Archives pour la catégorie élargissement du domaine du risque

Analyse des Risques : une façon d’analyser l’ampleur des risques ou comment parler de l’ampleur des risques (2). Le risque géopolitique

L’actualité témoigne d’une ampleur inédite des risques sous l’effet des cinq facteurs à l’œuvre depuis les années quatre-vingt-dix, qui fait aujourd’hui de sa gestion une variable stratégique de la réflexion des organisations.

🏁 Un ouvrage / « Risk Management. Organisation et Positionnement de la Fonction Risk Manager. Méthodes de Gestion des Risques. » / Paru le 9 juin 2022 / Editions Gereso. https://librairie.gereso.com/livre-entreprise/risk-management-fris2.html

Sites FNAC…

Il s’agit de :

La 2ème édition de notre ouvrage « La Fonction Risk Manager. Organisation, Méthodes et Positionnement » (Editions Gereso, 2019)

Avec un titre plus « large » / La Fonction Risk Manager / La démarche de Gestion des Risques

 Avec de nouveaux exemples :

Comme, dans le chapitre I « Définition des notions et contextualisation de la Fonction Risk Manager, celui intitulé « Du Risque incendie au Risque éthique : l’incendie de l’usine Lubrizol »

Pour illustrer

  • l’imbrication des facteurs déjà mis en œuvre depuis les années quatre-vingt-dix
  • la transversalité du risque.

🎯 Aujourd’hui, après « Risque Ethique et Risque de Réputation » paru sur le blog (https://gestiondesrisques.net/), je vous propose un autre exemple à travers une analyse du risque géopolitique

  Mêmes facteurs : élargissement du domaine de la gestion des risques / subjectivité et perception du risque / amplification du risque par les médias / le régulateur-législateur / réticence des assureurs à l’assurer

Transversalité du risque : Géopolitique / Cyber-sécurité / Supply Chain

🏅Testez cette grille de lecture sur les risques du Top Ten des baromètres de risques –  cyber-risque/risque sanitaire… – ; sur les affaires – Incendie de l’usine Lubrizol…-.

Le risque géopolitique au centre des préoccupations

N° 13 dans le baromètre Allianz 2022 mais N° 4 dans le Top 10 des risques opérationnels / Enquête RiskIn, 2022. Sans surprise, il est en hausse de plusieurs places cette année.

🔄Un risque transversal

Ci-dessous un aperçu de l’enquête :

« L’invasion de l’Ukraine, les sanctions occidentales et la réponse russe entraînent une forte augmentation des risques liés à la cybersécurité et à la chaîne d’approvisionnement.

Le directeur des risques d’un grand gestionnaire d’actifs européen résume succinctement l’impact de la guerre dévastatrice de la Russie en Ukraine sur le profil de risque opérationnel de son entreprise : « Nous avons la guerre en Europe. Pas seulement de petits moments : des choses qui font entièrement bouger notre entreprise. » Et bien que les votes de l’enquête annuelle Top 10 des risques opérationnels de Risk.net aient été exprimés à l’avènement – dans un climat de détérioration des relations et de rassemblement des troupes russes aux frontières de l’Ukraine – la guerre et ses conséquences ont jeté une ombre horrible sur les résultats de cette année.

Le risque global d’une augmentation des cyberattaques parrainées par l’État en réponse aux sanctions est « une probabilité », déclare un responsable du cyber-risque. Cependant, l’impact de l’instabilité mondiale a des ramifications potentielles beaucoup plus larges pour le profil de menace de sa banque, ajoute le dirigeant : « Je ne prendrais pas seulement ce cas pour mélanger les deux entièrement – le risque géopolitique a [un] élément cyber, mais aussi la chaîne d’approvisionnement ». Et des éléments de résilience aussi. »

La résilience est la capacité à maintenir des services ou des opérations critiques pendant les périodes de perturbation. Les attentes ont été formalisées par les principes de résilience des régulateurs britanniques – qui devraient entrer en vigueur fin mars 2022 – et ont été testées dans le monde réel sous la forme de la pandémie de Covid-19, ainsi que la menace très réelle de pannes frappant les réseaux de paiement. Et d’autres éléments clés de l’infrastructure mondiale à la suite de l’invasion de l’Ukraine.

Ouvrage, disponible aujourd’hui 9 juin 2022, « RISK MANAGEMENT. ORGANISATION ET POSITIONNEMENT DE LA FONCTION RISK MANAGER. METHODES DE GESTION DES RISQUES. »

Professionnels qui souhaitez découvrir ou approfondir vos connaissances sur le Risk Management et la Fonction Risk Manager : un ouvrage, disponible aujourd’hui 9 juin 2022, « RISK MANAGEMENT. ORGANISATION ET POSITIONNEMENT DE LA FONCTION RISK MANAGER. METHODES DE GESTION DES RISQUES. »
🏁 Il est disponible aujourd’hui, 9 juin 2022 / Sur le site de GERESO Editions, collection Management https://librairie.gereso.com/livre-entreprise/risk-management-fris2.html
/ Sur les sites de la FNAC, AMAZON… 

🎯 Il s’agit de :
La 2ème édition de notre ouvrage 📖  « La Fonction Risk Manager. Organisation, Méthodes et Positionnement » / paru chez Gereso Editions / en 2019 / labellisé FNEGE dans la catégorie Manuel en 2020
✅ Avec un titre plus « large » / La Fonction Risk Manager / La démarche de Gestion des Risques
✅ Avec des ajouts :
👉 Une nouvelle période d’analyse / de 2019 à aujourd’hui
👉 L’intégration des nouveaux enjeux :
  • la loi sur le devoir de vigilance
  • le risque éthique et le risque de réputation
  • le risque cyber, le risque de fraude et leur gestion
  • le rôle du Risk Manager face à la crise sanitaire du Covid 19

👉 De nouveaux exemples

👓 Pour ceux qui découvrent notre ouvrage, vous y trouverez : 
✅ Un panorama complet de votre fonction (activité, place dans l’organisation, compétences), de la démarche de gestion des risques et de ses outils
✅ Des préconisations pour faire évoluer la fonction
✅ Une double approche académique et de terrain, au niveau du contenu, de nos parcours professionnels, des personnalités qui nous ont fait l’honneur de rédiger la préface et la postface.  

#risques #riskmanagement #gestiondesrisques #ERM#EnterpriseRiskManagement#analysedesrisques #riskmanager #gestionnairederisques #riskofficer #mastergestiondesrisques

Une façon d’analyser l’ampleur des risques ou comment parler de l’ampleur des risques.

L’actualité témoigne d’une ampleur inédite des risques sous l’effet des cinq facteurs à l’œuvre depuis les années quatre-vingt-dix, qui fait aujourd’hui de sa gestion une variable stratégique de la réflexion des organisations.

🏁 Un ouvrage à venir / « Risk Management. Organisation et Positionnement de la Fonction Risk Manager. Méthodes de Gestion des Risques. » / Parution le 9 juin 2022 / Editions Gereso.

https://librairie.gereso.com/livre-entreprise/risk-management-fris2.html

Il s’agit de :

La 2ème édition de notre ouvrage «  La Fonction Risk Manager. Organisation, Méthodes et Positionnement » (Editions Gereso, 2019)

Avec un titre plus « large » / La Fonction Risk Manager / La démarche de Gestion des Risques

 Avec de nouveaux exemples :

Comme, dans le chapitre I « Définition des notions et contextualisation de la Fonction Risk Manager, celui intitulé « Le Risque de Réputation et le Risque Ethique : une « nouvelle » affaire Nike

Pour illustrer

  • l’imbrication des facteurs déjà mis en œuvre depuis les années quatre-vingt-dix
  • la transversalité du risque.

🎯 Aujourd’hui, je vous propose un autre exemple à travers un article de Nathalie Belhoste sur ce qu’il est convenu d’appeler l’affaire Lafarge.

  Même intitulé : Risque de Réputation et Risque Ethique.

 Mêmes facteurs : élargissement du domaine de la gestion des risques / subjectivité et perception du risque / amplification du risque par les médias / le régulateur-législateur / réticence des assureurs à l’assurer / les « affaires » / amplification du risque par le régulateur-législateur.

  Transversalité du risque : Réputation / Ethique / Géopolitique.

🏅Testez cette grille de lecture sur les risques du Top Ten des baromètres de risques –  cyber-risque/risque sanitaire… – ; sur les affaires – Incendie de l’usine Lubrizol…-.

Affaire Lafarge en Syrie, pour Nathalie Belhoste, il y a eu « une myopie organisationnelle »

Que nous apprend l’affaire Lafarge en Syrie sur la responsabilité des entreprises en temps de guerre ?

