Archives pour la catégorie Notion de risque

Risque perçu versus Risque objectif. De l’importance des biais cognitifs

Merci à Emmanuelle Hervé de mettre l’accent sur la subjectivité du risque. Le risque perçu (trop souvient oublié au profit du risque objectif) dépend en effet de la position de l’agent dans son exposition au risque et/ou sa psychologie. La question de la subjectivité montre le rôle des biais cognitifs et des représentations dans l’appréhension des dangers par les acteurs économiques. Elle intervient notamment dans la relation entreprise/acteurs de la société civile ; dans la perception par l’entreprise des risques qu’elle encoure. Cette prise en compte est compliquée mais indispensable pour le Risk Manager. C’est une voie que nous explorons avec N.Dufour dans notre ouvrage « La Fonction Risk Manager. organisation, Méthodes et Positionnement ». Celui-ci est Disposible ici : https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html

Voir également les travaux d’Olivier Sibony, professeur à l’HEC, spécialiste en résolution de problèmes, en prise de décision et expert en stratégie, dans une conférence virtuelle intitulée : comprendre les biais cognitifs en pleine crise du coronavirus. Celle-ci est disponible ici : https://www.youtube.com/watch?v=wDD4h-_TgQs.

COVID-19 : COMMENT LES BIAIS COGNITIFS ONT PERTURBÉ LA GESTION DE LA CRISE

Emmanuelle Hervé

 « Les biais cognitifs, parfois aussi appelés “illusions cognitives”, sont un ensemble d’erreurs de raisonnement qui diffèrent du simple oubli ou de l’erreur de calcul. Les biais cognitifs sont observables lorsque, dans une certaine situation, un sujet commet une erreur de raisonnement en recourant à une heuristique plutôt qu’à une loi logique et forme ainsi une croyance injustifiée, voire fausse ».

Source : https://encyclo-philo.fr/a-propos-le-vrai/

Pourquoi prenons-nous des mauvaises décisions ? Pourquoi des personnes compétentes, pleines de bonnes intentions entreprennent des actions qui nous semblent bonnes mais qui se révéleront désastreuses pour l’avenir d’une entreprise par exemple ? Pourquoi nous sous-estimons ou au contraire surestimons une crise ?

Ce sont les travers des biais cognitifs. Ces erreurs, déclinées en plusieurs catégories, sont particulièrement notables en temps de crise. 

Nous sommes tous de potentielles victimes de nos biais cognitifs. Nous avons tendance à sous-estimer les risques qui ont certes une probabilité d’occurrence relativement faible, mais qui ont pourtant un impact, humain, financier, ou encore réputationnel très important. On pourrait citer ici les accidents nucléaires, les crashs d’avions, etc. Nous nous y préparons donc, et à tort, trop peu. C’est ce que Thaleb conceptualise autour du « cygne noir ».

Aujourd’hui, nous retrouvons sur toutes les plateformes que nous scrutons, des extraits vidéo, où des scientifiques, des spécialistes, des politiques, minimisaient le risque d’une épidémie dans notre pays. En effet, il y a trois mois, une épidémie semblait impensable sur notre sol.

« On sait que ce virus est peu mortel »

Christophe Prudhomme, porte-parole des médecins urgentistes.

Comment pouvons-nous expliquer ces prises de parole, où la peur et le déni, semblaient déformer notre perception de la dangerosité du virus. Regardons de plus près les différents biais décrits par Olivier Sibony, dont nous avons tous été victimes pendant cette crise :

  • Le modèle mental :

Nous avons tous vu, si ce n’est ressenti, cet irrépressible besoin de comparer ce virus à un modèle que nous connaissions, ou qui s’en rapprochait. Instinctivement, en France, nous nous sommes rappelés de la grippe A/H1N1 en 2009, rapidement maitrisée. À l’époque, nous avions agi vite et fort, avec les campagnes de vaccinations et les réserves de masques. Nous nous sommes souvenus qu’il ne fallait pas surréagir, la population, les médecins et les spécialistes, ont ce même souvenir. En Chine, le souvenir était celui du SRAS, d’où une réaction beaucoup plus forte et appropriée.

  • Le biais de croissance exponentielle :

Comment appréhender une croissance exponentielle ? Nous voyons une courbe de cas, de décès ; on sait qu’elle va augmenter, mais on la sous-estime.

Dans cette crise, la courbe des décès est exponentielle dès le début. Prenons un exemple simple, au début de la crise, le Pr. Jérôme Salomon annonce dans ses points quotidiens un doublement du nombre de cas tous les trois jours. On sous-réagit à l’exponentielle, car au début, on parle de chiffres de 3 ; 5 ; 8 individus… On s’éloigne encore de la prise de conscience en se persuadant que la situation, au vu de ces premiers chiffres, n’est après tout pas si grave.

  • L’endo-groupe, apprendre de l’expérience des autres ?

Nous avons tous un jour pensé et cru que « cela n’arrivait qu’aux autres », « ça ne peut pas arriver chez nous ». Nous sommes convaincus que notre endo-groupe est différent de l’exo-groupe.

Les Italiens par exemple, ont jugé irréaliste le comportement de leur voisin français lorsque le premier tour des municipales a été maintenu. Chaque pays ne peut pourtant pas gérer cette crise de la même façon, et nous trouvons des explications pour nous éloigner encore de la prise de conscience de la gravité de la situation. Selon Bolsonaro, les Brésiliens sont plus solides que les autres ; pour les Américains, il est bien entendu impossible d’attraper un virus chinois, probablement d’ailleurs une nouvelle machination orchestrée par les démocrates…

Toutefois, il est fondamental de se garder d’émettre des jugements hâtifs. Nous sommes tous concernés, de manière universelle, bien qu’il existe des différences sur certaines questions selon les cultures et les genres, elles n’influent que très peu sur les biais.

