Archives pour la catégorie cyberisque-cybersécurité

CA BOUGE DU COTE DU CYBER-RISQUE (1) Contextualisation et modalités des cyber-menaces. Entreprises, municipalités, hôpitaux, écoles…

Les publications sur le Blog seront consacrées pendant les semaines à venir au cyber risque. Rappel de ce qu’est le cyber risque (description du risque ; causes ; conséquences) à travers : 
  • Un article écrit par Cécile Desjardins qui décrit le risque ; dans cet article, elle le contextualise et en présente les différentes  modalités ;
  • Un article sur l’une des dernières victimes de cyber-attaques : l’ENAC ; après les entreprises, les municipalités ou encore les hôpitaux, les écoles… ;
  • Un résumé de ses causes et conséquences et un article sur son coût ;
  • Un point sur les préconisations de l’ANSII pour se prémunir contre une cyber-attaque ;
  •  Un regard vers l’avenir avec le projet de loi d’Orientation et de Programmation du Ministère de l’Intérieur (LOPMI) ;
A lire et à relire sur le blog dans la catégorie Risque et la sous-catégorie cyber-risque et cyber-sécurité :
Le cyber-risque dans les classements de risques :  
https://gestiondesrisques.net/2022/01/20/un-2eme-classement-des-risques-par-les-entreprises-le-barometre-dallianz/ https://gestiondesrisques.net/2022/01/17/classement-des-risques-par-les-entreprises/
La réticence des assureurs à assurer le cyber-risque :
https://gestiondesrisques.net/2021/03/09/risques-assurances-marche-des-assurances-cyberrisque-et-assurances/
 Le RGPD dans le rôle d’amplificateur de risque et la nécessité de mettre en place des plans d’actions :
https://gestiondesrisques.net/2021/01/26/rgpd-best-practices-et-plans-dactions/
Le cyber-risque et le télétravail. Plans d’actions :
https://gestiondesrisques.net/2021/10/06/teletravail-risques-et-plans-dactions-ou-quels-plans-dactions-pour-gerer-les-risques-lies-au-teletravail-et-selon-quelle-approche-2/
https://gestiondesrisques.net/2021/09/14/teletravail-et-risques-2/

CONTEXTUALISATION ET DIFFERENTES  MODALITES DU CYBER-RISQUE

Dix choses à savoir sur le risque cyber

Niveau de la menace, type d’attaques, maillons faibles et nouvelles voies d’entrées : tout ce qu’il faut savoir actuellement sur les actes malveillants envers les dispositifs informatiques.

1. Le risque numéro un

Le risque cyber est désormais considéré par de nombreuses organisations comme leur premier risque. Les « incidents cyber » se placent ainsi en tête du baromètre mondial des risques 2022 d’AGCS, mais aussi aux premiers rangs du classement de Davos, comme de ceux de PwC ou de France Assureurs . De fait, la prise de conscience semble enfin avoir eu lieu : la sécurité numérique est devenue stratégique, perdant ses qualificatifs de « direction technique » ou de « centre de coût » (étude Cesin et Eneid-Transition). Les trois quarts des DSI et RSSI se déclarent désormais confiants sur la capacité des dirigeants à évaluer le risque financier associé aux cyberattaques.

2. Un nombre considérable de victimes

Les chiffres diffèrent d’une étude à l’autre, mais la conclusion est identique : les organisations touchées sont extrêmement nombreuses. Selon le dernier baromètre du Cesin, plus d’une entreprise sur deux aurait subi entre une et trois attaques cyber au cours de l’année 2021 : on parle là des attaques réussies… Avec des conséquences très lourdes. « L’ampleur et la virulence ne cessent d’augmenter », souligne le Cesin, qui révèle que 6 entreprises sur 10 ont connu un impact sur leur business et en particulier une perturbation de la production (21 %), et/ou une compromission d’information (14 %), et/ou une indisponibilité du site web pendant une période significative.

3. Les attaquants sont de plus en plus structurés et spécialisés

Le mythe du jeune hacker a fait long feu. Les cyberattaques sont désormais le fait d’organisations criminelles extrêmement organisées, attirées par des taux de retour sur investissement de l’ordre de 200 à 800 %, selon le cabinet de conseil Wavestone. Certaines se sont spécialisées. Ainsi, le « ransomware as a service » (RaaS) se développe à vive allure. « Les business models ont changé, avec des ransomwares créés par des groupes qui louent leur utilisation à des spécialistes en matière d’entrée par effraction virtuelle, qui nécessite des compétences différentes », souligne Sophos dans son dernier rapport sur les menaces.

Le coût des rançons aurait atteint 500 millions de dollars sur le seul premier semestre 2021.

4. Les rançongiciels font toujours aussi mal

Aussi appelées « ransomware », ces attaques qui consistent à installer un logiciel sur un ordinateur pour en rendre illisibles les données, avant d’exiger une rançon, sont considérées comme la principale menace cyber en 2022 et auraient touché 1 entreprise sur 5 en France. Un récent rapport de l’Anssi constate une hausse de 255 % de ces attaques entre 2019 et 2020, avec pour premières cibles les secteurs de la santé et de l’éducation, les collectivités territoriales et les prestataires de services numériques. Lors de la dernière conférence Panocrim du Clusif, Gérôme Billois, associé cybersécurité et digital trust chez Wavestone, a rappelé que le trésor américain a identifié 5,2 milliards de dollars de transactions en bitcoins liées à l’écosystème des rancongiciels… dont 500 millions sur le seul premier semestre 2021.

5. Le cyberespionnage est un sujet croissant d’inquiétude

Révélée l’été dernier, l’affaire Pegasus a eu le mérite de braquer les projecteurs sur l’importance de la menace. Après, également, les nombreux avertissements lancés ces derniers mois par l’Anssi, plus d’une entreprise sur deux considère élevée la menace en matière de cyberespionnage. « Il y a probablement de nombreuses menaces persistantes avancées (ou attaques APT pour ‘advanced persistant threats’), issues de groupes de cyberespionnage liés à des Etats, qui ne sont pas découvertes », reconnaît Matthieu Faou, chercheur chez Eset.

L’hameçonnage a été le vecteur d’entrée de 73 % des attaques.

6. Le « phishing » reste le vecteur d’attaques le plus fréquent

L’enquête du Cesin montre que l’« hameçonnage » a été le principal vecteur d’entrée pour les attaques subies par 73 % des entreprises. Cybermalveillance.gouv.fr appelle à déjouer les pièges de ces messages frauduleux destinés à leurrer l’internaute pour l’inciter à communiquer des données personnelles (comptes d’accès, mots de passe…) et/ou bancaires en se faisant passer pour un tiers de confiance. En étant par exemple extrêmement attentif sur le « nom de l’expéditeur, une demande inhabituelle, l’incitation à cliquer sur un lien ou une pièce jointe, etc. »

7. Les vulnérabilités logicielles sont aussi beaucoup utilisées

L’exploitation de failles serait à l’origine de 53 % des entrées dans les systèmes (étude Cesin). C’était le cas avec Log4Shell , la faille décelée dans une bibliothèque des systèmes Java et qui s’est abattue en toute fin d’année 2021 sur le monde de la cybersécurité. L’occasion de rappeler la nécessité de réaliser les mises à jour de tous ses systèmes.

8. Les « doubles extorsions » se multiplient

Comme l’avait relevé l’Anssi dès le début 2021, les attaques qui associent chiffrements de systèmes et violations de données sont de plus en plus courantes. Menacer de divulguer ou de vendre les données au plus offrant est aussi un moyen d’accroître la pression sur les victimes : tous les moyens de pression possibles sont désormais utilisés.

9. La supply chain logicielle est un terrible maillon faible.

Preuve en a été faite en 2021, avec les affaires SolarWinds et Kaseya , les attaques sur des sous-traitants informatiques peuvent générer de terribles effets de chaîne et avoir des conséquences désastreuses sur des milliers d’entreprises. « Orchestrées par des criminels cherchant à dérober des données ou simplement à causer le plus de dommages possible auprès des grands fournisseurs SaaS et de leurs clients, ces attaques risquent de se multiplier en 2022 », juge Tom Kellermann, responsable de la stratégie de cybersécurité de VMware.

Les objets connectés sont ciblés par certains groupes d’attaquants.

10. Les systèmes Linux sont aujourd’hui ciblés

Moteur de nombreux grands projets de transformation numérique, le système d’exploitation Linux est aujourd’hui régulièrement visé par les attaquants. C’est aussi le cas de certains objets connectés qui utilisent Linux. « En raison de la grande disponibilité et du support assez médiocre de certaines marques d’appareils connectés bon marché et grand public, aucun obstacle n’est véritablement offert aux attaquants automatisés », relève Sophos, qui s’attend « à ce que les attaques ciblant les serveurs Linux et les produits électroniques grand public se poursuivent sans relâche en 2022 ».

Par Cécile Desjardins. Févr. 2022

L’École Nationale de l’Aviation Civile frappée avec le ransomware Hive

L’ENAC a été frappée, durant le week-end du 12 mars, par une cyberattaque impliquant le ransomware Hive. Ses activités sont fortement perturbées. Une rançon de 1,2 million de dollars est demandée.

Dénonçant le travail d’un chercheur, les cyberdélinquants ayant attaqué l’ENAC ont décidé de revoir à la hausse leurs prétentions, demandant désormais deux millions de dollars de rançon.  

L’une de nos sources vient de confirmer ce qui nous avait été précédemment suggéré, nous fournissant au passage une capture d’écran de l’espace de dialogue ouvert par les cyberdélinquants à l’intention de l’ENAC : l’école a été attaquée avec le ransomware Hive. Les assaillants réclament une rançon de 1 200 000 dollars, en bitcoin.

La direction de la communication de l’ENAC est revenue vers nous, confirmant l’implication d’un ransomware. L’impact de la cyberattaque est effectivement très important à ce stade, jusqu’à affecter la capacité à se déplacer physiquement sur les sites de l’école et à assurer les vols programmés. Les partenaires de l’ENAC ont été informés afin de pouvoir s’isoler de ses systèmes d’information, et la direction générale de l’Aviation civile (DGAC) accompagne l’école dans la gestion de l’incident. Une déclaration publique est en préparation.

C’est un tweet rapidement supprimé qui nous a mis la puce à l’oreille. L’École Nationale de l’Aviation Civile (ENAC) est à l’arrêt depuis ce week-end. Elle a été victime d’une cyberattaque. Compte tenu de l’étendue des effets observables, l’implication d’un ransomware apparaît plus que probable.

L’espace de dialogue ouvert par les cyber-délinquants pour l’ENAC.

De fait, de nombreux services numériques, qui répondaient encore parfaitement présents la semaine dernière, sont aujourd’hui aux abonnés absents, retournant des erreurs 503 (service temporairement indisponible), ou renvoyant sur des pages de maintenance. C’est ainsi notamment le cas pour les services de campus numérique de l’école, ou l’application dite HDA, de gestion des activités. Plus préoccupant, pour certains services numériques, l’erreur retournée est 404 (non trouvé), suggérant, au mieux, la déconnexion de certains systèmes de stockage, au pire leur endommagement, voire chiffrement, par l’attaquant. Un service d’accès distant au système d’information, quant à lui, ne répond tout simplement pas.

Au téléphone, le message est simple : « pour l’instant, nos outils téléphoniques et informatiques sont paralysés ». Et tous les appels sur les numéros fixes sont renvoyés vers un seul et unique poste. Certaines adresses e-mail professionnelles semblent toutefois opérationnelles. Nous avons ainsi tenté de joindre la direction de la communication de l’école, en vain – et cela aussi par téléphone, fixe comme mobile.

