Archives pour la catégorie élargissement du domaine du risque

Le métier de Risk Manager est-il fait pour vous ?

Un grand merci à Philippe Roux pour m’avoir proposé de partager ma connaissance du métier encore peu connu de Risk Manager. Métier en émergence qui cherche à accroître son influence sur la décision. Challenge passionnant !

Ce partage de connaissance est également l’occasion de présenter l’ouvrage que j’ai co-écrit avec Nicolas Dufour sur la Fonction Risk Manager intitulé : « La Fonction Risk Manager. Organisation, méthodes et positionnement » ; parue en avril 2019 aux Editions Gereso.

Voici l’article : https://www.strategik.net/blog-iso-9001/risk-manager/

Venez tester gratuitement votre Cyberrisque.

Belle initiative. Bercy propose pendant le mois européen de la Cyber Sécurité des Cyber-tests gratuits.

02/10/2019

Rencontre avec Christian Dufour, Haut Fonctionnaire de Défense et de Sécurité des Ministères Economiques et Financiers (HFDSI des MEF). Accompagné de Bruno de Laigue, Président du réseau des Dirigeants Financiers (DFCG), ils présentent un dispositif d’autodiagnostic cyber destiné aux dirigeants des entreprises, notamment les TPE et PME, afin qu’elles prennent conscience de leur niveau de Sécurité sur quatre points essentiels de le Système d’Information (SI).

Pour la seconde année consécutive, la MEF s’associe à la DFCG pour faire le buzz durant le mois européen de la cybersécurité. Et 2019 voit le jour d’une boîte à outils de tests (quatre pour l’instant) mis à disposition des entreprises sur le site https://ssi.economie.gouv.fr. Elle leur permettra de connaître exactement le niveau de sécurité de quatre points essentiels de leur SI en s’auto-testant. Développés en Interne par l ‘équipe de Jean-Philippe Papillon, Responsable ministériel Sécurité des Systèmes d’Information, ces outils permettent de sensibiliser des néophytes du sujet à la Sécurité d’un SI. Car cette année, le focus est mis sur le conseil et la sensibilisation des plus petites entreprises, qui avec très peu de moyen, n’en consacrent que peu ou prou à la cybersécurité de leur structure.

CyberSécurité : 4 tests en libre accès

Dans un premier temps, en septembre dernier, ces outils ont été proposés aux 3000 adhérents de la DFCG. Ils ont été un peu plus de 10%, soit environ 350 directeurs financiers à se prêter au jeu. Les résultats de ces tests ont conforté la DFCG comme les instances gouvernementales sur l’urgence à sensibiliser la part la pus importante du tissu économique français.

Les quatre tests portent sur le niveau de mise à jour du navigateur web, la politique de sauvegarde, la robustesse du mot de passe et le niveau de sécurité des serveurs de messagerie. A la fin de chaque test, la société connaît le niveau de protection de l’élément mis sur la sellette au travers d’une note ou d’une couleur indiquant le niveau de sécurité, cela va de nul à très bon en passant par tous les niveaux intermédiaires possibles.

Sensibilisation des Dirigeants

Ces tests permettent aux dirigeants d’entreprise de savoir s’ils sont bien protégés ou pas. Dans le cas où la société s’appuie sur un prestataire extérieur pour assurer sa défense, cela lui permettrait de savoir si ce dernier a fait du bon travail ou non et donc, de l’obliger à revoir son travail si la Sécurité est mal assurée.

Les tests sont proposés sous la forme d’un téléservice. Ils ont été choisis en se basant sur  les trois facteurs principaux de compromission qui sont l’ingénierie sociale, le craquage de mot de passe et l’exploitation de failles connues (notamment quand les mises à jour des logiciels ne sont pas réalisées régulièrement).  Rien n’est mémorisé du côté du site qui propose le téléservice pour des raisons de sécurité, de respect des secrets de l’entreprise qui se teste et de conformité aux réglementations sur les données personnelles. Par exemple, quand une entreprise teste le niveau de sécurité de son mot passe, le site ne connaît bien entendu pas le login et ne peut, également, faire aucun lien avec l’entreprise en test. Sur le mot de passe, c’est le niveau de faiblesse de ce dernier qui est remonté et il est également possible de savoir si ce mot de passe a déjà fuité sur le Net.

Premiers résultats 

Les résultats de l’étude ont démontré que 75% des entreprises interrogées ont un navigateur mis à jour alors que 82% d’entre elles ont un domaine de messagerie mal protégé. Pour donner une idée de ce qui peut arriver quand sa messagerie est mal protégée, le cas de la société Tonneau, 3 millions d’euros de Chiffre d’affaires et 15 salariés, qui subit un détournement de fonds de 300000 euros en 4 jours à cause d’une usurpation de mail. Sur le mot de passe, plus de 50% des entreprises ont eu leur mot de passe facilement cassé selon le test. 67% d’entre elles n’ont pas de politique de sauvegarde qui tienne la route (pas de duplication des serveurs de sauvegarde, pas de vérification si la sauvegarde est bien réalisée …). Ce test n’en est pas un réel dans le sens où une liste de questions pointues est posée au dirigeant et les réponses sont pondérées ce qui donne une idée sur la bonne tenue et la protection des sauvegardes. Enfin seules 5 à 7 entreprises ont un plan de reprise d’activité en cas de chiffrement de leurs données par un malware. Pour finir, elles sont seulement 10 à avoir établi une « fiche Réflexe » qui correspond à un ensemble de processus à suivre et mettre en place en cas de crise.

Cette sensibilisation s’accompagne de liens sur des FAQ proposant nombre de bonnes pratiques.

Propager l’Information

Pour l’instant, Bercy a annoncé la mise à disposition de ces outils gratuits dans sa lettre aux entreprises. L’ANSSI en a également parlé. Bouche à oreilles et médias seront parmi les organes de propagation de cette chaîne. L’accès à la base de la pyramide économique française reste encore compliqué aujourd’hui.

Source : https://ssi.economie.gouv.fr.

Par Solange Belkhayat-Fuchs

Assurances et Cyberrisques : le retour…

La problématique Assurance et Cyber risques qui fait l’objet de nombreux articles dans la presse me fait penser aux difficultés rencontrées face à ce que l’on appelait les nouveaux risques (1990-2003).  D’un côté, les compagnies d’assurances étaient plus réticentes à prendre en charge les risques industriels et les nouveaux risques, notamment de réputation. De l’autre les grandes entreprises à l’égard des compagnies d’assurances préféraient gérer elles-mêmes leurs risques. Cette nouvelle logique de transfert du risque a été l’un des points d’ancrage historique de la gestion des risques.  Dans notre ouvrage sur la Fonction Risk Manager, Nicolas Dufour et moi-même reprenons les propos d’un Risk Manager qui nous disait :  » Il existe un trou énorme entre la protection incendie proposée par les compagnies d’assurances et ce dont nous avons besoin… Quand je suis arrivé dans l’entreprise (1994), je me suis aperçu que l’objectif est la sauvegarde de l’outil de production… La perte d’exploitation est énorme, jusqu’à X millions d’euros, on achète une assurance incendie. Au-delà on achète de quoi remettre la machine en route. »  N’en est-il pas de même avec le cyberrisque ? La gestion des risques transversale et la Fonction Risk Manager sont au premier plan. 