  • Le biais d’excès de confiance

Nous avons tendance à faire confiance aux estimations et à les suivre, surtout en temps de crise. Pourtant, nous les surestimons ou nous les sous estimons… L’exemple étasunien est ici notable. Lorsque de grands scientifiques ont été amenés à devoir donner une estimation du nombre de cas dans les 12 jours, ils ont répondu collectivement qu’il s’élèverait à environ 19 000.

Seulement, 12 jours plus tard, le chiffre s’élevait à 120 000 cas. Les meilleurs experts dont le pays disposait se sont donc tous trompés. De plus, il faut noter que ces professionnels ont vu d’autres épidémies, et des réactions qui ont pu s’avérer disproportionnées. Ils ont ainsi une responsabilité de prévenir mais aussi de ne pas semer de panique devant tant d’incertitudes.

  • Le biais social ou le biais d’imitation

Des parcs bondés, des plages occupées, des réunions entre amis, ces gens qui font comme si tout allait bien, ne peuvent tout de même pas se tromper ? Si ? La situation ne doit pas être aussi grave en fin de compte… Le 15 mars, le confinement que nous vivons actuellement nous semblait impensable. Aujourd’hui, c’est la norme, nous l’acceptons et nous nous y conformons (du moins la plupart d’entre nous s’y conforment et heureusement), d’ailleurs nous assistons même aujourd’hui à des dénonciations de ceux qui ne semblent pas le respecter. Ce modelage des habitudes montre que nous faisons comme les autres, nous sommes influencés et nous imitons le comportement des uns et des autres.

Mais sachant tout cela, comment fait-on pour éviter les biais qui altèrent notre jugement ?

Les biais cognitifs sont des erreurs dont nous n’avons par principe pas conscience sur le moment. Ce sont des réalités qu’on ne peut pas éviter tout seul.

C’est une leçon d’humilité, nous ne sommes pas à l’abri d’en être victime. Cette fatalité est amplifiée par les médias, que nous consommons particulièrement régulièrement pendant cette période. Ils ont un rôle non négligeable dans ces biais. Ils nous poussent à nous retrancher dans le « système 1 », une pensée rapide, permanente, qui ne nous aide certainement pas à prendre du recul. M. Sibony nous rappelle d’ailleurs que 80 % du temps d’antenne des médias sont centrés sur le Covid-19, mais à nous de nous gendarmer sur cette activité.

On prend conscience aujourd’hui qu’il aurait fallu agir dès les premiers cas de décès déclarés.

À cause du mécanisme des biais, la prise de conscience se fait malheureusement par palier, nous avons donc tous un temps de retard. Aujourd’hui on ne comprend pas pourquoi les municipales en France ont été maintenues, on conçoit qu’il s’agissait, même avec des précautions, d’un facteur supplémentaire de propagation de l’épidémie.

Pourtant, avant le confinement, les réactions sur une possible annulation des élections étaient vives… On a pu entendre notamment la comparaison d’une annulation avec un « coup d’État ». Ce sont pourtant ces mêmes personnes qui aujourd’hui sont révoltées et qui jugent l’action gouvernementale tardive. C’est un véritable paradoxe, mais l’acceptabilité, se fait par palier.

Après avoir sous-réagit, on sur-réagit, tout s’emballe ! Il est difficile dans une situation de crise de revenir à un raisonnement patient et rationnel.

Nous allons également devoir penser à l’après, ce qui nous semble difficile car le bilan s’alourdit. De nombreuses personnes vont mourir, et sont en train de mourir, cela se passe maintenant, c’est tangible. Au-delà de La Peste de Camus il faut aussi anticiper Les Raisins de la colère de Steinbeck, même si cela peut sembler indécent. Car la crise économique qui se profile représentera également de nombreuses cassures et causera de multiples blessures dans la société. Le désespoir est déjà très important, on peut le voir aux États-Unis par exemple, où une partie de la population préfère prendre le risque d’un déconfinement immédiat, plutôt que de subir par la suite une violente crise économique, qui engendrera indubitablement une autre crise sanitaire. Finalement, cette crise est plus abstraite, moins tangible, moins urgente, mais on doit y réfléchir.

Malgré la pression médiatique il ne faut pas avoir le sentiment de choisir entre une crise sanitaire ou une crise économique, mais devoir réfléchir aux impacts sur le bien-être global des choix que nous devrons faire à la sortie de cette crise. En d’autres termes, « il faut prendre de la distance pour sauver des vies après. »

Sortir de la crise

Pour sortir de cette crise, nous allons devoir faire des choix, mais aucun ne permet de garantir une sécurité totale. Aucun schéma ne nous garantira de mettre tout le monde à l’abri.

En fait, M. Sibony décrit quatre niveaux d’incertitudes dans lesquels nous nous retrouvons :

  1. Combien de gens sont infectés, combien l’ont été ? etc.
  2. À quelle vitesse le virus se transmet, comment exactement ? Dans quelle mesure il sera saisonnier ? L’immunité est-elle définitive ?
  3. Combien de temps va durer le confinement, quel impact sur la paix et sur le tissu social aurait-il ?
  4. Est-ce que les gouvernements ont fait assez ? Notre consommation va-t-elle changer après ?

Personne ne sait aujourd’hui comment nous sortirons de cette crise, et quelle image aura la société après celle-ci. On peut formuler de multiples scénarios tant le niveau d’incertitude est grand. Pourquoi ne pourrait-on pas envisager une récession comme en 1929 ? Il faut ici repenser à Socrate après tout « Tout ce que je sais c’est que je sais que je ne sais rien ».

Pour la sortie du confinement, les mêmes interrogations se posent, et encore une fois plusieurs scénarios sont envisageables. Il y aura probablement des confinements successifs, mais dans ce cas-là ils pourront être difficiles à faire respecter ? Un déconfinement par catégories, qui pose des problèmes éthiques ? Un déconfinement progressif à commencer par les personnes qui sont supposément immunisées après avoir été guéries du virus ?

