Archives pour la catégorie RISQUES

CA BOUGE DU COTE DU CYBER RISQUE (2) QUEL IMPACT ? QUEL COUT ?

Nouvelles publications sur le Blog consacrées au cyber risque et à la cyber sécurité.
ERM, Gestion des Risques, Analyse du risque, Evaluation du cyber risque.
  • Après l’avoir décrit, contextualisé et identifié ses modalités, un résumé des causes et conséquences du cyber risque (risque cyber) ;
  • Deux articles proposant une estimation de son coût. Ces études font écho à celles déjà menées sur le risque réputation.
A lire et à relire sur le blog dans la catégorie Risque et la sous-catégorie Cyber risque et cyber sécurité :
Rappel de ce qu’est le cyber risque – analyse du risque / description, contextualisation, modalités ; dernières attaques – :
Estimations / évaluation du risque / coût du risque de réputation :
Le cyber risque dans les classements de risques :  
https://gestiondesrisques.net/2022/01/20/un-2eme-classement-des-risques-par-les-entreprises-le-barometre-dallianz/ https://gestiondesrisques.net/2022/01/17/classement-des-risques-par-les-entreprises/
La réticence des assureurs à assurer le cyber risque :
https://gestiondesrisques.net/2021/03/09/risques-assurances-marche-des-assurances-cyberrisque-et-assurances/
 Le RGPD dans le rôle d’amplificateur de risque et la nécessité de mettre en place une démarche de gestion des risques (ERM) :
https://gestiondesrisques.net/2021/01/26/rgpd-best-practices-et-plans-dactions/
Le cyber risque et le télétravail. Démarche de gestion des risques (ERM) et plans d’actions :
https://gestiondesrisques.net/2021/10/06/teletravail-risques-et-plans-dactions-ou-quels-plans-dactions-pour-gerer-les-risques-lies-au-teletravail-et-selon-quelle-approche-2/
https://gestiondesrisques.net/2021/09/14/teletravail-et-risques-2/

Cyber risque : causes et conséquences

Pour compléter l’analyse (étape d’identification) du cyber risque, nous pouvons citer comme causes de sa survenance :

  • la mauvaise protection des réseaux locaux ;
  • l’absence de mise à jour par les utilisateurs ;
  • des systèmes et logiciels anciens et vulnérables ; une mauvaise sécurisation des données ;
  • l’augmentation des activités en ligne, notamment avec le télétravail ;
  • la prise en compte insuffisante du risque par manque de moyens financiers, de personnel qualifié, de sensibilisation et de culture du risque notamment dans les municipalités ;
  • le sous-contrôle du risque…

Ses conséquences sur l’organisation sont multiformes et peuvent être lourdes :

  • interruption du fonctionnement d’un service et détermination nécessaire d’un délai de retour à la normale qui peut prendre la forme d’une paralysie pendant plusieurs semaines de l’accueil dans les mairies et dans les hôpitaux avec un impact sur les rendez-vous, les interventions, l’imagerie, les actes…et les patients eux-mêmes, l’arrêt de la production de certains sites dans les entreprises…

Quel Impact ? Quel coût ?

 Risque cyber : une société mal préparée peut perdre jusqu’à 20 % de sa valeur 

Investisseurs et repreneurs tiennent compte des risques cyber dans l’évaluation des entreprises qu’ils convoitent. Une société mal préparée peut perdre jusqu’à 20 % de sa valeur. Alors avant d’ouvrir son capital ou de vendre, un audit informatique complet s’impose.

Les cyberattaques ont augmenté de 13 % l’année dernière, selon la société Orange cyberdefense. Et ce sont les TPE et PME qui sont le plus souvent visées. Elles font l’objet de 3 attaques sur 4. Quant au risque le plus élevé, il s’agit du ransomware ou rançongiciel qui constitue 38 % des incidents enregistrés. Les conséquences de ces attaques sont, elles, très difficiles à évaluer.

En cas de cyberattaque, les pertes de données mais aussi les pertes financières varient d’une entreprise à l’autre, selon le degré de préparation ou d’impréparation plutôt de chaque entreprise. Peu d’études ont tenté jusque-là d’en évaluer précisément le coût direct, et surtout indirect.

Un vol de données dévalorise l’actif

Une enquête réalisée par Bessé, en partenariat avec PwC France, avec Guy-Philippe Goldstein, chercheur et spécialiste des questions de cyberdéfense, apporte un éclairage nouveau sur cette question. L’étude analyse 30 incidents majeurs de cybersécurité s’étant produits dans 28 entreprises mondiales entre 2008 et 2017.

Les deux tiers de ces sociétés ont vu leur valeur boursière affectée avec, en moyenne, plus d’un an après l’incident, une perte de la valeur patrimoniale de 10 %, et même de 20 % pour les entreprises les moins réactives et les moins bien préparées. Au bout de douze mois, la diminution globale du cours de l’action est de 19,5 %, ce qui peut être vu comme une perte structurelle pour l’entreprise, et génère de facto un déficit de confiance.