Nathalie Belhoste, professeure associée à l’école de management de Grenoble : « De mon point de vue, cette affaire révèle plusieurs failles dans la compréhension des éléments par les entreprises. Le cimentier a fait preuve d’une myopie organisationnelle dans le sens où il a voulu rester à tout prix pour sauver des investissements énormes (680 millions d’euros sur le site) et s’est retrouvé dans une situation de dépendance vis-à-vis d’acteurs illégitimes et illégaux. Ce phénomène a été renforcé par une gestion à distance entre l’usine et le siège social qui a pu nuire à l’appréciation du danger de la complexité locale. Par ailleurs, les signaux forts auraient dû être observés et ne l’ont pas été (comme le développement des sanctions et embargos au fil des années). »
De nombreuses entreprises s’en sont allées de Russie, comme Renault et McDonald’s tout récemment, que ce soit par solidarité avec l’Ukraine ou parce qu’elles étaient asphyxiées par les sanctions. Quel parallèle peut-on faire avec l’affaire Lafarge ?« Rappelons d’abord que les situations sont bien différentes : en Syrie, il s’agissait d’une guerre civile, tandis qu’en Ukraine, c’est un conflit entre deux États-nations. Toutefois, on voit que les entreprises ne réagissent plus avec la même temporalité. On se pose beaucoup plus tôt la question de savoir s’il faut rester dans un pays en guerre. Des affaires comme celles de Lafarge ont permis de se rendre compte du coût pénal à ne pas appliquer la loi. Et il ne faut pas oublier la mise en place de la loi Sapin II et l’instauration du devoir de vigilance en 2017 (qui imposent aux entreprises des procédures de vérification des tiers afin notamment de lutter contre la corruption, le trafic d’influence, l’atteinte aux droits humains, à l’environnement et à la santé des personnes). Cela oblige les entreprises à être plus conscientes des conséquences de leurs actions. »
Parfois, c’est la pression de la société civile qui a poussé les entreprises à partir de Russie…« Oui, tout à fait. Et c’est une différence fondamentale entre les deux situations : la mobilisation a été beaucoup plus rapide en 2022 pour l’Ukraine qu’elle ne l’a été en 2011 en Syrie. Bien sûr, la médiatisation et la lecture claire de la guerre en Syrie se sont faites plus graduellement, mais on voit aussi que la société civile a changé. Les ONG et la population sont bien plus sensibilisées et ont appelé très rapidement au boycott de plusieurs entreprises restées en Russie. Il est intéressant de voir qu’elles ne sont pas toutes logées à la même enseigne et que certaines, moins connues du grand public, sont restées sans subir les foudres de la vindicte populaire. »

Repères

Une possible mise en examen de Lafarge

La cour d’appel de Paris rendra mercredi sa décision sur la validité de la mise en examen du groupe pour « complicité de crimes contre l’humanité ». Lafarge SA est soupçonné d’avoir versé en 2013 et 2014, via une filiale, près de 13 millions d’euros à des groupes terroristes, dont l’organisation État islamique (EI), afin de maintenir l’activité d’une cimenterie en Syrie alors que le pays s’enfonçait dans la guerre. Le groupe a toujours contesté toute responsabilité dans la destination de ces versements à des organisations terroristes. Dans ses réquisitions, le parquet général a demandé le maintien de la mise en examen pour « complicité de crimes contre l’humanité » de Lafarge mais a requis l’annulation de sa mise en examen pour « mise en danger de la vie d’autrui ». Les avocats du cimentier n’ont pas souhaité faire de commentaire avant le délibéré de mercredi.

Nathalie Belhoste. 17/05/2022. 

CA BOUGE DU COTE DU CYBER-RISQUE (4) COMMENT SE PREMUNIR CONTRE UNE CYBERATTAQUE.

🏅Le cyber risque, risque n°1 pour les entreprises.
Un risque nouveau aux modalités multiples, un risque subjectif qui le rend difficile à appréhender et à gérer, un risque difficile (« illusoire ») à assurer, un risque amplifié par le régulateur-législateur
❓Evaluation du risque : une probabilité élevée (voir causes nombreuses) ; un impact fort (voir coût élevé)
 🚴 Comment agir ?
👉 Indispensable, a minima complémentaire à l’assurance, mieux que l’assurance, mettre en place des plans d’actions pour gérer le cyber risque :
–          Le prévenir
–          L’atténuer
–          L’accepter sous sa forme résiduelle

👉 L’Agence Nationale de Sécurité des Systèmes d’Information (ANSII) propose des plans d’action et cinq mesures préventives pour gérer le cyber-risque.

🏔 En savoir plus : à relire sur le blog
Plans d’action / fraude au président
https://gestiondesrisques.net/2021/12/09/le-risque-variable-strategique-de-la-reflexion-des-entreprises-3-un-nouveau-risque-la-fraude-au-president-suite-un-exemple-de-plan-dactions/
Plans d’action / cyber-risques liés au télétravail
https://gestiondesrisques.net/2021/10/06/teletravail-risques-et-plans-dactions-ou-quels-plans-dactions-pour-gerer-les-risques-lies-au-teletravail-et-selon-quelle-approche-2/
https://gestiondesrisques.net/2021/09/29/quels-plans-dactions-pour-gerer-les-risques-lies-au-teletravail/
Nécessaire implication des salariés / gestion du cyber-risque
https://gestiondesrisques.net/2018/10/19/implication-des-collaborateurs-dans-la-demarche-de-gestion-des-risques-lexemple-du-cyber-risque/
🏔 En savoir plus : à découvrir ci-dessous un article sur les plans d’actions préconisés par l’ANSII

Comment se prémunir d’une cyberattaque ?

Depuis quelques années, les cyberattaques se multiplient, en particulier en temps de crise, qu’elle soit sanitaire ou sécuritaire. L’occasion de faire le point sur les recommandations de l’Agence nationale de la sécurité des systèmes d’information (ANSSI) pour vous protéger en ligne.

Vous recevez un courriel estampillé Trésor public vous demandant de fournir vos coordonnées bancaires pour procéder à un remboursement ?

Un service de transport vous demande par sms de cliquer sur un lien pour régler les taxes douanières d’un colis ?

Vous recevez un courriel de la part de la gendarmerie nationale vous accusant d’un délit et vous demandant de répondre sous peine de poursuites ?

Soyez vigilant : les demandes adressées de manière autoritaire ou intimidante, par courriel ou par SMS, dissimulent parfois des tentatives d’arnaques.

Outre la bonne pratique qui consiste à séparer ses usages personnels et professionnels, voici les recommandations de l’ANSSI pour vous prémunir des attaques cyber.

1. Utilisez des mots de passe robustes

L’un des premiers réflexes consiste à définir des mots de passe robustes, à la fois difficiles à trouver par un système automatisé et à deviner pour une tierce personne.

Privilégiez des mots de passe longs, complexes et composés de différents types de caractères (des chiffres, des lettres majuscules, des lettres minuscules et des caractères spéciaux).

2. Préservez votre identité numérique

Préservez votre identité numérique en vous montrant vigilant en ligne et les réseaux sociaux : prenez soin de vos données personnelles et ne communiquez pas vos informations sensibles (numéro de téléphone, adresse ou numéro de carte bleue).

3. Protégez votre messagerie

Si vous recevez un message d’une personne que vous connaissez bien, mais que le contenu est étonnant (un titre en anglais ou dans une autre langue, une demande inhabituelle), faites preuve de prudence !

Vous devez garder en mémoire que l’identité de l’expéditeur peut être usurpée. Soyez attentif à tout indice mettant en doute l’origine réelle d’un courriel : incohérence de forme ou de fond entre le message reçu et ceux que votre interlocuteur légitime vous envoie habituellement.

Dans le même sens, ne répondez pas aux demandes suspectes d’expéditeurs inconnus.

Les demandes d’informations confidentielles sont rarement faites par courriel. Soyez donc attentifs à ces tentatives dites d’hameçonnage, aussi appelées phishing. Par exemple, le règlement de vos impôts passe uniquement par votre profil de contribuable sur le site impots.gouv.fr : le Trésor public ne vous demandera jamais vos coordonnées bancaires par courriel.

Vérifiez les liens qui figurent dans vos courriels avant de cliquer dessus. Si vous avez un doute, saisissez vous-même l’adresse du site dans la barre d’adresse du navigateur.

Assurez-vous également qu’en passant la souris au-dessus du lien proposé, l’adresse du site soit conforme à l’expéditeur annoncé. Souvent, le contenu des sites frauduleux comporte des fautes de français, mais de plus en plus, les tentatives d’hameçonnage emploient un français correct.

Enfin, soyez vigilant avant d’ouvrir les pièces jointes. Elles constituent le principal vecteur d’attaque et peuvent véhiculer des programmes malveillants.

4. Mettez à jour vos équipements

Votre ordinateur doit être équipé d’un antivirus efficace, ainsi que d’un système d’exploitation et de logiciels à jour pour se protéger des cyberattaques.

Les hackers ciblent les ordinateurs utilisant des logiciels qui ne sont pas à jour pour exploiter les vulnérabilités non corrigées.

