Archives pour la catégorie élargissement du domaine du risque

Préparation de la Table Ronde sur la Cybersécurité organisée par la Mêlée Numérique en juin 2020 : nouvelles cyberattaques.

Pour préparer ma participation à la Table Ronde organisée aujourd’hui (reportée au mois de juin 2020) par la Mêlée Numérique à Toulouse, j’ai entrepris de lister toutes les cyberattaques connues et intervenues contre des organisations française depuis janvier 2020. Ma liste est déjà longue.

Je vous dépose ci-dessous un article intéressant de cyberattaques contre trois municipalités. On y retrouve les éléments d’identification d’un risque : description de celui-ci, causes, impact. Et quelques Plans d’Actions proposés par Deloitte et détaillés dans un rapport intitulé « Ransoming government : What state and local governments can do to break free from ransomware attacks ».

Marseille, Martigues, Charleville-Mézières : les villes françaises sous attaque des ransomwares

Technologie : « Cette cyberattaque, inédite par son ampleur et sa force de frappe, n’a pu être évitée » assurent les responsables locaux. L’attaque touche des systèmes informatiques très importants en cette période d’élection et de pandémie de Coronavirus.

Par La rédaction de ZDNet.fr | lundi 16 mars 2020

Impossible dimanche soir pour les journalistes présents en mairie de Marseille d’obtenir les résultats du premier tour des municipales. La cause ? Une attaque informatique qui paralyse depuis le 14 mars dernier les systèmes informatiques de la municipalité, phocéenne.

La métropole Aix-Marseille-Provence a également été victime de l’attaque, tout comme la ville voisine de Martigues. 300 machines informatiques ont été bloquées assure l’Agence nationale de sécurité des systèmes d’information (Anssi) à l’AFP.

Problème, ces machines devaient créer les listes d’émargement des procurations en vue des élections. Les listes ont donc du être faites à la main, ce qui a ajouté au chaos rapporté sur place dans les bureaux de vote, pour diverses raisons. La Provence précise de son côté que les systèmes informatiques de la région PACA seraient également concernés.

« Cette cyberattaque, inédite par son ampleur et sa force de frappe, n’a pu être évitée »

La mairie de Marseille a assuré que « les élections municipales auraient lieu normalement ». Reste que lundi matin le site de la métropole ne fonctionnait pas. La mairie de Martigues prévient quant à elle que « l’accueil du public sera affecté dans les prochains jours » du fait de cette cyberattaque.

« Malgré les précautions extrêmes prises au quotidien pour protéger les équipements informatiques et se prémunir des virus et du piratage, cette cyberattaque, inédite par son ampleur et sa force de frappe, n’a pu être évitée » a déclaré par communiqué Martine Vassal, candidate Les Républicains à la mairie de Marseille, et présidente de la métropole Aix-Marseille-Provence. « Cette attaque repose sur un rançongiciel (ransomware), un logiciel malveillant qui bloque l’accès à un ordinateur ou à des fichiers en les chiffrant, tout en réclamant à la victime le paiement d’une rançon ».

Elle précise par ailleurs que les équipes techniques sont à pied d’œuvre pour faire un diagnostic précis des systèmes compromis afin d’ »arrêter la propagation » de cette attaque et d’en « limiter l’impact ». Pour éviter un dysfonctionnement de plus grande ampleur, la Métropole a demandé à ses agents de ne pas allumer leur ordinateur fixe ou portable. La collectivité explique travailler avec les instances nationales de sécurité, pour « permettre le rétablissement du réseau informatique dans les meilleurs délais ».

Le secteur public en première ligne

« Les systèmes de sauvegarde et de récupération devraient permettre de limiter les dégâts et récupérer la plupart des données », tient-elle à rassurer. L’enquête a été confiée à la sous-direction de la lutte contre la cybercriminalité de la police nationale.

Mardi dernier, ce sont les systèmes informatiques de la ville de Charleville-Mézières et d’Ardenne Métropole qui étaient visés par une attaque similaire. Selon le média local l’Ardennais, la mairie avait du faire appel à des experts en cybersécurité pour débloquer les systèmes. Le lendemain, la ville ardennaise avait annoncé un retour progressif à la normale.

Si l’épidémie de ransomware touche les systèmes informatiques des collectivités locales tout comme ceux des entreprises, il existe des raisons plus spécifiques pour lesquelles les pirates s’entichent des sites de mairies et communauté d’agglomération.

L’utilisation de systèmes et de logiciels anciens est un problème qui provoque des faiblesses dans ces organisations

Mercredi dernier, Deloitte a publié un rapport intitulé « Ransoming government : What state and local governments can do to break free from ransomware attacks », qui examine comment ces attaques peuvent avoir lieu – et ce que les employés du secteur public devraient faire pour relever le défi des ransomwares. Selon les chercheurs, comme les collectivités locales proposent de plus en plus de services numériques, la surface d’attaque s’est radicalement accrue ces dernières années.

« Il y a quelques décennies, il y avait peut-être quelques ordinateurs dans (ces organisations) », note le rapport. « Chacun de ces ordinateurs est un point d’accès potentiel pour les logiciels malveillants, avec pour conséquence que la surface d’attaque potentielle qu’une collectivité locale doit protéger s’est considérablement accrue sans investissements proportionnels dans la cybersécurité ».

L’utilisation de systèmes et de logiciels anciens, dépassés et inadéquats est un autre problème qui provoque des faiblesses dans ces organisations. Les défaillances dans la gestion des cycles de patchs, les systèmes d’exploitation anciens qui ont dépassé les dates de fin de support, et les budgets serrés empêchant la modernisation et contribuent aux infections par les ransomwares.

Le manque de budget est la principale préoccupation des RSSI de ces organisations

« Pour les organisations publiques nationales et locales qui fonctionnent avec des systèmes anciens, la mise à jour de ces systèmes peut être une bataille redoutable » note Deloitte.

Cependant, l’étude suggère que même si les systèmes anciens peuvent représenter un défi, le facteur humain est le plus grand problème pour le secteur public. Sans personnel qualifié et sans une sensibilisation générale à la cybersécurité, la possibilité que les pirates utilisent les vulnérabilités, le phishing et l’ingénierie sociale pour compromettre les réseaux augmente.

Une enquête menée par la NASCIO et Deloitte montre que le manque de budget est la principale préoccupation des RSSI et responsables de sécurité informatique de ces organisations depuis 2010. Seulement un à deux pour cent du budget informatique moyen de ces organisations est utilisé à des fins de cybersécurité.

Par ailleurs, il s’avère que les collectivités locales paient le plus souvent les preneurs d’otage de leurs systèmes d’information plutôt que d’essayer de restaurer les systèmes par des sauvegardes – si cela est possible – ou de faire face à la possibilité de longues semaines à compter uniquement sur des documents papier. Un exemple cité dans l’étude est celui de la ville de Baltimore, qui a refusé de céder à une demande de rançon de 76 000 $, pour ensuite perdre plus de 18 millions de dollars en frais de recouvrement et en pertes de revenus.