Si la variation du cours de Bourse traduit l’impact du cyberrisque sur les entreprises cotées, quel est l’indicateur pour les entreprises non cotées ? Investisseurs et repreneurs potentiels analysent et estiment les risques cyber dans leur calcul de valorisation. « La menace cyber impacte la valeur des actifs. Un entrepreneur qui achète des données clients, et qui n’est pas certain de leur sécurité, va généralement défalquer 20 % de la valeur de la société cible », rapporte Laurent Bernier, dirigeant de la société Les Oies du Cyber, spécialisée dans la cybersécurité pour les PME.

L’ampleur des enjeux plaide donc pour une stratégie d’anticipation et une analyse amont du risque cyber. « La cybermenace concerne aussi bien la réputation de l’entreprise que la perte de confiance, poursuit Laurent Bernier. Si l’entreprise se voit piller dix ans d’historique clients, un secret de fabrication dans un vol de données, si une cyberattaque remet en cause la relation avec l’un de ses principaux clients à la suite d’une fuite d’informations, le nouvel acquéreur va perdre une partie de la jouissance future du bien ».

Auditer le système d’information

Un investisseur ou un repreneur va donc s’efforcer de comprendre comment l’entreprise qu’il convoite se protège, se prépare et cherche à diminuer l’impact d’une éventuelle attaque. Pour cela, il va analyser en profondeur les dispositifs de prévention et les outils de réponse. Notamment en menant un audit. « Plus l’entreprise est digitale, plus l’audit est complexe », prévient Laurent Bernier. Il convient de détailler la politique de mots de passe et d’autorisations, les conditions de connexion sur site et en dehors de l’entreprise.

Un audit devrait aussi comporter un scanner des vulnérabilités pour identifier les points faibles des infrastructures matérielles et logicielles afin de détecter rapidement les failles de sécurité qui pourraient être exploitées par une personne malveillante. Enfin, il faut s’assurer que l’entreprise a bien mis au point un plan de continuité efficace en cas d’incident majeur

Pour que cette analyse soit la plus pertinente, l’investisseur ou le repreneur s’entoure en général d’un expert qui devra s’assurer de la qualité des outils informatiques et évaluer le dispositif technique de détection des attaques. Evidemment, cette analyse devrait aussi être conduite par toute entreprise qui souhaite ouvrir son capital ou trouver un repreneur. « Pour prouver sa fiabilité, un vendeur a tout intérêt à anticiper. Cette démarche demande du temps, environ un an. Une entreprise bien protégée, dotée d’une approche globale et structurée, va augmenter sa valeur de 10 à 15 % », conclut l’expert en cybersécurité Laurent Bernier.

Mallory Lallane  Le 22/03/ 2022

78 % des entreprises françaises ont subi une attaque par ransomware au cours de cinq dernières années

Et 69 % d’entre elles ont versé une rançon, selon une étude d’ExtraHop

La nouvelle enquête Cyber Confidence Index d’ExtraHop révèle que les décideurs en matière de sécurité et d’informatique ont confiance dans la posture de sécurité de leur entreprise malgré la fréquence des attaques

Parmi les autres principaux résultats de l’enquête :

  • Coût élevé des ransomwares : 69 % des participants admettent avoir déjà versé une rançon tandis que 36 % des entreprises victimes d’une attaque par ransomware déclarent avoir payé la somme demandée dans la plupart ou la totalité des cas. En outre, les victimes de ransomwares font état d’autres préjudices, parmi lesquels une interruption de l’activité (45 %) ou du travail des utilisateurs (40 %) ou encore une perte de propriété intellectuelle et une atteinte à leur image de marque (41 %).
  • Dommages causés à l’activité : les attaques de ransomwares touchent l’ensemble de l’entreprise. 45 % des participants déclarent avoir subi une interruption d’activité résultant d’attaques contre l’infrastructure informatique (IT), 32 % à la suite d’attaques contre l’infrastructure opérationnelle (OT) et 40 % déplorent une interruption du travail des utilisateurs causée par des attaques ciblant ceux-ci.

Sandra Coret. Le 10 mars 2022.

Publicité

RISQUE-GESTION DES RISQUES-RISK MANAGER : UNE ACTUALITE CHARGEE

Il y a des semaines où les alertes se multiplient. Nous vivons une de ces périodes.