Chaque système a ses failles, la seule solution reste un remède, un vaccin. Il est ici temps de revenir sur un autre biais, dont nous serons forcément victimes à la fin de cette crise.

  • Le biais rétrospectif

Il n’y a rien de plus facile que de regarder le présent à la lumière du passé, on reprochera de toute manière au gouvernement la gestion de cette crise. Quel que soit le bilan. S’il y a 30 000 morts, nous conclurons que nous avons surréagi. Si le bilan s’élève à 300 000, nous conclurons que ce qui a été mis en place n’aura servi à rien, et qu’on peut qualifier de criminel, ce qui a été mis en place.

Dans l’après, nous aurons du mal à imaginer l’incertitude dans laquelle nous nous trouvons aujourd’hui. Et nous serons alors, forcément victimes du biais rétrospectif.

C’est ce que nous enseigne Olivier Sibony, professeur à l’HEC, spécialiste en résolution de problèmes, en prise de décision et expert en stratégie, dans une conférence virtuelle intitulée : comprendre les biais cognitifs en pleine crise du coronavirus. Celle-ci est disponible ici : https://www.youtube.com/watch?v=wDD4h-_TgQs.

Nous vous avons proposé un résumé de cette excellente et très instructive intervention. De celle-ci, nous avons dégagé cinq leçons pour tenter de mieux appréhender ces biais, de les connaître, et savoir qu’ils peuvent nous induire en erreur.

  1. Connaître et savoir identifier les biais dont on peut être victime est une bonne chose. Mais le mieux, c’est aussi de regarder les faits plutôt que les raisonnements par analogie. Il faut se munir d’une humilité devant les faits, s’entourer d’une diversité de points de vue.
  2. Paniquer ne vous aidera pas. En France, nous suivons les ordres du pouvoir central. Dans d’autres pays, les universités par exemple ont fermé avant que ce soit obligatoire (c’est le cas des États-Unis), on a pu observer également des initiatives prises par des populations, confinées avant que les mesures gouvernementales de les y obligent (c’est le cas de l’Ukraine).
  3. Personne ne sait rien, tout le monde fait des probabilités. Accepter l’incertitude est fondamental.
  4. Se préparer, apprendre à anticiper est indispensable.
  5. Accepter que le risque zéro n’existe pas ; les biais ont beau être connus, ils ne sont parfois pas pris en compte, parfois oubliés. Nous restons humains, faillibles, c’est pour ça que les meilleurs épidémiologistes peuvent se tromper.

Emmanuelle Hervé. Juin 2020

 

 

 

Cyber risque

Je vous propose deux articles sur le Cyber risque. Encore lui !

Le premier (Risques IT : Êtes-vous prêt pour la prochaine cyberattaque ?) préconise la mise en place d’une démarche de gestion des risques.

Le second (Le cyber-risque est (aussi) une affaire de Comex) va au-delà en préconisant la mise en place d’une gouvernance des cyber risques. Celle-ci semble bien (trop) ambitieuse dans la plupart des entreprises françaises, dans lesquelles la Fonction Risk Manager est encore une fonction en émergence mais l’auteur a le mérite de fixer l’objectif à atteindre.

Article 1 

Opinion | Risques IT : Êtes-vous prêt pour la prochaine cyberattaque ?

ALAIN-GABRIEL GOMANE / Senior Product Marketing Manager, MEGA International Le 12/10

Il y a un peu plus d’un an, Wannacry frappait lourdement de nombreuses entreprises et services publics. Cette attaque, provoquée par une simple absence de mise à jour, n’a pas connu d’équivalent depuis. Mais il pourrait ne s’agir que d’une période de calme avant la tempête.

Quoi qu’il en soit, il est indispensable pour toutes les organisations de gérer l’obsolescence de leurs applications, mais plus généralement, des risques IT, afin d’être moins vulnérables aux potentielles cyberattaques.

L’importance d’une culture de gestion des risques

Le développement des outils numériques engendre de nouveaux risques en matière de cyberattaques. Les hackers sont de plus en plus nombreux et usent de techniques toujours plus perfectionnées pour pirater leurs victimes. Selon des données de la Commission européenne, 80 % des entreprises de la zone ont déjà été touchées au moins une fois par une attaque depuis 2016, qu’il s’agisse de vol de données, d’actes frauduleux, ou de déstabilisations. Pourtant, les organisations n’ont pas toujours conscience du danger d’une cyberattaque. Et c’est seulement lorsqu’elles y sont confrontées qu’elles développent une culture de gestion des risques.

Par exemple, l’an dernier, le National Health Service (NHS) du Royaume-Uni a été victime d’un piratage. Cette organisation possédait un très grand parc informatique dont les machines étaient équipées de Windows XP, un système d’exploitation qui n’est plus mis à jour par Microsoft. Les pirates ont donc utilisé cette faille et sont parvenus à toucher cinquante hôpitaux. Ces derniers n’avaient plus accès à leurs applications de gestion des historiques médicaux, et n’étaient plus en mesure d’effectuer la moindre opération médicale ou chirurgicale pendant plusieurs jours. Mais NHS n’a pas été la seule victime de Wannacry. D’autres géants ont également été impactés à l’image de Vodafone, FedEx, Renault, Telefónica, le ministère de l’Intérieur russe ou encore la Deutsche Bahn !