Ci-dessous un premier article sur ce sujet : le point de vue d’une juriste 

Assurance et cybersécurité : pourquoi c’est encore flou pour les entreprises

LE CERCLE – La fréquence des attaques informatiques a nettement augmenté au cours des dernières années. Toujours plus agressives, elles soulèvent de nombreuses questions quant aux couvertures d’assurance permettant aux entreprises de s’en prémunir et d’y faire face.

Notre société, dominée par une digitalisation croissante et une forte dépendance aux systèmes informatiques, s’expose chaque jour davantage au risque cyber, que l’incident soit le fait d’un salarié ou d’une attaque par un tiers.

Les célèbres attaques Wannacry et Not Petya ont entraîné par ricochet une augmentation corrélative du taux de souscription des contrats d’assurance cyber, passant ainsi de 26 % en 2016 à plus de 50 % en 2019, bien que certains spécialistes pensent que cette augmentation est en partie le fruit de l’entrée en vigueur récente du Règlement général sur la protection des données personnelles (RGPD).

Toutefois, on continue de penser que le risque cyber est à la limite de l’assurabilité. Il est vrai que l’assureur se heurte à une absence d’antériorité sur ce risque récent, ce qui aggrave la difficulté de pouvoir adapter la capacité d’indemnisation avec une prime adaptée. Sans méthode d’analyse du risque fiable et sans enregistrement systématique des incidents cyber, les contours de ce risque restent flous et dont les conséquences à l’échelle mondiale paraissent incontrôlables.

Des polices dédiées aux cyber risques

Au-delà de la difficulté de définir une méthode actuarielle fiable, il faut nécessairement appréhender le risque de façon globale car il implique de facto l’ensemble des acteurs d’un même écosystème. Certains y voient là une nouvelle application de la «sécurité interdépendante» développée en matière de terrorisme.

Face à cette situation, certains assureurs ont préféré maintenir leurs polices traditionnelles, de sorte que bien que non identifié dans la police, ce risque «silent cyber» serait pris en charge, comme le piratage de données bancaires des utilisateurs d’un site internet ou de pertes d’exploitation consécutives à un incident cyber intentionnel ou non. Cela s’est parfois accompagné d’une simple augmentation des lignes existantes ou de la souscription d’avenants.

Les polices «tous risques sauf» présentent également un intérêt pour les PME qui sont souvent démunies face à un risque qu’elles ne peuvent correctement appréhender, dès lors qu’à défaut d’exclusion expresse des dommages causés par un virus, ces polices devraient pouvoir être actionnées en cas d’incident cyber.

De façon générale, on reproche tout de même à ces polices d’aboutir à des situations de cumuls de garanties ou d’assureurs, génératrices de complexité souvent au détriment de la bonne résolution de l’incident cyber.

D’autres assureurs ont fait le choix de développer un produit cyber, impliquant un accompagnement en amont de l’assuré pour définir le niveau de protection attendu et devant être maintenu par ce dernier, puis en aval lorsque l’incident survient pour l’aider à affronter la crise et restaurer son système d’information à l’aide de spécialistes missionnés en urgence, y compris le week-end.

Plusieurs limites

Pour séduisantes qu’elles soient, ces polices dédiées sont encore jugées peu claires avec des exclusions bloquantes comme les conséquences de l’atteinte à l’image et à la réputation de l’entreprise pourtant souvent mises à mal en cas de cyber incident.

On regrette aussi que ces polices ciblées demeurent trop génériques, sans réelle adaptation au profil de leur assuré, selon qu’il est une société du CAC 40 ou une PME. A cet égard, les réassureurs joueront certainement un rôle important, puisqu’ils réclameront de leurs clients assureurs d’être en mesure de détailler l’exposition spécifique au risque cyber pour accepter de réassurer.

En outre, même en cas d’amélioration notable des polices, les entreprises n’auront-elles pas toujours cette réticence à partager avec les assureurs des informations jugées confidentielles ou relatives au niveau de protection réelle de leur système informatique ?

L’Etat n’aurait-il pas ici un rôle à jouer dans l’évaluation de ce risque et la collecte des données liées aux incidents cyber ? Certains voient d’ailleurs dans le RGPD un moyen réel de constituer une base de données des incidents cyber qui touchent les entreprises en Europe.

En conclusion, les assureurs sont aujourd’hui contraints de développer des produits d’assurances efficaces et simplifiés sauf à laisser croître un marché parallèle de prévention et de gestion du risque cyber emmené par des prestataires de sécurité cyber ou même le laisser s’échapper au profit d’entreprises pionnières du CAC 40 qui mettent à disposition des obligations dédiées émises sur le marché des capitaux.

Emmanuèle Lutfalla, avocate, co-fondatrice et associée du bureau parisien de Signature Litigation.

Focus sur le risque de pollution de l’air : qualité de l’air extérieur, qualité de l’air intérieur.

Le périmètre de gestion des risques des Risk Managers s’élargit. La transition écologique en fait désormais partie.

L’analyse des rapports financiers annuels révèle que les grandes entreprises françaises sont parmi les plus impliquées en matière de RSE et notamment sur le sujet du risque lié au climat.

Je vous propose un focus sur le risque de pollution de l’air : qualité de l’air extérieur, qualité de l’air intérieur.

La qualité de l’air et l’impact de la pollution atmosphérique sont aujourd’hui un enjeu majeur de santé publique et de qualité de vie : plus de 8 millions de décès prématurés dans le monde seraient causés par la pollution de l’air, dont 3,8 attribués à la pollution de l’air à l’intérieur des habitations, selon l’OMS.

Description du risque

UNE POLLUTION “INVISIBLE” ET COMPLEXE

La pollution de l’air se caractérise par la contamination de l’environnement intérieur ou extérieur par un agent chimique, physique ou biologique qui modifie les caractéristiques naturelles de l’atmosphère.

Mesurée par une combinaison de méthodes chimiques et électroniques, la qualité de l’air est évaluée via une surveillance régulière. Des capteurs et analyseurs, de plus en plus performants, sont reliés à un système informatique enregistrant des valeurs à intervalles réguliers. Ces valeurs permettent de quantifier le taux de pollution de l’atmosphère de la zone surveillée.

En France, cette surveillance est réalisée, pour l’air extérieur, par un ensemble d’associations (Associations Agréées de Surveillance de la Qualité de l’Air) réparties sur le territoire.

Selon l’Ademe, il n’y a pas de « frontière » entre la qualité de l’air extérieur (QAE) et la qualité de l’air intérieur (QAI) ; la QAI dépendant en partie de la QAE. Si des actions spécifiques doivent et peuvent être menées pour préserver ou améliorer la qualité de l’air intérieur, celles en faveur de la qualité de l’air extérieur agissent automatiquement sur la qualité de l’air intérieur.