5. Évitez la connexion aux réseaux non sécurisés

Évitez aussi les réseaux publics ou inconnus. Privilégiez la connexion de votre abonnement téléphonique (3G ou 4G) lorsque vous êtes en déplacement.

Les réseaux wi-fi publics sont souvent mal sécurisés, et peuvent être contrôlés ou usurpés par des pirates qui pourraient ainsi voir passer et capturer vos informations personnelles ou confidentielles (mots de passe, numéro de carte bancaire…).

Si vous n’avez d’autre choix que d’utiliser un wi-fi public, veillez à ne jamais y réaliser d’opérations sensibles et utilisez si possible un réseau privé virtuel (VPN).

6. Sauvegardez régulièrement vos données

Enfin, il faut penser à sauvegarder vos fichiers régulièrement sur un support externe à votre équipement (clé ou disque USB) que vous débranchez une fois la sauvegarde effectuée. En cas de piratage de votre ordinateur, vous risquez de perdre des données (photos, fichiers, contacts, messages…).

Si vous êtes victime d’une cyberattaque

Prévenez vos contacts, changez vos mots de passe, obtenez de l’assistance auprès de cybermalveillance.gouv.fr, déposez plainte.

ANSII. 16/03/2022

Cybersécurité : 5 mesures préventives préconisées par l’ANSSI pour protéger les entreprises

Face aux tensions liées au contexte international actuel, les entreprises doivent rester vigilantes et mettre en place une série d’actions de prévention.

L’ANSSI recommande aux entreprises de rester en alerte face aux cybermenaces.

Alors que la guerre entre la Russie et l’Ukraine gagne aussi le terrain du cyberespace, avec des cyberattaques qui se multiplient des deux côtés, Guillaume Poupard, directeur général de l’Agence nationale de la sécurité des systèmes d’information (ANSSI), recommande aux organisations françaises de redoubler de vigilance.

Les tensions internationales actuelles, notamment entre la Russie et l’Ukraine, peuvent parfois s’accompagner d’effets dans le cyberespace qui doivent être anticipés. Si aucune cybermenace visant les organisations françaises en lien avec les récents événements n’a pour l’instant été détectée, l’ANSSI suit néanmoins la situation de près. Dans ce contexte, la mise en œuvre des mesures de cybersécurité et le renforcement du niveau de vigilance sont essentielles pour garantir la protection au bon niveau des organisations, explique Guillaume Poupard dans un post LinkedIn.

Concrètement, le directeur général de l’ANSSI demande aux entreprises et aux administrations françaises de suivre avec attention les alertes ainsi que les avis de sécurité publiés et mis à jour régulièrement par le Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques (CERT-FR). Chaque organisation est également invitée à mettre en place « à court terme » une série de mesures pour « limiter la probabilité d’une cyberattaque ainsi que ses potentiels effets ». L’ANSSI rappelle également que, pour que ces actions soient réellement efficaces, elles doivent « s’inscrire dans une démarche de cybersécurité globale et de long terme ».

Les 5 mesures cyber préventives recommandées par l’ANSSI

Le message relayé par Guillaume Poupard s’accompagne d’un document réalisé par l’Agence nationale de la sécurité des systèmes d’information présentant les « mesures cyber préventives prioritaires » liées aux « tensions internationales actuelles ».

Dans ce diaporama d’une dizaine de pages, l’ANSSI détaille ses 5 recommandations à destination des entreprises, afin de renforcer leur niveau de sécurité informatique :

  1. Renforcer l’authentification sur les systèmes d’information : il s’agit ici de mettre en œuvre une authentification forte pour les comptes particulièrement exposés (administrateurs, personnel de direction, cadres dirigeants…), nécessitant 2 facteurs, soit « un mot de passe, un tracé de déverrouillage ou une signature», soit « un support matériel (carte à puce, jeton USB, carte magnétique, RFID) ou a minima un autre code reçu par un autre canal (SMS) ».
  2. Accroître la supervision de sécurité : un système de supervision des événements journalisés devra être mis en place pour « détecter une éventuelle compromission et de réagir le plus tôt possible ».
  3. Sauvegarder hors-ligne les données et les applications critiques : les sauvegardes effectuées doivent être réalisées en étant déconnectées du système d’information « pour prévenir leur chiffrement », et des solutions de stockage à froid (disques durs externes, bandes magnétiques) peuvent être utilisées afin de « protéger les sauvegardes d’une infection des systèmes et de conserver les données critiques à la reprise d’activité ».
  4. Établir une liste priorisée des services numériques critiques de l’entité : l’ANSSI conseille de réaliser un inventaire des services numériques d’une organisation en les listant par type de sensibilité, et d’identifier les dépendances vis-à-vis des prestataires externes.
  5. S’assurer de l’existence d’un dispositif de gestion de crise adapté à une cyberattaque : les entreprises doivent déterminer les contacts d’urgence et établir un plan de réponse adapté à la gestion des cyberattaques.

Alexandra Patard / 2 mars 2022.

CA BOUGE DU COTE DU CYBER-RISQUE (3) UN PROJET DE LOI PERMETTANT A L’ASSUREUR DE REMBOURSER LES CYBER-RANCONS

🏅Le cyber risque, risque n°1 pour les entreprises.

Un risque nouveau aux modalités multiples, un risque subjectif qui le rend difficile à appréhender et à gérer, un risque difficile (« illusoire ») à assurer, un risque amplifié par le régulateur-législateur

❓Evaluation du risque : une probabilité élevée (voir causes nombreuses) ; un impact fort (voir coût élevé)

 🚴 Comment agir ?

👉 Un projet de loi permettant le remboursement par l’assureur des cyber-rançons

Le post très pédagogique de Paul Berger de Gallardo, avocat, pour faire un point sur le projet de loi

Deux articles pour vous positionner. Et vous quel est votre avis sur ce projet de loi ? Une bonne solution pour les assureurs ? Une solution pour gérer le cyberrisque ?  

👉Les plans d’action préconisés par l’ANSII pour gérer le cyberrisque – dans 15 jours sur le blog

LE POST TRES PEDAGOGIQUE DE PAUL BERGER DE GALLARDO, AVOCAT, POUR FAIRE UN POINT SUR LE PROJET DE LOI.

🔐 Le remboursement par l’assureur des cyber-rançons conditionné à un dépôt de plainte ?

🚨 Un projet de loi prévoit d’encadrer les clauses de remboursement des rançongiciels par les #assurances, en rendant obligatoire le dépôt d’une plainte par la victime dans les 48h après le paiement de cette rançon.

🔹 Quoi ? Le rançongiciel ou ransomware est ainsi défini par l’ANSSI – Agence nationale de la sécurité des systèmes d’information : « envoi à la victime d’un logiciel malveillant qui chiffre l’ensemble de ses données et lui demande une rançon en échange du mot de passe de déchiffrement ».

🔸Pourquoi ? 20 % des entreprises françaises déclarent avoir subi au moins une attaque par rançongiciel au cours de l’année 2020, atteignant souvent l’activité économique et perturbant parfois la production.

🔕 L’absence fréquente de plainte des victimes, par crainte de reconnaître leur vulnérabilité et de ternir leur image, empêche toute investigation.

🔹Est-ce légal de payer une rançon, et d’être remboursé par son assurance ? Ainsi que l’a rappelé récemment le HCJP (Haut Comité Juridique de la Place Financière de Paris), le paiement d’une rançon par la victime d’une extorsion ne constitue ni un délit ni un acte de complicité dès lors que le consentement au paiement n’est pas libre mais résulte de la contrainte.

➡️ L’assurance du risque de rançongiciel ne paraît se heurter à aucun obstacle juridique majeur.

🔸 Quelles sont les solutions possibles ? L’étude d’impact du projet de loi a analysé trois solutions : 1️⃣ assujettir le remboursement d’une rançon versée par un assureur au dépôt de plainte 2️⃣ rendre obligatoire la déclaration à TRACFIN de tout paiement d’une rançon 3️⃣ promouvoir au niveau européen l’interdiction du paiement des rançons par les assureurs suite à une #cyber-attaque.

⁉️ Pourquoi retenir la première solution ? L’interdiction du paiement des rançons et de leur #assurance pèserait de manière démesurée sur les entreprises qui jouent parfois leur survie. Le dépôt d’une plainte rapide permettrait aux autorités compétentes de bénéficier des informations nécessaires à la poursuite des infractions et de « casser » le modèle de rentabilité des cyber‑attaquants.

🔹 Comment ? Par la création d’un article L. 12-10-1 du Code des assurances prévoyant cette condition de garantie au sein d’un nouveau chapitre « L’assurance des risques de cyber-attaques ».

🕰 La règle envisagée serait d’application immédiate et entrerait en vigueur également pour les contrats en cours.

⬇️ Que pensez-vous du paiement des cyber-rançons, de leur assurabilité et de ce projet de condition de garantie ? ⬇️

DEUX ARTICLES POUR VOUS POSITIONNER / ET VOUS QUEL EST VOTRE AVIS SUR CE PROJET DE LOI ? SOLUTION POUR GERER LE CYBERRISQUE ? 