Problème, au moins une adresse IP associée à des services de l’ENAC semble également, selon les résolutions DNS, liée à la direction de la technique et de l’innovation (DTI) de la direction des services de la Navigation aérienne (DSNA) de la direction générale de l’Aviation civile (DGAC). De quoi suggérer de potentielles interconnexions, au moins limitées.

Valéry Rieß-Marchive. Mars 2022

Publicité

UN 2EME CLASSEMENT DES RISQUES PAR LES ENTREPRISES : LE BAROMETRE D’ALLIANZ

Dans le baromètre des risques 2022 d’ALLIANZ :
 
👍Le Cyberrisque, sans surprise, en hausse, risque n°1 depuis 2019. Voir https://gestiondesrisques.net/2020/01/16/contrer-le-cyber-risque-risque-n1-du-barometre-allianz-2019/ En première position dans l’enquête annuelle du cabinet PwC Voir https://gestiondesrisques.net/2022/01/17/classement-des-risques-par-les-entreprises/
 
👍Le risque sanitaire, risque n°4, en baisse.
 
👍Les catastrophes naturelles et le changement climatique respectivement en 3ème et 6ème positions, en hausse tous les deux. 

Baromètre des risques 2022 d’Allianz : les cyberattaques passent en première place, devant la Covid-19 et les perturbations de la chaîne d’approvisionnement

  • L’interruption d’activité occupe le deuxième rang, car les perturbations massives des chaînes de production et d’approvisionnement ne devraient s’atténuer que progressivement.
  • La pandémie passe de la deuxième à la quatrième place, les entreprises s’estimant généralement bien préparées à de futurs événements.
  • Les catastrophes naturelles et le changement climatique se hissent respectivement en troisième et en sixième position, face à l’augmentation des événements météorologiques graves et des risques liés à la transition.
  • Ce baromètre explore également les principaux risques spécifiques à 20 différents secteurs, notamment pour le Transport (1er Interruptions d’activité), l’Aviation & Spatial (1er Incidents cyber), la Marine (1er Interruptions d’activité), l’Hôtellerie & Tourisme (1er Pandémie).

Paris, le 18 janvier 2022. En 2021, les cyber attaques, les interruptions d’activité et perturbations de la chaîne d’approvisionnement, et les catastrophes naturelles ont durement touché de nombreuses entreprises. Selon le Baromètre des risques 2022 d’Allianz, ces trois risques demeurent les plus importants pour les entreprises. Les incidents cyber arrivent en tête pour la deuxième fois seulement dans l’histoire du baromètre (44 % des réponses). Les interruptions d’activité les suivent de près (42 %) et les catastrophes naturelles grimpent de la sixième à la troisième place (25 %). Le changement climatique bat son record en passant du neuvième au sixième rang (17 %). Enfin, la pandémie descend en quatrième position (22 %).

L’enquête annuelle d’Allianz Global Corporate & Specialty (AGCS) analyse les opinions de 2 650 experts, notamment des directeurs généraux, gestionnaires de risques, courtiers et assureurs, dans 89 pays et territoires. Consultez le classement complet des risques au niveau mondial, national et pour 20 secteurs différents (Transport, Aviation/Spatial, Marine, Banques et services Financiers, Télécoms, Construction & Immobilier, Divertissement & Médias, Hôtellerie & Tourisme, Services publics, Automobile, Energie, Biens de consommation…) en cliquant sur ce lien et en français en pièce jointe.

« L’interruption d’activité devrait rester la principale thématique de risque sous-jacente en 2022, signale Joachim Mueller, CEO d’AGCS. La plupart des entreprises redoutent avant tout de ne pas pouvoir fabriquer leurs produits ou fournir leurs services. 2021 a connu des bouleversements sans précédent, causés par différents facteurs. Les cyber attaques dévastatrices, les multiples événements météorologiques liés au réchauffement climatique touchant les chaînes d’approvisionnement, ainsi que les difficultés de production et la saturation des transports en raison de la pandémie ont provoqué des perturbations majeures. La situation ne devrait s’améliorer que progressivement cette année. Le renforcement de la résilience face aux nombreuses causes d’interruption d’activité s’avère de plus en plus souvent un avantage concurrentiel ».

Principaux risques en France

Cyberdélinquance : préoccupations liées aux ransomwares et sensibilisation aux vulnérabilités

Les incidents cyber arrivent en tête du Baromètre des risques 2022 d’Allianz et se classent parmi les trois premiers risques dans la plupart des pays étudiés. La hausse récente des attaques par ransomware en constitue la raison majeure. Celles-ci sont considérées comme la principale menace cyber en 2022 par les personnes interrogées (57 %). Ce phénomène révèle des tendances préoccupantes, telles que les stratégies de ‘‘double extorsion’’ qui associent les chiffrements de systèmes et les violations de données, l’exploitation de vulnérabilités logicielles qui peut toucher des milliers d’entreprises (comme Log4J et Kaseya) ou le ciblage d’infrastructures physiques essentielles (comme Colonial Pipeline aux États-Unis). La cyberdélinquance représente aussi une source d’inquiétude majeure au regard des critères environnementaux, sociaux et de gouvernance (ESG) des entreprises. Les sondés reconnaissent la nécessité de renforcer la résilience et la préparation aux risques de défaillance, sous peine de subir les mesures des régulateurs, investisseurs et autres parties prenantes.

« Les attaques par ransomware sont devenues très lucratives pour les cyber délinquants, qui perfectionnent leurs stratégies et peuvent aujourd’hui opérer avec un simple abonnement de 40 dollars et quelques connaissances informatiques. La commercialisation des outils de cyberdélinquance facilite l’exploitation des vulnérabilités à grande échelle. Les attaques sur les chaînes d’approvisionnement technologique et les infrastructures essentielles vont se multiplier », prévient Scott Sayce, directeur mondial de l’assurance cyber chez AGCS.

Les interruptions d’activité représentent le deuxième risque le plus préoccupant. Durant une année marquée par des perturbations majeures, les vulnérabilités des chaînes d’approvisionnement et des réseaux de production modernes ont été plus que jamais mises en évidence. L’enquête révèle également que l’incident cyber constitue la cause d’interruption d’activité la plus redoutée, compte tenu de l’augmentation des attaques par ransomware, mais aussi de la dépendance au numérique et du télétravail. Les catastrophes naturelles et la pandémie sont les deux autres principales causes d’interruption d’activité, selon les personnes interrogées.

En 2021, les hausses de la demande consécutives aux confinements ont aggravé les perturbations des chaînes de production et d’approvisionnement liées à la fermeture d’usines en Asie et à un engorgement inédit des ports à conteneurs en raison de la Covid-19. Les retards causés par la pandémie se sont ajoutés à d’autres problèmes logistiques, comme le blocage du canal de Suez ou la pénurie mondiale de semi-conducteurs après les fermetures d’usines à Taïwan, au Japon et au Texas, provoquées par des incendies et des événements météorologiques.

« La pandémie a démontré que l’interconnexion des chaînes d’approvisionnement modernes et la combinaison de différents événements pouvaient créer des perturbations majeures. Pour la première fois, la résilience des chaînes d’approvisionnement a été éprouvée dans le monde entier jusqu’au point de rupture », fait remarquer Philip Beblo, directeur Dommages aux biens Technologie, Médias et Télécoms chez AGCS.

Selon le récent Global Trade Report d’Euler Hermes, les fortes perturbations de la chaîne d’approvisionnement causées par la pandémie de Covid-19 devraient se poursuivre au cours du deuxième semestre 2022. Toutefois, les difficultés liées au déséquilibre entre l’offre et la demande mondiales, ainsi qu’à la saturation du transport par conteneurs devraient s’atténuer, en supposant qu’il n’y ait pas d’autres développements inattendus.

La sensibilisation aux risques d’interruption d’activité est aujourd’hui une question stratégique essentielle pour l’ensemble de l’entreprise. « Les dirigeants veulent une plus grande transparence des chaînes d’approvisionnement. Les organisations investissent dans des outils et travaillent sur des données afin de mieux comprendre les risques et de mettre en place des inventaires, redondances et plans d’intervention visant à garantir la continuité d’activité », souligne Maarten van der Zwaag, directeur mondial du conseil en risques Dommages aux biens chez AGCS.

Après l’amélioration de la préparation aux pandémies : renforcer la résistance au changement climatique

Si le risque de pandémie reste une préoccupation majeure pour les entreprises, il descend de la deuxième à la quatrième place (avant émergence du variant Omicron). La crise de la Covid-19 assombrit toujours les perspectives économiques de nombreux secteurs, mais il est encourageant de constater que les entreprises semblent s’être bien adaptées. La majorité des sondés (80 %) estiment qu’ils sont suffisamment ou bien préparés à un futur incident. L’amélioration de la gestion de la continuité d’activité est la principale mesure prise pour accroître la résilience des entreprises.

La progression des catastrophes naturelles et du changement climatique est révélatrice. Étroitement liés, ces deux risques se classent respectivement à la troisième et à la sixième place. Ces dernières années, la fréquence et la gravité des événements météorologiques se sont accrues en raison du réchauffement climatique. En 2021, le total des pertes assurées dans le monde au titre des catastrophes naturelles devrait dépasser les 100 milliards de dollars, battant ainsi un record pour la quatrième année consécutive. L’ouragan Ida aux États-Unis a sans doute été le sinistre le plus coûteux. Toutefois, plus de la moitié des pertes sont liées à des risques dits secondaires. Ainsi, les inondations, fortes pluies, orages, tornades et même gelées hivernales, qui sont souvent des phénomènes locaux, s’avèrent de plus en plus coûteux. Parmi eux, citons la tempête hivernale Uri au Texas, la dépression Bernd qui a provoqué des inondations catastrophiques en Allemagne et au Benelux, les fortes inondations dans la ville chinoise de Zhengzhou, ou encore les canicules et les incendies de forêt au Canada et en Californie.

Les personnes interrogées dans le cadre du Baromètre des risques d’Allianz se déclarent principalement préoccupées par les événements liés au changement climatique qui causent des dommages aux biens des entreprises (57 %), et par les impacts sur l’activité et la chaîne d’approvisionnement (41 %). Leurs autres sujets d’inquiétude concernent la gestion de la transition vers l’économie décarbonée (36 %), la conformité à une réglementation et à des exigences d’information complexes. La prévention des risques de contentieux liés à une action insuffisante pour lutter contre le changement climatique est également citée par 34 % des répondants.

« Certes, les problèmes majeurs tels que la pandémie et la volatilité de l’environnement économique dominent la gestion des risques au quotidien. Cependant, la pression exercée sur les entreprises pour qu’elles agissent face au changement climatique s’est sensiblement accrue au cours de l’année, observe Line Hestvig, directeur Durabilité chez Allianz SE. Nous constatons une tendance nette vers la mise en place, au sein des entreprises, de compétences spécialisées dans l’atténuation du risque climatique, réunissant des experts en gestion des risques et en développement durable ».

Les entreprises et les assureurs doivent aussi renforcer la résistance aux événements météorologiques extrêmes. « Des événements autrefois centennaux pourraient survenir plus fréquemment à l’avenir et dans des régions jusque-là considérées comme ‘‘sûres’’. Les bâtiments et les plans de continuité d’activité doivent être plus solides pour pouvoir y faire face », conclut Maarten van der Zwaag.