UN ENJEU MAJEUR DE SANTÉ PUBLIQUE

La pollution de l’air est l’un des principaux risques environnementaux à l’échelle mondiale. Selon l’OMS; elle aurait causé plus de 8 millions de décès prématurés dans le monde, en 2016, ce qui en fait le quatrième facteur de risque de mortalité dans le monde. Par ailleurs, l’air intérieur aux bâtiments n’est pas moins pollué que l’air extérieur, alors que nous passons plus de 85% de notre temps dans un endroit clos.

L’étude Elabe pour Veolia, réalisée sur ce sujet en 2019, en France, en Belgique et dans l’agglomération de Shanghaï, est significative à cet égard : un Français sur deux ou encore plus de 60% des Belges comme des Shanghaiens sont surpris d’apprendre que nous sommes davantage exposés à la pollution de l’air à l’intérieur de notre logement et des bâtiments que nous fréquentons qu’à l’extérieur.

Impact du risque

LA POLLUTION DE L’AIR ET SES CONSÉQUENCES, EN QUELQUES CHIFFRES

Chiffres actuels (source OMS – 2018) :

  • 8 millions de décès dans le monde sont attribués en 2016 à la pollution de l’air => 4,2 millions de décès prématurés attribués à la pollution de l’air extérieur et 3,8 millions de décès prématurés attribués à la pollution de l’air à l’intérieur des habitations.
  • 91% de la population mondiale vivait en 2016 dans des endroits où les lignes directrices de l’OMS relatives à la qualité de l’air n’étaient pas respectées.
  • En 2015, les coûts des soins de santé sont évalués à 21 Md$  et la pollution de l’air serait responsable de 1,2 milliards de jours de productivité perdus (« Les conséquences économiques de la pollution de l’air extérieur », OCDE – Septembre 2016)

Prévision 2060 :

  • Jusqu’à 9 millions de décès prématurés par an (Source IHME : Institute for Health Metrics and Evaluation)
  • La pollution de l’air pourrait coûter jusqu’à 1% du PIB mondial en 2060 (l’impact sur la productivité du travail, sur les dépenses de santé et sur le rendement des cultures agricoles impliquerait une augmentation progressive des coûts économiques globaux qui atteindraient 1 % du produit intérieur brut mondial) (Source OCDE)
  • Chaque année, les coûts des soins de santé prévus s’élèveraient à 176 Md$ et l’impact sur la productivité serait évaluée à 3,7 milliards de jours perdus (« Les conséquences économiques de la pollution de l’air extérieur », OCDE – Septembre 2016)

Exemple de gestion du risque de qualité de l’air : plans d’actions (Veolia)

  • contrôle des émissions atmosphériques de nos technologies d’incinération des déchets dangereux,
  • maîtrise des odeurs émises par les stations de traitement des eaux usées,
  • audit et mesure de la qualité sanitaire des flux d’eau et d’air des bâtiments.

Décryptage du procès France Télécom. Suite de l’article « Le procès France Télécom, une épée de Damoclès pour les entreprises ». Fin de l’audience le 12 juillet.

Procès France Télécom : de la difficulté de juger une politique managériale

Au bout de six semaines d’audience et l’arrivée des premiers témoignages des familles de victimes, la fatigue des prévenus ne leur permet plus de se défiler et l’émotion explose, enfin

Par Valerie De SENNEVILLE

La présidente fait descendre derrière elle un immense écran sur lequel se projette un organigramme du management du groupe France Télécom en 2007. Une douzaine d’entrées horizontales et autant de verticales, un embrouillamini de lignes aux titres abscons. A la barre, Brigitte Bravin-Dumont. En 2006, elle est directrice du programme Act (le volet social du plan Next qui définissait la transformation de l’entreprise) et en septembre 2010, directrice adjointe des ressources humaines groupe. Comme six autres cadres, dont l’ex-PDG Didier Lombard,  elle est renvoyée devant le tribunal pour harcèlement moral ayant mené à la crise des suicides entre 2007 et 2010 au sein du groupe.

« Alors vous voyez, tente-t-elle d’expliquer au tribunal, les DRH métiers étaient rattachées aux directions métiers… Dites-moi si je suis claire ». « Mmmmh » répond la présidente Cécile Louis-Loyant qui ne semble pas convaincue. La présidente s’interroge sur l’organisation matricielle de l’entreprise et sur la chaîne de responsabilités entre les directions opérationnelles et les directions métiers et supports. Une avocate de Didier Lombard, Bérénice de Warren, fait remarquer que toutes les entreprises de la taille de France Télécom fonctionnent ainsi. La présidente acquiesce, « mais reconnaissez que c’est compliqué …» Oui.

Et soudain, on comprend : ce procès exemplaire par son ampleur risque de se révéler frustrant. Parce que l’on est dans un tribunal qui est là pour appliquer la règle de droit pénal et qu’il lui faudra relier les actes, aussi dramatiques soient-ils, à chacun des prévenus.  Comment juger une politique managériale ?

« Détabouiser l’intérim interne »

Cela fait six semaines que l’audience a commencé et la présidente ne laisse rien passer au risque de la saturation. Elle plonge en apnée dans le fonctionnement d’une grande entreprise de plus de 120.000 salariés à l’époque des faits.  Elle doit décortiquer et analyser. En apprendre aussi le langage. Ainsi, ce dialogue entre Cécile Louis-Loyant et l’un des prévenus Jacques Moulin. En 2007, il était directeur territorial Est. A la barre il parle du « kick-off » du projet. « Ca veut dire quoi ? » l’interrompt la présidente « ha, heu oui, : lancement ». Le tribunal projette donc la note « Time to Move » qui parle « déstabilisation positive pour les populations sédentaires » et de « détabouiser l’intérim interne » (sic). « J’admets que les termes étaient mal choisis », reconnaît Jacques Moulin.

Orange/France Télécom ou l’équation délicate de la défense de l’entreprise

Pour arriver à tirer les fils de la chaîne de responsabilité, avocats de la défense et des parties civiles se battent à coups de rapports, notes et comptes rendus. Voilà donc la direction qui produit « son » rapport. Il précède de quelques mois le rapport Technologia qui, en décembre 2009, allait tirer la sonnette d’alarme sur le malaise des salariés de France Télécom. « Le questionnaire me renvoie le message d’une société qui va dans le bon sens », soutient Louis-Pierre Wenès, l’ex-numéro 2 de l’opérateur. Plus de 29.000 personnes avaient répondu, de manière anonyme. Parmi les résultats : 86 % des managers et 71 % des collaborateurs estimaient avoir progressé dans leur métier en un an.