EN RESUME :

🏅Une multiplication des cyberattaques…

🏅Le cyber risque qui peut devenir risque de réputation (Voir Emma) ; le risque opérationnel qui se peut se transformer en risque de réputation (Affaires Buitoni et Kinder à deux jours d’intervalle)…Transversalité du Risque.

https://www.linkedin.com/feed/update/urn:li:activity:6915342632881725440/

🏅Le risque éthique dans sa dimension gouvernance amplifié par le régulateur-législateur (loi sur le devoir de vigilance) : Mac Donald’s

https://www.linkedin.com/posts/caroline-irigoyen-hse_travail-forc%C3%A9-harc%C3%A8lement-sexuel-abus-de-activity-6917002519051157504-BxF9?utm_source=linkedin_share&utm_medium=member_desktop_web

🏅Le rapport GIEC qui positionne le risque climatique comme risque majeur sur les cartographies…

https://www.linkedin.com/posts/caroline-aubry-_climat-le-mode-demploi-du-giec-pour-activity-6917012187194552320–L0L?utm_source=linkedin_share&utm_medium=member_desktop_web

🏅La guerre en Ukraine qui « révèle » le risque géopolitique…

🏆 Cette actualité rappelle, s’il en est besoin, que le risque est (doit être) une variable stratégique de la réflexion des organisations, que la mise en place d’une gestion des risques de type ERM est incontournable et que la fonction qui est (doit être) à la manœuvre est la Fonction Risk Manager.

C’est ma thématique de recherche. Riche et passionnante.

Bonne lecture.

Ci-dessous un article sur « l’affaire » Buitoni.

E. coli dans les pizzas Buitoni : ouverture d’une enquête pour « homicides involontaires »

Le parquet de Paris a entamé des investigations pour « homicides involontaires », « tromperie » et « mise en danger d’autrui ». Mercredi, la Direction générale de la santé a confirmé qu’il existait un lien entre l’apparition de plusieurs cas graves de contamination d’enfants par la bactérie E. coli et la consommation de pizzas Fraîch’up de Buitoni.

Le groupe Nestlé, propriétaire de la marque Buitoni, fait face à une enquête. Le parquet de Paris a indiqué ce vendredi avoir entamé des investigations après plusieurs cas graves de contamination d’enfants par la bactérie Escherichia coli et des décès, Mercredi, les autorités sanitaires avaient annoncé avoir établi un lien entre la consommation des pizzas surgelées de la gamme Fraîch’up de Buitoni et des cas graves de contamination.

Cette enquête confiée au pôle santé publique (PSP) du parquet de Paris dont la compétence est nationale, a été ouverte le 22 mars. « Le PSP, sur dessaisissement des parquets de Nancy et Saint-Malo et en application de sa compétence en matière d’infractions portant atteinte à la santé », s’est saisi de l’enquête, a ainsi précisé le parquet de Paris.

Deux enfants décédés

Dans le détail, l’enquête porte sur les infractions de « tromperie sur une marchandise, exposition ou vente de produits alimentaires corrompus ou falsifiés et nuisibles pour la santé, mise sur le marché d’un produit préjudiciable à la santé, mise en danger d’autrui, blessures involontaires et homicides involontaires ».

Elle a été confiée à l’Office central de lutte contre les atteintes à l’environnement et à la santé publique (Oclaesp), la Direction générale de la gendarmerie nationale, le service des enquêtes de la Direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF) et la Brigade nationale d’enquêtes vétérinaires et phytosanitaires (BNEVP) du ministère de l’agriculture, a précisé le parquet.

La France connaît depuis fin février une recrudescence de cas de syndromes hémolytiques et urémiques (SHU) liés à une contamination à E. coli. Santé Publique France indiquait mercredi que 75 cas étaient en cours d’investigation, dont 41 pour lesquels des syndromes hémolytiques et urémiques « similaires » ont été identifiés, et 34 pour lesquels des analyses supplémentaires sont en cours. Les enfants malades sont âgés de 1 à 18 ans. Deux d’entre eux sont décédés, même si le lien avec les pizzas n’a pas été confirmé dans leurs cas.

Les premiers tests réalisés par Nestlé, propriétaire de la marque Buitoni, sur le site de Caudry, dans le Nord, où sont fabriquées ces pizzas, sont revenus négatifs . « On ne comprend pas ce qui a pu arriver, mais nous allons développer un protocole d’analyse que nous allons soumettre aux autorités », avait précisé Jérôme Jaton, directeur général industriel de Nestlé, lors d’une conférence de presse ce mercredi.