Selon Deloitte, les considérations essentielles des collectivités locales pour lutter contre le risque de ransomware doivent être :

  • Une architecture de systèmes plus intelligente :La modernisation de l’IT ne peut être reportée qu’un certain temps et, compte tenu des dommages financiers que peuvent causer les rançons, il convient d’envisager au plus tôt la réorganisation des anciens systèmes pour prévenir ces attaques.
  • Formation du personnel :La formation et la fidélisation du personnel sont essentielles, tout comme les partenariats entre les secteurs public et privé pour élargir les réserves de talents disponibles.
  • Gestion des correctifs :Deloitte suggère que des pratiques adéquates de gestion des correctifs soient appliquées et que l’on envisage à la fois le cloisonnement des données et les sauvegardes offline.
  • Cyberassurance :Si la cyberassurance peut couvrir le coût des attaques par rançon, son utilisation doit être envisagée avec prudence. Ces politiques peuvent avoir un effet d’entraînement en incitant les pirates à exiger des paiements importants.

 

Contrer le cyber risque, risque n°1 du baromètre Allianz 2019.

Ci-dessous un article intéressant paru dans les Echos. Je vous conseille la lecture du dossier des Echos sur ce sujet.

Contrer le risque : toutes les étapes dans un guide de l’Anssi et de l’Amrae

L’Agence nationale de la sécurité des systèmes d’information et l’Association pour le management des risques ont conjugué leurs expertises pour apporter aux entreprises, dans un guide gratuit, une réponse globale et pratique au risque cyber.

Voilà devenus réels les pires scénarios de science-fiction… Dans un monde où les nouvelles technologies ont pénétré toutes les strates de l’entreprise, une atteinte aux infrastructures informatiques peut remettre en question l’existence même d’une organisation.

Arrivées à ce même constat – celui que le risque cyber a glissé du domaine technique vers le champ stratégique -, l’Agence nationale de la sécurité des systèmes d’information (Anssi) et l’Association pour le management des risques et des assurances de l’entreprise (Amrae) ont mutualisé leurs compétences dans un guide cosigné.

Destiné aux acteurs économiques moins matures en termes de cybersécurité, depuis les PME jusqu’aux grandes sociétés cotées, administrateurs ou services publics, « Maîtrise du risque numérique, l’atout confiance » est téléchargeable gratuitement sur les sites des deux organisations.

« L’objectif est de généraliser la prise de conscience et de rendre accessible au plus grand nombre les principes pratiques d’une politique de sécurité numérique », explique Brigitte Bouquot, présidente de l’Amrae. « Ce guide a également une ambition européenne : nous plaidons pour un partage à l’échelle du continent », poursuit Guillaume Poupard, directeur général de l’Anssi.

Lancé officiellement la semaine dernière au cours du forum de la Fédération européenne des associations de risk management (Ferma) à Berlin, ce vademecum détaille 15 étapes clefs de la mise en oeuvre d’une stratégie de cybersécurité.

Parmi elles : une appropriation du sujet par la direction générale« Il n’y a que le dirigeant qui puisse débloquer des budgets, doter l’entreprise d’une gouvernance de la cybersécurité et mettre toute l’organisation en ordre de marche », pointe Fabien Caparros, chef de la division chargée des méthodes de management de la sécurité numérique de l’Anssi et contributeur du guide.

Fil conducteur de l’ouvrage, la nécessité de mettre la prévention au service de la croissance de l’entreprise imprègne chaque conseil énoncé. Ainsi, dans les démarches jugées essentielles à une politique de sécurité, la cartographie des impacts fait écho à la méthodologie des risk managers. « Nous préconisons d’anticiper les scénarios les plus impactants, en évaluant leurs conséquences financières ou réputationnelles. Si l’entreprise a en permanence un oeil sur ses vulnérabilités, elle pourra réduire le risque », estime Philippe Cotelle, président de la commission systèmes d’information de l’Amrae, qui a également participé à la rédaction.

Dossier: Cybersécurité : les entreprises contre-attaquent

Valorisation du risque

Autre pilier d’une stratégie visant la protection, la défense et la résilience, la capacité à tenir sur le long terme. « La démarche en faveur de la sécurité doit être tenable dans le temps, ce qui se révèle compliqué, car le numérique évolue en permanence. Pour cela, l’organisation doit se donner les moyens d’être agile et performante », prévient Fabien Caparros.

Outre le rappel des enjeux et une boîte à outils, le guide insiste sur la notion de valorisation de la prise en compte du risque cyber. « Cela suppose des investissements conséquents, mais, en retour, l’entreprise sera perçue comme un partenaire de confiance par ses clients et ses investisseurs », souligne Philippe Cotelle.

L’une des caractéristiques du risque cyber étant sa transversalité, « Maîtrise du risque numérique, l’atout confiance » est destiné à tous : dirigeants, gestionnaires des risques, directeurs des systèmes d’information, responsable de la sécurité des systèmes d’information, mais aussi responsables métiers, directeurs des ressources humaines, directeurs financiers, etc. « Le but n’est pas d’avoir un discours suscitant la peur et prônant le tout sécuritaire, mais de rappeler que si la maison brûle, nous avons les outils pour la protéger et mettre en sécurité ses occupants », conclut Brigitte Bouquot.

« L’Amrae continue à évangéliser les entreprises éloignées du risk management »

« La complémentarité de l’Anssi, sur les volets techniques et normatifs, et de l’Amrae, sur les aspects stratégiques et de gouvernance, n’a cessé de se resserrer ces dernières années. Dans ce guide exhaustif, l’Anssi apporte sa culture héritée d’un environnement étatique, voire militaire, là où l’Amrae continue à évangéliser les entreprises éloignées du risk management. Notre objectif commun est de faire en sorte que notre écosystème mette en place toutes les conditions d’une confiance numérique. » Brigitte Bouquot est présidente de l’Amrae

« Le numérique représente un vecteur de menaces toujours plus destructrices »

« L’Amrae et l’Anssi n’ont pas la même approche du risque numérique et parlent des langages différents, mais nous partageons une ambition commune : nous glisser dans la peau de la cible et répondre à ses préoccupations. L’enjeu est majeur à l’heure où le numérique représente autant une source d’opportunités qu’un vecteur de menaces, toujours plus sophistiquées et destructrices. Le risque zéro n’existe pas, mais ce livre entend être au côté des entreprises dans une logique d’amélioration continue. » Guillaume Poupard est directeur général de l’Anssi

Julie Le Bolzer

Procès France Télécom : analyse. Nouvel élargissement du périmètre de risques des entreprises. « Risque pénal, risque financier… De l’audit d’acquisition aux plans de restructuration, « il y a désormais de la part de l’employeur la nécessité d’anticiper le risque social »

Le procès France Télécom, symbole d’une nouvelle donne sociale

Exit le droit social « à la papa ». Avocats, syndicats et juges vont puiser leurs arguments ailleurs que dans le Code du travail. Explications en ce jour du jugement de France Télécom.

Changement d’époque. Pour la première fois, ce vendredi, le juge pénal doit se prononcer sur une question apparemment  loin de ses bases  : le tribunal correctionnel de Paris va devoir dire si la politique d’entreprise menée par France Télécom entre 2007 et 2010 est constitutive d’un harcèlement moral sur l’ensemble de ses 120.000 salariés à l’époque des faits. 35 personnes avaient mis fin à leurs jours.