« Vous pleurez Monsieur Lombard ? »

Mais au bout de six semaines et l’arrivée des premiers témoignages des familles de victimes, la fatigue des prévenus ne leur permet plus de se défiler et l’émotion explose, enfin. Pour la première fois, Didier Lombard cède. A la barre, il raconte la gorge serrée cette visite en 2009 à Cahors. « Vous pleurez Monsieur Lombard ? », demande la présidente. « Oui, on pense que je n’ai pas de coeur mais ce n’est pas vrai ». Avant lui, Louis-Pierre Wenès s’était emporté, la voix s’était fêlée : « je ne suis pas né avec une cuillère d’argent dans la bouche : les gens dont on parle, j’en ai dans ma famille. J’ai un profond attachement à la vie et au respect de l’homme », avait-il dit.

Les auditions des parties civiles, familles de victimes ou salariés ayant traversé un lourd épisode dépressif vont maintenant se poursuivre. Jusqu’à la lie. Mais des larmes, aussi attendues soient-elles, ne prouvent pas une culpabilité. L’audience devrait se finir le  12 juillet.

 

 

Orange/France Télécom ou l’équation délicate de la défense de l’entreprise.

Docteur Jeckyll et Mister Hyde. Orange et France Télécom. L’opérateur téléphonique est soumis depuis trois semaines à une étrange schizophrénie judiciaire : comment se défendre sans renier son passé ou obscurcir son présent et son avenir.

Car c’est bien la même entreprise France Télécom devenue Orange en 2013 qui a été renvoyée comme personne morale pour « harcèlement moral au travail » entre 2007 et 2010.

Le dossier est emblématique à plus d’un titre. Pour la première fois, une société du CAC 40 est mise en cause pénalement du fait de sa politique managériale.  Le drame a été immense et dévastateur . Elle comparait aux côtés de ses anciens dirigeants.

Années sombres

Mais depuis, l’entreprise n’a pas seulement modifié opportunément son nom elle a surtout changé en profondeur. Avec l’arrivée de Stéphane Richard à sa tête en 2010, Orange a radicalement tourné le dos à ces années sombres qui ont vu plusieurs salariés mettre fin à leurs jours.

Pour autant, l’entreprise ne peut pas accabler l’ancienne équipe, puisqu’elle est, elle aussi, sur le banc des prévenus. Les montrer du doigt, c’est s’affaiblir soi-même. Alors il faut naviguer subtilement, sortir du déni pour se démarquer des ex-managers, accepter et reconnaître qu’il y a eu une crise sociale au sein de l’entreprise sans pour autant endosser la responsabilité du système de harcèlement généralisé.

Crise sociale

Exemple, ce jeudi 23 mai.  Daniel Doublet est à la barre. C’est une des premières parties civiles à être entendue. Il accable l’entreprise. Appelé pour s’expliquer, Nicolas Guérin, secrétaire général d’Orange, et représentant l’entreprise à l’audience commence par affirmer que la situation de cet ancien cadre « n’a rien à voir » avec les plans NExT et Act au coeur du dossier. Mais aussitôt nuance « mais encore une fois cela n’enlève rien à ce que Monsieur Doublet a vécu ».

Et cela fonctionne d’autant plus que le principal prévenu, l’ancien PDG, Didier Lombard, peine à reconnaître « une crise sociale », tout juste admet-il une « crise médiatique », parlant de « l’effet Werther » selon lequel les passages à l’acte augmentent après la parution dans les médias d’un cas de suicide.

Matière volatile

Apparaître changé est une bataille d’image, mais peut aussi faire gagner des points au groupe télécoms auprès du tribunal. Les juges pourraient tenir compte, au-delà des faits eux-mêmes, de la façon dont Orange a géré ensuite la crise. Et ne pas vouloir pénaliser l’entreprise – et les salariés – d’aujourd’hui au nom de l’entreprise d’hier.

Mais il ne faut pas en faire trop. La communication judiciaire est une matière volatile. Au premier jour du procès Bruno Mettling, président d’Orange Afrique et Moyen-Orient et directeur des ressources humaines du groupe en 2010 est venu en marge de l’audience affirmer aux caméras et aux micros tendus que « pour l’entreprise, ce procès est important : il va permettre de comprendre dans quelles circonstances ces drames sont arrivés ».

Le lendemain la présidente demande en fin d’audience à Nicolas Guérin s’il a quelque chose à ajouter : « non rien », dit-il. « J’avais pourtant cru que vous (l’entreprise NDLR) aviez des choses à dire hier en dehors de la salle d’audience », relève alors cinglante la magistrate. Il reste encore sept semaines d’audience à tenir.

Valérie de Senneville

France Télécom : un procès inédit qui aura un impact considérable sur la responsabilité pénale des entreprises

Les juges devront déterminer si un système managérial peut-être responsable de ces drames. Je vous propose de suivre de près le déroulement de ce procès et d’analyser le risque encouru par les entreprises. 

Le procès France Télécom, une épée de Damoclès pour les entreprises

A partir de ce lundi 6 mai, et pendant neuf semaines, sept personnes physiques, dont Didier Lombard, et une personne morale devront s’expliquer devant le tribunal correctionnel de Paris et revenir sur cette période de 2008-2009 où France Télécom a été confronté à une vague de suicides. Un procès dont l’issue aura un impact considérable sur la responsabilité pénale des entreprises.Echos

L’audience qui s’ouvre ce lundi 6 mai est déterminante. Bien sûr, elle l’est pour France Télécom, son ex-PDG, Didier Lombard, et les hauts cadres qui se retrouvent sur le banc des prévenus ; mais elle l’est aussi pour toutes les entreprises qui entreprennent un plan de réorganisation et de modernisation de leurs structures et de leurs personnels.

Pendant neuf semaines – une longueur hors du commun -, tous les après-midi, sept personnes physiques et une personne morale devront s’expliquer devant le tribunal correctionnel de Paris et revenir sur cette période où France Télécom a été confronté à une vague de suicides, tentatives de suicides et dépressions de ses employés. Entre 2008 et 2009, 35 personnes avaient mis fin à leurs jours.

Procès inédit                                                       

Ce procès est inédit. Pour la première fois une société du CAC 40 et son haut management sont présumés responsables de harcèlement moral sur l’ensemble du personnel de l’entreprise du fait d’une politique managériale. Or, jusqu’alors, le principe en droit pénal voulait qu’un lien direct existe entre la victime et l’auteur du dommage. Ici il est clair que ni Didier Lombard ni les six hauts responsables n’ont « directement » harcelé moralement les victimes. Les juges Brigitte Jolivet et Emmanuelle Robin qui ont mené l’instruction le savent.

Elles vont donc s’attacher à décrire « un système » ayant in fine pour but la réduction des effectifs quel qu’en soit le prix. En 2005, France Télécom, privatisé un an plus tôt, est confronté à un « paradoxe » : le nombre de fonctionnaires est encore important alors que l’entreprise a besoin de recruter pour s’adapter aux nouvelles technologies et répondre aux besoins des clients. « Il était impossible de procéder à des licenciements pour motif économique des fonctionnaires. C’est là l’une des clefs de compréhension des méthodes de management déclinées au sein de l’entreprise », écrivent  les juges d’instruction dans leur ordonnance de renvoi de 673 pages.