Source AFP

CA BOUGE DU COTE DU CYBER-RISQUE (1) Contextualisation et modalités des cyber-menaces. Entreprises, municipalités, hôpitaux, écoles…

Les publications sur le Blog seront consacrées pendant les semaines à venir au cyber risque. Rappel de ce qu’est le cyber risque (description du risque ; causes ; conséquences) à travers : 
  • Un article écrit par Cécile Desjardins qui décrit le risque ; dans cet article, elle le contextualise et en présente les différentes  modalités ;
  • Un article sur l’une des dernières victimes de cyber-attaques : l’ENAC ; après les entreprises, les municipalités ou encore les hôpitaux, les écoles… ;
  • Un résumé de ses causes et conséquences et un article sur son coût ;
  • Un point sur les préconisations de l’ANSII pour se prémunir contre une cyber-attaque ;
  •  Un regard vers l’avenir avec le projet de loi d’Orientation et de Programmation du Ministère de l’Intérieur (LOPMI) ;
A lire et à relire sur le blog dans la catégorie Risque et la sous-catégorie cyber-risque et cyber-sécurité :
Le cyber-risque dans les classements de risques :  
https://gestiondesrisques.net/2022/01/20/un-2eme-classement-des-risques-par-les-entreprises-le-barometre-dallianz/ https://gestiondesrisques.net/2022/01/17/classement-des-risques-par-les-entreprises/
La réticence des assureurs à assurer le cyber-risque :
https://gestiondesrisques.net/2021/03/09/risques-assurances-marche-des-assurances-cyberrisque-et-assurances/
 Le RGPD dans le rôle d’amplificateur de risque et la nécessité de mettre en place des plans d’actions :
https://gestiondesrisques.net/2021/01/26/rgpd-best-practices-et-plans-dactions/
Le cyber-risque et le télétravail. Plans d’actions :
https://gestiondesrisques.net/2021/10/06/teletravail-risques-et-plans-dactions-ou-quels-plans-dactions-pour-gerer-les-risques-lies-au-teletravail-et-selon-quelle-approche-2/
https://gestiondesrisques.net/2021/09/14/teletravail-et-risques-2/

CONTEXTUALISATION ET DIFFERENTES  MODALITES DU CYBER-RISQUE

Dix choses à savoir sur le risque cyber

Niveau de la menace, type d’attaques, maillons faibles et nouvelles voies d’entrées : tout ce qu’il faut savoir actuellement sur les actes malveillants envers les dispositifs informatiques.

1. Le risque numéro un

Le risque cyber est désormais considéré par de nombreuses organisations comme leur premier risque. Les « incidents cyber » se placent ainsi en tête du baromètre mondial des risques 2022 d’AGCS, mais aussi aux premiers rangs du classement de Davos, comme de ceux de PwC ou de France Assureurs . De fait, la prise de conscience semble enfin avoir eu lieu : la sécurité numérique est devenue stratégique, perdant ses qualificatifs de « direction technique » ou de « centre de coût » (étude Cesin et Eneid-Transition). Les trois quarts des DSI et RSSI se déclarent désormais confiants sur la capacité des dirigeants à évaluer le risque financier associé aux cyberattaques.

2. Un nombre considérable de victimes

Les chiffres diffèrent d’une étude à l’autre, mais la conclusion est identique : les organisations touchées sont extrêmement nombreuses. Selon le dernier baromètre du Cesin, plus d’une entreprise sur deux aurait subi entre une et trois attaques cyber au cours de l’année 2021 : on parle là des attaques réussies… Avec des conséquences très lourdes. « L’ampleur et la virulence ne cessent d’augmenter », souligne le Cesin, qui révèle que 6 entreprises sur 10 ont connu un impact sur leur business et en particulier une perturbation de la production (21 %), et/ou une compromission d’information (14 %), et/ou une indisponibilité du site web pendant une période significative.

3. Les attaquants sont de plus en plus structurés et spécialisés

Le mythe du jeune hacker a fait long feu. Les cyberattaques sont désormais le fait d’organisations criminelles extrêmement organisées, attirées par des taux de retour sur investissement de l’ordre de 200 à 800 %, selon le cabinet de conseil Wavestone. Certaines se sont spécialisées. Ainsi, le « ransomware as a service » (RaaS) se développe à vive allure. « Les business models ont changé, avec des ransomwares créés par des groupes qui louent leur utilisation à des spécialistes en matière d’entrée par effraction virtuelle, qui nécessite des compétences différentes », souligne Sophos dans son dernier rapport sur les menaces.

Le coût des rançons aurait atteint 500 millions de dollars sur le seul premier semestre 2021.

4. Les rançongiciels font toujours aussi mal

Aussi appelées « ransomware », ces attaques qui consistent à installer un logiciel sur un ordinateur pour en rendre illisibles les données, avant d’exiger une rançon, sont considérées comme la principale menace cyber en 2022 et auraient touché 1 entreprise sur 5 en France. Un récent rapport de l’Anssi constate une hausse de 255 % de ces attaques entre 2019 et 2020, avec pour premières cibles les secteurs de la santé et de l’éducation, les collectivités territoriales et les prestataires de services numériques. Lors de la dernière conférence Panocrim du Clusif, Gérôme Billois, associé cybersécurité et digital trust chez Wavestone, a rappelé que le trésor américain a identifié 5,2 milliards de dollars de transactions en bitcoins liées à l’écosystème des rancongiciels… dont 500 millions sur le seul premier semestre 2021.