Autres risques en hausse et en baisse dans le Baromètre des risques 2022 d’Allianz :

  • La pénurie de maind’œuvre qualifiée (13 %) fait son entrée dans le top 10 des risques, à la neuvième place. Il a rarement été aussi difficile d’attirer et de retenir les talents. Les sondés classent ce risque parmi les cinq premiers dans les secteurs de l’ingénierie, de la construction, de l’immobilier, des services publics et de la santé. Ils le placent au premier rang dans les transports.
  • Les évolutions législatives et réglementaires restent à la cinquième place (19 %). Les principales mesures réglementaires concernant les entreprises en 2022 portent sur la lutte contre les pratiques anticoncurrentielles dans le numérique, ainsi que les objectifs de durabilité environnementale, avec la taxonomie verte européenne.
  • Les incendies et explosions (17 %), qui constituent un risque permanent pour les entreprises, se classent à la septième place, comme l’année dernière. Les évolutions du marché (15 %) chutent de la quatrième à la huitième place. Enfin, les évolutions macroéconomiques (11 %) descendent de la dixième à la huitième place.

 Florence Claret. Contact Presse Allianz

CLASSEMENT DES RISQUES PAR LES ENTREPRISES

Il est toujours intéressant de faire un point sur le classement des risques par les entreprises.
👍 Le Cyberrisque, sans surprise, risque n°1.
👍 Plus inattendu et enseignement intéressant : le cyberisque, devant le risque sanitaire.
👎 Malheureusement sans surprise : le risque climatique, risque n°4 ; mais l’évolution, même si elle est lente, est positive.

La cybersécurité inquiète plus les patrons que le Covid

L’enquête annuelle du cabinet PwC auprès de dirigeants d’entreprises partout dans le monde révèle leur confiance dans leur activité. S’étant adaptés à la crise sanitaire, ils ont pour principal sujet de préoccupation la sécurité de leurs systèmes informatiques.

Visiblement, les chefs d’entreprise n’ont guère de crainte sur les conséquences à venir de la pandémie du Covid-19 dans sa variante Omicron. Selon l’enquête annuelle effectuée par le cabinet PwC en interrogeant quelque 4.500 patrons de 89 pays, l’optimisme est de mise.

Plus de 75 % d’entre eux s’attendent à ce que la croissance économique s’améliore dans les douze prochains mois. Ils sont même 85 % en France à se montrer aussi confiant dans l’avenir. « C’est la première fois, dans notre enquête, que les chefs d’entreprises français sont plus confiants que leurs homologues des autres pays », observe Patrice Morot, Président de PwC France et Maghreb.

Les patrons français sont parmi les plus optimistes au monde.
Les patrons français sont parmi les plus optimistes au monde.PwC

En filigrane, l’optimisme se fonde sur le fait que les entreprises se sont adaptées à la situation sanitaire. « Nous ne sommes plus en mars 2020 où tout le monde était confiné, les villes étaient désertes et certaines entreprises obligées de fermer », témoigne Patrice Morot.

La Chine se distingue

A court terme cependant, les patrons chinois se montrent plus soucieux que leurs homologues étrangers en ce qui concerne l’évolution de leur chiffre d’affaires. Seulement 48 % d’entre eux s’attendent à une amélioration de leur activité dans l’année qui vient contre 67 % pour les patrons américains et 60 % pour les européens. Sans doute faut-il voir là les répercussions liées aux difficultés du groupe immobilier chinois Evergrande . De plus « les perspectives d’investissement se sont dégradées et la stratégie « zéro covid » du gouvernement chinois, mise à mal par le variant Omicron, pèse sur le moral des chefs d’entreprise », ajoute Patrice Morot. A plus long terme, l’écart entre les patrons chinois et étrangers s’estompe. Ensemble, ils sont optimistes à 64 % sur l’évolution de leur chiffre d’affaires d’ici à 3 ans. Ils sont 77 % aux Etats-Unis et 72 % en France.

La cybersécurité en priorité

En règle générale, les entreprises se sont adaptées à la crise sanitaire et vivent avec.

Dans un monde de plus en plus numérisé […], il est logique que les patrons se préoccupent de la sécurité de leurs infrastructures informatiques pour répondre aux nouveaux usages de leurs clients

La principale préoccupation des patrons concerne les risques liés à la cybersécurité. « Dans un monde de plus en plus numérisé auquel la crise sanitaire a donné un nouveau coup de fouet avec la hausse des achats via internet, il est logique que les patrons se préoccupent de la sécurité de leurs infrastructures informatiques pour répondre aux nouveaux usages de leurs clients », explique Patrice Morot.

Davos : des dirigeants particulièrement pessimistes

Les chefs d’entreprise français se distinguent de leurs homologues étrangers par le fait qu’ils placent, pour 40 % d’entre eux, les risques géopolitiques au deuxième rang de leurs inquiétudes. Sans doute faut-il y voir la forte dépendance des grands groupes mondiaux français aux importations, avance PwC. Les risques de rupture d’approvisionnement et les pénuries qui en découlent sous-tendent le débat actuel des relocalisations d’activité en France .

La décarbonation à la traîne

A l’heure où la lutte contre le changement climatique prend de l’ampleur dans un contexte de décarbonation de l’industrie, les patrons admettent un retard certain. Seulement 22 % d’entre eux ont pris des mesures en faveur de la neutralité carbone et 29 % prévoient de le faire. « Pour les deux tiers, ce sont des dirigeants d’entreprises mondiales. Si nous assistons à une véritable prise de conscience sur le sujet, les dirigeants des entreprises de taille intermédiaire abordent plus difficilement les enjeux climatiques » tempère Patrice Morot.

Richard Hiault. 17 janvier 2022.

LE RISQUE, VARIABLE STRATEGIQUE DE LA REFLEXION DES ENTREPRISES (3)  UN NOUVEAU RISQUE : LA FRAUDE AU PRESIDENT (SUITE) – UN EXEMPLE DE PLAN D’ACTIONS

Je vous propose :

Fraude au président : la crise sanitaire a déclenché une nouvelle vague d’attaques

La fraude au président (ou FOVI, faux ordre de virement international) est une escroquerie frappant les entreprises depuis les années 2000. Selon les autorités françaises, ce risque « concerne les entreprises de toute taille et de tous les secteurs ».

Après une prise de conscience mondiale du risque, les affaires se sont à nouveau multipliées depuis fin 2017. Et surtout, elles ont explosé dans le cadre de la pandémie de la Covid-19.

Comment se déroule une attaque ? De manière schématique, le fraudeur téléphone ou envoie un mail au comptable de l’entreprise en se faisant passer pour le PDG, lui-même en déplacement. Prétextant la signature urgente d’un contrat stratégique, le criminel demande d’effectuer rapidement un virement bancaire. L’attaque a lieu en général lorsque le responsable financier est en congé afin d’échanger avec l’adjoint, plus vulnérable.

En France, une étude du cabinet Euler Hermes indiquait que, avant 2017, 20 % des attaques avaient réussi. De grandes entreprises comme le fabricant de tubes en acier Vallourec avait perdu plus de 20 millions d’euros en 2013 et le spécialiste du pneumatique Michelin 1,6 millions d’euros l’année suivante.

Un retour en force

Face à cette marée irrésistible, des mesures avaient été prises : spécialistes accompagnant les entreprises, banques intégrant des procédures de sécurité renforcée pour les virements internationaux, experts-comptables sensibilisés… Mais après une brève accalmie, le phénomène est réapparu ces dernières années et la crise sanitaire a écarté encore un peu plus les mailles du filet.

Quelles sont les raisons qui peuvent expliquer cette résurgence ? En menant une étude exploratoire auprès de chefs d’entreprise de l’hexagone et de quelques pays étrangers (dont la Belgique et Madagascar), trois raisons principales ont émergé : la faible sensibilisation (notamment au sein des petites et moyennes entreprises, désormais principales victimes), la routine et la surconfiance.

À chaque fois, la formation des salariés s’avère insuffisante. Les plus anciens ne bénéficient que très rarement de mises à jour de leurs connaissances et ne sont pas toujours informés des cyberattaques. Les nouveaux salariés, quant à eux, ne sont ni formés ni même sensibilisés au risque. Par exemple, le PDG d’une PME victime à plusieurs reprises le reconnaît :

« Nous n’avions pas indiqué au nouveau comptable que nous avions déjà fait l’objet d’une attaque par le passé. »

L’ensemble du personnel tombe ainsi dans la routine, oubliant de rester en veille et de cultiver le doute. Il est pourtant nécessaire de stimuler régulièrement l’attention sur ces risques en cassant l’habitude qui s’installe inévitablement. La dimension psychologique reste donc au cœur de la prévention. Chaque salarié doit s’imprégner des procédures et ces dernières doivent être régulièrement remises en cause. Le PDG d’une PME attaquée en novembre 2020 l’admet :

« Nos procédures n’avaient pas été vérifiées et mises à jour depuis plus de deux ans. »

Enfin, le biais de surconfiance, autrement dit « la propension d’un individu à surestimer ses probabilités de succès ou la véracité de ses jugements » se retrouve souvent la cause de nombreuses erreurs. Le directeur général d’une entreprise de taille intermédiaire approchée en 2018, reproche l’absence « de regard humain » :

« On se défausse trop sur la machine, réputée infaillible avec ses process automatiques. Les salariés, trop confiants dans les systèmes et procédures, vont laisser la machine gérer le risque et se mettre eux-mêmes “en veille”. »

En tout état de cause, c’est quasiment systématiquement l’erreur humaine qui prévaut chez les victimes de ces attaques. Et le récent ciblage des PME, plus vulnérables car moins protégées et formées, est inquiétante. D’après une étude d’Euler Hermes en 2020, « plus de 6 répondants sur 10 n’ont toujours pas alloué de budget spécifique à la lutte contre la fraude et la cybersécurité en 2019 ».

Les fraudeurs profitent de la crise

En effet, la crise sanitaire actuelle n’a fait qu’aggraver la situation, comme nous avons pu le constater dans nos recherches. Dès le début de la pandémie, on a assisté au pillage de réserves sanitaires, à des arnaques en tout genre sur Internet, à la vente de contrefaçons de produits sanitaires ou de médicaments, à l’explosion des cyberattaques pour pirater les données, etc.

Tracfin, l’organisme anti-blanchiment français, indique dans un rapport de mai 2020 les arnaques exacerbées par la crise et détectées par ses enquêteurs. On y trouve notamment les détournements d’ordres de virement. Le développement du télétravail et des réunions en visioconférence entraîne une situation propice à la fraude au président puisque les échanges à distance se justifient pleinement.

Ailleurs dans le monde, le Bureau canadien du crédit évoquait même l’existence d’une « corona-fraude » ! Cette nouvelle dénomination reflète la professionnalisation de la fraude. Elle témoigne d’un nouveau paradigme de la fraude où les escrocs construisent des montages, tous plus sophistiqués les uns que les autres. L’appui des nouvelles technologies rend la délinquance de plus en plus astucieuse. Les cyberarnaques sont de plus en plus nombreuses et surtout de moins en moins perceptibles.

À cet égard, en Italie, le journaliste Roberto Saviano, auteur du célèbre livre sur la mafia napolitaine Gomorra, alertait sur l’intensification des activités mafieuses, dans une chronique du journal italien La Repubblica.