Durant les deux mois d’audience cet été, le tribunal a écouté  les témoignages des victimes et de leurs familles venues crier leurs douleurs ainsi que la défense des ex-dirigeants, dont Didier Lombard. Mais comment juger une politique managériale ? Pour tirer les fils de la chaîne de responsabilité, avocats de la défense et des parties civiles se sont battus à coups de rapports, notes et comptes rendus . A l’issue de ces semaines d’émotions et de colères exprimées à la barre, le parquet a dénoncé dans son réquisitoire des « habillages » servant à mettre en oeuvre une « politique de harcèlement managérial ». « Le but de ce procès n’est pas de porter un jugement de valeur sur vos personnes, mais de démontrer que l’infraction pénale de harcèlement moral peut être constituée par une politique d’entreprise, par l’organisation du travail et [être] qualifiée de harcèlement managérial », expliquait la procureure Françoise Benezech le 4 juillet dernier. Le parquet a plus largement pointé du doigt ce langage managérial qui permet de « dissimuler » une volonté de déstabiliser les salariés.  Les peines maximales ont été requises  : 75.000 euros d’amende contre France Télécom, un an de prison et 15.000 euros d’amende à l’encontre de Didier Lombard, Louis-Pierre Wenès et Olivier Barberot, ainsi que 10.000 euros et huit mois de prison contre « leurs zélés complices » Jacques Moulin, Nathalie Boulanger et Brigitte Dumont.

Avant la mise en délibéré, la présidente Cécile Louis-Loyant a prévenu : le tribunal devra se détacher du poids de l’attente d’une jurisprudence nouvelle sur le harcèlement moral par une politique d’entreprise. Il jugera en droit. Néanmoins, quelle qu’elle soit,  la décision du tribunal correctionnel aura un impact considérable.

De nouveaux outils de régulation

Car au-delà des drames personnels des victimes, cette affaire est révélatrice d’un mouvement de fond discret, mais extrêmement puissant, d’une mutation majeure du contentieux social. Avocats, syndicats et juges élargissent leurs champs d’action. Ils vont puiser leurs arguments ailleurs que dans le seul Code du travail et utilisent une panoplie plus vaste, allant de l’investigation financière au droit pénal, en passant par les nouveaux instruments juridiques de négociation. Parallèlement, le public concerné s’étoffe :  des populations entières de hauts cadres , d’habitude plus policés, n’hésitent plus à attaquer leur employeur devant les tribunaux.

Avocats d’entreprises et avocats de salariés font le même constat. « Nous sommes aujourd’hui devant un paradoxe, il n’y a jamais eu autant d’accords d’entreprise. Et, pourtant, les conflits se radicalisent comme jamais », analyse Pascale Lagesse, avocate associée du cabinet Bredin Prat, qui conseille nombre de grandes organisations. « Le droit du travail n’est plus la seule ressource du règlement de la conflictualité sociale. Nous avons besoin de nouveaux outils de régulation », reconnaît Roger Koskas, avocat de plusieurs syndicats et organismes de représentation du personnel. Un accord qui part mal peut coûter cher à l’entreprise. Ainsi, Constellium a été condamné par la cour d’appel de Douai à verser 2,4 millions d’euros à 50 salariés du site de Ham dans la Somme licenciés « sans cause réelle et sérieuse » en septembre 2019. La société (ex-Alcan-Pechiney) avait conclu un accord avec les syndicats et supprimé en octobre 2011 une centaine de postes sur 200 sur le site. Elle avait proposé un plan de départs volontaires avec une indemnité majorée, auquel avaient adhéré 90 salariés. Au terme d’une longue bataille judiciaire de presque neuf ans, les anciens d’Alcan ont obtenu gain de cause. Les magistrats de la cour d’appel de Douai ont approuvé les syndicats qui reprochaient à l’employeur de ne pas avoir respecté ses obligations de reclassement interne, préalable à ce plan.

« Au fur et à mesure des années, les portes de la régulation sociale se sont fermées, le contentieux prud’homal s’est réduit. Parallèlement, la mondialisation des entreprises et le recours à toutes les astuces du droit des sociétés – comme la multiplication des entités juridiques – ont mis des écrans à la responsabilité. Résultat : les positions se durcissent. Nous sommes obligés d’aller chercher ailleurs la faute de l’employeur », reconnaît un syndicaliste. En trois ans, le contentieux prud’homal a chuté de 46 % selon la cour d’appel de Paris tandis que parallèlement le juge judiciaire étend son emprise. Il est désormais compétent pour des demandes de  contrôles des risques psychosociaux , surveillés jusque-là par le juge administratif.

Plusieurs réformes sont la cause de cette mutation : la création de la  rupture conventionnelle , la  barémisation contestée des indemnités prud’homales, l’augmentation des démarches administratives, etc. Résultat, « le contentieux file ailleurs », constate Francis Teitgen, ancien bâtonnier de Paris et habitué du contentieux pénal de l’entreprise. « Le droit pénal, le droit financier… sont désormais appelés en soutien du conflit social », précise-t-il.

Ainsi, les contentieux ne se bornent plus au seul périmètre géographique de l’usine ou du site en cause. En septembre 2019, Michelin a été condamné à verser 1,3 million d’euros aux salariés de l’usine de Joué-lès-Tours (Indre-et-Loire) qui contestaient leurs licenciements. La cour d’appel d’Orléans a donné raison au conseil des prud’hommes de Tours d’avoir considéré « qu’un groupe de dimension mondiale ne doit pas être cantonné au secteur d’activité européen et que les informations limitées à ce secteur rendent le licenciement sans cause réelle et sérieuse ».

Des champs d’action élargis

Dans le même esprit, pour contester les licenciements chez Lee Cooper, les syndicats sont remontés jusqu’au fonds d’investissement américain Sun Capital Partners, qui possédait, via un holding basé à Amsterdam – Vivat Holding BV -, la célèbre marque de jean. « Les opérations contestables observées au sein du groupe » ont été faites « à l’encontre des intérêts de Lee Coper France » et « dans le seul intérêt de son actionnaire principal », Sun Capital Partners, écrivent les juges. Selon la cour d’appel, le fonds d’investissement n’avait « pris aucune disposition » pour remédier aux difficultés économiques que ses opérations ont engendrées. Cette décision a été confirmée par la Cour de cassation le 24 mai 2018.

« Les syndicats participent à leur façon et s’inscrivent dans le mouvement de refondation du capitalisme », veut croire Eva Joly. L’ancienne juge d’instruction, désormais avocate, a conseillé le comité d’entreprise ouest parisien de McDonald’s – composé en majorité d’élus Unsa et CGT. En 2015, celui-ci a déposé plainte pour blanchiment de fraude fiscale auprès du parquet national financier (PNF). Il mettait en cause des pratiques fiscales rendant « impossible » tout bénéfice, et donc tout intéressement des salariés. Selon « Challenges », McDonald’s serait en train de discuter avec les magistrats d’une convention judiciaire d’intérêt public (CJIP). Cette  transaction pénale créée par  la loi Sapin II permettrait au géant du burger d’éviter le procès et de mettre fin aux poursuites judiciaires à son encontre en payant une forte amende. Même stratégie pour Conforama, où deux syndicats, la CFE-CGC et FO, et un collectif de salariés ont porté plainte contre X auprès du PNF, le 4 novembre dernier, pour « présentation de faux bilan, abus de bien social et atteinte aux bons fonctionnements des marchés financiers ». Les plaignants estiment que les irrégularités comptables du groupe sud-africain Steinhoff ont précipité les difficultés de l’enseigne de meubles, sur le point de supprimer 1.900 emplois en France.

