devraient permettre de limiter les dégâts et récupérer la plupart des données », tient-elle à rassurer. L’enquête a été confiée à la sous-direction de la lutte contre la cybercriminalité de la police nationale.

Mardi dernier, ce sont les systèmes informatiques de la ville de Charleville-Mézières et d’Ardenne Métropole qui étaient visés par une attaque similaire. Selon le média local l’Ardennais, la mairie avait du faire appel à des experts en cybersécurité pour débloquer les systèmes. Le lendemain, la ville ardennaise avait annoncé un retour progressif à la normale.

Si l’épidémie de ransomware touche les systèmes informatiques des collectivités locales tout comme ceux des entreprises, il existe des raisons plus spécifiques pour lesquelles les pirates s’entichent des sites de mairies et communauté d’agglomération.

L’utilisation de systèmes et de logiciels anciens est un problème qui provoque des faiblesses dans ces organisations

Mercredi dernier, Deloitte a publié un rapport intitulé « Ransoming government : What state and local governments can do to break free from ransomware attacks », qui examine comment ces attaques peuvent avoir lieu – et ce que les employés du secteur public devraient faire pour relever le défi des ransomwares. Selon les chercheurs, comme les collectivités locales proposent de plus en plus de services numériques, la surface d’attaque s’est radicalement accrue ces dernières années.

« Il y a quelques décennies, il y avait peut-être quelques ordinateurs dans (ces organisations) », note le rapport. « Chacun de ces ordinateurs est un point d’accès potentiel pour les logiciels malveillants, avec pour conséquence que la surface d’attaque potentielle qu’une collectivité locale doit protéger s’est considérablement accrue sans investissements proportionnels dans la cybersécurité ».

L’utilisation de systèmes et de logiciels anciens, dépassés et inadéquats est un autre problème qui provoque des faiblesses dans ces organisations. Les défaillances dans la gestion des cycles de patchs, les systèmes d’exploitation anciens qui ont dépassé les dates de fin de support, et les budgets serrés empêchant la modernisation et contribuent aux infections par les ransomwares.

Le manque de budget est la principale préoccupation des RSSI de ces organisations

« Pour les organisations publiques nationales et locales qui fonctionnent avec des systèmes anciens, la mise à jour de ces systèmes peut être une bataille redoutable » note Deloitte.

Cependant, l’étude suggère que même si les systèmes anciens peuvent représenter un défi, le facteur humain est le plus grand problème pour le secteur public. Sans personnel qualifié et sans une sensibilisation générale à la cybersécurité, la possibilité que les pirates utilisent les vulnérabilités, le phishing et l’ingénierie sociale pour compromettre les réseaux augmente.

Une enquête menée par la NASCIO et Deloitte montre que le manque de budget est la principale préoccupation des RSSI et responsables de sécurité informatique de ces organisations depuis 2010. Seulement un à deux pour cent du budget informatique moyen de ces organisations est utilisé à des fins de cybersécurité.

Par ailleurs, il s’avère que les collectivités locales paient le plus souvent les preneurs d’otage de leurs systèmes d’information plutôt que d’essayer de restaurer les systèmes par des sauvegardes – si cela est possible – ou de faire face à la possibilité de longues semaines à compter uniquement sur des documents papier. Un exemple cité dans l’étude est celui de la ville de Baltimore, qui a refusé de céder à une demande de rançon de 76 000 $, pour ensuite perdre plus de 18 millions de dollars en frais de recouvrement et en pertes de revenus.

Selon Deloitte, les considérations essentielles des collectivités locales pour lutter contre le risque de ransomware doivent être :

  • Une architecture de systèmes plus intelligente :La modernisation de l’IT ne peut être reportée qu’un certain temps et, compte tenu des dommages financiers que peuvent causer les rançons, il convient d’envisager au plus tôt la réorganisation des anciens systèmes pour prévenir ces attaques.
  • Formation du personnel :La formation et la fidélisation du personnel sont essentielles, tout comme les partenariats entre les secteurs public et privé pour élargir les réserves de talents disponibles.
  • Gestion des correctifs :Deloitte suggère que des pratiques adéquates de gestion des correctifs soient appliquées et que l’on envisage à la fois le cloisonnement des données et les sauvegardes offline.
  • Cyberassurance :Si la cyberassurance peut couvrir le coût des attaques par rançon, son utilisation doit être envisagée avec prudence. Ces politiques peuvent avoir un effet d’entraînement en incitant les pirates à exiger des paiements importants.

 

Non classé, Risque et responsabilité pénale des entreprises

Procès France Télécom : rappel des faits

Laisser un commentaire

Procès pour harcèlement chez France Télécom : l’heure de la décision

Après plusieurs mois de délibéré, les juges rendent aujourd’hui leur jugement dans l’affaire des suicides qui a atteint l’opérateur entre 2007 et 2010. Les enjeux sont tels que les juges savent déjà que, quelle que soit leur décision, celle-ci sera frappée d’appel.

