Merci d’avoir suivi mon blog.
A la rentrée : retour sur le rôle du législateur-régulateur comme amplificateur de risques avec les premières sanctions pour infraction au RGPD, point sur le marché des assurances, le rôle des captives…
Je terminerai l’année civile sur ce conseil de lecture. Ce sera le dernier post avant 2021.
Lien vers l’ouvrage : https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html
A la question de la place du Risk Manager dans l’entreprise, l’un des intervenants d’un webinaire de l’AMRAE répondait : « il doit être dans la warroom, mais la fonction est encore sous-staffée. Les entreprises ne pourront pas ignorer la fonction. S’il y a une fonction sur laquelle il faut investir, c’est la Fonction Risk Manager ». Je défends ce point de vue dans mes articles depuis de nombreuses années au point d’avoir co-écrit un ouvrage sur cette fonction. Découvrez la Fonction Risk Manager, un « job de dingue » !
Pour commander :
https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html
Une interview intéressante de Laurent Giordani sur les rapports entre le département achats et le risk management. Une mise en perspective concrète qui souligne l’intérêt de penser de manière globale le dispositif opérationnel de continuité d’activité (en particulier concernant les relations fournisseurs)
Le risk management ne peut plus être le parent pauvre des politiques achats »
Comment les achats peuvent-il anticiper la relance? Quels enseignements tirer de cette crise? Quelle stratégie achats pour demain? L’avis de Laurent Giordani, associé du cabinet de conseil en management Kyu Associés, responsable de l’expertise Risk Management.
Quelles doivent être, selon vous, les points de vigilance prioritaires des services achats en cette période compliquée ?
Avant tout, il s’agit de ne pas s’éparpiller dans ce contexte particulièrement dense. Le premier point de vigilance, c’est l’évolution des besoins. A charge pour les achats d’être bien connectés aux donneurs d’ordre internes pour transmettre le bon signal aux fournisseurs.
Le deuxième point de vigilance est bien entendu l’évaluation des impacts sur les capacités. C’est plus que jamais le moment de suivre et mettre à jour son rating de risque fournisseur, à la fois sur les aspects opérationnels – production, approvisionnements, stocks, distribution – et santé financière. Cela passe par une connexion étroite et suivie avec ses partenaires clé, qui doivent eux-mêmes conduire la même démarche.
Enfin, le troisième point de vigilance est la capacité des fournisseurs à organiser la continuité et la reprise d’activité. Dans un baromètre des Risques Supply Chain que nous avons réalisé en décembre dernier, seuls 40% des répondants affirmaient disposer d’un Plan de Continuité d’Activité opérationnel. Au-delà de l’ampleur inédite et imprévisible de cette pandémie, cela montre le manque de préparation des entreprises en général à gérer des crises majeures et réagir efficacement.
Comment peuvent-ils aider à pérenniser l’activité économique de l’entreprise ? Doivent-ils rompre les contrats en cours si les produits ne sont pas de prioritaires pour eux ?
Il n’y a pas de réponse générale, c’est vraiment du cas par cas à l’échelle de l’entreprise voire même du fournisseur. Mais pour ne pas affecter encore plus la capacité de reprise, mieux vaut éviter au maximum les annulations pour ne pas aggraver la santé financière des fournisseurs fragiles. Dans la mesure du possible, il faut plutôt privilégier des décalages de planning.
Comment identifier rapidement les fournisseurs stratégiques en difficulté et quelles mesures mettre en oeuvre pour les préserver ?
Il n’y a pas de recette miracle. Malgré le confinement, c’est le moment d’être hyper connectés avec ses partenaires. Une cellule de crise doit être activée pour aligner les projections et suivre un plan d’actions commun. Il s’agit aussi d’amener ses partenaires clés à déployer ce type de dispositif en cascade avec leurs fournisseurs pour essayer de couvrir l’ensemble de la chaîne.
Attention toutefois au terme stratégique. Il ne concerne pas que le top 10 des fournisseurs en termes de chiffres d’affaires, mais bien les fournisseurs dont la capacité est incontournable. Hyundai a par exemple été contraint, fin février, d’arrêter la plus grosse usine d’assemblage du monde pour une rupture de composants de câblage de faible valeur.
Les plus fragiles auront avant tout besoin de soutien financier, via des commandes ou une réduction des délais de paiement. Système U a par exemple décidé de payer comptant les PME fournissant des produits locaux. Autre type de support : la capacité d’analyse. Comme nous le disions précédemment, beaucoup d’entreprises ne sont pas préparées à la gestion de crise. Un support méthodologique et des capacités d’analyse peuvent leur permettre de prendre les bonnes décisions et maintenir la tête hors de l’eau.
Est-il possible d’identifier de nouveaux fournisseurs afin de limiter la pénurie des approvisionnements ?