Les conflits « traditionnels » n’ont pas disparu pour autant. Mais leur base s’est diversifiée. Le 13 novembre dernier, la Cour de cassation vient à nouveau de donner raison à un financier qui réclamait le paiement de bonus différés que lui refusait son employeur, une grande maison de Wall Street. Il n’est pas le premier à utiliser le droit français contre le droit américain. En juin 2019, dans une première affaire, Morgan Stanley s’est vu condamné à verser 1,4 million d’euros de bonus différés  à son ancien banquier vedette Bernard Mourad . Et, dans une affaire concernant six ex-dirigeants du Groupe Barrière, la Cour de cassation, en avril 2019, a décidé que la plus-value réalisée à l’occasion de la cession de bons de souscription d’actions (BSA) devait être considérée comme un avantage obtenu en contrepartie du travail et devait donc être soumise aux cotisations sociales. « Cette décision remet en cause les montants des managements packages, chèrement négociés par les hauts dirigeants », constate Pascale Lagesse.

Prévenir partout et à tout moment

Cette intensification du contentieux social n’est pas près de s’inverser. Tandis que la Cour de cassation est venue élargir la  notion de préjudice d’anxiété à toute substance nocive et toxique dans un arrêt du 11 septembre 2019 – intensifiant ainsi les risques d’alertes internes -, la directive européenne du 7 octobre augmente  le pouvoir et la protection des lanceurs d’alerte .

Risque pénal, risque financier… De  l’audit d’acquisition aux plans de restructuration, « il y a désormais de la part de l’employeur la nécessité d’anticiper le risque social », prévient Laurent Gamet, avocat associé du cabinet Flichy Grangé.

Valérie de Senneville @VdeSenneville, Delphine Iweins @DelphineIweins

Procès France Télécom : rappel des faits

Procès pour harcèlement chez France Télécom : l’heure de la décision

Après plusieurs mois de délibéré, les juges rendent aujourd’hui leur jugement dans l’affaire des suicides qui a atteint l’opérateur entre 2007 et 2010. Les enjeux sont tels que les juges savent déjà que, quelle que soit leur décision, celle-ci sera frappée d’appel.

Cécile Louis-Loyant ne se fait pas d’illusion. Quelle que soit la décision que la présidente et ses assesseurs rendront ce vendredi 20 décembre, elle sera immédiatement frappée d’appel « tant les enjeux sont grands ». Après plus de mois de délibéré, les juges devront dire si France Télécom et ses ex-dirigeants ont mis en place, entre 2007 et 2010, une politique managériale constitutive de harcèlement moral.

C’est une première. Car la décision devra certes réparer et dire le droit. Mais l’équation judiciaire est délicate dans cette affaire, où les faits reprochés portent sur l’ensemble du personnel de l’entreprise. Or, jusqu’alors, le principe en droit pénal voulait qu’un lien direct existe entre la victime et l’auteur du dommage. Ici, il est clair que, ni l’ex-PDG, Didier Lombard, ni les six autres hauts responsables prévenus n’ont « directement » harcelé moralement les victimes. Quid encore de la personne morale ?

Harcèlement managérial

« Le but de ce procès n’est pas de porter un jugement de valeur sur (les) personnes, mais c’est de démontrer que l’infraction pénale de harcèlement moral peut être constituée par une politique d’entreprise, par l’organisation du travail et (être) qualifiée de harcèlement managérial », avait précisé  le parquet dans ses réquisitions en demandant les peines maximales contre France Télécom et ses ex-dirigeants : 75.000 euros d’amende contre l’entreprise, un an de prison et 15.000 euros d’amende à l’encontre de Didier Lombard, l’ex-PDG, Louis-Pierre Wenès et Olivier Barberot, les anciens n° 2 et 3. Sans oublier 10.000 euros et huit mois de prison contre « leurs zélés complices », Jacques Moulin, Nathalie Boulanger et Brigitte Dumont. « Les peines encourues à l’époque sont si faibles qu’il faut demander le maximum » pour que la sanction ait un sens, avait expliqué la procureure.

Que décidera le tribunal, qui connaît le poids symbolique de son jugement ? Il devrait en tout état de cause fortement motiver sa décision car cette approche collective du harcèlement moral est inédite en droit. Peut-être essayera-t-il de condamner pour exprimer  l’écoute envers les victimes , tout en expliquant très précisément les conditions très particulières, afin d’éviter  une généralisation non maîtrisée de cette jurisprudence qui pourrait atteindre toutes les entreprises qui entreprennent un plan de réorganisation et de modernisation de leurs structures et de leurs personnels.

Rationalité confondante

Pendant l’audience, les ex-managers ont souvent opposé une rationalité confondante face à la souffrance de certaines victimes. Nicolas Guérin, secrétaire général d’Orange, qui représente France Télécom au procès, a reconnu qu’il était « indéniable qu’il y ait eu de la souffrance chez certains de nos collaborateurs. […] Mais nous contestons un harcèlement moral généralisé ». Il avait annoncé qu’Orange allait lancer  une « discussion » avec les organisations syndicales pour créer une commission d’indemnisation des victimes, « quelle que soit la décision » du tribunal.

Au coeur du procès, les plans Next et Act visant à transformer France Télécom en trois ans, avec notamment l’objectif de 22.000 départs et 10.000 mobilités. Pour les prévenus, il devait s’agir de départs « volontaires »« naturels ». En 2005, France Télécom était « en péril », l’entreprise, surendettée, subissait une concurrence « agressive », des évolutions technologiques « extrêmement rapides ». Trente-cinq personnes s’étaient suicidées.

Valérie de Senneville

 

 

 

Fleury Michon : histoire d’une crise de cybersécurité qui a bien tourné

L’entreprise française d’agroalimentaire a été victime, au printemps, d’une compromission par ransomware. Mandaté par son assurance, Intrinsec est venu à la rescousse.

Compte-rendu par Valery Marchive d’une gestion de crise qui n’arrive pas qu’aux autres.

[En direct des Assises de la Sécurité.] Le 15 avril, Fleury Michon publiait un communiqué indiquant que ses systèmes informatiques avaient « été touchés par un virus informatique. Par mesure de précaution, l’ensemble des systèmes ont été déconnectés, pour éviter la propagation. Les usines, ainsi que notre unité logistique, ont été mises à l’arrêt jeudi dernier, 11 avril, à 14

Anne Michel, directrice organisation et systèmes d’information de Fleury Michon, aurait pu espérer une prise de fonctions plus calme : elle est arrivée à ce poste deux mois plus tôt. Le 11 avril, elle est prévenue à 7 h du matin, par un appel du responsable de la sécurité qui parle d’infection virale. Elle pense d’abord santé de ses équipes. Mais non, il s’agit d’un maliciel.

Et les circonstances ne sont pas des plus favorables. À l’époque, le responsable de la sécurité n’est même pas RSSI à 100 %, simplement à quart temps. Ce sont les vacances scolaires. Les équipes ne sont pas encore habituées à leur nouvelle cheffe. Et les procédures d’alerte ne sont manifestement pas pleinement au point : l’infection a été découverte vers minuit. Le directeur des infrastructures a été prévenu, mais il n’était pas immédiatement joignable, et il aura donc fallu attendre plusieurs heures avant qu’Anne Michel ne soit informée.