Loi LOPMI : pour payer la rançon, il faudra déposer plainte

Sécurité : Le nouveau projet de loi d’orientation et de programmation encadre notamment la transition numérique des forces de l’ordre et propose un régime encadrant le paiement des rançons dans les affaires de rançongiciels.

Le projet égrène une douzaine de mesures, dont une partie concerne le développement des capacités des policiers et des gendarmes en matière de réponse aux crimes et délits en lien avec le numérique, ainsi que des dispositions visant à équiper les forces de l’ordre de nouveaux équipements.

Parmi les nouvelles dispositions, le gouvernement propose une première approche visant à encadrer le paiement des rançons suite à des attaques au ransomware. Comme le précise l’article 5 du projet de loi, le versement d’une rançon couverte par l’assureur de la société victime est possible si la victime accepte de déposer plainte dans les 48 heures après le paiement de la rançon.

Pas d’interdiction du paiement des rançons

Une manière de trancher le débat qui faisait rage depuis plusieurs mois autour du paiement des rançons exigées par les groupes de rançongiciels. Le directeur de l’Anssi avait allumé la mèche en fustigeant publiquement les « intermédiaires » qui acceptaient de payer les rançons, mais il avait également reconnu que cette possibilité devait rester ouverte dans certains cas. Depuis, les assureurs étaient nombreux à réclamer « une clarification » des règles sur le sujet, certains ayant choisi de cesser de proposer leurs assurances cyber prévoyant le paiement de rançons dans les affaires de ransomware.

En la matière, le gouvernement a donc choisi de s’aligner sur la proposition émise par le haut comité juridique de la place financière de Paris, qui avait été saisi du sujet et a publié un rapport à la fin du mois de janvier sur la question. Le haut comité recommandait de ne pas interdire purement et simplement le paiement des rançons, mais de conditionner celui-ci à un dépôt de plainte. Cette approche laisse donc une certaine marge de manœuvre aux victimes et à leurs assureurs, en leur permettant d’envisager le paiement d’une rançon pour espérer récupérer l’accès aux données. Et elle donne un coup de pouce aux forces de l’ordre qui ont du mal à convaincre les entreprises de déposer plainte après une attaque informatique.

Renforcer les forces de l’ordre sur le numérique

Outre cette disposition, le projet de loi prévoit également d’étendre les enquêtes sous pseudonyme, jusqu’alors réservées à certains délits concernant le trafic de drogues et d’armes, à l’ensemble des crimes et délits punis d’une peine d’emprisonnement. Le projet de loi prévoit également d’ouvrir aux forces de police la saisie « d’actifs numériques », terme utilisé pour décrire les cryptomonnaies et autres actifs basés sur une blockchain, aujourd’hui fréquemment utilisés dans le blanchiment d’argent et les affaires de rançongiciels.

Le texte reprend des mesures annoncées par le président de la République lors du discours de clôture du Beauvau de la sécurité, comme la place d’un « numéro 17 » dédié à la fraude informatique, la création de 1 500 postes de cyberpatrouilleurs et la création d’une agence du numérique des forces de sécurité, chargée de superviser l’équipement des policiers et gendarmes en smartphones et accessoires nécessaires aux enquêtes. Le montant prévu de ces différents investissements est estimé à 8 milliards d’euros.

Adopté en conseil des ministres, le texte doit maintenant être soumis au vote du parlement. Mais, calendrier oblige, celui-ci ne sera présenté qu’après l’élection présidentielle, donc pour la prochaine législature. Un timing relevé par le Conseil d’Etat dans son avis sur la loi, qui remarque le calendrier « pour le moins habituel » pour un projet de loi de ce type.

Par Louis Adam. Mars 2022

Cyberattaques : les assureurs rassurés sur la possibilité de couvrir les rançons

Un projet de loi prévoit qu’une entreprise victime d’une cyberattaque et contrainte de payer une rançon devra déposer plainte pour obtenir la prise en charge de ce paiement par son assureur. Une bonne nouvelle pour les représentants du secteur.

Les promesses ont mis du baume au coeur des syndicats de policiers mais aussi… des assureurs. Le plan de modernisation des moyens des forces de l’ordre , présenté par le gouvernement à la mi-mars, est en effet considéré par la profession comme une bonne nouvelle pour le développement dans l’Hexagone des assurances contre les cyberattaques.

Le projet de loi, dit LOPMI, prévoit notamment d’obliger les entreprises victimes d’un rançongiciel à porter plainte dans les 48 heures suivant le paiement d’une rançon pour obtenir sa prise en charge par l’assurance. Et ce, afin « d’améliorer l’information des forces de sécurité et de l’autorité judiciaire, et de ‘casser’ le modèle de rentabilité des cyberattaquants », note le projet.

Pas de changement sur le fond

« La France, comme les autres pays dans le monde, ne veut pas interdire l’incorporation de la garantie sur le paiement des rançons dans les contrats d’assurance cyber », a salué la semaine dernière, lors d’une conférence de presse, la présidente de la fédération France Assureurs, Florence Lustman, se félicitant d’une telle clarification.

La portée de cette disposition est à relativiser. Déposé à quelques semaines de l’élection présidentielle, le projet de loi n’est à ce stade pas à l’étude au Parlement et son avenir dépendra du résultat du scrutin. Par ailleurs, si la mesure était adoptée, elle ne changerait pas les habitudes. Elle « ne change rien sur le fond car les assureurs imposaient déjà un dépôt de plainte », explique Mickaël Robart, expert chez le courtier Diot-Siaci.

« Mais elle montre que le risque cyber est plutôt traité par les assureurs de façon responsable. » Ceux-ci veulent croire qu’avec ce projet de loi, il n’y a plus d’insécurité juridique : les services de l’Etat ont tranché, notamment Bercy qui a lancé l’été dernier des travaux sur la cyberassurance .

Autrement dit, ils n’iront pas dans le sens du patron de l’Agence nationale de la sécurité des systèmes d’information (ANSII) et de la vice-procureure en charge de la cybersécurité au parquet de Paris. Au printemps dernier, ces derniers avaient estimé que la prise en charge des rançons par l’assurance pouvait encourager la cybercriminalité.

Pas de changement chez AXA France

En octobre, un rapport parlementaire avait préconisé l’interdiction du paiement des rançons. Au contraire, en début d’année, des experts avaient mis en garde contre les effets d’une telle interdiction.

Signe que le sujet est sensible, Generali France a décidé en début d’année de tourner le dos au paiement des rançons. Quant à AXA France, qui avait décidé de suspendre sa garantie rançon l’an dernier, il n’a pas changé de politique avec la loi LOPMI, indique un porte-parole.

Solenn Poullennec. Avril 2022.

CA BOUGE DU COTE DU CYBER RISQUE (2) QUEL IMPACT ? QUEL COUT ?

Nouvelles publications sur le Blog consacrées au cyber risque et à la cyber sécurité.
ERM, Gestion des Risques, Analyse du risque, Evaluation du cyber risque.
  • Après l’avoir décrit, contextualisé et identifié ses modalités, un résumé des causes et conséquences du cyber risque (risque cyber) ;
  • Deux articles proposant une estimation de son coût. Ces études font écho à celles déjà menées sur le risque réputation.
A lire et à relire sur le blog dans la catégorie Risque et la sous-catégorie Cyber risque et cyber sécurité :
Rappel de ce qu’est le cyber risque – analyse du risque / description, contextualisation, modalités ; dernières attaques – :
Estimations / évaluation du risque / coût du risque de réputation :
Le cyber risque dans les classements de risques :  
https://gestiondesrisques.net/2022/01/20/un-2eme-classement-des-risques-par-les-entreprises-le-barometre-dallianz/ https://gestiondesrisques.net/2022/01/17/classement-des-risques-par-les-entreprises/
La réticence des assureurs à assurer le cyber risque :
https://gestiondesrisques.net/2021/03/09/risques-assurances-marche-des-assurances-cyberrisque-et-assurances/
 Le RGPD dans le rôle d’amplificateur de risque et la nécessité de mettre en place une démarche de gestion des risques (ERM) :
https://gestiondesrisques.net/2021/01/26/rgpd-best-practices-et-plans-dactions/
Le cyber risque et le télétravail. Démarche de gestion des risques (ERM) et plans d’actions :
https://gestiondesrisques.net/2021/10/06/teletravail-risques-et-plans-dactions-ou-quels-plans-dactions-pour-gerer-les-risques-lies-au-teletravail-et-selon-quelle-approche-2/
https://gestiondesrisques.net/2021/09/14/teletravail-et-risques-2/

Cyber risque : causes et conséquences

Pour compléter l’analyse (étape d’identification) du cyber risque, nous pouvons citer comme causes de sa survenance :

  • la mauvaise protection des réseaux locaux ;
  • l’absence de mise à jour par les utilisateurs ;
  • des systèmes et logiciels anciens et vulnérables ; une mauvaise sécurisation des données ;
  • l’augmentation des activités en ligne, notamment avec le télétravail ;
  • la prise en compte insuffisante du risque par manque de moyens financiers, de personnel qualifié, de sensibilisation et de culture du risque notamment dans les municipalités ;
  • le sous-contrôle du risque…

Ses conséquences sur l’organisation sont multiformes et peuvent être lourdes :

  • interruption du fonctionnement d’un service et détermination nécessaire d’un délai de retour à la normale qui peut prendre la forme d’une paralysie pendant plusieurs semaines de l’accueil dans les mairies et dans les hôpitaux avec un impact sur les rendez-vous, les interventions, l’imagerie, les actes…et les patients eux-mêmes, l’arrêt de la production de certains sites dans les entreprises…

Quel Impact ? Quel coût ?