Globalement, la digitalisation des échanges ainsi que le contexte sanitaire ont fait entrer la fraude dans une nouvelle ère. Si la fraude au président s’appréhendait par une escroquerie au faux nom et/ou à la fausse qualité, il est loisible que celle-ci ait muté vers des manœuvres frauduleuses qu’on retrouve intégrées à un montage complexe. Ainsi, l’adaptabilité de la fraude et des fraudeurs n’est plus à démontrer. À plus forte raison, l’habileté des fraudeurs rend également le contrôle des opérations plus ardu et moins fiable puisque les salariés sont éparpillés sur le territoire et demeurent à leur domicile.

La mutation du procédé de tromperie de l’escroquerie associée à l’apport du digital, a rendu la fraude au président excessivement efficace. C’est donc le moment de redoubler d’attention et d’alerter toutes les entreprises, quelle que soit leur taille. La formation et la sensibilisation des salariés accompagnées par un renforcement des procédures permettront d’éviter une routine délétère en matière de prévention de la fraude.


Eric Vernier, Université de Lille. Vincent Le Trouher, Directeur juridique Investigations, Fraudes et Litiges chez Hexaforensics. Janvier 2021

 

Comment le groupe Pichet sécurise ses comptes fournisseurs

Face à l’accroissement du risque de fraude au faux virement, le groupe immobilier a externalisé et automatisé ses processus de vérification des coordonnées bancaires de ses fournisseurs.

Fraude au président , au « faux virement » ou au « faux fournisseur » , etc. Les tentatives d’arnaques fondées sur des numéros de comptes bancaires frauduleux se sont multipliées ces dernières années. Et ont de quoi inquiéter les entreprises. En particulier celles qui, par leur forte croissance, sont souvent appelées à travailler avec de nouveaux fournisseurs… C’est le cas du groupe Pichet, un groupe familial spécialisé dans l’immobilier et qui compte aujourd’hui quelque 1.300 collaborateurs, pour un chiffre d’affaires de l’ordre de 600 millions d’euros.

Lorsque Benoît Chardonnet rejoint les équipes en 2017 comme responsable du contrôle interne, il met tout d’abord en place un processus un peu « artisanal ». « A chaque nouveau fournisseur, nous avions des procédures de vérification oculaires des informations communiquées par les fournisseurs. Cela portait sur le titulaire du compte, son K-Bis, le RIB certifié conforme – tamponné ou signé -, la cohérence des adresses, etc. : une vraie check-list à respecter avant l’enregistrement du fournisseur, avec un double niveau de contrôle en interne », se souvient-il.

Quinze mille fournisseurs

Quelques années plus tard, ce process ne suffit plus face à la multiplication des tentatives de fraudes et à la professionnalisation des escrocs, qui élaborent des scénarios de plus en plus complexes et fondés sur de l’ingénierie sociale. En outre, la charge de travail est importante : le fort développement du groupe le conduit à créer ou modifier entre 10 et 15 comptes fournisseurs par jour, pour une base « fournisseurs » qui compte environ 15.000 lignes.

Paiement : les trois grandes fraudes d’une année 2020 atypique

Courant 2020, le groupe se met donc en quête d’une solution automatisée de sécurisation des relevés d’identité bancaire de ses fournisseurs. C’est la solution proposée par la start-up SIS-ID qui est choisie. « Il s’agit d’une externalisation complète du process de vérification : pour chaque RIB, nous avons un signal soit vert, totalement sécurisé, soit orange, pour davantage de vérifications, ou rouge, lorsqu’il y a une anomalie », explique le responsable.

Une brique parmi d’autres

Un process véritablement sécurisant grâce à la garantie financière donnée par SIS-ID en cas de problème sur un paiement à destination d’un compte « vert ». Son coût ? « Il est très relatif et doit être apprécié au regard de la réduction du risque : si nous pouvons éviter une fraude à plusieurs milliers d’euros, nous sommes clairement gagnants ! » estime Benoît Chardonnet.

Nous sensibilisons aussi très régulièrement nos collaborateurs sur le sujet, en particulier toutes les personnes en lien avec le traitement administratif des fournisseurs.

Mais, attention, ce n’est là qu’une des briques mises en place par le groupe Pichet dans le cadre de sa lutte contre la fraude. « Nous sensibilisons aussi très régulièrement nos collaborateurs sur le sujet, en particulier toutes les personnes en lien avec le traitement administratif des fournisseurs », précise Benoît Chardonnet.

Formations

Il y a aussi une attention beaucoup plus large aux enjeux de cybersécurité, car une intrusion directe dans les fichiers fournisseurs serait également très problématique. « Les deux axes ne peuvent plus être dissociés, aussi nos formations internes lient-elles systématiquement les deux notions », explique le responsable, qui travaille avec le RSSI (responsable de la sécurité des systèmes d’information) sur des sujets comme l’active directory, les habilitations, ou encore les liens entre les applications de comptabilité et de trésorerie.

De quoi gagner encore en sérénité sur la sécurisation des flux financiers, au moment où le groupe se structure et se digitalise de plus en plus…

Cécile Desjardins. Nov. 2021

LE RISQUE, VARIABLE STRATEGIQUE DE LA REFLEXION DES ENTREPRISES (2). UN NOUVEAU RISQUE : LA FRAUDE AU PRESIDENT  

Je vous propose un article de fonds paru dans The Conversation, écrit par Eric Vernier, Directeur de la Chaire Commerce, Echanges & Risques internationaux – ISCID-CO, Université du Littoral Côte d’Opale, Chercheur au LEM (UMR CNRS 9221), Université de Lille.

J’ai classé ce risque dans les rubriques du BLOG : éthique/gouvernance et cybersécurité. Si l’on suit la typologie des risques de l’AMRAE, il s’agit d’un risque transverse/catégorie financier et Ethique.

La semaine prochaine : un 2ème article sur le sujet et un exemple de Plan d’Action mis en place par une entreprise.

Fraude au président : comment les entreprises tombent dans le piège linguistique des escrocs

Les escrocs récoltent des données sur l’entreprise, puis l’un d’eux se fait passer pour le patron et contacte directement le comptable en charge des virements. 

Comme nous l’expliquions dans un article précédent, la fraude au président touche de plus en plus d’entreprises. Après une recrudescence liée à la baisse de la vigilance dans les services comptables, à la routine et à l’excès de confiance envers les outils informatiques et les procédures, l’escroquerie a été favorisée par la pandémie de Covid-19, la digitalisation des échanges facilitant ce type de fraude à distance.

On peut donc oser le néologisme « coronafraude » pour évoquer ce phénomène de plus en plus présent. Le Bureau canadien du crédit avait d’ailleurs évoqué en ces termes, dès mars 2020, ce risque de « pandémie de fraude à venir ». Selon le FBI, 26 milliards de dollars ont été extorqués aux entreprises depuis 2013 dans le monde.

La fraude au président représente plus de 200 millions de pertes chaque année en France. Un pic jamais vu a été touché en février 2021. L’un des records a même été atteint avec pour victime une société d’expertise comptable, censée maîtriser toutes les procédures de prévention et de contrôle, présentant une perte de 14,7 millions d’euros !

La procédure déployée est toujours la même : les escrocs récoltent des données sur l’entreprise grâce à Internet, l’un d’eux se fait passer pour le patron et contacte directement le comptable en charge des virements. Les fraudeurs exercent plusieurs relances jusqu’à ce que le transfert d’argent soit effectif.

Dans ce contexte, nous avons mené une analyse sémiologique de corpus audio (enregistrements téléphoniques) et écrits (échanges mails initiés par les fraudeurs), portée successivement sur l’analyse d’éléments linguistiques (par exemple : sémantique, syntaxe, morphostylistique.), conversationnels (positionnements hiérarchiques, dynamiques interactionnelles), émotionnels (tonicité de la voix, rhétorique) et stratégiques (techniques de persuasion et manipulation).

L’objectif d’une telle analyse était de tester l’hypothèse selon laquelle il existerait des similitudes dans les schémas de manipulation, ou encore des structures sous-jacentes communes aux différentes interactions entre les fraudeurs et leurs victimes.

Les fraudeurs sont-ils repérables à travers des marqueurs linguistiques particuliers ? Quelles stratégies sont les plus efficaces ? Comment parviennent-ils à « faire faire » leur programme ? Voici les questions auxquelles nous avons voulu répondre.

Tournures complexes et discours incarné

D’un point de vue linguistique, c’est-à-dire de ce qui est visible à travers des marqueurs spécifiques, on se rend compte que le fraudeur est celui qui utilise davantage de « mots pleins », c’est-à-dire ceux chargés d’une fonction sémantique (mots dont la charge sémantique est forte, soit les noms communs autour desquels s’organise le sens de la phrase).

À l’inverse, les « mots vides » (ou « outils grammaticaux ») sont davantage utilisés par la victime. Il s’agit ici des mots dont la charge sémantique est faible, soit de tous sauf des noms communs, adjectifs et verbes. On retrouve dans cette catégorie : les déterminants, pronoms, adverbes, conjonctions… À noter que la stylométrie s’intéresse particulièrement à l’agencement des mots outils, signature « verbale » inconsciente du discours.

Aussi, le fraudeur est le plus « bavard » (logorrhée) et ses mots sont davantage chargés de signification : une première manière de se positionner hiérarchiquement par rapport à l’autre comme le « guide » de la conversation, voire comme « sachant ».

Plus spécifiquement, le lexique s’organise principalement autour de trois fonctions du langage :

  • la fonction référentielle, qui renvoie aux notions de « paiement », « compte », « comptabilité/document », « dossier », « papier »
  • la fonction phatique, qui renvoie aux notions de « garder le contact », « garder un fil d’échange », avoir les « coordonnées »
  • la fonction métalinguistique structurée, qui recoupe des notions comme la « confidentialité » et « l’importance » (« c’est extrêmement important », « c’est de la plus haute importance », « il en va de la survie de l’entreprise »).

D’un point de vue syntaxique et stylistique, on observe une différence selon le canal de communication utilisé. À l’oral, les fraudeurs enrobent leurs propos : l’espacement entre le sujet et l’objet est important, le conditionnel est préféré à l’usage de l’impératif, les tournures de phrases sont complexes (subordonnées, tournures alambiquées, etc.) et le discours est incarné (beaucoup de pronoms personnels liés à l’échange conversationnels je/vous).

Inversement, à l’écrit, les références extralinguistiques et statutaires sont beaucoup plus nombreuses (appel aux autorités comme l’avocat ou l’Autorité des marchés financiers), le ton y est beaucoup plus directif (les impératifs sont nombreux et les conditionnels peu présents). Le tutoiement peut même devenir l’usage.

Le doublement des canaux de communication permet la mise en place d’une architecture manipulatrice : le bâton et la carotte, cette manière de souffler le chaud et le froid successivement.

Incorporation des codes de l’entreprise

D’un point de vue de la pragmatique et des dynamiques conversationnelles, il est à noter que le pouvoir d’influence et de persuasion des fraudeurs passe davantage par l’implicite et le non-dit. Par exemple, c’est la dimension paraverbale (timbre de la voix, intensité, débit de parole, prosodie et pauses) qui va permettre au fraudeur de déployer son « charisme ».

Comme le rappelle le chercheur Albin Wagener dans sa thèse « Le désaccord conversationnel », les exercices du pouvoir ne sont pas nécessairement perçus par les interactants. Cependant, ils sont « systématiquement présents lorsqu’un système conversationnel présente les caractéristiques d’un désaccord émergeant ». Il rappelle : « Le pouvoir, tout comme les autres éléments d’un système conversationnel, constituerait avant tout un ressenti plus ou moins fluctuant selon le contexte ».

C’est ce qui rend l’exercice d’influence du fraudeur si redoutable : il parvient à se lover dans le « entre les lignes » conversationnel pour exercer son pouvoir.