Déflation des effectifs

Dès lors les plans mis en place visaient certes « à adapter l’entreprise aux réalités économiques et financières », mais les restructurations qui en découlaient « intégraient une programmation précise de déflation des effectifs ».

Entre 2008 et 2009, 35 personnes avaient mis fin à leurs jours.

Cette démonstration leur permet d’affirmer que « les effets de cette politique, qui faisait de la déstabilisation des agents ‘un levier’ pour parvenir aux objectifs de transformation de l’entreprise, ont entraîné ou accentué chez nombre de salariés une souffrance dont les manifestations ont pris des formes diverses, la plus dramatique étant le passage à l’acte suicidaire. »

Agissements répétés

Dès lors, selon Brigitte Jolivet et Emmanuelle Robin, il serait inutile de démontrer le lien direct, car les « agissements répétés » exigés par l’article 222-33-2 du Code pénal pour prouver le harcèlement moral « peuvent résulter de méthodes de gestion ou de management, voire d’une véritable organisation managériale ». Elles précisent enfin que « ni la lettre du texte, ni la logique de la matérialité des faits n’impose que les auteurs connaissent les victimes des faits, dès lors que le lien entre leurs agissements et la dégradation des conditions de travail est établi. »

On imagine sans mal les sérieuses conséquences que cette logique pénale nouvelle pourrait avoir sur nombre d’entreprises. C’est, dès lors, toutes les transformations d’entreprises à statut, comme la SNCF ou La Poste, ou qui évoluent dans un environnement concurrentiel tendu, comme Air France et aux mutations technologiques rapides, comme Renault – qui a déjà connu une vague de suicides en 2006 – ou Technip – confronté aussi au même drame et dont les syndicats ont d’ores et déjà saisi la justice – qui vont se retrouver concernées directement. L’affaire résonne aussi fortement pour Pôle emploi que plusieurs plaintes pour harcèlement visent après une vague de suicides entre 2009 et 2012. « Il existe plusieurs points de similitude entre ces deux entreprises, toutes deux parapubliques à l’organisation régionale complexe », relève l’avocat d’une des victimes, Eric Morain.

Approche inédite

Les juges devront déterminer si un système managérial peut-être responsable de ces drames.

 

Cette approche collective du harcèlement moral est inédite », confirme Loïc Lerouge, chercheur au CNRS et membre du Centre de droit comparé du travail et de la sécurité à l’université de Bordeaux. « Cette affaire a un retentissement mondial, il y a une grande curiosité. La France est le premier pays à poursuivre au pénal une entreprise sur le lien entre organisation du travail, mal-être et suicides. De gros enjeux sont liés à ce procès au regard du précédent qu’il va créer. »

Un avis partagé par Patrick Légeron, psychiatre et fondateur de Stimulus, un cabinet de conseil aux entreprises. « Cela va être un électrochoc. Les entreprises n’ont pas conscience des risques. Aux Etats-Unis, on a calculé que le coût du stress au travail était de plus de 300 milliards de dollars par an », constate le médecin.

Vague de globalisation

La vague sera d’autant plus forte que la tendance à la « globalisation » est très nette chez les juges du siège. Si la Cour de cassation résiste encore, de plus en plus de décisions tentent de démonter un « système » délictuel en droit pénal des affaires sans plus chercher de lien direct à la faute. Ainsi, en droit pénal financier, le tribunal a condamné la banque suisse UBS à une amende record de 4,5 milliards d’euros pour blanchiment de fraude fiscale au motif que la fraude « d’une particulière gravité trouve sa source dans une organisation structurée verticalement, systématique et ancienne ». Bref un « système », encore un.

Valérie de Senneville 

Implication des collaborateurs dans la démarche de gestion des risques. L’exemple du Cyber risque.

L’identification du risque et la mise en place de plans d’actions sont des étapes « classiques » de la démarche de gestion des risques. Orienter la démarche vers les opérationnels, les prendre en compte et les sensibiliser au risque est moins fréquent. Cela favorise pourtant une culture d’apprentissage et une pro-activité indispensables à la mise en place d’une démarche globale de gestion des risques. Pour une description de la démarche de gestion des risques en cinq étapes, voir Aubry, 2013.

Yann Girard propose de faire des collaborateurs la première ligne de défense de l’entreprise contre la cybercriminalité en les sensibilisant et en les impliquant dans la mise en oeuvre de la démarche.

Cybercriminalité : les collaborateurs, première ligne de défense de l’entreprise

Publié le 16 octobre 2018

Yann Girard

Chief Information Security Officer / Retail BanksFrance

 

Le nombre d’entreprises victimes de fraudes cybercriminelles ne cesse d’augmenter, elles sont des cibles privilégiées quelle que soit leur taille. Ainsi près de 80 % des entreprises ont constaté au moins une cyber-attaque en 2017, 77 % sont des petites et moyennes entreprises. Les conséquences, nous le savons, peuvent s’avérer parfois désastreuses.

Si le vecteur d’attaque est d’origine technologique et parfois extrêmement sophistiqué, la participation involontaire des victimes est la plupart du temps nécessaire au succès des opérations frauduleuses. Les cybercriminels s’appuient sur notre méconnaissance des outils, nos biais cognitifs et notre manque de vigilance pour arriver à leurs fins.

 Avant d’être technologique, la réponse à ce problème passe donc avant tout par la sensibilisation de chacun des collaborateurs de l’entreprise.

 Les 4 scénarios d’attaques suivants, fréquemment observés par les équipes de spécialistes antifraude Société Générale, peuvent ainsi être facilement évités si nous développons les bons réflexes :

–       La fraude au président : demande urgente et confidentielle d’un prétendu responsable hiérarchique ou d’une autorité pour effectuer un virement inhabituel en dérogeant exceptionnellement aux procédures internes. Dans un tel cas, une vérification auprès de sa hiérarchie s’impose.

–       Le fournisseur transmettant de nouvelles coordonnées bancaires pour régler sa prochaine facture. La demande est là aussi loin d’être neutre et nécessite un contre-appel à votre fournisseur pour vérifier s’il en est bien l’émetteur, et une vigilance sur la nouvelle domiciliation bancaire.

–       L’appel d’un faux support informatique, pour prendre le contrôle de votre PC à distance afin de réaliser des tests. Objectif : installer un logiciel qui permettra à l’attaquant de commettre des fraudes, voler vos données ou les détruire. Il est donc essentiel de s’assurer de l’identité de l’interlocuteur, et de la légitimité de l’opération.

–       Le troyen bancaire, reçu dans un mail de phishing souvent anxiogène ou promotionnel, qui vous incite à cliquer sur des liens ou des pièces jointes. Encore une fois, le risque est qu’un logiciel malveillant s’infiltre dans votre système d’information. Les mails sont le premier vecteur d’attaques, méfiance donc vis-à-vis des pièces jointes et des liens cliquables.