Là encore, il n’y a pas de réponse générique. Entre qualifier une nouvelle source de principe actif dans l’industrie pharmaceutique ou trouver un nouveau façonnier pour une enseigne de mode, ce ne sont clairement pas les mêmes implications. Reste à savoir s’il est plus pertinent de chercher à trouver un nouveau fournisseur ou de se consacrer à accompagner la reprise du panel existant. Comme la crise est à présent mondiale, peu de fournisseurs vont échapper aux perturbations…
Plus qu’une logique de pallier les ruptures, le sourcing doit servir à mieux équilibrer le potentiel de risque face aux futurs développements de la crise. Si, par exemple, 90% de la capacité est répartie entre l’Inde et le Bangladesh, il est plus qu’urgent de trouver des sources alternatives !
Comment les achats peuvent-ils anticiper la relance ? Est-il possible de préempter des stocks ?
Oui, c’est possible et c’est même indispensable dans un certain nombre de cas. Qu’il s’agisse de composants clé type électronique ou d’équipements de protection, les achats doivent anticiper les pénuries pour être les premiers servis. Les fluctuations des cours sur les matières premières sont aussi à surveiller pour prendre les bonnes options.
Au-delà des stocks, il faut aussi négocier des réservations de capacité industrielles et logistiques. Et concernant les masques de protection, cela peut même aller jusqu’à développer de nouvelles capacités, vu la concurrence à l’achat actuelle et à venir.
Quels sont, selon vous, les premiers enseignements à en tirer pour établir les futures politiques achats ?
L’enseignement majeur est que le Risk Management ne peut plus être le parent pauvre des politiques achats face aux enjeux de compétitivité. La résilience doit nécessairement être revalorisée dans les choix de sourcing et de schémas industriels.
La présence d’un dispositif de Risk Management chez le fournisseur n’est plus suffisante, il faut mesurer sa qualité et en faire une partie prenante des critères de mieux disance.
Quels seront, demain, les grands axes de réflexion à privilégier en termes d’achats ?
Il est encore tôt pour le dire. Mais a minima, les achats devront répondre aux trois enjeux mis en évidence par cette crise : la maîtrise, l’agilité et la résilience.
Après cette crise, il ne sera plus acceptable de ne pas avoir de visibilité sur ses fournisseurs au-delà du rang 1. Nombreux sont ceux qui sont encore dans ce cas et qui auront perdu un temps précieux et connu de mauvaises surprises.
Il faudra également se donner les moyens d’être plus agiles. L’équilibrage des capacités, et donc des risques, devra être mieux balancé face à la massification à outrance.
Le dernier axe de réflexion porte sur la continuité d’activité. Développer un dispositif opérationnel de continuité d’activité va devenir un pré-requis. Mais pour que le dispositif assure le bon niveau de résilience à un coût acceptable, il faut aussi le penser de manière globale entre les donneurs d’ordre et leurs partenaires stratégiques. Cela pourrait être une évolution majeure dans la manière de penser et d’organiser sa relation fournisseur.
Pensez-vous qu’il va y avoir une vague massive de relocalisation, de priorité aux achats locaux ?
Massive, certainement pas. Ce pourra être le cas pour certaines productions stratégiques s’il y a une impulsion politique forte pour privilégier l’indépendance vis-à-vis de la Chine à la rentabilité économique. Pour le reste, la compétitivité restera nécessairement un facteur clé qui ne permettra pas de rebasculer totalement vers des achats locaux. Dans un certain nombre de secteurs les savoir-faire ne sont également plus là et sont monopolisés par l’Asie.
En revanche, il est souhaitable de ré-équilibrer ses schémas industriels pour répondre aux enjeux de maîtrise, d’agilité et de résilience. Une intégration plus forte des savoir-faire et la production en zone pour zone sont clairement des réponses à ces enjeux et doivent être intégrées dans les stratégies achats.
Publié par Aude Guesnon le 7 avr. 2020
Pour préparer ma participation à la Table Ronde organisée aujourd’hui (reportée au mois de juin 2020) par la Mêlée Numérique à Toulouse, j’ai entrepris de lister toutes les cyberattaques connues et intervenues contre des organisations française depuis janvier 2020. Ma liste est déjà longue.
Je vous dépose ci-dessous un article intéressant de cyberattaques contre trois municipalités. On y retrouve les éléments d’identification d’un risque : description de celui-ci, causes, impact. Et quelques Plans d’Actions proposés par Deloitte et détaillés dans un rapport intitulé « Ransoming government : What state and local governments can do to break free from ransomware attacks ».
Technologie : « Cette cyberattaque, inédite par son ampleur et sa force de frappe, n’a pu être évitée » assurent les responsables locaux. L’attaque touche des systèmes informatiques très importants en cette période d’élection et de pandémie de Coronavirus.
Par La rédaction de ZDNet.fr | lundi 16 mars 2020
Impossible dimanche soir pour les journalistes présents en mairie de Marseille d’obtenir les résultats du premier tour des municipales. La cause ? Une attaque informatique qui paralyse depuis le 14 mars dernier les systèmes informatiques de la municipalité, phocéenne.
La métropole Aix-Marseille-Provence a également été victime de l’attaque, tout comme la ville voisine de Martigues. 300 machines informatiques ont été bloquées assure l’Agence nationale de sécurité des systèmes d’information (Anssi) à l’AFP.