5. Le cyberespionnage est un sujet croissant d’inquiétude

Révélée l’été dernier, l’affaire Pegasus a eu le mérite de braquer les projecteurs sur l’importance de la menace. Après, également, les nombreux avertissements lancés ces derniers mois par l’Anssi, plus d’une entreprise sur deux considère élevée la menace en matière de cyberespionnage. « Il y a probablement de nombreuses menaces persistantes avancées (ou attaques APT pour ‘advanced persistant threats’), issues de groupes de cyberespionnage liés à des Etats, qui ne sont pas découvertes », reconnaît Matthieu Faou, chercheur chez Eset.

L’hameçonnage a été le vecteur d’entrée de 73 % des attaques.

6. Le « phishing » reste le vecteur d’attaques le plus fréquent

L’enquête du Cesin montre que l’« hameçonnage » a été le principal vecteur d’entrée pour les attaques subies par 73 % des entreprises. Cybermalveillance.gouv.fr appelle à déjouer les pièges de ces messages frauduleux destinés à leurrer l’internaute pour l’inciter à communiquer des données personnelles (comptes d’accès, mots de passe…) et/ou bancaires en se faisant passer pour un tiers de confiance. En étant par exemple extrêmement attentif sur le « nom de l’expéditeur, une demande inhabituelle, l’incitation à cliquer sur un lien ou une pièce jointe, etc. »

7. Les vulnérabilités logicielles sont aussi beaucoup utilisées

L’exploitation de failles serait à l’origine de 53 % des entrées dans les systèmes (étude Cesin). C’était le cas avec Log4Shell , la faille décelée dans une bibliothèque des systèmes Java et qui s’est abattue en toute fin d’année 2021 sur le monde de la cybersécurité. L’occasion de rappeler la nécessité de réaliser les mises à jour de tous ses systèmes.

8. Les « doubles extorsions » se multiplient

Comme l’avait relevé l’Anssi dès le début 2021, les attaques qui associent chiffrements de systèmes et violations de données sont de plus en plus courantes. Menacer de divulguer ou de vendre les données au plus offrant est aussi un moyen d’accroître la pression sur les victimes : tous les moyens de pression possibles sont désormais utilisés.

9. La supply chain logicielle est un terrible maillon faible.

Preuve en a été faite en 2021, avec les affaires SolarWinds et Kaseya , les attaques sur des sous-traitants informatiques peuvent générer de terribles effets de chaîne et avoir des conséquences désastreuses sur des milliers d’entreprises. « Orchestrées par des criminels cherchant à dérober des données ou simplement à causer le plus de dommages possible auprès des grands fournisseurs SaaS et de leurs clients, ces attaques risquent de se multiplier en 2022 », juge Tom Kellermann, responsable de la stratégie de cybersécurité de VMware.

Les objets connectés sont ciblés par certains groupes d’attaquants.

10. Les systèmes Linux sont aujourd’hui ciblés

Moteur de nombreux grands projets de transformation numérique, le système d’exploitation Linux est aujourd’hui régulièrement visé par les attaquants. C’est aussi le cas de certains objets connectés qui utilisent Linux. « En raison de la grande disponibilité et du support assez médiocre de certaines marques d’appareils connectés bon marché et grand public, aucun obstacle n’est véritablement offert aux attaquants automatisés », relève Sophos, qui s’attend « à ce que les attaques ciblant les serveurs Linux et les produits électroniques grand public se poursuivent sans relâche en 2022 ».

Par Cécile Desjardins. Févr. 2022

L’École Nationale de l’Aviation Civile frappée avec le ransomware Hive

L’ENAC a été frappée, durant le week-end du 12 mars, par une cyberattaque impliquant le ransomware Hive. Ses activités sont fortement perturbées. Une rançon de 1,2 million de dollars est demandée.

Dénonçant le travail d’un chercheur, les cyberdélinquants ayant attaqué l’ENAC ont décidé de revoir à la hausse leurs prétentions, demandant désormais deux millions de dollars de rançon.  

L’une de nos sources vient de confirmer ce qui nous avait été précédemment suggéré, nous fournissant au passage une capture d’écran de l’espace de dialogue ouvert par les cyberdélinquants à l’intention de l’ENAC : l’école a été attaquée avec le ransomware Hive. Les assaillants réclament une rançon de 1 200 000 dollars, en bitcoin.

La direction de la communication de l’ENAC est revenue vers nous, confirmant l’implication d’un ransomware. L’impact de la cyberattaque est effectivement très important à ce stade, jusqu’à affecter la capacité à se déplacer physiquement sur les sites de l’école et à assurer les vols programmés. Les partenaires de l’ENAC ont été informés afin de pouvoir s’isoler de ses systèmes d’information, et la direction générale de l’Aviation civile (DGAC) accompagne l’école dans la gestion de l’incident. Une déclaration publique est en préparation.