Ces scénarios d’attaques par ingénierie sociale sont très classiques mais fonctionnent encore malheureusement trop souvent : ils sont détectables et doivent éveiller notre vigilance. D’autant que les impacts peuvent être lourds, entre conséquences financières (jusqu’au redressement ou la liquidation judiciaire), et conséquences sociales et humaines (licenciements…).

D’où l’importance de sensibiliser les collaborateurs avant tout : ils doivent être conscients des menaces potentielles pour anticiper les scénarios d’attaques et protéger l’entreprise.

Identifiez ce qui est vital pour votre business, les collaborateurs les plus susceptibles d’être ciblés (trésoriers, équipes comptables…), et accompagnez- les en conséquence à travers des formations, des simulations, une charte de bonnes pratiques cybersécurité…

Société Générale organise par exemple chaque année ses Cybersecurity Hours, programme de conférences, ateliers pédagogiques et actions de sensibilisation à la Sécurité de l’Information. Elles ont lieu en octobre, pendant le mois européen de la Cybersécurité. Votre banque, dans son rôle de tiers de confiance, reste d’ailleurs un interlocuteur privilégié pour bénéficier de conseils et de recommandations sur ces sujets.

Nous ne pourrons jamais empêcher les fraudeurs d’essayer mais chacun d’entre nous peut leur compliquer la tâche voire déjouer leurs tentatives par des réflexes simples à acquérir et à entretenir. Déployer des solutions de sécurité en entreprise pour se protéger est nécessaire mais cela reste un investissement vain si les collaborateurs ne sont pas sensibilisés.

Cyber risque

Je vous propose deux articles sur le Cyber risque. Encore lui !

Le premier (Risques IT : Êtes-vous prêt pour la prochaine cyberattaque ?) préconise la mise en place d’une démarche de gestion des risques.

Le second (Le cyber-risque est (aussi) une affaire de Comex) va au-delà en préconisant la mise en place d’une gouvernance des cyber risques. Celle-ci semble bien (trop) ambitieuse dans la plupart des entreprises françaises, dans lesquelles la Fonction Risk Manager est encore une fonction en émergence mais l’auteur a le mérite de fixer l’objectif à atteindre.

Article 1 

Opinion | Risques IT : Êtes-vous prêt pour la prochaine cyberattaque ?

ALAIN-GABRIEL GOMANE / Senior Product Marketing Manager, MEGA International Le 12/10

Il y a un peu plus d’un an, Wannacry frappait lourdement de nombreuses entreprises et services publics. Cette attaque, provoquée par une simple absence de mise à jour, n’a pas connu d’équivalent depuis. Mais il pourrait ne s’agir que d’une période de calme avant la tempête.

Quoi qu’il en soit, il est indispensable pour toutes les organisations de gérer l’obsolescence de leurs applications, mais plus généralement, des risques IT, afin d’être moins vulnérables aux potentielles cyberattaques.

L’importance d’une culture de gestion des risques

Le développement des outils numériques engendre de nouveaux risques en matière de cyberattaques. Les hackers sont de plus en plus nombreux et usent de techniques toujours plus perfectionnées pour pirater leurs victimes. Selon des données de la Commission européenne, 80 % des entreprises de la zone ont déjà été touchées au moins une fois par une attaque depuis 2016, qu’il s’agisse de vol de données, d’actes frauduleux, ou de déstabilisations. Pourtant, les organisations n’ont pas toujours conscience du danger d’une cyberattaque. Et c’est seulement lorsqu’elles y sont confrontées qu’elles développent une culture de gestion des risques.

Par exemple, l’an dernier, le National Health Service (NHS) du Royaume-Uni a été victime d’un piratage. Cette organisation possédait un très grand parc informatique dont les machines étaient équipées de Windows XP, un système d’exploitation qui n’est plus mis à jour par Microsoft. Les pirates ont donc utilisé cette faille et sont parvenus à toucher cinquante hôpitaux. Ces derniers n’avaient plus accès à leurs applications de gestion des historiques médicaux, et n’étaient plus en mesure d’effectuer la moindre opération médicale ou chirurgicale pendant plusieurs jours. Mais NHS n’a pas été la seule victime de Wannacry. D’autres géants ont également été impactés à l’image de Vodafone, FedEx, Renault, Telefónica, le ministère de l’Intérieur russe ou encore la Deutsche Bahn !

Des organisations encore trop peu protégées face aux cyberattaques

Qu’il s’agisse de systèmes d’exploitation ou d’applications, les solutions informatiques peuvent comporter des failles qui ne sont pas toujours corrigées suffisamment rapidement par leurs éditeurs. Par ailleurs, nombreuses sont les organisations qui ne procèdent pas assez régulièrement aux mises à jour de sécurités. Face à elles, elles ont pourtant des cyberpirates qui justement exploitent ces vulnérabilités en utilisant notamment le phishing (usurpation d’identité au travers d’emails frauduleux) afin d’obtenir des données ou de l’argent, et créer des incidents ou interruptions de service.

Alors que les DSI sont bien au fait de ces risques, elles sont encore peu nombreuses à avoir déployé un véritable programme de gestion des risques IT. Cette situation s’explique par le fait que les mises à jour supposent de longues préparations qui consomment énormément de ressources. C’est ainsi qu’une faille peut être présente plusieurs mois avant qu’elle ne soit corrigée. Par ailleurs, les directions générales ont tendance à imposer un rythme de performance court-termiste et par conséquent opposé aux politiques de sécurité qui représentent des coûts, mais ne sont profitables qu’à moyen ou long terme. La sécurité est en effet vue le plus souvent comme un centre de coûts.

Faire de la DSI un centre de profits

Il serait intéressant de connaitre le coût d’une attaque informatique telle que Wannacry pour savoir ce que les victimes ont dû dépenser pour les enquêtes techniques, les honoraires de leurs avocats, les primes d’assurance. À cela pourraient également s’ajouter les coûts non quantifiables liés à l’arrêt d’activité ou à la perte de confiance de leurs clients. Enfin, on peut également se poser la question des efforts et ressources dédiées pour sécuriser les données clients, pour se mettre en conformité réglementaire (en particulier à la RGPD entrée en vigueur il y a quelques semaines) ou pour améliorer les dispositifs de cybersécurité… Si les victimes de Wannacry n’ont bien entendu pas communiqué sur ce montant, les conséquences existent bel et bien.

Pour tirer les leçons de cette attaque, les organisations, qu’elles en aient été ou non les victimes, ont tout intérêt à anticiper la prochaine attaque en préparant les conditions pour la contrecarrer. Il s’agirait de réduire au maximum le nombre de failles exploitables par les hackers, mais également de minimiser l’impact qu’une telle attaque puisse avoir sur toute l’entreprise.