Problème, ces machines devaient créer les listes d’émargement des procurations en vue des élections. Les listes ont donc du être faites à la main, ce qui a ajouté au chaos rapporté sur place dans les bureaux de vote, pour diverses raisons. La Provence précise de son côté que les systèmes informatiques de la région PACA seraient également concernés.
La mairie de Marseille a assuré que « les élections municipales auraient lieu normalement ». Reste que lundi matin le site de la métropole ne fonctionnait pas. La mairie de Martigues prévient quant à elle que « l’accueil du public sera affecté dans les prochains jours » du fait de cette cyberattaque.
« Malgré les précautions extrêmes prises au quotidien pour protéger les équipements informatiques et se prémunir des virus et du piratage, cette cyberattaque, inédite par son ampleur et sa force de frappe, n’a pu être évitée » a déclaré par communiqué Martine Vassal, candidate Les Républicains à la mairie de Marseille, et présidente de la métropole Aix-Marseille-Provence. « Cette attaque repose sur un rançongiciel (ransomware), un logiciel malveillant qui bloque l’accès à un ordinateur ou à des fichiers en les chiffrant, tout en réclamant à la victime le paiement d’une rançon ».
Elle précise par ailleurs que les équipes techniques sont à pied d’œuvre pour faire un diagnostic précis des systèmes compromis afin d’ »arrêter la propagation » de cette attaque et d’en « limiter l’impact ». Pour éviter un dysfonctionnement de plus grande ampleur, la Métropole a demandé à ses agents de ne pas allumer leur ordinateur fixe ou portable. La collectivité explique travailler avec les instances nationales de sécurité, pour « permettre le rétablissement du réseau informatique dans les meilleurs délais ».
« Les systèmes de sauvegarde et de récupération devraient permettre de limiter les dégâts et récupérer la plupart des données », tient-elle à rassurer. L’enquête a été confiée à la sous-direction de la lutte contre la cybercriminalité de la police nationale.
Mardi dernier, ce sont les systèmes informatiques de la ville de Charleville-Mézières et d’Ardenne Métropole qui étaient visés par une attaque similaire. Selon le média local l’Ardennais, la mairie avait du faire appel à des experts en cybersécurité pour débloquer les systèmes. Le lendemain, la ville ardennaise avait annoncé un retour progressif à la normale.
Si l’épidémie de ransomware touche les systèmes informatiques des collectivités locales tout comme ceux des entreprises, il existe des raisons plus spécifiques pour lesquelles les pirates s’entichent des sites de mairies et communauté d’agglomération.
Mercredi dernier, Deloitte a publié un rapport intitulé « Ransoming government : What state and local governments can do to break free from ransomware attacks », qui examine comment ces attaques peuvent avoir lieu – et ce que les employés du secteur public devraient faire pour relever le défi des ransomwares. Selon les chercheurs, comme les collectivités locales proposent de plus en plus de services numériques, la surface d’attaque s’est radicalement accrue ces dernières années.
« Il y a quelques décennies, il y avait peut-être quelques ordinateurs dans (ces organisations) », note le rapport. « Chacun de ces ordinateurs est un point d’accès potentiel pour les logiciels malveillants, avec pour conséquence que la surface d’attaque potentielle qu’une collectivité locale doit protéger s’est considérablement accrue sans investissements proportionnels dans la cybersécurité ».
L’utilisation de systèmes et de logiciels anciens, dépassés et inadéquats est un autre problème qui provoque des faiblesses dans ces organisations. Les défaillances dans la gestion des cycles de patchs, les systèmes d’exploitation anciens qui ont dépassé les dates de fin de support, et les budgets serrés empêchant la modernisation et contribuent aux infections par les ransomwares.
« Pour les organisations publiques nationales et locales qui fonctionnent avec des systèmes anciens, la mise à jour de ces systèmes peut être une bataille redoutable » note Deloitte.
Cependant, l’étude suggère que même si les systèmes anciens peuvent représenter un défi, le facteur humain est le plus grand problème pour le secteur public. Sans personnel qualifié et sans une sensibilisation générale à la cybersécurité, la possibilité que les pirates utilisent les vulnérabilités, le phishing et l’ingénierie sociale pour compromettre les réseaux augmente.
Une enquête menée par la NASCIO et Deloitte montre que le manque de budget est la principale préoccupation des RSSI et responsables de sécurité informatique de ces organisations depuis 2010. Seulement un à deux pour cent du budget informatique moyen de ces organisations est utilisé à des fins de cybersécurité.
Par ailleurs, il s’avère que les collectivités locales paient le plus souvent les preneurs d’otage de leurs systèmes d’information plutôt que d’essayer de restaurer les systèmes par des sauvegardes – si cela est possible – ou de faire face à la possibilité de longues semaines à compter uniquement sur des documents papier. Un exemple cité dans l’étude est celui de la ville de Baltimore, qui a refusé de céder à une demande de rançon de 76 000 $, pour ensuite perdre plus de 18 millions de dollars en frais de recouvrement et en pertes de revenus.
Selon Deloitte, les considérations essentielles des collectivités locales pour lutter contre le risque de ransomware doivent être :
Blog de Caroline Aubry 