C’est un tweet rapidement supprimé qui nous a mis la puce à l’oreille. L’École Nationale de l’Aviation Civile (ENAC) est à l’arrêt depuis ce week-end. Elle a été victime d’une cyberattaque. Compte tenu de l’étendue des effets observables, l’implication d’un ransomware apparaît plus que probable.

L’espace de dialogue ouvert par les cyber-délinquants pour l’ENAC.

De fait, de nombreux services numériques, qui répondaient encore parfaitement présents la semaine dernière, sont aujourd’hui aux abonnés absents, retournant des erreurs 503 (service temporairement indisponible), ou renvoyant sur des pages de maintenance. C’est ainsi notamment le cas pour les services de campus numérique de l’école, ou l’application dite HDA, de gestion des activités. Plus préoccupant, pour certains services numériques, l’erreur retournée est 404 (non trouvé), suggérant, au mieux, la déconnexion de certains systèmes de stockage, au pire leur endommagement, voire chiffrement, par l’attaquant. Un service d’accès distant au système d’information, quant à lui, ne répond tout simplement pas.

Au téléphone, le message est simple : « pour l’instant, nos outils téléphoniques et informatiques sont paralysés ». Et tous les appels sur les numéros fixes sont renvoyés vers un seul et unique poste. Certaines adresses e-mail professionnelles semblent toutefois opérationnelles. Nous avons ainsi tenté de joindre la direction de la communication de l’école, en vain – et cela aussi par téléphone, fixe comme mobile.

Problème, au moins une adresse IP associée à des services de l’ENAC semble également, selon les résolutions DNS, liée à la direction de la technique et de l’innovation (DTI) de la direction des services de la Navigation aérienne (DSNA) de la direction générale de l’Aviation civile (DGAC). De quoi suggérer de potentielles interconnexions, au moins limitées.

Valéry Rieß-Marchive. Mars 2022

LE LEGISLATEUR-REGULATEUR, AMPLIFICATEUR DE RISQUE. DEUX NOUVELLES ILLUSTRATIONS ISSUES DE L’ACTUALITE. (3) QUE SAIT-ON DE LA LOI SAPIN III ?

Cinq ans après la naissance de la loi Sapin2, la France donne son feu vert à ce qui ressemble à une nouvelle loi « Sapin 3 ». Alors que Sapin 2 a marqué un véritable tournant dans la lutte contre la corruption en France en introduisant des changements significatifs, en créant l’Agence Français Anticorruption (AFA), et en ajoutant une dimension préventive qui n’existait pas ailleurs : l’obligation pour certaines entreprises privées de mettre en place des mesures anti-corruption, la France propose une refonte sérieuse de sa législation.
Un nouveau projet de loi promet un nouveau souffle à la lutte contre la corruption en France. 

Dans leur rapport rendu le 7 juillet 2021, les députés Raphaël Gauvain et Olivier Marleix, corapporteurs de la Commission des lois de l’Assemblée nationale chargée de l’évaluation de la loi Sapin 2, dressent un bilan positif de la loi Sapin II, mais notent que la France n’a pas progressé dans les indices internationaux de perception de la corruption depuis 2015. Ils ont relevé qu’en 2020, la France était classée 23e sur l’IPC de Transparency International, au même niveau qu’en 2015.

Ils font donc 50 propositions pour donner un nouveau souffle à la loi Sapin 2 pour renforcer la lutte contre la corruption en France. Le projet de loi n°4586 est directement inspiré du rapport.

Certains des changements proposés sont certainement intéressants pour les responsables de la conformité et les praticiens de la lutte contre la corruption. Voici quelques extraits pertinents

1. Modification du périmètre de l’AFA et création d’une nouvelle Autorité

Alors que la performance de l’AFA a été saluée dans le rapport pour avoir permis  « d’installer et de crédibiliser le dispositif issu de la loi Sapin 2, tant du point de vue des entreprises que de nos partenaires étrangers », le rapport considère que la système devrait être encore renforcé.

Le rapport propose de redéfinir et de recentrer les missions de l’AFA sur la coordination administrative. L’AFA serait désormais principalement chargée de centraliser et de partager les informations pour prévenir et détecter la corruption. Le rôle de l’AFA en tant que conseiller stratégique serait aboli.

Il est proposé de transférer les fonctions de conseil et de contrôle de l’AFA sur les programmes de conformité anti-corruption à la Haute Autorité pour la transparence de la vie publique , ou la Haute Autorité pour la transparence de la vie publique en anglais (HATVP) – une agence actuellement chargée d’identifier et prévenir les conflits d’intérêts potentiels entre les fonctionnaires français.

Le rapport suggère de créer une agence administrative indépendante unique pour les questions d’intégrité.