 Risque cyber : une société mal préparée peut perdre jusqu’à 20 % de sa valeur 

Investisseurs et repreneurs tiennent compte des risques cyber dans l’évaluation des entreprises qu’ils convoitent. Une société mal préparée peut perdre jusqu’à 20 % de sa valeur. Alors avant d’ouvrir son capital ou de vendre, un audit informatique complet s’impose.

Les cyberattaques ont augmenté de 13 % l’année dernière, selon la société Orange cyberdefense. Et ce sont les TPE et PME qui sont le plus souvent visées. Elles font l’objet de 3 attaques sur 4. Quant au risque le plus élevé, il s’agit du ransomware ou rançongiciel qui constitue 38 % des incidents enregistrés. Les conséquences de ces attaques sont, elles, très difficiles à évaluer.

En cas de cyberattaque, les pertes de données mais aussi les pertes financières varient d’une entreprise à l’autre, selon le degré de préparation ou d’impréparation plutôt de chaque entreprise. Peu d’études ont tenté jusque-là d’en évaluer précisément le coût direct, et surtout indirect.

Un vol de données dévalorise l’actif

Une enquête réalisée par Bessé, en partenariat avec PwC France, avec Guy-Philippe Goldstein, chercheur et spécialiste des questions de cyberdéfense, apporte un éclairage nouveau sur cette question. L’étude analyse 30 incidents majeurs de cybersécurité s’étant produits dans 28 entreprises mondiales entre 2008 et 2017.

Les deux tiers de ces sociétés ont vu leur valeur boursière affectée avec, en moyenne, plus d’un an après l’incident, une perte de la valeur patrimoniale de 10 %, et même de 20 % pour les entreprises les moins réactives et les moins bien préparées. Au bout de douze mois, la diminution globale du cours de l’action est de 19,5 %, ce qui peut être vu comme une perte structurelle pour l’entreprise, et génère de facto un déficit de confiance.

Si la variation du cours de Bourse traduit l’impact du cyberrisque sur les entreprises cotées, quel est l’indicateur pour les entreprises non cotées ? Investisseurs et repreneurs potentiels analysent et estiment les risques cyber dans leur calcul de valorisation. « La menace cyber impacte la valeur des actifs. Un entrepreneur qui achète des données clients, et qui n’est pas certain de leur sécurité, va généralement défalquer 20 % de la valeur de la société cible », rapporte Laurent Bernier, dirigeant de la société Les Oies du Cyber, spécialisée dans la cybersécurité pour les PME.

L’ampleur des enjeux plaide donc pour une stratégie d’anticipation et une analyse amont du risque cyber. « La cybermenace concerne aussi bien la réputation de l’entreprise que la perte de confiance, poursuit Laurent Bernier. Si l’entreprise se voit piller dix ans d’historique clients, un secret de fabrication dans un vol de données, si une cyberattaque remet en cause la relation avec l’un de ses principaux clients à la suite d’une fuite d’informations, le nouvel acquéreur va perdre une partie de la jouissance future du bien ».

Auditer le système d’information

Un investisseur ou un repreneur va donc s’efforcer de comprendre comment l’entreprise qu’il convoite se protège, se prépare et cherche à diminuer l’impact d’une éventuelle attaque. Pour cela, il va analyser en profondeur les dispositifs de prévention et les outils de réponse. Notamment en menant un audit. « Plus l’entreprise est digitale, plus l’audit est complexe », prévient Laurent Bernier. Il convient de détailler la politique de mots de passe et d’autorisations, les conditions de connexion sur site et en dehors de l’entreprise.

Un audit devrait aussi comporter un scanner des vulnérabilités pour identifier les points faibles des infrastructures matérielles et logicielles afin de détecter rapidement les failles de sécurité qui pourraient être exploitées par une personne malveillante. Enfin, il faut s’assurer que l’entreprise a bien mis au point un plan de continuité efficace en cas d’incident majeur

Pour que cette analyse soit la plus pertinente, l’investisseur ou le repreneur s’entoure en général d’un expert qui devra s’assurer de la qualité des outils informatiques et évaluer le dispositif technique de détection des attaques. Evidemment, cette analyse devrait aussi être conduite par toute entreprise qui souhaite ouvrir son capital ou trouver un repreneur. « Pour prouver sa fiabilité, un vendeur a tout intérêt à anticiper. Cette démarche demande du temps, environ un an. Une entreprise bien protégée, dotée d’une approche globale et structurée, va augmenter sa valeur de 10 à 15 % », conclut l’expert en cybersécurité Laurent Bernier.

Mallory Lallane  Le 22/03/ 2022

78 % des entreprises françaises ont subi une attaque par ransomware au cours de cinq dernières années

Et 69 % d’entre elles ont versé une rançon, selon une étude d’ExtraHop

La nouvelle enquête Cyber Confidence Index d’ExtraHop révèle que les décideurs en matière de sécurité et d’informatique ont confiance dans la posture de sécurité de leur entreprise malgré la fréquence des attaques

Parmi les autres principaux résultats de l’enquête :

  • Coût élevé des ransomwares : 69 % des participants admettent avoir déjà versé une rançon tandis que 36 % des entreprises victimes d’une attaque par ransomware déclarent avoir payé la somme demandée dans la plupart ou la totalité des cas. En outre, les victimes de ransomwares font état d’autres préjudices, parmi lesquels une interruption de l’activité (45 %) ou du travail des utilisateurs (40 %) ou encore une perte de propriété intellectuelle et une atteinte à leur image de marque (41 %).
  • Dommages causés à l’activité : les attaques de ransomwares touchent l’ensemble de l’entreprise. 45 % des participants déclarent avoir subi une interruption d’activité résultant d’attaques contre l’infrastructure informatique (IT), 32 % à la suite d’attaques contre l’infrastructure opérationnelle (OT) et 40 % déplorent une interruption du travail des utilisateurs causée par des attaques ciblant ceux-ci.

Sandra Coret. Le 10 mars 2022.

RISQUE-GESTION DES RISQUES-RISK MANAGER : UNE ACTUALITE CHARGEE

Il y a des semaines où les alertes se multiplient. Nous vivons une de ces périodes.

EN RESUME :

🏅Une multiplication des cyberattaques…

🏅Le cyber risque qui peut devenir risque de réputation (Voir Emma) ; le risque opérationnel qui se peut se transformer en risque de réputation (Affaires Buitoni et Kinder à deux jours d’intervalle)…Transversalité du Risque.

https://www.linkedin.com/feed/update/urn:li:activity:6915342632881725440/

🏅Le risque éthique dans sa dimension gouvernance amplifié par le régulateur-législateur (loi sur le devoir de vigilance) : Mac Donald’s

https://www.linkedin.com/posts/caroline-irigoyen-hse_travail-forc%C3%A9-harc%C3%A8lement-sexuel-abus-de-activity-6917002519051157504-BxF9?utm_source=linkedin_share&utm_medium=member_desktop_web

🏅Le rapport GIEC qui positionne le risque climatique comme risque majeur sur les cartographies…

https://www.linkedin.com/posts/caroline-aubry-_climat-le-mode-demploi-du-giec-pour-activity-6917012187194552320–L0L?utm_source=linkedin_share&utm_medium=member_desktop_web

🏅La guerre en Ukraine qui « révèle » le risque géopolitique…

🏆 Cette actualité rappelle, s’il en est besoin, que le risque est (doit être) une variable stratégique de la réflexion des organisations, que la mise en place d’une gestion des risques de type ERM est incontournable et que la fonction qui est (doit être) à la manœuvre est la Fonction Risk Manager.

C’est ma thématique de recherche. Riche et passionnante.

Bonne lecture.

Ci-dessous un article sur « l’affaire » Buitoni.

E. coli dans les pizzas Buitoni : ouverture d’une enquête pour « homicides involontaires »

Le parquet de Paris a entamé des investigations pour « homicides involontaires », « tromperie » et « mise en danger d’autrui ». Mercredi, la Direction générale de la santé a confirmé qu’il existait un lien entre l’apparition de plusieurs cas graves de contamination d’enfants par la bactérie E. coli et la consommation de pizzas Fraîch’up de Buitoni.