Des organisations encore trop peu protégées face aux cyberattaques

Qu’il s’agisse de systèmes d’exploitation ou d’applications, les solutions informatiques peuvent comporter des failles qui ne sont pas toujours corrigées suffisamment rapidement par leurs éditeurs. Par ailleurs, nombreuses sont les organisations qui ne procèdent pas assez régulièrement aux mises à jour de sécurités. Face à elles, elles ont pourtant des cyberpirates qui justement exploitent ces vulnérabilités en utilisant notamment le phishing (usurpation d’identité au travers d’emails frauduleux) afin d’obtenir des données ou de l’argent, et créer des incidents ou interruptions de service.

Alors que les DSI sont bien au fait de ces risques, elles sont encore peu nombreuses à avoir déployé un véritable programme de gestion des risques IT. Cette situation s’explique par le fait que les mises à jour supposent de longues préparations qui consomment énormément de ressources. C’est ainsi qu’une faille peut être présente plusieurs mois avant qu’elle ne soit corrigée. Par ailleurs, les directions générales ont tendance à imposer un rythme de performance court-termiste et par conséquent opposé aux politiques de sécurité qui représentent des coûts, mais ne sont profitables qu’à moyen ou long terme. La sécurité est en effet vue le plus souvent comme un centre de coûts.

Faire de la DSI un centre de profits

Il serait intéressant de connaitre le coût d’une attaque informatique telle que Wannacry pour savoir ce que les victimes ont dû dépenser pour les enquêtes techniques, les honoraires de leurs avocats, les primes d’assurance. À cela pourraient également s’ajouter les coûts non quantifiables liés à l’arrêt d’activité ou à la perte de confiance de leurs clients. Enfin, on peut également se poser la question des efforts et ressources dédiées pour sécuriser les données clients, pour se mettre en conformité réglementaire (en particulier à la RGPD entrée en vigueur il y a quelques semaines) ou pour améliorer les dispositifs de cybersécurité… Si les victimes de Wannacry n’ont bien entendu pas communiqué sur ce montant, les conséquences existent bel et bien.

Pour tirer les leçons de cette attaque, les organisations, qu’elles en aient été ou non les victimes, ont tout intérêt à anticiper la prochaine attaque en préparant les conditions pour la contrecarrer. Il s’agirait de réduire au maximum le nombre de failles exploitables par les hackers, mais également de minimiser l’impact qu’une telle attaque puisse avoir sur toute l’entreprise.

Avant de corriger les failles, il est évidemment indispensable de les identifier. Créer un référentiel de toutes les applications ainsi que des technologies qui les supportent permet d’en maîtriser l’obsolescence. Une fois ce travail réalisé, la DSI peut choisir soit de migrer les technologies obsolètes vers de nouvelles versions plus sécurisées, soit de retirer de la circulation des systèmes applicatifs dangereux pour les redévelopper. Une autre option consiste à continuer l’utilisation de ces technologies obsolètes : la DSI devra alors déclarer et gérer les risques IT engendrés.

Lorsque les failles sont identifiées et qu’une décision a été prise, il deviendra nécessaire d’analyser l’impact potentiel des applications rendues indisponibles par une attaque. Cela passe par une analyse des processus et des fonctions de l’entreprise qui travaillent avec les applications potentiellement touchées. Afin de minimiser cet impact, il est impératif de mettre au point ainsi qu’implémenter un plan d’urgence.

Article 2

Le cyber-risque est (aussi) une affaire de Comex !

mardi 9 octobre 2018, par La Rédaction

Tribune. Selon un rapport publié par le Forum économique mondial de Davos en 2018 (1), la cybermenace se hisse désormais, pour les dirigeants, à la troisième place des risques considérés comme les plus probables. Et c’est naturellement cette perception qui pousse ces mêmes dirigeants à ne plus les ignorer. Par Hervé Ysnel, CGI Business Consulting

Les dirigeants ne tournent plus le dos devant la cybermenace. D’une part, les cyber-risques ont gagné en visibilité médiatique – aucun dirigeant d’entreprise ne veut faire la une des journaux télévisés sur ces sujets ! -, qu’il s’agisse de fuites de données ou d’interruptions brutales d’activité. D’autre part, les défaillances des entreprises en matière de cybersécurité entament fortement leur réputation, l’image, le capital confiance et in fine, ont un impact sur leur performance financière. Comment ne pas citer Saint-Gobain qui a vu fondre son chiffre d’affaires de plus de 200 millions d’euros suite à l’attaque NotPetya ou Equifax qui a perdu les données personnelles de ses clients et par ricochet 35 % de sa valorisation en quelques jours. Le lien entre cybersécurité et valorisation financière n’est plus à faire. Des agences (2) de notation se sont positionnées sur ce créneau en attribuant désormais une note au niveau de cybersécurité.

Ce sujet qui empêche les dirigeants de dormir…

Dans un contexte tendu où la menace est chaque jour plus prégnante, il est plus que temps pour les entreprises d’adopter une réelle gouvernance du cyber-risque. Jusqu’ici, le terme même de gouvernance était employé à tort. Les organisations se contentaient plutôt de réduire (3) le risque avec des projets et plans d’actions de responsables de la sécurité des systèmes d’information (RSSI) souvent très compétents mais ayant rarement l’oreille du Comex pour y trouver budgets et prise de décision stratégique.

Quand on parle de gouvernance, il faut l’entendre selon la célèbre maxime militaire, “gouverner, c’est prévoir”. La cybermenace pèse désormais tellement sur l’avenir d’une organisation qu’elle doit nécessairement s’inviter dans les discussions des conseils d’administration. La prise de décision doit en effet remonter dans les plus hautes sphères de l’organisation. L’objectif n’est pas simplement de prévenir mais aussi de garantir la conformité, alors que de plus en plus d’instances, nationales ou internationales, légifèrent et poussent les entreprises à agir plus concrètement.