2. Sapin 2 s’appliquera à plus d’entités

Parmi les autres points à améliorer, le périmètre des entités soumises aux obligations de prévention et de détection prévues à l’article 17 de la loi Sapin 2 serait élargi. Actuellement, la loi permet aux « petites » filiales françaises (moins de 500 salariés, moins de 100 millions d’euros de chiffre d’affaires) de « grands » groupes étrangers de ne pas être soumises à l’article 17 de la loi Sapin 2.

Le rapport recommande de supprimer la condition relative à l’implantation en France du siège social de la société mère, afin de soumettre aux obligations prévues à l’article 17 les petites filiales de grands groupes étrangers établies en France, dès que la société mère dépasse les seuils prévus par la loi Sapin 2 (plus de 500 salariés et au moins 100 millions d’euros de chiffre d’affaires). 

Cela ouvrirait la porte à une égalité de traitement entre les petites filiales de grands groupes implantées en France, que la maison mère soit ou non établie en France.

Par ailleurs, les députés notent que l’article 3 de la loi Sapin 2 prévoit que la compétence de l’Agence française de lutte contre la corruption s’étend aux personnes publiques, mais la loi ne précise pas, la nature des obligations qui lui incombent ni ne prévoit de toute sanction en cas d’insuffisance ou de non-respect de ces obligations. 

Par conséquent, ils jugent nécessaire de créer des obligations de conformité adaptées aux administrations publiques, qui seraient adaptées à leur taille et aux risques auxquels elles sont exposées. 

3. En savoir plus sur la Convention judiciaire d’intérêt public  (CJIP)

Depuis sa mise en œuvre par la loi Sapin II, la CJIP (l’équivalent français du Deferred Prosecution Agreement, ou DPA) a connu un succès important. Les CJIP tout comme les DPA sont utilisées comme une alternative aux poursuites et permettent aux personnes morales soupçonnées d’infractions financières d’opter pour une solution négociée avec le parquet plutôt que d’encourir un procès pénal. Les rapporteurs ont insisté sur la nécessité de promouvoir la CJIP car elle assure la justice transactionnelle et assure la résolution rapide des litiges transfrontaliers.

Les rapporteurs souhaitent enrichir la CJIP en l’étendant au délit de « favoritisme » et en protégeant davantage les documents et informations communiqués par la personne morale aux autorités judiciaires lors de la phase de négociation.

Les rapporteurs n’ont pas recommandé d’étendre la CJIP aux particuliers. Ils favorisent la création d’une Comparaison sur reconnaissance préalable de culpabilité (CRPC) spécifique aux infractions de corruption, sous réserve de la divulgation volontaire et de la coopération de l’individu. .

Les rapporteurs ont suggéré que les enquêtes internes menées dans le cadre d’une CJIP soient encadrées en donnant au parquet la possibilité de désigner un mandataire ad hoc en charge de l’enquête interne et en introduisant de nouveaux droits pour les personnes interpellées (droit d’être assisté d’un avocat, droit de connaître les faits qui leur sont reprochés, etc.).

Enfin, la commission propose d’offrir plus de garanties aux entreprises lors des négociations, afin d’encourager les auto-divulgations volontaires. Des exemples de garanties pourraient inclure (i) une meilleure prise en compte du degré de coopération et (ii) une réduction de l’amende selon un barème qui serait rendu public.

4. Plus de protections pour les lanceurs d’alerte

Les rapporteurs ont estimé que les risques de représailles à l’encontre des lanceurs d’alerte et le manque de soutien financier constituent des obstacles à l’utilisation efficace des canaux d’alerte.

Le rapport a souligné qu’à l’heure où la France doit transposer la directive européenne du 23 octobre 2019 sur les lanceurs d’alerte, il est essentiel d’assurer une meilleure protection des lanceurs d’alerte pour renforcer le cadre d’alerte existant. Le projet de loi de transposition qui doit être discuté en novembre prochain à l’Assemblée nationale s’inspire directement du rapport Gauvain-Marleix et reprend un grand nombre de ses propositions.

Il a été suggéré dans le rapport de créer un système plus incitatif et d’offrir une meilleure protection aux lanceurs d’alerte en modifiant les critères d’admissibilité existants.

Le critère du « désintéressement », jugé trop vague, a été demandé de supprimer. Les procédures de signalement seraient simplifiées en supprimant l’obligation actuelle de faire d’abord signaler par le lanceur d’alerte les faits répréhensibles en interne, et en autorisant plutôt les lanceurs d’alerte à contacter directement les autorités, sous réserve que des conditions spécifiques soient remplies garantissant leur anonymat et la confidentialité des documents transmis.

Une liste de représailles contre lesquelles les lanceurs d’alerte seraient protégés a été détaillée, et la création d’une sanction civile dissuasive et d’un délit de « représailles contre un lanceur d’alerte » ont été suggérées. 

Le Défenseur des droits serait chargé de se prononcer sur la bonne foi d’un lanceur d’alerte, ainsi que de surveiller le traitement des alertes.