Ici les notions bourdieusiennes d’hexis et d’habitus sont utiles pour comprendre la mécanique efficiente du fraudeur. Rappelons que, selon le sociologue Pierre Bourdieu, l’habitus est une manière d’être au monde basée sur des rapports de force et d’inégalités. L’hexis est une disposition incorporée, une manière durable de se tenir, parler, marcher et donc de penser.

En définitive, les fraudeurs savent solliciter à leur guise l’imaginaire (prélinguistique) de leurs victimes. Être un employé, c’est : bien faire son travail et écouter les ordres de sa hiérarchie. Les fraudeurs le savent, et jouent sur cette incorporation des codes et normes de l’entreprise pour déployer leur ethos hiérarchique.

Tel un hypnotiseur…

Cette manière de faire est bien connue par exemple des hypnotiseurs qui usent de leur « prestige » en s’appuyant sur la cartographie mentale de leur partenaire (« pré-talk »). Dit autrement, les fraudeurs s’appuient sur des codes et des imaginaires préexistants qui sont ceux de l’entreprise, et qu’ils connaissent bien grâce au travail de recueil de données qu’ils effectuent en amont (ingénierie sociale et récolte de la data via Internet et les réseaux sociaux).

Ils sont d’autant plus efficaces que leur interlocuteur a une représentation forte et incorporée des codes hiérarchiques de l’entreprise (obéissance et volonté de bien faire son travail). Comme l’écrivait en 2016 Maurice Dhooge, senior vice-président Global Security chez Schneider Electric, « toute la vulnérabilité du salarié ciblé est là. S’il n’est pas sur ses gardes face à ce type d’attaque, une partie de lui-même voudra croire à l’histoire qui est racontée… ».

« Fraude ou arnaque au président : une cybercriminalité (FOVI) record depuis février 2021 » (Élodie Mielczareck, 2021).

En conclusion, bien qu’il existe des signatures verbales spécifiques et visibles (liberté d’action « je vous laisse voir avec… », implication personnelle du fraudeur « je compte sur vous… »), l’analyse des corpus montre que les traces de manipulation sont implicites (de l’ordre du paraverbal, du régime d’interaction et liées à des cadres cognitifs préexistants).

Il semble donc difficile, par exemple, de pouvoir développer une intelligence artificielle qui s’appuierait uniquement sur des marqueurs visibles, explicites et verbaux. Tout comme l’hypnotiseur, le fraudeur est davantage un « surfeur » utilisant des codes incorporés, déjà présents chez son interlocuteur, plutôt qu’un « producteur » de contenu inédit.

Eric Vernier. Mars 2021.


Télétravail, risques et plans d’actions ou quels plans d’actions pour gérer les risques liés au télétravail et selon quelle approche ? (2)

✴ Une gestion des risques technique et socio-cognitive.

Je reviens avec l’extrait ci-dessous d’une chronique d’Olivier Cimelière sur l’idée que les risques psycho-sociaux liés au télétravail comme tous les risques ne sont pas seulement un « problème » technique mais également un « problème » de facteur humain.

Le deuxième article ciblé sur la cyber-malveillance (surexposition au risque) présenté par Caroline Diard –  enseignant-chercheur en management des RH et Droit, ESC Amiens – comme l’un des risques liés au télétravail propose 12 recommandations de sécurité pour prévenir ce risque. Dix sont techniques. Deux sont socio-cognitives.

Une approche à la fois technique et socio-cognitive pour passer d’une logique de contrôle à une logique de soutien rejoint la mise en place du « risk management intelligent » préconisés par Power (2004, 2007, 2009, 2016). Cette approche permet d’émanciper les managers du déploiement d’informations sous la forme « d’outils formalisés, normés… » qu’il décrit comme une « addition de couches de pseudo confort donnant une illusion de confort. » (p.66 Aubry C., Dufour N., La Fonction Risk Manager).

✴ Quelles sont les grandes lignes et les outils pour que les risk-managers français mettent en place le « risk management intelligent » préconisé par Power ?

La mise en place d’outils hors contrôle tels que le e-learning, le retour d’expérience, les formations, la responsabilité des opérationnels, l’appropriation des outils…permettent d’avoir l’appui des opérationnels et d’acquérir une légitimité cognitive (celle qui consiste à s’ancrer dans l’inconscient collectif pour être compris par les parties prenantes, devenir incontournable) ; elle est le « graal » de la légitimité.

✴ Nous évoquons cette approche technique et socio-cognitive et ces outils dans nos travaux (Aubry et Montalan, 2007) et dans l’ouvrage « La Fonction Risk Manager. Organisation, méthodes et positionnement (2019, p.96) »

https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html

✴ Sur le blog, vous pouvez lire ou relire sur cette approche :
  • l’article « Yves Rocher et les NeuroSciences ». Archives du blog mai 2020
  • l’article relatif à L’Organisation Apprenante. Archives du blog décembre 2020.

Télétravail et déconfinement : l’humain reste le pivot essentiel

Télétravail n’est pas martingale managériale

C’est un fait que le coronavirus aura contribué à plus nettement matérialiser le recours au télétravail. Les mentalités à l’égard de celui-ci évoluent. Du côté des dirigeants, il n’est plus forcément perçu comme une subtile excuse pour tirer au flanc, d’autant que le présentéisme au bureau engendre aussi bien des excès. Du côté des collaborateurs, il est synonyme d’un équilibre de vie plus flexible, entre obligations professionnelles et tâches domestiques, tout en ayant un cadre de travail délibérément choisi plutôt qu’un flex office impersonnel ou un open space plein de vacarme. Pour autant, le travail à distance n’est pas une martingale managériale. Si le dirigeant y consent, il doit aussi impulser les conditions de son efficience collective.

La première étape, basique mais incontournable (et déjà source de bougonneries), est le matériel du collaborateur. Autant au bureau, il est relativement simple de disposer d’infrastructures et de terminaux performants, autant la distance implique des obligations très concrètes à traiter. L’enquête de Deskeo le rappelle. 78% des personnes interrogées ne possèdent pas les équipements adéquats comme l’imprimante ou l’écran ergonomique. 66% doivent aussi se débattre avec un débit Internet parfois capricieux.

Collaboration et sécurité avant tout

Deux autres dimensions sont absolument cruciales : le choix d’un outil collaboratif qui conviendra à la majorité des salariés en télétravail et la garantie de la cybersécurité des échanges . Travailler à distance ne signifie pas travailler en silo, mais être au contraire capable de se synchroniser avec ses collègues et suivre les avancées d’un projet. Sur le marché, il existe quantité de solutions éprouvées mais attention à tenir compte de la maturité digitale des personnes. Un outil trop complexe à manier peut dérouter.

Enfin, la sécurisation est indispensable. A cet égard, l’engouement pour Zoom, la solution de visioconférence, a mis en exergue les failles de sécurité qui allaient de pair avec des intrusions ou des vols de données. Conséquence : tout le monde dans l’entreprise doit être extrêmement au clair et au carré avec ces points fondamentaux. Sans oublier évidemment le respect de la loi applicable en la matière.

La com’ interne comme lien essentiel

L’autre challenge induit par le télétravail, quelquefois largement sous-estimé par les adeptes fraîchement convertis, est la préservation du lien humain et de la culture d’entreprise. C’est là où la communication interne a un rôle clé à jouer pour éviter qu’au fil du temps, les interactions ne se réduisent qu’à des chats sur la messagerie interne et quelques séances collectives en visio pour entretenir a minima l’esprit d’équipe et le sentiment d’appartenance à la communauté qu’est l’entreprise.

Plus que jamais, des espaces fédérateurs doivent être mis en place et animés régulièrement comme l’Intranet – mais pas que – qui peut ainsi distiller des témoignages terrain, partager des bonnes pratiques, présenter des métiers et même offrir des canaux de détente comme des mini-compétitions de jeux en ligne ou des forums de discussion thématiques.

Avec le travail à distance, il ne faut pas perdre de vue que la précieuse machine à café n’est plus totalement en mesure d’être cet indispensable lieu de brassage du corps social de l’entreprise. La virtualisation des discussions peut aider à décloisonner mais elle peut aussi dématérialiser l’essence même d’une organisation humaine. C’est sans doute un paradoxe mais le télétravail requiert aussi de la proximité physique régulière. Là aussi, les possibilités sont variées : réunions sur un lieu unique, séminaires, team building, repas en commun, etc. Sinon, trop de distance tue la quintessence de l’entreprise.

Olivier Cimelière est directeur adjoint ESJ Pro Entreprise. Mai 2021

Recommandations de sécurité informatique pour le télétravail en situation de crise

En complément des mesures générales de vigilance cybersécurité publiées sur la crise du CORONAVIRUS – COVID-19, cet article décrit les conseils de Cybermalveillance.gouv.fr pour les employeurs afin de limiter les risques de sécurité informatique liés au télétravail.

12 recommandations de sécurité liées au télétravail pour les employeurs

Pour faire face à la crise et au confinement imposé par l’épidémie du CORONAVIRUS – COVID-19 les employeurs, entreprises, associations, administrations, collectivités se sont vues devoir mettre en place ou développer dans l’urgence le télétravail pour maintenir, au moins a minima,  leurs activités essentielles. L’ouverture vers l’extérieur du système d’information de l’entreprise peut engendrer des risques sérieux de sécurité qui pourraient mettre à mal l’entreprise, voire engager sa survie en cas de cyberattaque.
Voici 12 recommandations à mettre en œuvre pour limiter au mieux les risques :

  1. Définissez et mettez en œuvre une politique d’équipement des télétravailleurs : Privilégiez autant que possible pour le télétravail l’utilisation de moyens mis à disposition, sécurisés et maîtrisés par l’entreprise. Lorsque ce n’est pas possible, donnez des directives d’utilisation et de sécurisation claires aux employés en ayant conscience que leurs équipements personnels ne pourront jamais avoir un niveau de sécurité vérifiable (voire sont peut-être déjà compromis par leur usage personnel).

  2. Maîtrisez vos accès extérieurs : Limitez l’ouverture de vos accès extérieurs ou distants (RDP) aux seules personnes et services indispensables, et filtrer strictement ces accès sur votre pare-feu. Cloisonnez les systèmes pour lesquels un accès à distance n’est pas nécessaire pour les préserver, surtout s’ils revêtent un caractère sensible pour l’activité de l’entreprise.

  3. Sécurisez vos accès extérieurs : Systématisez les connexions sécurisées à vos infrastructures par l’emploi d’un « VPN » (Virtual Private Network ou « réseau privé virtuel » en français). Outre le chiffrement de vos connexions extérieures, ces dispositifs permettent également de renforcer la sécurité de vos accès distants en les limitant aux seuls équipements authentifiés. La mise en place sur ces connexions VPN d’une double authentification sera également à privilégier pour se prémunir de toute usurpation.

  4. Renforcez votre politique de gestion des mots de passe : Qu’il s’agisse des mots de passe des utilisateurs en télétravail, mais aussi de ceux en charge du support informatique, les mots de passe doivent être suffisamment longs, complexes et uniques sur chaque équipement ou service utilisé. La majorité des attaques est due à des mots de passe trop simples ou réutilisés. Au moindre doute ou même en prévention, changez-les et activez la double authentification chaque fois que cela est possible. En savoir plus.