Vers une nouvelle organisation

Partons de ce postulat : toute entreprise est susceptible de connaître un incident majeur lié à la cybersécurité. Celles qui s’en sortiront (sans trop de dommages) seront celles qui auront anticipé. Anticiper, cela signifie par exemple prévoir des plans de continuité d’activité et de gestion de crise. Il est donc primordial que le Comex s’intéresse à ce sujet pour ajuster son niveau d’implication et se positionner dans la prise de décision et le pilotage des crises.

Au-delà, il est également essentiel de nommer un responsable du risque cyber au Comex. Un grand groupe bancaire a d’ailleurs récemment intégré dans son comité de direction un représentant de la sécurité en la personne d’un ancien Général. Preuve que la prise de conscience germe, lentement mais sûrement. De nombreuses entreprises suivent cette démarche en faisant porter le risque cyber à un acteur de la sûreté, de la conformité, du contrôle… Le choix se faisant principalement selon l’organisation et le secteur d’activité de l’entreprise.

La nécessaire évolution du pilotage du risque

Si le sujet des cyber-risques gagne en visibilité au sein des sphères dirigeantes, une stratégie nouvelle va devoir être définie et impulsée. Car pour décider, les dirigeants doivent pouvoir disposer de toutes les données de l’équation. Un exemple : faut-il lancer rapidement un produit potentiellement vulnérable ou faut-il au contraire prendre du temps pour aboutir à un produit plus fini et risquer de perdre des parts de marché ?

De fait, les responsables du cyber-risque doivent arriver avec de nouvelles approches, telles que des méthodes d’appréciation ou d’analyse de risque global et plus de quantification (4) normée des risques. L’enjeu consistant au final à rapprocher des risques de natures différentes et travailler de concert avec les autres fonctions de défense de l’entreprise : contrôle interne, audit interne, risk management… Le concept d’Entreprise Risk Management (ERM) prend alors tout son sens.
Selon la même logique, les reportings doivent évoluer, dans la forme et le fond. Les indicateurs doivent pouvoir répondre aux questions des dirigeants, aussi bien sur les dépenses en sécurité que sur les activités clés à maintenir en cas d’incident, la conformité à la réglementation ou les pratiques d‘acteurs semblables (il faut pouvoir se positionner !).
Cette petite révolution est bien sûr bousculée par le numérique et les avancées qu’il permet en matière de gestion des cyber-risques. La digitalisation de la fonction de RSSI est en marche : les outils de GRC (Gouvernance-Gestion des risques-Conformité ou Governance-Risk Management-Compliance en anglais) automatisent de nombreuses tâches pour permettre, dans un futur proche, couplé avec le SOC (Security Operation Center), un suivi en temps réel du cyber-risque. Ainsi, la numérisation va conditionner la qualité et l’efficacité de la mission réalisée par le représentant du cyber-risque et donc sa capacité à répondre aux besoins de ses dirigeants.

(1) https://www.weforum.org/reports/the-global-risks-report-2018

(2) Les agences BitSight ou Ratingcy par exemple, ou Cyrating en Europe

(3) En complément de la réduction du risque, le transfert du risque à un Tiers et principalement à la cyberassurance prend son envol depuis quelques mois

(4) Les méthodes d’analyse de risque cyber font de plus en plus appel à la quantification financière des incidents et des risques ce qui facilite la comparaison entre des risques de nature différente.

 

 

 

Préparez le mois européen de la cybersécurité

Dans sa newsletter du 20 septembre 2018 L’AMRAE nous rappelle l’agenda du mois européen de la Cybersécurité.

Le Mois européen de la cybersécurité donnera la parole aux ministères, associations, organisations professionnelles et autres acteurs clés impliqués dans des actions de sensibilisation à la sécurité du numérique.

Des ateliers et conférences seront organisés partout en France, à destination des chefs d’entreprise, des citoyens ou encore des étudiants tout au long du mois d’octobre.

L’ENGAGEMENT POUR LE MOIS EUROPÉEN DE LA CYBERSÉCURITÉ 2018


 

Aujourd’hui tout est numérique, et ce qui ne l’est pas le sera bientôt. En tant que citoyen et citoyenne, nous avons tous accès à un ordinateur, une tablette ou encore un téléphone pour notre usage personnel mais aussi professionnel. Ces moyens de communication sont de plus en plus connectés, gagnant en accessibilité et en simplicité pour nos usages du quotidien. . Autant d’outils du quotidien, indispensables dans notre vie numérique, et qui abritent aujourd’hui des données personnelles ou critiques dont il appartient à chacun d’assurer la sécurité.

Porteur de croissance et d’innovation, le monde numérique dans lequel nous évoluons est aussi profondément vulnérable face à des risques inédits, qui visent l’ensemble des usagers, et ce sans discrimination. Il est primordial de comprendre ces risques auquel nous devons tous faire face pour voir aboutir des solutions dans le long terme.

Par ailleurs, deux réglementations majeures ont abouti en 2018 aux impacts majeurs pour assurer la sécurité des données des entreprises, des administrations et aussi des citoyens : la sortie du règlement pour la protection des données personnelles (RGPD)  et la mise en œuvre de la directive NIS au sein des Etats membres.

Tout au long du mois d’octobre, tous les acteurs engagés dans le Mois européen de la cybersécurité vous apporteront des clés de lecture pour comprendre les enjeux de la sécurité du numérique et vous permettre d’entrer à votre tour en action pour sécuriser efficacement votre vie numérique !

ILS S’ENGAGENT POUR LA SÉCURITÉ DU NUMÉRIQUE

Le Mois européen de la cybersécurité donnera la parole aux ministères, associations, organisations professionnelles et autres acteurs clés impliqués dans des actions de sensibilisation à la sécurité du numérique.