Toutefois, comme elle le souligne, de premières mesures avaient été prises immédiatement : l’accès à Internet avait été coupé et les applications avaient été arrêtées, par précaution. Mais rapidement, une attaque est soupçonnée. En accord avec le directeur de la production et de la logistique, des applications supplémentaires sont arrêtées. Le directeur général convoque alors la cellule de crise pour 10 h. Mais tout le monde s’active très vite en amont de cette réunion.

À 9 h, le directeur financier a déjà contacté l’assurance qui mandate un prestataire. Anne Michel a tenté de joindre directement l’Agence nationale pour la sécurité des systèmes d’information (Anssi), en vain. Le directeur général appelle le préfet de la Vendée qui demande que l’Anssi entre en contact avec Anne Michel. Ce qui est fait rapidement et contribue à faire baisser la pression.

À 10 h, la cellule de crise est donc réunie, avec directeur général, direction financière, direction de la santé alimentaire, direction industrielle, et Anne Michel. Le fait qu’il s’agit d’une attaque cyber est acté, de même que la méconnaissance de sa portée à ce stade. La communication réglementaire commence à être préparée. Il faudra aussi prévenir les banques, et surtout les clients pour les informer que les flux d’EDI et les interfaces applicatives sont coupés. Sans compter les directions des usines et des centres logistiques pour expliquer la situation et la manière de communiquer, car tant la production que l’expédition se retrouvent brutalement à l’arrêt. Les membres de la cellule de crise feront le point toutes les quatre heures.

À 11 h, Cyrille Barthelemy, patron d’Intrinsec, prend contact. Les grandes lignes du plan d’action sont lancées et une équipe constituée d’une dizaine de personnes est envoyée en Vendée : il faut trouver l’origine de l’incident et reconstruire. Et cela alors même que les documentations ne sont pas accessibles. L’approche retenue consiste à déployer en 24 h une petite base de centre opérationnel de sécurité (SOC) pour gagner de la visibilité, démarrer une première bulle de confiance, et la faire grossir graduellement. La surveillance permettra d’arrêter tout ce qui aura été relancé, mais présentera un comportement suspect. Au total, ce sont tout de même 8 To de données à analyser, 220 machines à couvrir, des points de réplication du trafic réseau à mettre en place, etc. Une source virale inconnue a pu être identifiée rapidement.

Rapidement, un constat s’impose : toutes les applications majeures fonctionnaient sur des serveurs affectés. Les usines et la production ont été coupées par prudence, mais leurs systèmes opérationnels ne sont pas touchés.

Il faut pouvoir décider vite de la marche à suivre, car l’entreprise, qui travaille avec des produits frais, ne peut pas rester trop longuement à l’arrêt. Et il faut lutter aussi avec ceux, en interne, qui seraient tentés de retrouver une connexion à Internet avec leur smartphone.

Le choix est donc fait de donner la priorité à la logistique afin de pouvoir vider l’entrepôt et de pouvoir le remplir à nouveau. L’application dédiée est reconstruite avec deux postes de travail, afin de pouvoir gérer les expéditions. Dans les usines, deux salles blanches sont mises en place pour remonter leurs applications et permettre aux équipes locales de travailler avant de pouvoir remonter les liens. Les applications de robotiques sont relancées directement.

En fait, il n’a fallu que trois jours pour remonter la logistique. Et quand Fleury-Michon rendait public l’incident, il relançait en fait sa production, grâce aux salles blanches. Du point de vue des métiers, la crise était finie deux semaines plus tard.

Un type d’attaque qui peut arriver à d’autres

Tout est parti d’un service RDP exposé sur une machine virtuelle hébergée sur Azure, comme il y en a tant, et détourné par une attaque en force brute. De là, il ne s’est rien passé pendant 10 jours. La phase de reconnaissance du système d’information a alors commencé – en remontant le VPN utilisé pour relier le SI local au cloud public de Microsoft. Des rebonds sur trois serveurs, en RDP en encore, ont pu être identifiés. Leur VLAN était accessible depuis le VPN. Le ransomware a ensuite été déployé via Psexec sur 220 machines, pourtant isolées sur un VLAN dédié. Enfin, l’outil Mimikatz a été mis à profit pour récupérer des identifiants avant de lancer le chiffrement du serveur identifié comme patient 0 de la crise.

Mais il a fallu rétablir la confiance, notamment vis-à-vis des partenaires. Là, les efforts de communication et de transparence ont joué un rôle important. D’ailleurs, d’anciens collaborateurs, ayant appris l’incident par ailleurs, ont proposé leur aide. À l’instar de partenaires. La prise de contact d’Intrinsec, en direct, avec l’un des principaux distributeurs, a également aidé à élever dès le départ le niveau de confiance. Des marqueurs ont également été partagés.

Du point de vue de la direction de l’organisation et des systèmes d’information, la sortie de crise a attendu le mois de juillet. Mais Anne Michel n’occulte pas quelques mois de traîne. Plus de 800 tickets ont été traités. Pendant pratiquement 12 jours, jusqu’à plus de 100 personnes ont été mobilisées 24 h/24. La fatigue, morale comme physique, était là.

La gestion de l’expérience a été engagée dès le mois de mai, afin d’identifier ce qui avait fonctionné ou pas, ainsi que les pistes d’amélioration. La partie industrielle/logistique en ressort comme particulièrement bien gérée, associée de près dès le début. Les choses sont moins flatteuses pour la partie administrative. Jusqu’en juin, des rumeurs circulaient sur l’origine réelle de l’incident. Pour Anne Michel, ces collaborateurs sont restés trop dans le flou.

Et puis, alors que les équipes informatiques sont massivement internes, certains n’ont pas compris pourquoi il était fait appel à des ressources externes. Certes, avec le recul, l’incident a été l’occasion de mesurer le niveau de compétence des équipes et de leur capacité de mobilisation, des personnes « qui ont véritablement sauvé l’entreprise », mais durant la crise elle-même, Anne Michel souligne qu’il ne faut surtout pas oublier le management des hommes.

Le principal enseignement qu’elle retire de cette crise est qu’il convient de revoir les plans de continuité de l’activité, qui se sont avérés inadaptés à une crise de cybersécurité. Comme le soulignait récemment dans nos colonnes Jérôme Saiz, dans un tel cas, il faut prendre en compte la question de la confiance que l’on peut accorder à ses outils et à son infrastructure.

Merci de m’avoir permis de décrire dans une tribune au « Monde » les facteurs qui ont placé les risques, la gestion des risques et la Fonction Risk Manager au cœur de la stratégie des entreprises. Pour en savoir plus, voir l’ouvrage « La Fonction Risk Manager. Organisation, méthodes et positionnement » que j’ai co-écrit avec Nicolas Dufour ; paru en avril 2019 aux Editions Géreso.

Le Monde (site web)

vendredi 18 octobre 2019 – 14:00

Incendie de Rouen : « L’actualité témoigne de l’élargissement de la nature et de l’ampleur des risques »

Caroline Aubry, enseignante en gestion du risque, décrit dans une tribune au « Monde » les facteurs qui ont placé cette discipline au cœur de la stratégie des entreprises.

Tribune. L’actualité récente témoigne de l’élargissement de la nature et de l’ampleur des risques, qui fait aujourd’hui de sa gestion une variable stratégique de la réflexion des entreprises. Les cyber-attaques subies par Airbus ces derniers mois appartiennent à la catégorie des risques nouveaux ; le cyber-risque est d’ailleurs le premier cité par les entreprises dans le baromètre des risques de l’assureur Allianz.