Avant de corriger les failles, il est évidemment indispensable de les identifier. Créer un référentiel de toutes les applications ainsi que des technologies qui les supportent permet d’en maîtriser l’obsolescence. Une fois ce travail réalisé, la DSI peut choisir soit de migrer les technologies obsolètes vers de nouvelles versions plus sécurisées, soit de retirer de la circulation des systèmes applicatifs dangereux pour les redévelopper. Une autre option consiste à continuer l’utilisation de ces technologies obsolètes : la DSI devra alors déclarer et gérer les risques IT engendrés.

Lorsque les failles sont identifiées et qu’une décision a été prise, il deviendra nécessaire d’analyser l’impact potentiel des applications rendues indisponibles par une attaque. Cela passe par une analyse des processus et des fonctions de l’entreprise qui travaillent avec les applications potentiellement touchées. Afin de minimiser cet impact, il est impératif de mettre au point ainsi qu’implémenter un plan d’urgence.

Article 2

Le cyber-risque est (aussi) une affaire de Comex !

mardi 9 octobre 2018, par La Rédaction

Tribune. Selon un rapport publié par le Forum économique mondial de Davos en 2018 (1), la cybermenace se hisse désormais, pour les dirigeants, à la troisième place des risques considérés comme les plus probables. Et c’est naturellement cette perception qui pousse ces mêmes dirigeants à ne plus les ignorer. Par Hervé Ysnel, CGI Business Consulting

Les dirigeants ne tournent plus le dos devant la cybermenace. D’une part, les cyber-risques ont gagné en visibilité médiatique – aucun dirigeant d’entreprise ne veut faire la une des journaux télévisés sur ces sujets ! -, qu’il s’agisse de fuites de données ou d’interruptions brutales d’activité. D’autre part, les défaillances des entreprises en matière de cybersécurité entament fortement leur réputation, l’image, le capital confiance et in fine, ont un impact sur leur performance financière. Comment ne pas citer Saint-Gobain qui a vu fondre son chiffre d’affaires de plus de 200 millions d’euros suite à l’attaque NotPetya ou Equifax qui a perdu les données personnelles de ses clients et par ricochet 35 % de sa valorisation en quelques jours. Le lien entre cybersécurité et valorisation financière n’est plus à faire. Des agences (2) de notation se sont positionnées sur ce créneau en attribuant désormais une note au niveau de cybersécurité.

Ce sujet qui empêche les dirigeants de dormir…

Dans un contexte tendu où la menace est chaque jour plus prégnante, il est plus que temps pour les entreprises d’adopter une réelle gouvernance du cyber-risque. Jusqu’ici, le terme même de gouvernance était employé à tort. Les organisations se contentaient plutôt de réduire (3) le risque avec des projets et plans d’actions de responsables de la sécurité des systèmes d’information (RSSI) souvent très compétents mais ayant rarement l’oreille du Comex pour y trouver budgets et prise de décision stratégique.

Quand on parle de gouvernance, il faut l’entendre selon la célèbre maxime militaire, “gouverner, c’est prévoir”. La cybermenace pèse désormais tellement sur l’avenir d’une organisation qu’elle doit nécessairement s’inviter dans les discussions des conseils d’administration. La prise de décision doit en effet remonter dans les plus hautes sphères de l’organisation. L’objectif n’est pas simplement de prévenir mais aussi de garantir la conformité, alors que de plus en plus d’instances, nationales ou internationales, légifèrent et poussent les entreprises à agir plus concrètement.

Vers une nouvelle organisation

Partons de ce postulat : toute entreprise est susceptible de connaître un incident majeur lié à la cybersécurité. Celles qui s’en sortiront (sans trop de dommages) seront celles qui auront anticipé. Anticiper, cela signifie par exemple prévoir des plans de continuité d’activité et de gestion de crise. Il est donc primordial que le Comex s’intéresse à ce sujet pour ajuster son niveau d’implication et se positionner dans la prise de décision et le pilotage des crises.

Au-delà, il est également essentiel de nommer un responsable du risque cyber au Comex. Un grand groupe bancaire a d’ailleurs récemment intégré dans son comité de direction un représentant de la sécurité en la personne d’un ancien Général. Preuve que la prise de conscience germe, lentement mais sûrement. De nombreuses entreprises suivent cette démarche en faisant porter le risque cyber à un acteur de la sûreté, de la conformité, du contrôle… Le choix se faisant principalement selon l’organisation et le secteur d’activité de l’entreprise.

La nécessaire évolution du pilotage du risque

Si le sujet des cyber-risques gagne en visibilité au sein des sphères dirigeantes, une stratégie nouvelle va devoir être définie et impulsée. Car pour décider, les dirigeants doivent pouvoir disposer de toutes les données de l’équation. Un exemple : faut-il lancer rapidement un produit potentiellement vulnérable ou faut-il au contraire prendre du temps pour aboutir à un produit plus fini et risquer de perdre des parts de marché ?

De fait, les responsables du cyber-risque doivent arriver avec de nouvelles approches, telles que des méthodes d’appréciation ou d’analyse de risque global et plus de quantification (4) normée des risques. L’enjeu consistant au final à rapprocher des risques de natures différentes et travailler de concert avec les autres fonctions de défense de l’entreprise : contrôle interne, audit interne, risk management… Le concept d’Entreprise Risk Management (ERM) prend alors tout son sens.
Selon la même logique, les reportings doivent évoluer, dans la forme et le fond. Les indicateurs doivent pouvoir répondre aux questions des dirigeants, aussi bien sur les dépenses en sécurité que sur les activités clés à maintenir en cas d’incident, la conformité à la réglementation ou les pratiques d‘acteurs semblables (il faut pouvoir se positionner !).
Cette petite révolution est bien sûr bousculée par le numérique et les avancées qu’il permet en matière de gestion des cyber-risques. La digitalisation de la fonction de RSSI est en marche : les outils de GRC (Gouvernance-Gestion des risques-Conformité ou Governance-Risk Management-Compliance en anglais) automatisent de nombreuses tâches pour permettre, dans un futur proche, couplé avec le SOC (Security Operation Center), un suivi en temps réel du cyber-risque. Ainsi, la numérisation va conditionner la qualité et l’efficacité de la mission réalisée par le représentant du cyber-risque et donc sa capacité à répondre aux besoins de ses dirigeants.

(1) https://www.weforum.org/reports/the-global-risks-report-2018

(2) Les agences BitSight ou Ratingcy par exemple, ou Cyrating en Europe

(3) En complément de la réduction du risque, le transfert du risque à un Tiers et principalement à la cyberassurance prend son envol depuis quelques mois

(4) Les méthodes d’analyse de risque cyber font de plus en plus appel à la quantification financière des incidents et des risques ce qui facilite la comparaison entre des risques de nature différente.

 

 

 

Préparez le mois européen de la cybersécurité

Dans sa newsletter du 20 septembre 2018 L’AMRAE nous rappelle l’agenda du mois européen de la Cybersécurité.

Le Mois européen de la cybersécurité donnera la parole aux ministères, associations, organisations professionnelles et autres acteurs clés impliqués dans des actions de sensibilisation à la sécurité du numérique.