Des ateliers et conférences seront organisés partout en France, à destination des chefs d’entreprise, des citoyens ou encore des étudiants tout au long du mois d’octobre.
Retrouvez le programme de l’édition 2018

QUATRE SEMAINES, QUATRE THÈMES

Afin de rendre l’information accessible au plus grand nombre, une campagne de sensibilisation sera organisée sur le web tout au long du mois, animés par l’ensemble des acteurs engagés dans la campagne. Plusieurs thèmes rythmeront le mois :

1ER AU 7 OCTOBRE 2018

CONNAISSEZ-VOUS LE B-A-BA POUR SÉCURISER VOS DONNÉES ?

La sécurité du numérique est souvent perçue comme un domaine réservé aux experts. Pourtant, quelques réflexes simples à la portée de chacun, peuvent, dans bien des cas, éviter des catastrophes ! Retrouvez nos conseils pour comprendre pourquoi et comment sécuriser vos données …

8 AU 14 OCTOBRE 2018

LA FORMATION ET LES MÉTIERS DE LA SÉCURITÉ DU NUMÉRIQUE, ÇA VOUS PARLE ?

Analyste sécurité, auditeur, délégué régional à la sécurité numérique, chargé de mission « management des risques crises cyber », … mais qui se cache derrière ces intitulés de postes ? Derrière l’image d’Epinal du geek scotché à son écran d’ordinateur, on découvre une diversité de parcours professionnels variés et passionnants à explorer !

15 AU 21 OCTOBRE 2018

SÉCURISER SES DONNÉES, OUI MAIS POUR FAIRE FACE À QUOI EXACTEMENT ?

Cybercriminalité, espionnage économique, sabotage, déstabilisation… le cyberespace regorge d’acteurs malveillants rivalisant d’ingéniosité et de plus en plus soutenus financièrement. Adopter des réflexes de sécurité c’est bien, comprendre pourquoi c’est encore mieux !

22 AU 29 OCTOBRE 2018

ET DEMAIN, QU’EST-CE QUI VOUS ATTEND ?

Les attaques sont plus sophistiquées, mieux élaborées, plus destructrices et touchant désormais l’ensemble de la société …. Cette tendance ne pourra que s’amplifier dans le futur avec la multiplication des objets connectés, le développement de l’intelligence artificielle, etc. Etes-vous prêts à faire face aux enjeux de demain ?

UN ÉVÉNEMENT DE SENSIBILISATION DE PREMIER ORDRE

Le Mois européen de la cybersécurité c’est avant tout une démarche européenne grâce à laquelle des campagnes de sensibilisation à la sécurité du numérique organisées dans plus d’une vingtaine de pays gagnent en visibilité.

L’objectif partagé en Europe, et par tous les acteurs engagés en France, est d’aborder à plusieurs voix les défis que représente la transition numérique. Porteuse d’innovation et de croissance, elle engendre aussi des risques pour l’Etat, les entreprises et les citoyens, avec l’émergence de nouvelles failles et vulnérabilités, souvent exploitées à des fins malveillantes.

COMMENT ACCOMPAGNER CES ACTEURS DANS LEUR DÉMARCHE DE SÉCURISATION DE LEURS DONNÉES FACE À CES RISQUES ?

Coordonné en France par l’Agence nationale de la sécurité des systèmes d’information (ANSSI), le Mois européen de la cybersécurité, ou ECSM, est un événement européen de sensibilisation organisé chaque année en octobre avec le soutien de l’ENISA, l’agence européenne chargée de la sécurité des réseaux et de l’information.

Pendant le mois d’octobre, des activités de sensibilisation seront organisées en France et en Europe autour des enjeux de la sécurité du numérique (menaces, bonnes pratiques, formation en SSI, etc.). Conférences, vidéos, campagnes de communication… de nombreux acteurs publics et associatifs se mobilisent en France pour proposer un programme de sensibilisation ambitieux et pédagogique à destination des professionnels, des particuliers et des étudiants.

POURQUOI LA FRANCE Y PARTICIPE ?

Depuis plusieurs années la France participe activement au Mois européen de la cybersécurité – l’édition 2018 ne fait pas exception !

Il y a 10 ans déjà, la France a placé la cybersécurité au rang de priorité nationale, donnant naissance à un modèle de cybersécurité et de cyberdéfense qui porte ses fruits. Réaffirmé récemment avec la sortie de la « Revue stratégique de cyberdéfense  » en février, ce modèle repose notamment sur un principe fondamental : seule une réponse collective aux risques cyber permettra le développement d’une société numérique pérenne et de confiance.

L’ANSSI, aux côtés de l’ensemble des ministères mais aussi des acteurs de la société civile et du tissu industriel de la cybersécurité, s’engage dans le Mois européen de la cybersécurité, un événement qui incarne cette mobilisation d’acteurs variés, en France et en Europe, au service d’un objectif : favoriser l’émergence d’une culture partagée de la sécurité du numérique

Nouveau classement des risques par les entreprises. La cybersécurité arrive en tête.

Entreprises : quels sont les principaux risques pour 2019 ?

La cybersécurité arrive nettement en tête du classement selon une étude…

Par Claude Leguilloux

Publié le 12/09/2018 à 06h02

Les résultats de l’étude « Risk in Focus » sont disponibles ! Basée sur les réponses de plus de 300 professionnels de l’audit interne travaillant dans des organisations à travers l’Europe, l’enquête cartographie les 10 principaux risques auxquels les entreprises des secteurs privé et public devraient être confrontées en 2019…

Menée pour la 3e année consécutive par 7 Instituts européens d’audit interne membres de l’ECIIA (France, Allemagne, Italie, Pays-Bas, Royaume-Uni, Irlande, Suède, Espagne), cette étude est un précieux outil pour permettre aux équipes d’audit et de contrôles internes, ainsi qu’aux dirigeants d’anticiper et d’organiser leurs futurs plans d’audit…

1) Cybersécurité : Gouvernance des SI et relations avec les tiers. Pour 66% des experts interrogés, les organisations de plus en plus connectées doivent être particulièrement vigilantes aux risques de piratages ou défaillances des systèmes numériques (notamment pour la gestion des chaînes logistiques).