L’incendie de l’usine Lubrizol, le jeudi 26 septembre, n’est pas qu’un risque « traditionnel » d’incendie ; il s’agit d’un risque éthique dans sa dimension de développement durable. La plainte déposée le 26 septembre par la Fédération Internationale pour les droits humains contre BNP Paribas et ses anciens dirigeants, pour complicité de torture, crimes contre l’humanité, génocide, blanchiment et recel au Soudan, est un risque éthique dans sa dimension de gouvernance : respect par l’entreprise des engagements pris, transparence et ouverture aux besoins de l’environnement dans laquelle elle opère, prise en compte des parties prenantes, les actionnaires et tous les groupes ou individus qui peuvent affecter ou être affectés par la réalisation de ses objectifs.

Les entreprises doivent faire face à des risques potentiels plus difficiles à cerner car ils sortent du champ de compétences des experts. Depuis trente ans, ces facteurs les ont conduites à mettre en place une démarche globale de gestion des risques, nommée « Enterprise-Risk-Management » (ERM) par les Anglo-Saxons ; ils ont contribué à la création d’une fonction dédiée à la gestion des risques.

Anxiété collective

L’élargissement du domaine de la gestion des risques s’est amorcé dans les années 1990 avec l’apparition de nouveaux risques issus des changements technologiques. Il s’est poursuivi avec la multiplication de qualificatifs venus en préciser la nature : éthique, environnemental, social, de gouvernance, de réputation, etc.

Est ensuite apparue l’idée d’une perception du risque différente selon les individus ou les niveaux dans l’entreprise. Cette perception est en effet fortement liée aux caractéristiques individuelles de l’acteur, sa personnalité, son histoire, ses préjugés, son exposition au risque…

L’élargissement du domaine de la gestion des risques s’est amorcé dans les années 1990 avec l’apparition de nouveaux risques issus des changements technologiques

Cette subjectivité intervient aussi dans la relation de l’entreprise avec les acteurs de la société civile. Par exemple, l’explosion de l’usine AZF à Toulouse en septembre 2001 a généré en France un état d’anxiété collective, accentué par la vigilance nouvelle des acteurs de la société civile qui ont pris conscience de ces vulnérabilités ; les populations habitant à proximité d’installations classées Seveso ont une perception accrue du risque.

Une approche exclusivement objective de l’incendie de l’usine Lubrizol ne donnerait qu’une vision partielle, voire erronée de la situation. Les entreprises doivent dorénavant impliquer les acteurs, intégrer les facteurs d’environnement susceptibles d’influencer cette perception (les médias, par exemple) et tenir compte des valeurs et des attentes grandissantes des parties prenantes. La communication devient essentielle, le risque de réputation, risque subjectif par excellence, devient le « cauchemar » des directions générales.

Réticence des compagnies d’assurance

Les entreprises sont amenées à gérer elles-mêmes ces nouveaux risques du fait de la réticence des compagnies d’assurance à les prendre en charge : comment continuer à croire qu’il n’y a pas un « trou énorme » entre la protection des assurances et ce dont les entreprises ont besoin pour couvrir, par exemple, le coût de cyber-attaques répétées, ou celui d’une catastrophe environnementale comme celle de l’usine Lubrizol ?

La référence « tous azimuts » à ce principe de précaution au contenu peu structurant contribue à l’installation de l’illusion du risque zéro

Les « affaires » participent également à cette extension du domaine du risque. Les affaires Maxwell (1991), Enron (2001), Vivendi (2002)… ont débouché sur l’exigence de conditions nouvelles de transparence des risques de la part des entreprises. Lubrizol, Volkswagen et le Dieselgate, Renault-Nissan et l’incarcération de Carlos Ghosn, Lactalis et le lait contaminé, pour ne citer que les affaires les plus médiatiques, renforcent cette exigence.

Enfin, depuis 2004, le régulateur, le législateur et les médias ont contribué à la diffusion de l’image d’un monde plus risqué et l’ont amplifiée. Prenons le principe de précaution, pilier de la « soft law » adoptée par les entreprises : la référence « tous azimuts » à ce principe au contenu peu structurant (car il n’offre aucun modèle d’action prédéfini) contribue à l’installation de l’illusion du risque zéro ; le seuil d’acceptabilité du risque par les parties prenantes diminue. De leur côté, les médias amplifient la notion de responsabilité du dirigeant en cas de négligence, et surtout les logiques de compensation.

Caroline Aubry est coauteur, avec Nicolas Dufour, de « La Fonction Risk Manager. Organisation, méthodes et positionnement » (Gereso édition, 250 pages, 25 euros).

Cet article est paru dans Le Monde (site web)

 

Cyber sécurité : un exemple de plan d’action. Mise en place de solutions de sécurité des données.

Pour terminer le mois d’octobre consacré à la cybersécurité, je vous propose après des articles sur l’identification de ce risque puis sa quantification, un article consacré à la mise en place de plans d’actions (étape 4 de la démarche de gestion des risques).

Chez Rémy Cointreau, agilité rime avec sécurité

Le groupe de spiritueux, avec ses sites de production et de ventes disséminés partout dans le monde, offre une cible de choix pour les cyberassaillants. Rémy Cointreau a ainsi mis en place des solutions de sécurités des données.

Chez Rémy Cointreau, la menace cyber est prise très au sérieux. Il faut dire que, avec des sites de production disséminés un peu partout dans le monde (Angers, Cognac, Barbade, l’Ecosse, …) et des équipes de ventes et de marketing en Chine, aux Etats-Unis ou encore au Japon,  le groupe de spiritueux, dont l’origine remonte à 1724, s’est internationalisé au fil des années . Ce qui en fait aussi une cible potentielle pour des cyberassaillants. Il affiche aujourd’hui un chiffre d’affaires de 1,2 milliard d’euros par an et compte près de 1.900 salariés. « Nous sommes une entreprise internationale, nous ouvrons ou fermons des filiales régulièrement, nous devons donc avoir une organisation très agile », souligne Xavier Leschaeve, responsable de la sécurité des systèmes d’information (RSSI) du Groupe Rémy Cointreau.

Recours aux outils collaboratifs

Enclenchée à son arrivée, en 2015, la transformation numérique a d’abord consisté à basculer les données du groupe – ventes, marketing, financières… –  dans des clouds sécurisés : Amazon, Azure, Google . « Il n’y a pas de données clients hormis nos bases CRM », précise le RSSI. Une transformation digitale qui s’est également traduite par le recours à des outils collaboratifs (Box et Office 365) pour que tous les salariés puissent travailler ensemble d’où qu’ils se trouvent.

Quid de la cybersécurité ? « En arrivant [NDLR – en provenance de la sécurité Groupe de l’assureur Axa], j’ai mis en place des solutions de sécurité évoluées, explique Xavier Leschaeve. On a réalisé un vrai bond technologique, en ayant notamment recours à des outils EDR, Endpoint Detection and Response, sorte d’antivirus de nouvelle génération, qui nous permettent de détecter les comportements anormaux, aidés également par notre prestataire SOC, Security Operations Center, qui assure la surveillance de nos alertes de sécurité. » 

Fédération d’identité pour les salariés

Mais, ce qui fait la force du cloud, et des logiciels en tant que services (SaaS), à savoir la possibilité d’y avoir accès depuis l’extérieur, fait aussi leur faiblesse… C’est pourquoi, Rémy Cointreau a créé « une fédération d’identité » réunissant tous les accès pros d’un salarié, avec une double identification, à l’aide des téléphones mobiles de l’entreprise. « L’authentification forte, quand on travaille dans le cloud, c’est primordial, insiste Xavier Leschaeve. Cela évite notamment que les messageries soient piratées trop facilement. Ce qui reste un des points d’entrée privilégiées des pirates. » Et, d’ajouter « lorsqu’une personne quitte la société, on peut aussi lui retirer tous ses accès en une seule opération ». S’évitant ainsi les fuites d’informations vers la concurrence.