Des ateliers et conférences seront organisés partout en France, à destination des chefs d’entreprise, des citoyens ou encore des étudiants tout au long du mois d’octobre.

L’ENGAGEMENT POUR LE MOIS EUROPÉEN DE LA CYBERSÉCURITÉ 2018


 

Aujourd’hui tout est numérique, et ce qui ne l’est pas le sera bientôt. En tant que citoyen et citoyenne, nous avons tous accès à un ordinateur, une tablette ou encore un téléphone pour notre usage personnel mais aussi professionnel. Ces moyens de communication sont de plus en plus connectés, gagnant en accessibilité et en simplicité pour nos usages du quotidien. . Autant d’outils du quotidien, indispensables dans notre vie numérique, et qui abritent aujourd’hui des données personnelles ou critiques dont il appartient à chacun d’assurer la sécurité.

Porteur de croissance et d’innovation, le monde numérique dans lequel nous évoluons est aussi profondément vulnérable face à des risques inédits, qui visent l’ensemble des usagers, et ce sans discrimination. Il est primordial de comprendre ces risques auquel nous devons tous faire face pour voir aboutir des solutions dans le long terme.

Par ailleurs, deux réglementations majeures ont abouti en 2018 aux impacts majeurs pour assurer la sécurité des données des entreprises, des administrations et aussi des citoyens : la sortie du règlement pour la protection des données personnelles (RGPD)  et la mise en œuvre de la directive NIS au sein des Etats membres.

Tout au long du mois d’octobre, tous les acteurs engagés dans le Mois européen de la cybersécurité vous apporteront des clés de lecture pour comprendre les enjeux de la sécurité du numérique et vous permettre d’entrer à votre tour en action pour sécuriser efficacement votre vie numérique !

ILS S’ENGAGENT POUR LA SÉCURITÉ DU NUMÉRIQUE

Le Mois européen de la cybersécurité donnera la parole aux ministères, associations, organisations professionnelles et autres acteurs clés impliqués dans des actions de sensibilisation à la sécurité du numérique.

Des ateliers et conférences seront organisés partout en France, à destination des chefs d’entreprise, des citoyens ou encore des étudiants tout au long du mois d’octobre.
Retrouvez le programme de l’édition 2018

QUATRE SEMAINES, QUATRE THÈMES

Afin de rendre l’information accessible au plus grand nombre, une campagne de sensibilisation sera organisée sur le web tout au long du mois, animés par l’ensemble des acteurs engagés dans la campagne. Plusieurs thèmes rythmeront le mois :

1ER AU 7 OCTOBRE 2018

CONNAISSEZ-VOUS LE B-A-BA POUR SÉCURISER VOS DONNÉES ?

La sécurité du numérique est souvent perçue comme un domaine réservé aux experts. Pourtant, quelques réflexes simples à la portée de chacun, peuvent, dans bien des cas, éviter des catastrophes ! Retrouvez nos conseils pour comprendre pourquoi et comment sécuriser vos données …

8 AU 14 OCTOBRE 2018

LA FORMATION ET LES MÉTIERS DE LA SÉCURITÉ DU NUMÉRIQUE, ÇA VOUS PARLE ?

Analyste sécurité, auditeur, délégué régional à la sécurité numérique, chargé de mission « management des risques crises cyber », … mais qui se cache derrière ces intitulés de postes ? Derrière l’image d’Epinal du geek scotché à son écran d’ordinateur, on découvre une diversité de parcours professionnels variés et passionnants à explorer !

15 AU 21 OCTOBRE 2018

SÉCURISER SES DONNÉES, OUI MAIS POUR FAIRE FACE À QUOI EXACTEMENT ?

Cybercriminalité, espionnage économique, sabotage, déstabilisation… le cyberespace regorge d’acteurs malveillants rivalisant d’ingéniosité et de plus en plus soutenus financièrement. Adopter des réflexes de sécurité c’est bien, comprendre pourquoi c’est encore mieux !

22 AU 29 OCTOBRE 2018

ET DEMAIN, QU’EST-CE QUI VOUS ATTEND ?

Les attaques sont plus sophistiquées, mieux élaborées, plus destructrices et touchant désormais l’ensemble de la société …. Cette tendance ne pourra que s’amplifier dans le futur avec la multiplication des objets connectés, le développement de l’intelligence artificielle, etc. Etes-vous prêts à faire face aux enjeux de demain ?

UN ÉVÉNEMENT DE SENSIBILISATION DE PREMIER ORDRE

Le Mois européen de la cybersécurité c’est avant tout une démarche européenne grâce à laquelle des campagnes de sensibilisation à la sécurité du numérique organisées dans plus d’une vingtaine de pays gagnent en visibilité.

L’objectif partagé en Europe, et par tous les acteurs engagés en France, est d’aborder à plusieurs voix les défis que représente la transition numérique. Porteuse d’innovation et de croissance, elle engendre aussi des risques pour l’Etat, les entreprises et les citoyens, avec l’émergence de nouvelles failles et vulnérabilités, souvent exploitées à des fins malveillantes.

COMMENT ACCOMPAGNER CES ACTEURS DANS LEUR DÉMARCHE DE SÉCURISATION DE LEURS DONNÉES FACE À CES RISQUES ?

Coordonné en France par l’Agence nationale de la sécurité des systèmes d’information (ANSSI), le Mois européen de la cybersécurité, ou ECSM, est un événement européen de sensibilisation organisé chaque année en octobre avec le soutien de l’ENISA, l’agence européenne chargée de la sécurité des réseaux et de l’information.

Pendant le mois d’octobre, des activités de sensibilisation seront organisées en France et en Europe autour des enjeux de la sécurité du numérique (menaces, bonnes pratiques, formation en SSI, etc.). Conférences, vidéos, campagnes de communication… de nombreux acteurs publics et associatifs se mobilisent en France pour proposer un programme de sensibilisation ambitieux et pédagogique à destination des professionnels, des particuliers et des étudiants.

POURQUOI LA FRANCE Y PARTICIPE ?

Depuis plusieurs années la France participe activement au Mois européen de la cybersécurité – l’édition 2018 ne fait pas exception !

Il y a 10 ans déjà, la France a placé la cybersécurité au rang de priorité nationale, donnant naissance à un modèle de cybersécurité et de cyberdéfense qui porte ses fruits. Réaffirmé récemment avec la sortie de la « Revue stratégique de cyberdéfense  » en février, ce modèle repose notamment sur un principe fondamental : seule une réponse collective aux risques cyber permettra le développement d’une société numérique pérenne et de confiance.

L’ANSSI, aux côtés de l’ensemble des ministères mais aussi des acteurs de la société civile et du tissu industriel de la cybersécurité, s’engage dans le Mois européen de la cybersécurité, un événement qui incarne cette mobilisation d’acteurs variés, en France et en Europe, au service d’un objectif : favoriser l’émergence d’une culture partagée de la sécurité du numérique