2) Protection des données : stratégies post-RGPD. Pour 58% d’entre eux, la mise en conformité du RGPD récemment entré en vigueur (mai 2018) demande une vigilance particulière.

3) Digitalisation, automatisation & intelligence artificielle, 36% des professionnels alertent les organisations sur les risques liés à l’adoption de nouvelles technologies comme l’automatisation et autres processus numériques.

4) Développement durable : environnement et éthique sociale. Autre préoccupation majeure pour les experts : les enjeux de RSE. Les instances de régulation et le public attendent une réelle implication de la part des organisations au-delà d’une simple mise en conformité réglementaire.

5) Conformité anti-corruption Si le risque de corruption existe depuis longtemps, les réformes législatives nationales, les mises en vigueur de dispositions réglementaires au niveau mondial et les amendes sans précédent le propulsent dans le top 5 des risques organisationnels !

6) Risques liés à la communication. Souvent perçu comme impalpable, le risque de réputation est pourtant bien réel et ne cesse d’augmenter avec la transformation numérique. La communication doit donc être pleinement intégrée au dispositif de gestion des risques.

7) Culture organisationnelle : discrimination et inégalités sociales. Suite au mouvement « MeToo », la pression pesant sur les sujets de lutte contre toutes formes d’inégalités, de discriminations et de comportements sexistes n’a jamais été aussi forte. Les organisations sont de plus en plus « challengées » sur cette question !

8) Une nouvelle ère commerciale : protectionnisme et sanction. Le récent renforcement des politiques commerciales protectionnistes et des contrôles à l’exportation représente un risque non négligeable pour les organisations.

9) Gouvernance des risques et des contrôles : s’adapter au changement ! Le rythme de l’évolution de la réglementation n’a jamais été aussi rapide, dépassant parfois celui des organisations et rendant leurs outils de gestion des risques rapidement obsolètes.

10) Identifier les risques à surveiller : adopter une véritable approche fondée sur les risques… Les experts ont identifié un décalage entre le temps investi par les équipes sur certains risques par rapport à leur importance. Il s’agit donc de s’assurer que le temps passé sur un risque est cohérent avec son niveau de priorité…

 

 

Notion de risque. Quand risque rime avec opportunité et innovation

Risque et danger sont souvent associés. La notion de risque est ancienne, ancrée dans la société et associée à une connotation de peur, de danger. Méric et al (2009) rappellent que les conséquences néfastes de l’occurrence du risque sont le postulat implicite du risque. Laperche (2003) établit un lien entre le risque, expression du danger et la nécessité de le récompenser ou de le réduire. Pourtant le risque doit également être vu comme une opportunité.  

Les risques logistiques poussent Saica à innover

Le 11/09/2018

Le leader de la fabrication de papier recyclé pour carton ondulé, qui vient de racheter le français Emin Leydier, développe des solutions innovantes pour faire face à l’allongement de la chaîne logistique. Et à la multiplication des risques.

La vie d’un colis n’a jamais été aussi risquée. Au cours de son transport, il peut effectuer une dizaine de chutes, de 30 cm à 2 mètres, à chacun de ses aiguillages dans les centres de tri. Autant dire plusieurs dizaines entre le magasin et le destinataire final. Et ce sans compter les risques d’écrasement, d’ouverture, voire de vol… Pour protéger ces envois, le groupe espagnol Saica développe des solutions innovantes. « L’e-commerce a rendu obsolètes les logiques d’emballage, de palettisation notamment, les clients ne connaissant pas le poids supporté par leur produit au cours du trajet, ni la position qu’il aura, ni l’impact des autres emballages dans le camion », explique Franck Reberat, responsable développement produit de l’entreprise.

Autre contrainte : les emballages destinés à l’e-commerce doivent, à défaut d’être inviolables, rendre difficile l’accès au produit et inclure des témoins d’ouverture. « Le consommateur est de plus en plus sensible à l’état de livraison de son colis », commente le responsable.

Table de vibration

Le groupe a travaillé avec l’université de Saragosse pour identifier les risques d’une chaîne logistique. Ce programme d’essais basé sur l’utilisation d’une table de vibration et d’outils de simulation de chutes, a débouché sur la création de Saica E-Wine. Une caisse spécialement conçue pour le transport du vin, l’un des produits les plus fragiles et pourtant les plus achetés sur Internet. Autre exemple : un emballage pour les fleurs, poussant le bouquet vers l’extérieur lors de l’ouverture. « L’objectif est dans ce cas de permettre au consommateur de ressentir l’émotion attendue avec ce type de produit », complète Franck Reberat. Le groupe propose via le site Internet du journal « L’Usine nouvelle », 80 références d’emballages destinées aux TPE et PME.

Saica est le leader de la fabrication de papier recyclé pour carton ondulé en Europe. Avec le  rachat du français Emin Leydier en mars, il a porté sa capacité de production à plus de 3 millions de tonnes. Aujourd’hui, le secteur de l’e-commerce représente entre 5 et 10 % de l’activité du groupe, notamment au Royaume-Uni, où il vend la moitié de la production d’une usine exclusivement à Amazon.

Guillaume Roussange

Nature du risque. La cybercriminalité, risque numéro un en 2019

CECILE DESJARDINS 

Tendance Deux tiers des auditeurs internes européens sont préoccupés par la cybersécurité. Viennent ensuite les risques liés à la conformité et à la gestion des hommes.

Ce sera, selon les auditeurs internes, le premier sujet de 2019 : la cybersécurité arrive en tête des principaux risques auxquels les entreprises des secteurs privé et public devraient être confrontées dans les mois à venir. Dans une enquête européenne (1) réalisée auprès de membres de l’ECIIA (European Confederation of Institutes of Internal Auditing), 66 % des professionnels interrogés (2) jugent que les organisations devront être particulièrement vigilantes aux risques de piratage ou de défaillance des systèmes numériques, notamment pour la gestion des chaînes logistiques.