Mais, on a beau mettre tous les garde-fous, « Il y aura toujours quelqu’un derrière la porte », sourit celui qui siège aussi, depuis juin 2019, au conseil d’adminitration du Cesin, le Club des experts de la sécurité de l’information et du numérique. Ou ils essaieront de rentrer par la fenêtre… « Pour preuve, les récentes tentatives d’intrusion via Whatsapp ou LinkedIn qui sont apparues chez certains de nos membres », poursuit Xavier Leschaeve.

Sensibilisation et formation

Les clefs alors, toujours les mêmes, la sensibilisation et la formation des utilisateurs, notamment grâce au e-learning. « Et, à chaque fois que je vais dans une filiale, j’organise des rencontres avec les collaborateurs du site pour leur rappeler les risques, leur présenter les derniers menaces », poursuit le RSSI. Une sécurité de tous les instants qui passe aussi par la mise en place de Process métiers : « Au service comptabilité par exemple, on n’acceptera jamais de demandes de virement par téléphone ! » insiste-t-il.

Autre grand point de vigilance : les sites de production. L’informatique industrielle est, en effet, mise à jour moins régulièrement que celle de bureau, et les OS y sont souvent plus anciens. Rien d’étonnant donc pour le RSSI à ce que  les « cryptolockers » ou autre « ransomwares » s’attaquent d’abord aux usines .

Fort heureusement, pour l’instant Rémy Cointreau a été épargné. « On a réussi à détecter et bloquer les tentatives à temps, souffle son RSSI. Mais, en ce domaine, vous ne m’entendrez jamais crier victoire ! » 

Et, si jamais cela arrivait ? « Il faudra alors que nous soyons capables d’isoler chaque site, le plus rapidement possible afin d’éviter la contamination. C’est à cela que nous travaillons. » Car, même si la menace cyber évolue, les recettes restent finalement toujours les mêmes en sécurité informatique : « Mettre à jour, surveiller, ségréguer, et disposer de backup pour pouvoir réinstaller », conclut Xavier Leschaeve.

Stéphane CHARBEAU

Les Echos Publié le 25 sept. 2019

Le métier de Risk Manager est-il fait pour vous ?

Un grand merci à Philippe Roux pour m’avoir proposé de partager ma connaissance du métier encore peu connu de Risk Manager. Métier en émergence qui cherche à accroître son influence sur la décision. Challenge passionnant !

Ce partage de connaissance est également l’occasion de présenter l’ouvrage que j’ai co-écrit avec Nicolas Dufour sur la Fonction Risk Manager intitulé : « La Fonction Risk Manager. Organisation, méthodes et positionnement » ; parue en avril 2019 aux Editions Gereso.

Voici l’article : https://www.strategik.net/blog-iso-9001/risk-manager/

Venez tester gratuitement votre Cyberrisque.

Belle initiative. Bercy propose pendant le mois européen de la Cyber Sécurité des Cyber-tests gratuits.

02/10/2019

Rencontre avec Christian Dufour, Haut Fonctionnaire de Défense et de Sécurité des Ministères Economiques et Financiers (HFDSI des MEF). Accompagné de Bruno de Laigue, Président du réseau des Dirigeants Financiers (DFCG), ils présentent un dispositif d’autodiagnostic cyber destiné aux dirigeants des entreprises, notamment les TPE et PME, afin qu’elles prennent conscience de leur niveau de Sécurité sur quatre points essentiels de le Système d’Information (SI).

Pour la seconde année consécutive, la MEF s’associe à la DFCG pour faire le buzz durant le mois européen de la cybersécurité. Et 2019 voit le jour d’une boîte à outils de tests (quatre pour l’instant) mis à disposition des entreprises sur le site https://ssi.economie.gouv.fr. Elle leur permettra de connaître exactement le niveau de sécurité de quatre points essentiels de leur SI en s’auto-testant. Développés en Interne par l ‘équipe de Jean-Philippe Papillon, Responsable ministériel Sécurité des Systèmes d’Information, ces outils permettent de sensibiliser des néophytes du sujet à la Sécurité d’un SI. Car cette année, le focus est mis sur le conseil et la sensibilisation des plus petites entreprises, qui avec très peu de moyen, n’en consacrent que peu ou prou à la cybersécurité de leur structure.

CyberSécurité : 4 tests en libre accès

Dans un premier temps, en septembre dernier, ces outils ont été proposés aux 3000 adhérents de la DFCG. Ils ont été un peu plus de 10%, soit environ 350 directeurs financiers à se prêter au jeu. Les résultats de ces tests ont conforté la DFCG comme les instances gouvernementales sur l’urgence à sensibiliser la part la pus importante du tissu économique français.

Les quatre tests portent sur le niveau de mise à jour du navigateur web, la politique de sauvegarde, la robustesse du mot de passe et le niveau de sécurité des serveurs de messagerie. A la fin de chaque test, la société connaît le niveau de protection de l’élément mis sur la sellette au travers d’une note ou d’une couleur indiquant le niveau de sécurité, cela va de nul à très bon en passant par tous les niveaux intermédiaires possibles.

Sensibilisation des Dirigeants

Ces tests permettent aux dirigeants d’entreprise de savoir s’ils sont bien protégés ou pas. Dans le cas où la société s’appuie sur un prestataire extérieur pour assurer sa défense, cela lui permettrait de savoir si ce dernier a fait du bon travail ou non et donc, de l’obliger à revoir son travail si la Sécurité est mal assurée.

Les tests sont proposés sous la forme d’un téléservice. Ils ont été choisis en se basant sur  les trois facteurs principaux de compromission qui sont l’ingénierie sociale, le craquage de mot de passe et l’exploitation de failles connues (notamment quand les mises à jour des logiciels ne sont pas réalisées régulièrement).  Rien n’est mémorisé du côté du site qui propose le téléservice pour des raisons de sécurité, de respect des secrets de l’entreprise qui se teste et de conformité aux réglementations sur les données personnelles. Par exemple, quand une entreprise teste le niveau de sécurité de son mot passe, le site ne connaît bien entendu pas le login et ne peut, également, faire aucun lien avec l’entreprise en test. Sur le mot de passe, c’est le niveau de faiblesse de ce dernier qui est remonté et il est également possible de savoir si ce mot de passe a déjà fuité sur le Net.