Cécile Louis-Loyant ne se fait pas d’illusion. Quelle que soit la décision que la présidente et ses assesseurs rendront ce vendredi 20 décembre, elle sera immédiatement frappée d’appel « tant les enjeux sont grands ». Après plus de mois de délibéré, les juges devront dire si France Télécom et ses ex-dirigeants ont mis en place, entre 2007 et 2010, une politique managériale constitutive de harcèlement moral.

C’est une première. Car la décision devra certes réparer et dire le droit. Mais l’équation judiciaire est délicate dans cette affaire, où les faits reprochés portent sur l’ensemble du personnel de l’entreprise. Or, jusqu’alors, le principe en droit pénal voulait qu’un lien direct existe entre la victime et l’auteur du dommage. Ici, il est clair que, ni l’ex-PDG, Didier Lombard, ni les six autres hauts responsables prévenus n’ont « directement » harcelé moralement les victimes. Quid encore de la personne morale ?

Harcèlement managérial

« Le but de ce procès n’est pas de porter un jugement de valeur sur (les) personnes, mais c’est de démontrer que l’infraction pénale de harcèlement moral peut être constituée par une politique d’entreprise, par l’organisation du travail et (être) qualifiée de harcèlement managérial », avait précisé  le parquet dans ses réquisitions en demandant les peines maximales contre France Télécom et ses ex-dirigeants : 75.000 euros d’amende contre l’entreprise, un an de prison et 15.000 euros d’amende à l’encontre de Didier Lombard, l’ex-PDG, Louis-Pierre Wenès et Olivier Barberot, les anciens n° 2 et 3. Sans oublier 10.000 euros et huit mois de prison contre « leurs zélés complices », Jacques Moulin, Nathalie Boulanger et Brigitte Dumont. « Les peines encourues à l’époque sont si faibles qu’il faut demander le maximum » pour que la sanction ait un sens, avait expliqué la procureure.

Que décidera le tribunal, qui connaît le poids symbolique de son jugement ? Il devrait en tout état de cause fortement motiver sa décision car cette approche collective du harcèlement moral est inédite en droit. Peut-être essayera-t-il de condamner pour exprimer  l’écoute envers les victimes , tout en expliquant très précisément les conditions très particulières, afin d’éviter  une généralisation non maîtrisée de cette jurisprudence qui pourrait atteindre toutes les entreprises qui entreprennent un plan de réorganisation et de modernisation de leurs structures et de leurs personnels.

Rationalité confondante

Pendant l’audience, les ex-managers ont souvent opposé une rationalité confondante face à la souffrance de certaines victimes. Nicolas Guérin, secrétaire général d’Orange, qui représente France Télécom au procès, a reconnu qu’il était « indéniable qu’il y ait eu de la souffrance chez certains de nos collaborateurs. […] Mais nous contestons un harcèlement moral généralisé ». Il avait annoncé qu’Orange allait lancer  une « discussion » avec les organisations syndicales pour créer une commission d’indemnisation des victimes, « quelle que soit la décision » du tribunal.

Au coeur du procès, les plans Next et Act visant à transformer France Télécom en trois ans, avec notamment l’objectif de 22.000 départs et 10.000 mobilités. Pour les prévenus, il devait s’agir de départs « volontaires »« naturels ». En 2005, France Télécom était « en péril », l’entreprise, surendettée, subissait une concurrence « agressive », des évolutions technologiques « extrêmement rapides ». Trente-cinq personnes s’étaient suicidées.

Valérie de Senneville

 

 

 

Non classé, Risque et responsabilité pénale des entreprises

France Télécom : un procès inédit qui aura un impact considérable sur la responsabilité pénale des entreprises

Laisser un commentaire

Les juges devront déterminer si un système managérial peut-être responsable de ces drames. Je vous propose de suivre de près le déroulement de ce procès et d’analyser le risque encouru par les entreprises. 

Le procès France Télécom, une épée de Damoclès pour les entreprises

A partir de ce lundi 6 mai, et pendant neuf semaines, sept personnes physiques, dont Didier Lombard, et une personne morale devront s’expliquer devant le tribunal correctionnel de Paris et revenir sur cette période de 2008-2009 où France Télécom a été confronté à une vague de suicides. Un procès dont l’issue aura un impact considérable sur la responsabilité pénale des entreprises.Echos

L’audience qui s’ouvre ce lundi 6 mai est déterminante. Bien sûr, elle l’est pour France Télécom, son ex-PDG, Didier Lombard, et les hauts cadres qui se retrouvent sur le banc des prévenus ; mais elle l’est aussi pour toutes les entreprises qui entreprennent un plan de réorganisation et de modernisation de leurs structures et de leurs personnels.

Pendant neuf semaines – une longueur hors du commun -, tous les après-midi, sept personnes physiques et une personne morale devront s’expliquer devant le tribunal correctionnel de Paris et revenir sur cette période où France Télécom a été confronté à une vague de suicides, tentatives de suicides et dépressions de ses employés. Entre 2008 et 2009, 35 personnes avaient mis fin à leurs jours.