Le groupe Nestlé, propriétaire de la marque Buitoni, fait face à une enquête. Le parquet de Paris a indiqué ce vendredi avoir entamé des investigations après plusieurs cas graves de contamination d’enfants par la bactérie Escherichia coli et des décès, Mercredi, les autorités sanitaires avaient annoncé avoir établi un lien entre la consommation des pizzas surgelées de la gamme Fraîch’up de Buitoni et des cas graves de contamination.

Cette enquête confiée au pôle santé publique (PSP) du parquet de Paris dont la compétence est nationale, a été ouverte le 22 mars. « Le PSP, sur dessaisissement des parquets de Nancy et Saint-Malo et en application de sa compétence en matière d’infractions portant atteinte à la santé », s’est saisi de l’enquête, a ainsi précisé le parquet de Paris.

Deux enfants décédés

Dans le détail, l’enquête porte sur les infractions de « tromperie sur une marchandise, exposition ou vente de produits alimentaires corrompus ou falsifiés et nuisibles pour la santé, mise sur le marché d’un produit préjudiciable à la santé, mise en danger d’autrui, blessures involontaires et homicides involontaires ».

Elle a été confiée à l’Office central de lutte contre les atteintes à l’environnement et à la santé publique (Oclaesp), la Direction générale de la gendarmerie nationale, le service des enquêtes de la Direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF) et la Brigade nationale d’enquêtes vétérinaires et phytosanitaires (BNEVP) du ministère de l’agriculture, a précisé le parquet.

La France connaît depuis fin février une recrudescence de cas de syndromes hémolytiques et urémiques (SHU) liés à une contamination à E. coli. Santé Publique France indiquait mercredi que 75 cas étaient en cours d’investigation, dont 41 pour lesquels des syndromes hémolytiques et urémiques « similaires » ont été identifiés, et 34 pour lesquels des analyses supplémentaires sont en cours. Les enfants malades sont âgés de 1 à 18 ans. Deux d’entre eux sont décédés, même si le lien avec les pizzas n’a pas été confirmé dans leurs cas.

Les premiers tests réalisés par Nestlé, propriétaire de la marque Buitoni, sur le site de Caudry, dans le Nord, où sont fabriquées ces pizzas, sont revenus négatifs . « On ne comprend pas ce qui a pu arriver, mais nous allons développer un protocole d’analyse que nous allons soumettre aux autorités », avait précisé Jérôme Jaton, directeur général industriel de Nestlé, lors d’une conférence de presse ce mercredi.

Source AFP

CA BOUGE DU COTE DU CYBER-RISQUE (1) Contextualisation et modalités des cyber-menaces. Entreprises, municipalités, hôpitaux, écoles…

Les publications sur le Blog seront consacrées pendant les semaines à venir au cyber risque. Rappel de ce qu’est le cyber risque (description du risque ; causes ; conséquences) à travers : 
  • Un article écrit par Cécile Desjardins qui décrit le risque ; dans cet article, elle le contextualise et en présente les différentes  modalités ;
  • Un article sur l’une des dernières victimes de cyber-attaques : l’ENAC ; après les entreprises, les municipalités ou encore les hôpitaux, les écoles… ;
  • Un résumé de ses causes et conséquences et un article sur son coût ;
  • Un point sur les préconisations de l’ANSII pour se prémunir contre une cyber-attaque ;
  •  Un regard vers l’avenir avec le projet de loi d’Orientation et de Programmation du Ministère de l’Intérieur (LOPMI) ;
A lire et à relire sur le blog dans la catégorie Risque et la sous-catégorie cyber-risque et cyber-sécurité :
Le cyber-risque dans les classements de risques :  
https://gestiondesrisques.net/2022/01/20/un-2eme-classement-des-risques-par-les-entreprises-le-barometre-dallianz/ https://gestiondesrisques.net/2022/01/17/classement-des-risques-par-les-entreprises/
La réticence des assureurs à assurer le cyber-risque :
https://gestiondesrisques.net/2021/03/09/risques-assurances-marche-des-assurances-cyberrisque-et-assurances/
 Le RGPD dans le rôle d’amplificateur de risque et la nécessité de mettre en place des plans d’actions :
https://gestiondesrisques.net/2021/01/26/rgpd-best-practices-et-plans-dactions/
Le cyber-risque et le télétravail. Plans d’actions :
https://gestiondesrisques.net/2021/10/06/teletravail-risques-et-plans-dactions-ou-quels-plans-dactions-pour-gerer-les-risques-lies-au-teletravail-et-selon-quelle-approche-2/
https://gestiondesrisques.net/2021/09/14/teletravail-et-risques-2/

CONTEXTUALISATION ET DIFFERENTES  MODALITES DU CYBER-RISQUE

Dix choses à savoir sur le risque cyber

Niveau de la menace, type d’attaques, maillons faibles et nouvelles voies d’entrées : tout ce qu’il faut savoir actuellement sur les actes malveillants envers les dispositifs informatiques.

1. Le risque numéro un

Le risque cyber est désormais considéré par de nombreuses organisations comme leur premier risque. Les « incidents cyber » se placent ainsi en tête du baromètre mondial des risques 2022 d’AGCS, mais aussi aux premiers rangs du classement de Davos, comme de ceux de PwC ou de France Assureurs . De fait, la prise de conscience semble enfin avoir eu lieu : la sécurité numérique est devenue stratégique, perdant ses qualificatifs de « direction technique » ou de « centre de coût » (étude Cesin et Eneid-Transition). Les trois quarts des DSI et RSSI se déclarent désormais confiants sur la capacité des dirigeants à évaluer le risque financier associé aux cyberattaques.

2. Un nombre considérable de victimes

Les chiffres diffèrent d’une étude à l’autre, mais la conclusion est identique : les organisations touchées sont extrêmement nombreuses. Selon le dernier baromètre du Cesin, plus d’une entreprise sur deux aurait subi entre une et trois attaques cyber au cours de l’année 2021 : on parle là des attaques réussies… Avec des conséquences très lourdes. « L’ampleur et la virulence ne cessent d’augmenter », souligne le Cesin, qui révèle que 6 entreprises sur 10 ont connu un impact sur leur business et en particulier une perturbation de la production (21 %), et/ou une compromission d’information (14 %), et/ou une indisponibilité du site web pendant une période significative.

3. Les attaquants sont de plus en plus structurés et spécialisés

Le mythe du jeune hacker a fait long feu. Les cyberattaques sont désormais le fait d’organisations criminelles extrêmement organisées, attirées par des taux de retour sur investissement de l’ordre de 200 à 800 %, selon le cabinet de conseil Wavestone. Certaines se sont spécialisées. Ainsi, le « ransomware as a service » (RaaS) se développe à vive allure. « Les business models ont changé, avec des ransomwares créés par des groupes qui louent leur utilisation à des spécialistes en matière d’entrée par effraction virtuelle, qui nécessite des compétences différentes », souligne Sophos dans son dernier rapport sur les menaces.

Le coût des rançons aurait atteint 500 millions de dollars sur le seul premier semestre 2021.

4. Les rançongiciels font toujours aussi mal

Aussi appelées « ransomware », ces attaques qui consistent à installer un logiciel sur un ordinateur pour en rendre illisibles les données, avant d’exiger une rançon, sont considérées comme la principale menace cyber en 2022 et auraient touché 1 entreprise sur 5 en France. Un récent rapport de l’Anssi constate une hausse de 255 % de ces attaques entre 2019 et 2020, avec pour premières cibles les secteurs de la santé et de l’éducation, les collectivités territoriales et les prestataires de services numériques. Lors de la dernière conférence Panocrim du Clusif, Gérôme Billois, associé cybersécurité et digital trust chez Wavestone, a rappelé que le trésor américain a identifié 5,2 milliards de dollars de transactions en bitcoins liées à l’écosystème des rancongiciels… dont 500 millions sur le seul premier semestre 2021.

5. Le cyberespionnage est un sujet croissant d’inquiétude

Révélée l’été dernier, l’affaire Pegasus a eu le mérite de braquer les projecteurs sur l’importance de la menace. Après, également, les nombreux avertissements lancés ces derniers mois par l’Anssi, plus d’une entreprise sur deux considère élevée la menace en matière de cyberespionnage. « Il y a probablement de nombreuses menaces persistantes avancées (ou attaques APT pour ‘advanced persistant threats’), issues de groupes de cyberespionnage liés à des Etats, qui ne sont pas découvertes », reconnaît Matthieu Faou, chercheur chez Eset.

L’hameçonnage a été le vecteur d’entrée de 73 % des attaques.