  5. Ayez une politique stricte de déploiement des mises à jour de sécurité : Et ce, dès qu’elles sont disponibles et sur tous les équipements accessibles de votre système d’information (postes nomades, de bureau, tablettes, smartphones, serveurs, équipements réseaux ou de sécurité…) car les cybercriminels mettent peu de temps à exploiter les failles lorsqu’ils en ont connaissance. Un défaut de mise à jour d’un équipement est souvent la cause d’une intrusion dans le réseau des entreprises. En savoir plus.

  6. Durcissez la sauvegarde de vos données et activités : Les sauvegardes seront parfois le seul moyen pour l’entreprise de recouvrer ses données suite à une cyberattaque. Les sauvegardes doivent être réalisées et testées régulièrement pour s’assurer qu’elles fonctionnent. Des sauvegardes déconnectées sont souvent indispensables pour faire face à une attaque destructrice par rançongiciel (ransomware). En outre, il convient également de s’assurer du niveau de sauvegarde de ses hébergements externes (cloud, site Internet d’entreprise, service de messagerie…) pour s’assurer que le service souscrit est bien en adéquation avec les risques encourus par l’entreprise. En savoir plus.

  7. Utilisez des solutions antivirales professionnelles : Les solutions antivirales professionnelles permettent de protéger les entreprises de la plupart des attaques virales connues, mais également parfois des messages d’hameçonnage (phishing), voire de certains rançongiciels (ransomware). Utiliser des solutions différentes pour la protection des infrastructures et pour les terminaux peut s’avérer très complémentaire et donc démultiplier l’efficacité de la protection dans un principe de défense en profondeur.

  8. Mettez en place une journalisation de l’activité de tous vos équipements d’infrastructure : Ayez une journalisation systématique et d’une durée de rétention suffisamment longue de tous les accès et activités de vos équipements d’infrastructure (serveurs, pare-feu, proxy…), voire des postes de travail. Cette journalisation sera souvent le seul moyen de pouvoir comprendre comment a pu se produire une cyberattaque et donc de pouvoir y remédier, ainsi que d’évaluer l’étendue de l’attaque.

  9. Supervisez l’activité de vos accès externes et systèmes sensibles : Cette supervision doit vous permettre de pouvoir détecter toute activité anormale qui pourrait être le signe d’une cyberattaque, tels une connexion suspecte d’un utilisateur inconnu, ou d’un utilisateur connu en dehors de ses horaires habituels, ou encore un volume inhabituel de téléchargement d’informations…

  10. Sensibilisez et apportez un soutien réactif à vos collaborateurs en télétravail : Donnez aux télétravailleurs des consignes claires sur ce qu’ils peuvent faire ou ne pas faire et sensibilisez les aux risques de sécurité liés au télétravail. Cela doit se faire avec pédagogie pour vous assurer de leur adhésion et donc de l’efficacité des consignes. Les utilisateurs sont souvent le premier rempart pour éviter, voire détecter les cyberattaques. Utilisez au besoin nos supports et notre kit de sensibilisation ou encore les recommandations aux télétravailleurs décrites supra. Ces utilisateurs coupés de leur entreprise ont également besoin d’un soutien de qualité et réactif pour éviter toute dérive.

  11. Préparez-vous à affronter une cyberattaque : L’actualité démontre qu’aucune organisation, quelle que soit sa taille, n’est à l’abri d’une cyberattaque. Il faut donc admettre que cela n’arrive pas qu’aux autres. La question n’est donc plus de savoir si on va être victime d’une cyberattaque, mais quand on le sera. Il faut donc s’y préparer. L’évaluation des scénarios d’attaques possibles (cf. menaces supra) permet d’anticiper les mesures à prendre pour s’en protéger et de définir également la conduite à tenir pour réagir quand elle surviendra : plans de crise et de communication, contractualisation avec des prestataires spécialisés pour recourir à leur assistance…

  12. Dirigeants : impliquez-vous et montrez l’exemple ! La sécurité est toujours une contrainte qu’il faut accepter à la mesure des enjeux qui peuvent s’avérer vitaux pour les entreprises. L’implication et l’adhésion des dirigeants aux mesures de sécurité est indispensable, tout comme leur comportement qui doit se vouloir exemplaire afin de s’assurer de l’adhésion des collaborateurs.

Cybermalveillance.gouv.fr

QUELS PLANS D’ACTIONS POUR GERER LES RISQUES LIES AU TELETRAVAIL ET SELON QUELLE APPROCHE ?

L’identification des risques liés au télétravail (étape 2 de la démarche de gestion des risques que je présente dans mes travaux) et leur mesure (probabilité/impact) (étape 3) permettent aux RM de les placer dans la cartographie des risques.

Voyons maintenant comment les gérer ?

Une grille de lecture / un article

👉 La mise en place de plans d’actions relève de l’étape 4 de la démarche de la gestion des risques.

En résumé, à quoi correspond-elle ?

Elle consiste à analyser les systèmes de contrôle interne : existe-t-il des dispositifs de contrôle ? De quels types sont-ils (procédures, chartes, formations, responsabilisation, assurances) ? Sont-ils efficaces, pertinents, fiables ?

Les conclusions quant à ces dispositifs de contrôle du risque permettent à l’entreprise de définir un ou des plans d’actions (bénéfice/ressources à investir) destinés à améliorer la couverture des risques majeurs (action sur l’impact et/ou la probabilité).

Les plans d’actions sont diffusés via la responsabilisation et la mise en réseau. En face de chaque risque majeur est positionné un responsable chargé d’un plan d’actions (également appelé le « propriétaire » du risque) : un réseau  de responsabilité est ainsi mis en place. Pour chaque famille de risques, des experts sont choisis pour aider ces « propriétaires » de risque : un réseau de soutien est mis en place. Un comité de risques central chapeaute ces deux réseaux.

Ces outils donnent à la démarche de gestion des risques son caractère dynamique.

👉 Des accords d’entreprise sont un plan d’actions pour prévenir les risques liés au télétravail.

Dans le cadre de leurs recherches, Caroline Diard et Nicolas Dufour (mon co-auteur pour l’ouvrage « La Fonction Risk Manager. Organisation, Méthodes et Positionnement » https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html) ont mesuré l’efficacité d’accords d’entreprise dans cinq grandes banques contre trois types de risques liés au télétravail : la surconnexion, la surcharge de travail, et une mauvaise articulation entre le contrôle et l’autonomie du télétravailleur.

👉 Une gestion des risques technique et socio-cognitive. D’une logique de contrôle à une logique de soutien.

A côté de la formalisation comme moyen de prévenir les risques, ils évoquent d’autres moyens tels que l’évolution des modes managériaux, l’autonomie, la co-construction de nouvelles normes, l’autodiscipline, les bonnes pratiques.

Les risques psycho-sociaux liés au télétravail comme tous les risques ne sont pas seulement un « problème » technique mais également un « problème » de facteur humain.

C’est une idée qui m’est chère et qui ressort des entretiens que j’ai pu mener avec des RM : la gestion des risques doit être à la fois technique et socio-cognitive, passer d’une logique de contrôle à une logique de soutien.

Elle rejoint la mise en place du « risk management intelligent» préconisés par Power (2004, 2007, 2009, 2016). Dans un article, j’écris : « Préférer une logique de soutien à la logique de contrôle qui prévaut à la mise en place de la gestion des risques transformerait la Fonction Risk Manager en instrument de légitimité cognitive. L’accès des RM au terrain serait facilité ; les obstacles associés à la logique de contrôle (manque de communication interne en direction des opérationnels, méfiance vis-à-vis des opérationnels, manque de motivation, de disponibilité et inertie des opérationnels, poids de la sanction venant de la direction) seraient allégés. Cette première dynamique passe par la mise en place d’une approche globale technique et socio-cognitive (Chautru, 2008 ; Aubry et Montalan, 2007). »

👉 A lire

Dans les banques, les accords d’entreprise limitent en partie les risques liés au télétravail

« En 2019, une étude de l’Association nationale des directeurs des ressources humaines (ANDRH) montrait que, dans la majorité des cas, le recours au télétravail était formalisé soit par un accord de groupe ou d’entreprise, soit par une charte d’employeur. Parmi ces sociétés, on retrouve de nombreuses banques, l’un des secteurs où cette pratique se concentre particulièrement.

Dans le cadre de nos recherches (menées fin 2019), nous avons évalué l’efficacité de tels accords dans 5 grandes banques contre trois types de risques liés au télétravail : la surconnexion, la surcharge de travail, et une mauvaise articulation entre le contrôle et l’autonomie du télétravailleur. Il ressort de notre étude, publiée dans la Revue de l’organisation responsable, que les accords d’entreprise permettent effectivement de réduire les deux premiers types de risques, mais leur portée reste limitée pour gérer le troisième enjeu.

Une surcharge de travail limitée

En ce qui concerne le droit à la déconnexion, les accords d’entreprise reprennent les dispositifs introduits dans le Code du travail en 2017. La possibilité d’être connecté 24 heures sur 24 rend en effet le télétravailleur disponible et induit parfois une situation de connexion subie. L’organisation doit donc anticiper la perméabilité de la frontière entre vie privée et professionnelle.

Dans l’une des banques étudiées, l’accord prévoit explicitement que :

« Aucun courriel ne sera adressé avant 8 h le matin et après 19 h 30 le soir ; aucun courriel ne sera adressé durant les week-ends et jours fériés sauf en cas de manifestations commerciales de type foires et salons auxquelles participerait le salarié nomade ».

Même si certains salariés reconnaissent des « difficultés à déconnecter » ou encore « consulter souvent les messages via le smartphone », ils déclarent globalement respecter la séparation vie privée – vie professionnelle, évoquant notamment l’efficacité en ce sens d’un cadrage lié à une connexion à distance qui s’interrompt par module de 4 heures.

Pour ce qui est de la charge du travail du salarié, en pratique, la mise en place du télétravail ne devrait pas avoir d’effet. Dans le cas des banques étudiées, le respect des horaires semble être prévu par les accords et les directions s’attachent à respecter la loi.

Or, nos observations terrain, comme d’autres travaux de recherche, révèlent une tendance à l’augmentation de la charge de travail lorsque celui-ci est réalisé à distance. Il semble s’agir d’initiatives des salariés qui témoignent avoir des difficultés à « poser des limites », comme l’un d’entre eux nous l’a confié.

Les accords permettent toutefois de contenir le phénomène. Dans une caisse régionale étudiée, la règle selon laquelle le télétravailleur doit rester joignable aux horaires habituels de l’équipe, ou encore la définition stricte des horaires « 8h30 – 12h30/13h30 – 18 h », constituent par exemple des mesures appréciées de certains, qui se disent même « plus performants ». La limitation à un jour de télétravail par semaine permet en outre de laisser la charge de travail quasi inchangée.

Du contrôle à l’« autocontrôle »

Lorsqu’on l’interroge sur une éventuelle surcharge de travail, un répondant reconnaît l’apparition d’une plus grande amplitude horaire, mais aussi d’« une souplesse appréciable ». Ce témoignage illustre bien la nécessité d’un management différent du travail à distance, qui doit prendre en compte les bouleversements en termes de contrôle, d’autonomie et de confiance dans l’organisation. D’autant plus que l’autonomie gagnée rend le collaborateur redevable, parfois tenté de prouver son engagement et sa loyauté.

Dans une situation de télétravail, le collaborateur doit en effet s’adapter à des situations inédites, en l’absence de manager, définissant alors par lui-même un mode de fonctionnement. De son côté, le manager peut être tenté de recourir au contrôle technologique du travail effectué, ce qui peut donner lieu à certaines dérives.