Premiers résultats 

Les résultats de l’étude ont démontré que 75% des entreprises interrogées ont un navigateur mis à jour alors que 82% d’entre elles ont un domaine de messagerie mal protégé. Pour donner une idée de ce qui peut arriver quand sa messagerie est mal protégée, le cas de la société Tonneau, 3 millions d’euros de Chiffre d’affaires et 15 salariés, qui subit un détournement de fonds de 300000 euros en 4 jours à cause d’une usurpation de mail. Sur le mot de passe, plus de 50% des entreprises ont eu leur mot de passe facilement cassé selon le test. 67% d’entre elles n’ont pas de politique de sauvegarde qui tienne la route (pas de duplication des serveurs de sauvegarde, pas de vérification si la sauvegarde est bien réalisée …). Ce test n’en est pas un réel dans le sens où une liste de questions pointues est posée au dirigeant et les réponses sont pondérées ce qui donne une idée sur la bonne tenue et la protection des sauvegardes. Enfin seules 5 à 7 entreprises ont un plan de reprise d’activité en cas de chiffrement de leurs données par un malware. Pour finir, elles sont seulement 10 à avoir établi une « fiche Réflexe » qui correspond à un ensemble de processus à suivre et mettre en place en cas de crise.

Cette sensibilisation s’accompagne de liens sur des FAQ proposant nombre de bonnes pratiques.

Propager l’Information

Pour l’instant, Bercy a annoncé la mise à disposition de ces outils gratuits dans sa lettre aux entreprises. L’ANSSI en a également parlé. Bouche à oreilles et médias seront parmi les organes de propagation de cette chaîne. L’accès à la base de la pyramide économique française reste encore compliqué aujourd’hui.

Source : https://ssi.economie.gouv.fr.

Par Solange Belkhayat-Fuchs

Assurances et Cyberrisques : le retour…

La problématique Assurance et Cyber risques qui fait l’objet de nombreux articles dans la presse me fait penser aux difficultés rencontrées face à ce que l’on appelait les nouveaux risques (1990-2003).  D’un côté, les compagnies d’assurances étaient plus réticentes à prendre en charge les risques industriels et les nouveaux risques, notamment de réputation. De l’autre les grandes entreprises à l’égard des compagnies d’assurances préféraient gérer elles-mêmes leurs risques. Cette nouvelle logique de transfert du risque a été l’un des points d’ancrage historique de la gestion des risques.  Dans notre ouvrage sur la Fonction Risk Manager, Nicolas Dufour et moi-même reprenons les propos d’un Risk Manager qui nous disait :  » Il existe un trou énorme entre la protection incendie proposée par les compagnies d’assurances et ce dont nous avons besoin… Quand je suis arrivé dans l’entreprise (1994), je me suis aperçu que l’objectif est la sauvegarde de l’outil de production… La perte d’exploitation est énorme, jusqu’à X millions d’euros, on achète une assurance incendie. Au-delà on achète de quoi remettre la machine en route. »  N’en est-il pas de même avec le cyberrisque ? La gestion des risques transversale et la Fonction Risk Manager sont au premier plan. 

Ci-dessous un premier article sur ce sujet : le point de vue d’une juriste 

Assurance et cybersécurité : pourquoi c’est encore flou pour les entreprises

LE CERCLE – La fréquence des attaques informatiques a nettement augmenté au cours des dernières années. Toujours plus agressives, elles soulèvent de nombreuses questions quant aux couvertures d’assurance permettant aux entreprises de s’en prémunir et d’y faire face.

Notre société, dominée par une digitalisation croissante et une forte dépendance aux systèmes informatiques, s’expose chaque jour davantage au risque cyber, que l’incident soit le fait d’un salarié ou d’une attaque par un tiers.

Les célèbres attaques Wannacry et Not Petya ont entraîné par ricochet une augmentation corrélative du taux de souscription des contrats d’assurance cyber, passant ainsi de 26 % en 2016 à plus de 50 % en 2019, bien que certains spécialistes pensent que cette augmentation est en partie le fruit de l’entrée en vigueur récente du Règlement général sur la protection des données personnelles (RGPD).

Toutefois, on continue de penser que le risque cyber est à la limite de l’assurabilité. Il est vrai que l’assureur se heurte à une absence d’antériorité sur ce risque récent, ce qui aggrave la difficulté de pouvoir adapter la capacité d’indemnisation avec une prime adaptée. Sans méthode d’analyse du risque fiable et sans enregistrement systématique des incidents cyber, les contours de ce risque restent flous et dont les conséquences à l’échelle mondiale paraissent incontrôlables.

Des polices dédiées aux cyber risques

Au-delà de la difficulté de définir une méthode actuarielle fiable, il faut nécessairement appréhender le risque de façon globale car il implique de facto l’ensemble des acteurs d’un même écosystème. Certains y voient là une nouvelle application de la «sécurité interdépendante» développée en matière de terrorisme.

Face à cette situation, certains assureurs ont préféré maintenir leurs polices traditionnelles, de sorte que bien que non identifié dans la police, ce risque «silent cyber» serait pris en charge, comme le piratage de données bancaires des utilisateurs d’un site internet ou de pertes d’exploitation consécutives à un incident cyber intentionnel ou non. Cela s’est parfois accompagné d’une simple augmentation des lignes existantes ou de la souscription d’avenants.

Les polices «tous risques sauf» présentent également un intérêt pour les PME qui sont souvent démunies face à un risque qu’elles ne peuvent correctement appréhender, dès lors qu’à défaut d’exclusion expresse des dommages causés par un virus, ces polices devraient pouvoir être actionnées en cas d’incident cyber.

De façon générale, on reproche tout de même à ces polices d’aboutir à des situations de cumuls de garanties ou d’assureurs, génératrices de complexité souvent au détriment de la bonne résolution de l’incident cyber.

D’autres assureurs ont fait le choix de développer un produit cyber, impliquant un accompagnement en amont de l’assuré pour définir le niveau de protection attendu et devant être maintenu par ce dernier, puis en aval lorsque l’incident survient pour l’aider à affronter la crise et restaurer son système d’information à l’aide de spécialistes missionnés en urgence, y compris le week-end.

Plusieurs limites

Pour séduisantes qu’elles soient, ces polices dédiées sont encore jugées peu claires avec des exclusions bloquantes comme les conséquences de l’atteinte à l’image et à la réputation de l’entreprise pourtant souvent mises à mal en cas de cyber incident.

On regrette aussi que ces polices ciblées demeurent trop génériques, sans réelle adaptation au profil de leur assuré, selon qu’il est une société du CAC 40 ou une PME. A cet égard, les réassureurs joueront certainement un rôle important, puisqu’ils réclameront de leurs clients assureurs d’être en mesure de détailler l’exposition spécifique au risque cyber pour accepter de réassurer.

En outre, même en cas d’amélioration notable des polices, les entreprises n’auront-elles pas toujours cette réticence à partager avec les assureurs des informations jugées confidentielles ou relatives au niveau de protection réelle de leur système informatique ?

L’Etat n’aurait-il pas ici un rôle à jouer dans l’évaluation de ce risque et la collecte des données liées aux incidents cyber ? Certains voient d’ailleurs dans le RGPD un moyen réel de constituer une base de données des incidents cyber qui touchent les entreprises en Europe.

En conclusion, les assureurs sont aujourd’hui contraints de développer des produits d’assurances efficaces et simplifiés sauf à laisser croître un marché parallèle de prévention et de gestion du risque cyber emmené par des prestataires de sécurité cyber ou même le laisser s’échapper au profit d’entreprises pionnières du CAC 40 qui mettent à disposition des obligations dédiées émises sur le marché des capitaux.

Emmanuèle Lutfalla, avocate, co-fondatrice et associée du bureau parisien de Signature Litigation.