6. Le « phishing » reste le vecteur d’attaques le plus fréquent

L’enquête du Cesin montre que l’« hameçonnage » a été le principal vecteur d’entrée pour les attaques subies par 73 % des entreprises. Cybermalveillance.gouv.fr appelle à déjouer les pièges de ces messages frauduleux destinés à leurrer l’internaute pour l’inciter à communiquer des données personnelles (comptes d’accès, mots de passe…) et/ou bancaires en se faisant passer pour un tiers de confiance. En étant par exemple extrêmement attentif sur le « nom de l’expéditeur, une demande inhabituelle, l’incitation à cliquer sur un lien ou une pièce jointe, etc. »

7. Les vulnérabilités logicielles sont aussi beaucoup utilisées

L’exploitation de failles serait à l’origine de 53 % des entrées dans les systèmes (étude Cesin). C’était le cas avec Log4Shell , la faille décelée dans une bibliothèque des systèmes Java et qui s’est abattue en toute fin d’année 2021 sur le monde de la cybersécurité. L’occasion de rappeler la nécessité de réaliser les mises à jour de tous ses systèmes.

8. Les « doubles extorsions » se multiplient

Comme l’avait relevé l’Anssi dès le début 2021, les attaques qui associent chiffrements de systèmes et violations de données sont de plus en plus courantes. Menacer de divulguer ou de vendre les données au plus offrant est aussi un moyen d’accroître la pression sur les victimes : tous les moyens de pression possibles sont désormais utilisés.

9. La supply chain logicielle est un terrible maillon faible.

Preuve en a été faite en 2021, avec les affaires SolarWinds et Kaseya , les attaques sur des sous-traitants informatiques peuvent générer de terribles effets de chaîne et avoir des conséquences désastreuses sur des milliers d’entreprises. « Orchestrées par des criminels cherchant à dérober des données ou simplement à causer le plus de dommages possible auprès des grands fournisseurs SaaS et de leurs clients, ces attaques risquent de se multiplier en 2022 », juge Tom Kellermann, responsable de la stratégie de cybersécurité de VMware.

Les objets connectés sont ciblés par certains groupes d’attaquants.

10. Les systèmes Linux sont aujourd’hui ciblés

Moteur de nombreux grands projets de transformation numérique, le système d’exploitation Linux est aujourd’hui régulièrement visé par les attaquants. C’est aussi le cas de certains objets connectés qui utilisent Linux. « En raison de la grande disponibilité et du support assez médiocre de certaines marques d’appareils connectés bon marché et grand public, aucun obstacle n’est véritablement offert aux attaquants automatisés », relève Sophos, qui s’attend « à ce que les attaques ciblant les serveurs Linux et les produits électroniques grand public se poursuivent sans relâche en 2022 ».

Par Cécile Desjardins. Févr. 2022

L’École Nationale de l’Aviation Civile frappée avec le ransomware Hive

L’ENAC a été frappée, durant le week-end du 12 mars, par une cyberattaque impliquant le ransomware Hive. Ses activités sont fortement perturbées. Une rançon de 1,2 million de dollars est demandée.

Dénonçant le travail d’un chercheur, les cyberdélinquants ayant attaqué l’ENAC ont décidé de revoir à la hausse leurs prétentions, demandant désormais deux millions de dollars de rançon.  

L’une de nos sources vient de confirmer ce qui nous avait été précédemment suggéré, nous fournissant au passage une capture d’écran de l’espace de dialogue ouvert par les cyberdélinquants à l’intention de l’ENAC : l’école a été attaquée avec le ransomware Hive. Les assaillants réclament une rançon de 1 200 000 dollars, en bitcoin.

La direction de la communication de l’ENAC est revenue vers nous, confirmant l’implication d’un ransomware. L’impact de la cyberattaque est effectivement très important à ce stade, jusqu’à affecter la capacité à se déplacer physiquement sur les sites de l’école et à assurer les vols programmés. Les partenaires de l’ENAC ont été informés afin de pouvoir s’isoler de ses systèmes d’information, et la direction générale de l’Aviation civile (DGAC) accompagne l’école dans la gestion de l’incident. Une déclaration publique est en préparation.

C’est un tweet rapidement supprimé qui nous a mis la puce à l’oreille. L’École Nationale de l’Aviation Civile (ENAC) est à l’arrêt depuis ce week-end. Elle a été victime d’une cyberattaque. Compte tenu de l’étendue des effets observables, l’implication d’un ransomware apparaît plus que probable.

L’espace de dialogue ouvert par les cyber-délinquants pour l’ENAC.

De fait, de nombreux services numériques, qui répondaient encore parfaitement présents la semaine dernière, sont aujourd’hui aux abonnés absents, retournant des erreurs 503 (service temporairement indisponible), ou renvoyant sur des pages de maintenance. C’est ainsi notamment le cas pour les services de campus numérique de l’école, ou l’application dite HDA, de gestion des activités. Plus préoccupant, pour certains services numériques, l’erreur retournée est 404 (non trouvé), suggérant, au mieux, la déconnexion de certains systèmes de stockage, au pire leur endommagement, voire chiffrement, par l’attaquant. Un service d’accès distant au système d’information, quant à lui, ne répond tout simplement pas.

Au téléphone, le message est simple : « pour l’instant, nos outils téléphoniques et informatiques sont paralysés ». Et tous les appels sur les numéros fixes sont renvoyés vers un seul et unique poste. Certaines adresses e-mail professionnelles semblent toutefois opérationnelles. Nous avons ainsi tenté de joindre la direction de la communication de l’école, en vain – et cela aussi par téléphone, fixe comme mobile.

Problème, au moins une adresse IP associée à des services de l’ENAC semble également, selon les résolutions DNS, liée à la direction de la technique et de l’innovation (DTI) de la direction des services de la Navigation aérienne (DSNA) de la direction générale de l’Aviation civile (DGAC). De quoi suggérer de potentielles interconnexions, au moins limitées.

Valéry Rieß-Marchive. Mars 2022

UN 2EME CLASSEMENT DES RISQUES PAR LES ENTREPRISES : LE BAROMETRE D’ALLIANZ

Dans le baromètre des risques 2022 d’ALLIANZ :
 
👍Le Cyberrisque, sans surprise, en hausse, risque n°1 depuis 2019. Voir https://gestiondesrisques.net/2020/01/16/contrer-le-cyber-risque-risque-n1-du-barometre-allianz-2019/ En première position dans l’enquête annuelle du cabinet PwC Voir https://gestiondesrisques.net/2022/01/17/classement-des-risques-par-les-entreprises/
 
👍Le risque sanitaire, risque n°4, en baisse.
 
👍Les catastrophes naturelles et le changement climatique respectivement en 3ème et 6ème positions, en hausse tous les deux. 

Baromètre des risques 2022 d’Allianz : les cyberattaques passent en première place, devant la Covid-19 et les perturbations de la chaîne d’approvisionnement

  • L’interruption d’activité occupe le deuxième rang, car les perturbations massives des chaînes de production et d’approvisionnement ne devraient s’atténuer que progressivement.
  • La pandémie passe de la deuxième à la quatrième place, les entreprises s’estimant généralement bien préparées à de futurs événements.
  • Les catastrophes naturelles et le changement climatique se hissent respectivement en troisième et en sixième position, face à l’augmentation des événements météorologiques graves et des risques liés à la transition.
  • Ce baromètre explore également les principaux risques spécifiques à 20 différents secteurs, notamment pour le Transport (1er Interruptions d’activité), l’Aviation & Spatial (1er Incidents cyber), la Marine (1er Interruptions d’activité), l’Hôtellerie & Tourisme (1er Pandémie).

Paris, le 18 janvier 2022. En 2021, les cyber attaques, les interruptions d’activité et perturbations de la chaîne d’approvisionnement, et les catastrophes naturelles ont durement touché de nombreuses entreprises. Selon le Baromètre des risques 2022 d’Allianz, ces trois risques demeurent les plus importants pour les entreprises. Les incidents cyber arrivent en tête pour la deuxième fois seulement dans l’histoire du baromètre (44 % des réponses). Les interruptions d’activité les suivent de près (42 %) et les catastrophes naturelles grimpent de la sixième à la troisième place (25 %). Le changement climatique bat son record en passant du neuvième au sixième rang (17 %). Enfin, la pandémie descend en quatrième position (22 %).

L’enquête annuelle d’Allianz Global Corporate & Specialty (AGCS) analyse les opinions de 2 650 experts, notamment des directeurs généraux, gestionnaires de risques, courtiers et assureurs, dans 89 pays et territoires. Consultez le classement complet des risques au niveau mondial, national et pour 20 secteurs différents (Transport, Aviation/Spatial, Marine, Banques et services Financiers, Télécoms, Construction & Immobilier, Divertissement & Médias, Hôtellerie & Tourisme, Services publics, Automobile, Energie, Biens de consommation…) en cliquant sur ce lien et en français en pièce jointe.