Dans tous les accords étudiés, signés au sein de 5 banques, l’accès au télétravail est fondé sur la capacité du salarié à travailler en autonomie et à distance, et concerne les collaborateurs ne nécessitant pas de soutien managérial physique rapproché. L’accord d’une banque précise par exemple que :

« Une autonomie d’organisation du temps de travail est reconnue aux salariés nomades ».

D’autres accords prévoient une commission de suivi ou définissent encore le cadre hebdomadaire, par exemple « à raison d’un jour par semaine, fixé en concertation avec le manager ».

En revanche, la notion de contrôle n’apparaît pas systématiquement. Aucun des collaborateurs ou managers interrogés dans l’étude n’a évoqué de mise en place de logiciel spécifique de surveillance. Tous les managers disent accorder toute leur confiance aux collaborateurs. Ils n’ont pas la sensation de suivre de façon particulièrement étroite les télétravailleurs.

Cependant, le reporting est systématiquement évoqué, à l’image du témoignage de cet interviewé :

« Je contrôle au moins une fois par mois qu’elle réponde au téléphone le jour du télétravail, je regarde de temps en temps s’il est connecté et je lui demande un reporting le soir ».

L’autonomie et la délégation peuvent donc devenir un moyen de transférer la responsabilité des objectifs sur les collaborateurs. Autrement dit, une forme d’« autocontrôle » succède au contrôle qui repose désormais sur une auto-évaluation davantage que sur un lien hiérarchique entre manager et managé.

Autrement dit, la perception mouvante d’autonomie et de contrôle dépend autant de la relation managériale que de l’application de l’accord d’entreprise. Sur les risques liés à ce bouleversement dans le lien hiérarchique, l’accord d’entreprise – dans les banques mais sans doute également dans d’autres secteurs tertiaires – semble donc une réponse plus incomplète qu’il ne peut l’être concernant la surconnexion ou la surcharge de travail.

Dans un récent article publié dans The Conversation, nous avions d’ailleurs plus largement regretté l’absence de prise en compte de ces risques dans l’Accord national interprofessionnel (ANI) « pour une mise en œuvre réussie du télétravail » conclu par les partenaires sociaux, le 26 novembre 2020. C’est donc probablement sur ce point-là que les négociations, à tous les échelons et dans bon nombre de secteurs, devraient évoluer ces prochaines années. »

Caroline Diard Enseignant-chercheur en management des RH et Droit, ESC Amiens.

Nicolas Dufour Professeur affilié, PSB Paris School of Business – UGEI.

Mai 2021

TELETRAVAIL ET RISQUES

Bonjour, c’est la rentrée du blog.

La même méthode :

  • Un thème approfondi sur deux ou trois semaines ; un contenu par semaine.
  • Une structuration pour réfléchir le risque : contextualisation et définition du risque / identification du ou des risques / proposition de Plans d’Actions.
  • Un fil conducteur : le rôle du Risk Manager pour prévenir les risques.
  • Les sources des articles.

Pour approfondir :

Un ouvrage de référence sur les fondamentaux de la gestion des risques et la fonction Risk Manager : « La Fonction Risk Manager. Organisation, Méthodes et Positionnement. » Editions Gereso. C.Aubry et N.Dufour.

https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html

Le programme des trois semaines à venir :

Aujourd’hui, 14 septembre 2021

  • Définition du télétravail et rappel du contexte.
  • Les risques liés à un télétravail non-encadré.
  • Télétravail et Cyber-malveillance.

A relire sur le blog dans la catégorie Risques, rubrique télétravail :

  • « Télétravail et harcèlement managérial »
  • « Des recommandations de sécurité informatique

La semaine du 20 septembre

Exemple de PA – L’exemple du télétravail dans le secteur bancaire : l’importance des accords d’entreprise pour prévenir le risque.  

La semaine du 27 septembre :

Exemple de PA – Télétravail et déconfinement : l’humain  reste le pivot essentiel.

Définition

Le télétravail est défini par l’article L.1222-9 du code du travail : « Désigne toute forme d’organisation du travail dans laquelle un travail qui aurait également pu être exécuté dans les locaux de l’employeur est effectué par un salarié hors de ces locaux de façon volontaire en utilisant les techniques de l’information et de la communication. »

Rappel du contexte

41% des salariés ont eu recours au télétravail pendant le premier confinement, avec un retour à la normale avec 31% des salariés en télétravail en décembre 2020 (30% en novembre 2019).

Le télétravail peut être mis en place par tout moyen. C’est de cette diversité que vient le risque. Si vous ne mettez pas un cadre normé, vous prenez des risques.

Quels sont les risques liés au télétravail ?

Caroline Diard – Enseignant-chercheur en Management des RH et Droit (ESC Amiens) –  identifie les risques suivants :

  • Cyber-malveillance (surexposition au risque)
  • Risques psychosociaux (Burn-out, stress)
  • Harcèlement
  • Hyper-connectivité
  • Surcharge de travail
  • Contrôle exacerbé
  • Perte de concentration et erreur opérationnelle
  • Fraude interne.

Je vous propose ci-dessous un article sur le premier de ces risques.

Le télétravail accroît le risque de cyberattaques

Analyse 

L’essor du télétravail, lié à l’épidémie de Covid-19, a rendu les entreprises davantage vulnérables face aux hackers, qui prennent pour cible des grands groupes comme des PME. Les pirates se servent des ordinateurs personnels des salariés pour entrer dans le réseau de leurs entreprises.

Depuis le mois de mars, la plateforme publique cybermalveillance.gouv.fr, qui aide entreprises et particuliers à se défendre face aux attaques informatiques, a vu sa fréquentation augmenter de plus de 300 %. « Pendant le confinement, on a constaté une forte hausse d’actes de malveillance contre des grandes et petites entreprises, notamment de ransomware », explique Jérôme Notin, directeur général de la plateforme.

Ces « rançongiciels » s’attaquent à un ordinateur ou un réseau informatique, cryptent les données et les « prennent en otage ». Un message s’affiche sur l’écran des ordinateurs, indiquant le montant à payer pour retrouver l’accès aux fichiers dérobés.

Ces dernières semaines, les experts en piratage, nommés ha­ckers, ont pris pour cible de gros groupes pour leur soutirer de l’argent. L’assureur MMA, le groupe audiovisuel France Télévisions, le constructeur automobile Honda… À chaque fois, des milliers de clients sont affectés. Et ce phénomène est mondial : le 23 juillet, les utilisateurs des GPS et montres connectées Garmin se sont retrouvés sans signal. L’entreprise américaine a payé une rançon de 10 millions de dollars, d’après les révélations du site d’aide informatique Bleeping Computer.

Le télétravail, un terrain fertile

Le télétravail s’est révélé un terrain fertile pour ces attaques. « Les cybercriminels sont passés par les machines personnelles des salariés pour se connecter au réseau des entreprises », constate Jérôme Notin. Les ordinateurs personnels, transformés du jour au lendemain en outils de travail, ne disposent pas de logiciels aussi efficaces que ceux des postes de bureau pour bloquer un virus ou détecter un risque.

« Les entreprises risquent de payer pendant longtemps cette généralisation du télétravail, qui s’est faite sans aucune prise en compte des contraintes de sécurité informatique », regrette le directeur général. Car les cyberattaques ne se manifestent pas toujours immédiatement. Il faut le temps, pour ses auteurs, d’exploiter les données et de détruire les sauvegardes qu’en font les entreprises.

Tout part d’un hameçonnage

Toutefois, ces attaques étaient déjà légion avant le confinement. La Commission européenne a estimé que 80 % des entreprises du Vieux Continent avaient connu, en 2018, « au moins un incident lié à la cybersécurité ». Ceux-ci partent souvent d’un hameçonnage : un message d’une source jugée fiable, comme un site ou un tiers dont l’identité a été usurpée, invite l’employé à ouvrir un lien ou un document d’apparence anodine, par exemple nommé « facture.doc » ou « formulaire.doc », qui infecte l’ordinateur.

D’après le dernier rapport de l’assureur spécialisé Hiscox, l’impact économique des cyberattaques contre les sociétés a été multiplié par six en un an. « Nos adversaires sont plus efficaces que jamais », commente Astrid-Marie Pirson, directrice de la souscription chez Hiscox France. Sur un panel représentatif d’entreprises de huit pays, le coût médian de ces attaques est de 50 000 €.

Aux pertes liées à l’arrêt brutal de l’activité (impossibilité de communiquer, facturer, livrer) s’ajoutent les conséquences sur l’image de l’entreprise. « Ces incidents font l’objet de plus de publicité qu’il y a quelques années, notamment en raison du règlement général sur la protection des données (RGPD), qui impose aux entreprises de notifier à leurs clients les attaques dont elles ont été victimes et donc les risques de violation de leurs données », remarque Astrid-Marie Pirson. Elle rappelle le chiffre présenté par Hiscox : 80 % des entreprises ayant perdu toutes leurs données font faillite dans l’année qui suit l’attaque.

« Personne n’est à l’abri ! »

En 2019, Delphine Chevallier a fondé Thalia NeoMedia pour former employeurs et salariés à la « cyberimmunité ». « Beaucoup de chefs d’entreprise me disent qu’ils ne risquent rien car ils ne veulent de mal à personne. C’est faux, personne n’est à l’abri ! Bien sûr, les grands groupes sont des cibles du fait de leurs activités, explique-t‑elle. Mais la cybermalveillance est un phénomène global. »

La recommandation de l’Agence nationale de la sécurité des systèmes d’information (Anssi) est de ne pas payer la rançon, mais de se rendre sur le site cybermalveillance.gouv.fr pour alerter des experts, et de porter plainte. « Même en payant la rançon, on n’est pas sûr de retrouver les données, parfois déjà détruites »,explique Delphine Chevallier.

D’après la dernière enquête du Club des experts de la sécurité de l’information et du numérique (Cesin), seules 4 entreprises sur 10 s’estiment suffisamment préparées en cas de cyberattaque de grande ampleur.

Zoé Pallier, 

Le 25/08/2020

ASSURANCES & RISQUES. MARCHE DES ASSURANCES. CYBERRISQUE et assurances.

Mardi dernier (2 mars) nous avons analysé à travers deux articles le point de vue des entreprises d’assurances. Nous analysons aujourd’hui le marché de l’assurance et illustrons ses tensions à travers l’exemple du Cyberrisque.

Lecture complémentaire / assureurs-nouveaux risques-risque au cœur de la réflexion organisationnelle des entreprises Chapitre 1, p.29-46 : https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html

Les prix s’enflamment dans l’assurance de risques industriels

Après quinze ans de calme plat, les prix sur le marché de l’assurance des risques industriels repartent à la hausse.

Après quinze ans de calme plat, le marché de l’assurance des risques industriels est en train de s’enflammer. Selon plusieurs acteurs, les prix connaissent depuis l’an dernier une remontée spectaculaire sur fond d’augmentation des coûts des sinistres, de baisse de capacités et de pression réglementaire.

« Depuis 2003, le marché de l’assurance industrielle était favorable au client, constate Laurent Belhout, directeur général de la filiale française du courtier américain AON. Mais depuis l’année dernière, il y a un tournant : on constate des hausses de plus de 10 % sur les risques industriels. »

L’assureur Zurich se prépare même à des hausses de prix de 20 à 40 % contre les risques d’interruption d’activités, d’incendie ou de cyberattaque. « La dernière fois que ce genre de marché a vraiment existé, c’était en 2002 », a déclaré mardi, à Bloomberg, James Shea, responsable de l’assurance commerciale chez Zurich.