Procès inédit                                                       

Ce procès est inédit. Pour la première fois une société du CAC 40 et son haut management sont présumés responsables de harcèlement moral sur l’ensemble du personnel de l’entreprise du fait d’une politique managériale. Or, jusqu’alors, le principe en droit pénal voulait qu’un lien direct existe entre la victime et l’auteur du dommage. Ici il est clair que ni Didier Lombard ni les six hauts responsables n’ont « directement » harcelé moralement les victimes. Les juges Brigitte Jolivet et Emmanuelle Robin qui ont mené l’instruction le savent.

Elles vont donc s’attacher à décrire « un système » ayant in fine pour but la réduction des effectifs quel qu’en soit le prix. En 2005, France Télécom, privatisé un an plus tôt, est confronté à un « paradoxe » : le nombre de fonctionnaires est encore important alors que l’entreprise a besoin de recruter pour s’adapter aux nouvelles technologies et répondre aux besoins des clients. « Il était impossible de procéder à des licenciements pour motif économique des fonctionnaires. C’est là l’une des clefs de compréhension des méthodes de management déclinées au sein de l’entreprise », écrivent  les juges d’instruction dans leur ordonnance de renvoi de 673 pages.

Déflation des effectifs

Dès lors les plans mis en place visaient certes « à adapter l’entreprise aux réalités économiques et financières », mais les restructurations qui en découlaient « intégraient une programmation précise de déflation des effectifs ».

Entre 2008 et 2009, 35 personnes avaient mis fin à leurs jours.

Cette démonstration leur permet d’affirmer que « les effets de cette politique, qui faisait de la déstabilisation des agents ‘un levier’ pour parvenir aux objectifs de transformation de l’entreprise, ont entraîné ou accentué chez nombre de salariés une souffrance dont les manifestations ont pris des formes diverses, la plus dramatique étant le passage à l’acte suicidaire. »

Agissements répétés

Dès lors, selon Brigitte Jolivet et Emmanuelle Robin, il serait inutile de démontrer le lien direct, car les « agissements répétés » exigés par l’article 222-33-2 du Code pénal pour prouver le harcèlement moral « peuvent résulter de méthodes de gestion ou de management, voire d’une véritable organisation managériale ». Elles précisent enfin que « ni la lettre du texte, ni la logique de la matérialité des faits n’impose que les auteurs connaissent les victimes des faits, dès lors que le lien entre leurs agissements et la dégradation des conditions de travail est établi. »

On imagine sans mal les sérieuses conséquences que cette logique pénale nouvelle pourrait avoir sur nombre d’entreprises. C’est, dès lors, toutes les transformations d’entreprises à statut, comme la SNCF ou La Poste, ou qui évoluent dans un environnement concurrentiel tendu, comme Air France et aux mutations technologiques rapides, comme Renault – qui a déjà connu une vague de suicides en 2006 – ou Technip – confronté aussi au même drame et dont les syndicats ont d’ores et déjà saisi la justice – qui vont se retrouver concernées directement. L’affaire résonne aussi fortement pour Pôle emploi que plusieurs plaintes pour harcèlement visent après une vague de suicides entre 2009 et 2012. « Il existe plusieurs points de similitude entre ces deux entreprises, toutes deux parapubliques à l’organisation régionale complexe », relève l’avocat d’une des victimes, Eric Morain.

Approche inédite

Les juges devront déterminer si un système managérial peut-être responsable de ces drames.

 

Cette approche collective du harcèlement moral est inédite », confirme Loïc Lerouge, chercheur au CNRS et membre du Centre de droit comparé du travail et de la sécurité à l’université de Bordeaux. « Cette affaire a un retentissement mondial, il y a une grande curiosité. La France est le premier pays à poursuivre au pénal une entreprise sur le lien entre organisation du travail, mal-être et suicides. De gros enjeux sont liés à ce procès au regard du précédent qu’il va créer. »

Un avis partagé par Patrick Légeron, psychiatre et fondateur de Stimulus, un cabinet de conseil aux entreprises. « Cela va être un électrochoc. Les entreprises n’ont pas conscience des risques. Aux Etats-Unis, on a calculé que le coût du stress au travail était de plus de 300 milliards de dollars par an », constate le médecin.

Vague de globalisation

La vague sera d’autant plus forte que la tendance à la « globalisation » est très nette chez les juges du siège. Si la Cour de cassation résiste encore, de plus en plus de décisions tentent de démonter un « système » délictuel en droit pénal des affaires sans plus chercher de lien direct à la faute. Ainsi, en droit pénal financier, le tribunal a condamné la banque suisse UBS à une amende record de 4,5 milliards d’euros pour blanchiment de fraude fiscale au motif que la fraude « d’une particulière gravité trouve sa source dans une organisation structurée verticalement, systématique et ancienne ». Bref un « système », encore un.

Valérie de Senneville