« L’interruption d’activité devrait rester la principale thématique de risque sous-jacente en 2022, signale Joachim Mueller, CEO d’AGCS. La plupart des entreprises redoutent avant tout de ne pas pouvoir fabriquer leurs produits ou fournir leurs services. 2021 a connu des bouleversements sans précédent, causés par différents facteurs. Les cyber attaques dévastatrices, les multiples événements météorologiques liés au réchauffement climatique touchant les chaînes d’approvisionnement, ainsi que les difficultés de production et la saturation des transports en raison de la pandémie ont provoqué des perturbations majeures. La situation ne devrait s’améliorer que progressivement cette année. Le renforcement de la résilience face aux nombreuses causes d’interruption d’activité s’avère de plus en plus souvent un avantage concurrentiel ».

Principaux risques en France

Cyberdélinquance : préoccupations liées aux ransomwares et sensibilisation aux vulnérabilités

Les incidents cyber arrivent en tête du Baromètre des risques 2022 d’Allianz et se classent parmi les trois premiers risques dans la plupart des pays étudiés. La hausse récente des attaques par ransomware en constitue la raison majeure. Celles-ci sont considérées comme la principale menace cyber en 2022 par les personnes interrogées (57 %). Ce phénomène révèle des tendances préoccupantes, telles que les stratégies de ‘‘double extorsion’’ qui associent les chiffrements de systèmes et les violations de données, l’exploitation de vulnérabilités logicielles qui peut toucher des milliers d’entreprises (comme Log4J et Kaseya) ou le ciblage d’infrastructures physiques essentielles (comme Colonial Pipeline aux États-Unis). La cyberdélinquance représente aussi une source d’inquiétude majeure au regard des critères environnementaux, sociaux et de gouvernance (ESG) des entreprises. Les sondés reconnaissent la nécessité de renforcer la résilience et la préparation aux risques de défaillance, sous peine de subir les mesures des régulateurs, investisseurs et autres parties prenantes.

« Les attaques par ransomware sont devenues très lucratives pour les cyber délinquants, qui perfectionnent leurs stratégies et peuvent aujourd’hui opérer avec un simple abonnement de 40 dollars et quelques connaissances informatiques. La commercialisation des outils de cyberdélinquance facilite l’exploitation des vulnérabilités à grande échelle. Les attaques sur les chaînes d’approvisionnement technologique et les infrastructures essentielles vont se multiplier », prévient Scott Sayce, directeur mondial de l’assurance cyber chez AGCS.

Les interruptions d’activité représentent le deuxième risque le plus préoccupant. Durant une année marquée par des perturbations majeures, les vulnérabilités des chaînes d’approvisionnement et des réseaux de production modernes ont été plus que jamais mises en évidence. L’enquête révèle également que l’incident cyber constitue la cause d’interruption d’activité la plus redoutée, compte tenu de l’augmentation des attaques par ransomware, mais aussi de la dépendance au numérique et du télétravail. Les catastrophes naturelles et la pandémie sont les deux autres principales causes d’interruption d’activité, selon les personnes interrogées.

En 2021, les hausses de la demande consécutives aux confinements ont aggravé les perturbations des chaînes de production et d’approvisionnement liées à la fermeture d’usines en Asie et à un engorgement inédit des ports à conteneurs en raison de la Covid-19. Les retards causés par la pandémie se sont ajoutés à d’autres problèmes logistiques, comme le blocage du canal de Suez ou la pénurie mondiale de semi-conducteurs après les fermetures d’usines à Taïwan, au Japon et au Texas, provoquées par des incendies et des événements météorologiques.

« La pandémie a démontré que l’interconnexion des chaînes d’approvisionnement modernes et la combinaison de différents événements pouvaient créer des perturbations majeures. Pour la première fois, la résilience des chaînes d’approvisionnement a été éprouvée dans le monde entier jusqu’au point de rupture », fait remarquer Philip Beblo, directeur Dommages aux biens Technologie, Médias et Télécoms chez AGCS.

Selon le récent Global Trade Report d’Euler Hermes, les fortes perturbations de la chaîne d’approvisionnement causées par la pandémie de Covid-19 devraient se poursuivre au cours du deuxième semestre 2022. Toutefois, les difficultés liées au déséquilibre entre l’offre et la demande mondiales, ainsi qu’à la saturation du transport par conteneurs devraient s’atténuer, en supposant qu’il n’y ait pas d’autres développements inattendus.

La sensibilisation aux risques d’interruption d’activité est aujourd’hui une question stratégique essentielle pour l’ensemble de l’entreprise. « Les dirigeants veulent une plus grande transparence des chaînes d’approvisionnement. Les organisations investissent dans des outils et travaillent sur des données afin de mieux comprendre les risques et de mettre en place des inventaires, redondances et plans d’intervention visant à garantir la continuité d’activité », souligne Maarten van der Zwaag, directeur mondial du conseil en risques Dommages aux biens chez AGCS.

Après l’amélioration de la préparation aux pandémies : renforcer la résistance au changement climatique

Si le risque de pandémie reste une préoccupation majeure pour les entreprises, il descend de la deuxième à la quatrième place (avant émergence du variant Omicron). La crise de la Covid-19 assombrit toujours les perspectives économiques de nombreux secteurs, mais il est encourageant de constater que les entreprises semblent s’être bien adaptées. La majorité des sondés (80 %) estiment qu’ils sont suffisamment ou bien préparés à un futur incident. L’amélioration de la gestion de la continuité d’activité est la principale mesure prise pour accroître la résilience des entreprises.

La progression des catastrophes naturelles et du changement climatique est révélatrice. Étroitement liés, ces deux risques se classent respectivement à la troisième et à la sixième place. Ces dernières années, la fréquence et la gravité des événements météorologiques se sont accrues en raison du réchauffement climatique. En 2021, le total des pertes assurées dans le monde au titre des catastrophes naturelles devrait dépasser les 100 milliards de dollars, battant ainsi un record pour la quatrième année consécutive. L’ouragan Ida aux États-Unis a sans doute été le sinistre le plus coûteux. Toutefois, plus de la moitié des pertes sont liées à des risques dits secondaires. Ainsi, les inondations, fortes pluies, orages, tornades et même gelées hivernales, qui sont souvent des phénomènes locaux, s’avèrent de plus en plus coûteux. Parmi eux, citons la tempête hivernale Uri au Texas, la dépression Bernd qui a provoqué des inondations catastrophiques en Allemagne et au Benelux, les fortes inondations dans la ville chinoise de Zhengzhou, ou encore les canicules et les incendies de forêt au Canada et en Californie.

Les personnes interrogées dans le cadre du Baromètre des risques d’Allianz se déclarent principalement préoccupées par les événements liés au changement climatique qui causent des dommages aux biens des entreprises (57 %), et par les impacts sur l’activité et la chaîne d’approvisionnement (41 %). Leurs autres sujets d’inquiétude concernent la gestion de la transition vers l’économie décarbonée (36 %), la conformité à une réglementation et à des exigences d’information complexes. La prévention des risques de contentieux liés à une action insuffisante pour lutter contre le changement climatique est également citée par 34 % des répondants.

« Certes, les problèmes majeurs tels que la pandémie et la volatilité de l’environnement économique dominent la gestion des risques au quotidien. Cependant, la pression exercée sur les entreprises pour qu’elles agissent face au changement climatique s’est sensiblement accrue au cours de l’année, observe Line Hestvig, directeur Durabilité chez Allianz SE. Nous constatons une tendance nette vers la mise en place, au sein des entreprises, de compétences spécialisées dans l’atténuation du risque climatique, réunissant des experts en gestion des risques et en développement durable ».

Les entreprises et les assureurs doivent aussi renforcer la résistance aux événements météorologiques extrêmes. « Des événements autrefois centennaux pourraient survenir plus fréquemment à l’avenir et dans des régions jusque-là considérées comme ‘‘sûres’’. Les bâtiments et les plans de continuité d’activité doivent être plus solides pour pouvoir y faire face », conclut Maarten van der Zwaag.

Autres risques en hausse et en baisse dans le Baromètre des risques 2022 d’Allianz :

  • La pénurie de maind’œuvre qualifiée (13 %) fait son entrée dans le top 10 des risques, à la neuvième place. Il a rarement été aussi difficile d’attirer et de retenir les talents. Les sondés classent ce risque parmi les cinq premiers dans les secteurs de l’ingénierie, de la construction, de l’immobilier, des services publics et de la santé. Ils le placent au premier rang dans les transports.
  • Les évolutions législatives et réglementaires restent à la cinquième place (19 %). Les principales mesures réglementaires concernant les entreprises en 2022 portent sur la lutte contre les pratiques anticoncurrentielles dans le numérique, ainsi que les objectifs de durabilité environnementale, avec la taxonomie verte européenne.
  • Les incendies et explosions (17 %), qui constituent un risque permanent pour les entreprises, se classent à la septième place, comme l’année dernière. Les évolutions du marché (15 %) chutent de la quatrième à la huitième place. Enfin, les évolutions macroéconomiques (11 %) descendent de la dixième à la huitième place.

 Florence Claret. Contact Presse Allianz