Ce mouvement met fin à une période durant laquelle les primes d’assurance de grands risques avaient baissé de 40 %, après 2003. Une réaction elle-même liée à la flambée de 80 % qui avait eu lieu dans les deux ans après les attentats du 11 septembre 2001 . Mais aussi à la nouvelle donne du marché, marqué par une abondance d’offre.

« Surtout depuis la crise financière, une foultitude de capitaux sont venus financer l’assurance et la réassurance, créant des capacités supplémentaires et alimentant la compétition entre les acteurs », explique Brigitte Bouquot, présidente de l’Association pour le management des risques et des assurances de l’entreprise (AMRAE).

Mais ces derniers mois, les assureurs comme AXA XL ou Allianz ont changé d’attitude sous la pression de deux facteurs, explique-t-elle. Premièrement, les catastrophes naturelles, incendies et autres incidents , couplés à la judiciarisation des affaires (« class actions »…) ont renchéri le coût des dommages portés par les assureurs.

Deuxièmement, les nouvelles règles prudentielles de Solvabilité II ont obligé les assureurs à mettre plus de capital pour couvrir les risques au moment où ceux-ci se trouvent confrontés à l’interdépendance croissante de la mondialisation. Face à des scénarios systémiques sur lesquels ils n’ont pas forcément de données, ils sont plus frileux.

Thibaut Madelin. Janv. 2020.

Cyberrisque : la grande peur des assureurs

Le risque cyber est devenu la première menace des entreprises dans le monde, selon le baromètre Allianz. Les assureurs traînent des pieds pour couvrir ce nouveau risque systémique

Le risqu courtiers, selon le baromètre Allianz Global. (Photo Getty

Pour les dirigeants de Travelex, le premier réseau mondial de bureaux de change, le réveillon a dû être pénible. Le 31 décembre, des pirates ont injecté dans ses serveurs le virus informatique Sodinokibi et demandé une rançon ou menacé de publier des données privées de milliers de clients. Selon les médias, ils ont réclamé jusqu’à 6 millions de dollars. La société britannique dit avoir réussi à empêcher la propagation du virus, mais la révélation de l’attaque a fait chuter son cours de près de 17 % le 8 janvier.

Après l’attaque sur la banque américaine Capital One , qui s’est fait voler les données de 106 millions de clients l’été dernier, le cas Travelex illustre la montée des incidents cyber. Ceux-ci figurent pour la première fois en tête du baromètre annuel des risques qu’Allianz publie ce mardi (2700 experts du risque interrogés dans une centaine de pays). « Les incidents cyber et le changement climatique sont deux grands défis que les entreprises devront surveiller étroitement dans cette nouvelle décennie », annonce Joachim Müller, directeur général d’Allianz Global Corporate & Specialty (AGCS).

Mais alors que les risques cyber augmentent, les assureurs traînent des pieds. En France, Allianz constate ainsi une réduction des capacités disponibles par assureur et un début de hausse des primes. « C’est tout le paradoxe, regrette Léopold Larios de Piña, pilote de l’Observatoire des primes et assurances de l’AMRAE, l’Association pour le management des risques et des assurances de l’entreprise. Pendant dix ans, les assureurs ont voulu vendre des assurances cyber et au moment où les clients sont prêts à souscrire, ils commencent à voir les sinistres et excluent les risques à traiter. »

Des garanties en baisse

Selon l’association, alors que les assureurs étaient prêts à prendre un France un engagement de garanties de 25 à 30 millions auprès d’un client, ils ont limité leur engagement de moitié dans les derniers contrats. « Nous sommes passés d’une période où les assureurs se frottaient les mains face aux nouveaux risques à une période où ils sont plus frileux », déclare Brigitte Bouquot, présidente de l’AMRAE et administratrice des filiales d’assurance de Thales. S’il y a un choc, ce sont les entreprises qui devront le porter sur leur bilan. »

En 2017, Saint-Gobain a ainsi perdu 220 millions d’euros de chiffre d’affaires après la cyberattaque NotPetya. L’industriel n’était pas assuré contre ce risque précis et a revu depuis sa politique. Mais ceux qui l’étaient ont aussi gardé un goût amer. Attaqué par le même « ransomware » , le cabinet d’avocats américain DLA Piper a poursuivi son assureur, Hiscox, qui a refusé de payer le sinistre. Le géant de l’agroalimentaire Mondelez est lui aussi en litige avec son assureur, Zurich, qui refuse d’indemniser 100 millions de dollars de pertes et de dommages (se retranchant derrière le fait que l’attaque aurait été menée par un Etat, la Russie).

Or le risque ne cesse de croître. Selon IBM, une violation majeure de données, portant sur plus d’un million d’enregistrements compromis, coûte en moyenne 42 millions de dollars, soit 8 % de plus que l’année précédente. Les assureurs sont en train de prendre conscience de la dimension systémique du risque cyber. « C’est vraiment un risque global, plus encore que le nucléaire car, dans le cyber, la catastrophe est partout », témoigne le patron d’un grand groupe d’assurance.

Prévention

Du coup, les assureurs se trouvent au milieu du gué. « Le cyberrisque était largement garanti dans les contrats globaux de responsabilité civile (RC), indique Laurent Belhout, directeur général du courtier AON en France. Les assureurs vont l’exclure de la RC » et le traiter de façon autonome.

Dans l’immédiat, certains risques ne sont pas couverts car difficiles à qualifier. Par exemple : dans le cas d’une fraude sur paiement par carte dans l’avion, l’assureur pourrait le classer dans le risque aéronautique (si le paiement a lieu dans les airs) ou cyber (pour un paiement au sol), voire en responsabilité civile.

Ils mettent aussi l’accent sur la prévention. « L’assurance a un rôle vital à jouer pour aider les entreprises si toutes les autres mesures sont insuffisantes, mais ça ne doit pas remplacer la gestion stratégique du risque », insiste Marek Stanislawski, directeur mondial adjoint du risque cyber chez AGCS. De son côté, AXA XL va lancer avec Accenture un service de conseil aux entreprises sur la menace cyber. Pour Brigitte Bouquot, cela ne suffira pas. « Les assureurs doivent dire ce qu’ils veulent faire de ce nouveau risque », dit-elle.

Thibaut Madelin. Janv. 2020

RGPD. BEST-PRACTICES ET PLANS D’ACTIONS

Le mois de janvier est consacré au RGDP, que j’appelle dans mes travaux un amplificateur de risques (p.47, chapitre 1) / https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html
Après le rappel du contexte réglementaire, les 1eréléments de bilan 2020 et les sanctions (Carrefour et Carrefour Banque, Google, H&M) je vous propose, à partir d’éléments communiqués par l’entreprise toulousaine I-Trust (Editeur de solutions de Cybersécurité), une synthèse de best practices issues des règles de l’ANSSI et des recommandations de la CNIL. Autant de best pratices à suivre et de plans d’actions à mettre en œuvre.

Les règles de conformité RGPD imposent aux entreprises de se sécuriser selon les meilleures pratiques issues des :

Les règles d’hygiènes et bonnes pratiques de l’ANSSI

# 4 : Identifier les informations et serveurs les plus sensibles et maintenir un schéma du réseau.

Maintenir la cartographie du SI et des informations sensibles via les tags RGPD.

# 5 : Disposer d’un inventaire des comptes privilégiés et les maintenir à jour.

Identifier les comptes privilégiés et de vérifier en continu leur mise à jour. 

# 7 : Autoriser la connexion au réseau de l’entité aux seuls équipements maîtrisés.

Détecter la connexion d’appareils étrangers au SI.

#8 : Identifier nommément chaque personne accédant au système et distinguer les rôles utilisateur/administrateur. Journalisation activée.

Détecter les comportements malveillants sur les opérations de comptes et les partages réseaux. 

Détecter les bruits de force de compte. 

# 10 : Définir et vérifier des règles de choix et de dimensionnement des mots de passe.

Détecter des mots de passe triviaux actifs sur le réseau.

# 12 : Changer les éléments d’authentification par défaut sur les équipements et services.

Détecter les mots de passe par défaut sur les équipements et services.

# 14 : Mettre en place un niveau de sécurité minimal sur l’ensemble du parc informatique. Cette règle concerne essentiellement des points de configuration (chiffrement disque, désactivation autorun, etc.).

# 18 : Chiffrer les données sensibles transmises par voie Internet.

Détecter la présence de services d’échange ou d’interface de connexion non sécurisés.

# 20 : S’assurer de la sécurité des réseaux d’accès Wi-Fi et de la séparation des usages.

Scanner la sécurité des équipements impliqués dans le WiFi (bornes, routeur, etc.)

#21 : Utiliser des protocoles réseaux sécurisés dès qu’ils existent.

Détecter les services en écoute qui ne garantissent pas la sécurité des transmissions.

# 22 : Mettre en place une passerelle d’accès sécurisé à Internet.

Scanner la sécurité de cette passerelle.

#34 : Définir une politique de mise à jour des composants du système d’information.

Détecter les problèmes d’obsolescence des composants.

#36 : Activer et configurer les journaux des composants les plus importants.

Effectuer une étude contextuelle du SI. Journaliser les éléments suivants : > pare-feu : paquets bloqués ; > systèmes et applications : authentifications et autorisations (échecs et succès), arrêts inopinés ; > services : erreurs de protocoles (par exemples les erreurs 403, 404 et 500 pour les services HTTP), traçabilité des flux applicatifs aux interconnexions (URL sur un relai HTTP, en-têtes des messages sur un relai SMTP, etc.). Pour se faire un centre opérationnel de sécurité doit être installé. 

#38 : Procéder à des contrôles et audits de sécurité régulier puis appliquer les actions correctives associées.

Auditer le réseau en continu et éliminer les vulnérabilités évidentes pour que les auditeurs puissent se concentrer sur les failles cachées.

Procéder à des contrôles et audits de sécurité réguliers pour appliquer les actions correctives associées. 

# 40 : Définir une procédure de gestion des incidents.

Surveiller en continu toute intrusion ou malveillance présente sur le SI.

# 42 : Privilégier l’usage de produits et de services qualifiés par l’ANSSI.

Obtenir la certification CSPN.

Les règles de la CNIL. Les fiches CNIL sur la sécurité des données personnelles. 

#Fiche 1 : Sensibiliser les utilisateurs

Formation au RGPD pour faire le point sur les nouvelles règles et connaître les outils qui sont obligatoires depuis mai 2018, afin de lancer la mise en conformité au plus tôt dans votre organisme.

Cette formation est adressée aux CIL/DPO/DSI/RSSI/Responsable qualité et conformité.

#Fiche 2 : Authentifier les utilisateurs.

Cartographie de l’ensemble du SI permettant de détecter la connexion d’appareils étrangers au SI. Il permet de détecter les protocoles d’accès et d’authentification (ssh/smtp/FTP/…)

#Fiche 3 : Gérer les habilitations.

#Fiche 4 : Tracer les accès et gérer les incidents.

#Fiche 5 : Sécuriser les postes de travail. 

#Fiche 6 : Sécuriser l’informatique mobile. 

#Fiche 7 : Protéger le réseau informatique interne.

#Fiche 8 : Sécuriser les serveurs.

#Fiche 9 : Sécuriser les sites web.

Cartographie de l’ensemble du réseau. Note de criticité et correctifs associés. Identification des vulnérabilités et logiciels non mis à jour de la plupart des périphériques et applications, y compris les firewalls, les serveurs, les systèmes d’exploitation de bureau, les imprimantes, les appareils sans fil, ainsi que de nombreux autres éléments.