La protection des données et la conformité arrivent au second rang des préoccupations, à 58 % tous les deux. « De plus en plus fréquentes, les cyberattaques d’envergure contre des tiers ont montré l’importance de protéger jusqu’au plus petit maillon de la chaîne logistique, analyse Jean-Marie Pivard, président de l’Institut français d’audit interne (Ifaci). Les entreprises doivent dorénavant réorganiser leur gouvernance pour sécuriser l’ensemble de leurs systèmes informatiques en prenant en compte les infrastructures de l’ensemble des intervenants de leur chaîne d’approvisionnement, internes comme externes. »

Le changement climatique négligé

Viennent ensuite les risques liés aux hommes et aux ressources humaines, placés dans le top 5 des risques par 42 % des auditeurs internes, puis les changements de réglementation (37 %). A l’heure de la transformation des entreprises, les auditeurs semblent assez peu inquiets : les risques liés à la digitalisation et l’innovation ne sont respectivement cités que par 36 % et 28 % des professionnels.

Ils sont en revanche 25 % à être préoccupés par leur culture organisationnelle. « Suite au mouvement #metoo, la pression pesant sur les sujets de lutte contre toutes formes d’inégalités, de discriminations et de comportements sexistes n’a jamais été aussi forte. Les organisations sont de plus en plus challengées sur cette question », explique l’Ifaci. Peu d’angoisse, hélas, pour notre planète : seuls 8 % des auditeurs internes citent l’environnement et le changement climatique dans les cinq premiers risques.

(1) – Menée pour la troisième année consécutive, l’étude « Risk in Focus 2019 – Hot topics for internal auditors » est fondée sur les réponses de plus de 300 professionnels de l’audit interne travaillant dans des organisations à travers l’Europe (et rattachés à l’un des sept instituts européens d’audit interne membres de l’ECIIA – en France, Allemagne, Italie, Pays-Bas, Royaume-Uni, Irlande, Suède, Espagne).

(2) – Classement établi en interrogeant les auditeurs sur les cinq principaux risques.

Quels seront les risques majeurs en 2019 ? //
1. La cybersécurité (15 %) //2. La conformité (13 %) //3. La digitalisation (9 %) //4. Les changements réglementaires (8 %) //5. L’incertitude politique (8 %) // Source : Risk in Focus 2019

Nature du risque. Le cyberrisque

On se souviendra de 2017 pour la facture record des ouragans physiques mais aussi comme l’année des premiers cyber-ouragans, avec notamment Wannacry et NotPetya).

Les incidents cyber (cybercrimes, défaillances informatiques, violation de données) sont au premier rang des préoccupations des professionnels interrogés (Baromètre annuel des risques d’Allianz Global Corporate & Specialty, 2017.)

Le cyber risque

Par Marion Petit (Etudiante M1 Ingénierie des Organisations Université Paul Sabatier)

D’après :

« Sept questions sur une cyberattaque mondiale sans précédent », Guillaume Bregeras, Vincent Collen, Sébastien Dumoulin Et Claude Fouquet – Les Echos | Le 15/05/2017

Lien de l’article : https://www.lesechos.fr/15/05/2017/LesEchos/22445-091-ECH_sept-questions-sur-une-cyberattaque-mondiale-sans-precedent.htm#vx8rvtTuKx74zB3x.99

« Cyberattaque mondiale : le bilan s’alourdit », Claude Fouquet | Le 13/05/17

Lien de l’article : https://www.lesechos.fr/13/05/2017/lesechos.fr/0212076838259_cyberattaque-mondiale—le-bilan-s-alourdit.htm#bTzSEKW00XtVoTb0.99

« Cyberattaque : un risque à plus de 50 milliard de dollars », Jeremy Bruno, 17/01/17

Lien de l’article :  https://www.lesechos.fr/17/07/2017/LesEchos/22487-098-ECH_les-entreprises-trop-peu-couvertes-contre-le-cyber-risque.htm

Présentation du risque :

Les ordinateurs sont inaccessibles par leur propriétaire. Il s’agit d’un risque de sécurité informatique et de confidentialité qui peut mener à une interruption des services fournis aux clients de l’entreprise touchée, au verrouillage des données des utilisateurs et à la paralysie de l’activité de l’entreprise.

Causes :

  • Non mise à jour de Windows XP vers Windows 10 car seuls les ordinateurs équipés de la version XP ont été contaminés dans ce cas ;
  • La faille de Windows XP n’était pas connue de l’entreprise Windows alors que la NSA l’avait détectée mais n’avait pas relayé l’information aux concernés ;
  • La mauvaise protection des réseaux locaux dans les entreprises.

Conséquences :

En 2016 les cyberattaques ont coûté 450 milliards de dollars aux entreprises (étude de Lloyd’s).

  • Le piratage des services informatiques du type cloud mène à une interruption des services fournis aux clients qui coûte en moyenne entre 5,6 et 53 milliards de dollars à l’entreprise touchée et les dommages entre 15 et 121 milliard de dollars.
  • Les pertes économiques liées à une attaque sur les systèmes d’exploitation sont évaluées entre 10 et 28,7 milliards de dollars.

Le déficit d’assurances est le problème majeur de ce type de risque puisque le taux de couverture est en moyenne de 17% pour les risques de piratage de services informatiques de type cloud et tombe à 7% pour les risques liés aux systèmes d’exploitation.

Le cyber risque est un risque potentiel difficile à anticiper et à assurer, c’est donc un risque difficilement gérable. C’est un risque parfois sous-estimé car la plupart des entreprises n’en réalise pas l’ampleur.