De Sapin 2 à Sapin 3 ?

Tous ces changements proposés promettent certainement de renforcer la lutte contre la corruption en France. Je suivrai attentivement les futures discussions parlementaires sur la prochaine loi « Sapin 3 » et donnerai des conseils sur ses résultats futurs.

LE LEGISLATEUR-REGULATEUR, AMPLIFICATEUR DE RISQUE. DEUX NOUVELLES ILLUSTRATIONS ISSUES DE L’ACTUALITE. (2) LOI SAPIN II – L’OCDE POINTE LES PROGRES DE LA FRANCE MAIS SOULIGNE LE CHEMIN LUI RESTANT A PARCOURIR POUR PROTEGER LES ENTREPRISES –

RAPPEL LOI SAPIN II

La loi Sapin II vise à prévenir les risques de blanchiment des capitaux, de financement du terrorisme et de la corruption – la corruption est le fait pour toute personne de solliciter une personne dépositaire de l’autorité publique, moyennant rémunération, un acte relevant de ses fonctions –. Elle propose six mesures pour cartographier le risque de corruption et le prévenir au niveau organisationnel et individuel. Cette loi n’oblige pas à une communication extérieure spécifique mais elle engage la responsabilité personnelle des dirigeants et celle de la société en tant que personne morale.

Nicolas Dufour et moi-même présentons davantage la loi Sapin II ainsi que les réglementations en vigueur et la soft-law (principe de précaution) dans notre ouvrage ; voir « La Fonction Risk Manager. Organisation. Méthodes et Positionnement », Ed Gereso, p.50. 

https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html

LIRE OU RELIRE

Vous pouvez également lire ou relire d’autres articles sur ce sujet sur le blog dans les rubriques corruption et/ou Loi Sapin II ou en recherchant par mots clés ou dans les archives mensuelles par date.

Par exemple, un article présentant les principaux résultats de l’enquête de l’Agence Française Anticorruption avec un lien pour y accéder, un article sur la cartographie des risques de corruption, un article intitulé « Trois ans après, où en sont les entreprises ? »

RISQUE DE CORRUPTION : LES PROGRES. LE CHEMIN A PARCOURIR

Cinq ans après la naissance de la loi Sapin 2, le cabinet de Bruno Le Maire donne son feu vert à ce qui ressemble à une nouvelle loi « Sapin 3 ». La loi Sapin 2 a marqué un véritable tournant dans la lutte contre la corruption en France en introduisant des changements importants dans la loi, en créant l’Agence française de lutte contre la corruption, et en ajoutant une dimension préventive qui n’existait pas ailleurs : l’obligation pour certaines entreprises privées de mettre en place des mesures anti-corruption.

Dans leur rapport rendu le 7 juillet 2021, les députés Raphaël Gauvain et Olivier Marleix, corapporteurs de la Commission des lois de l’Assemblée nationale chargée de l’évaluation de la loi Sapin 2, dressent un bilan positif de la loi Sapin II, mais notent que la France n’a pas progressé dans les indices internationaux de perception de la corruption depuis 2015. Ils ont relevé qu’en 2020, la France était classée 23e sur l’IPC de Transparency International, au même niveau qu’en 2015.

Je vous propose ci-dessous un article très complet qui fait le point sur les progrès accomplis et le chemin qui reste à parcourir avant d’aborder dans un prochain article ce que l’on sait de la loi Sapin III.

Risque de corruption : l’OCDE pointe les progrès de la France mais souligne le chemin lui restant à parcourir pour protéger les entreprises

Des progrès sont avérés mais la France doit encore intensifier ses efforts.

Le Groupe de travail sur la corruption, qui regroupe 44 pays de l’OCDE, a publié fin 2021 un rapport évaluant les progrès effectués depuis 2012 par la France dans la mise en œuvre de l’infraction de Corruption d’Agent Public Etranger (CAPE).

Les progrès réels de la lutte anticorruption

Le verdict est globalement positif : en quelques années, la France est devenue un interlocuteur « crédible » en matière de lutte contre la CAPE, et ce grâce à une restructuration profonde de son cadre législatif anti-corruption.

Plusieurs réformes sont à l’origine de ces progrès. D’abord, la création en 2013 du PNF (Parquet National Financier) et d’un service de police judiciaire dédié à la criminalité financière (OCLCIFF) ont permis d’augmenter le nombre de sanctions pénales pour corruption.

Ensuite, la loi Sapin 2, qui a permis d’introduire dans le droit français une obligation de conformité pour les entreprises. Ces mesures préventives, alliées à l’introduction de la justice négociée par CJIP (Convention Judiciaire d’Intérêt Public) ont radicalement transformé la responsabilité des personnes morales. Désormais, les entreprises sont intégrées à la stratégie de lutte anticorruption, puisqu’elles sont tenues – en amont – de prévenir les cas potentiels et – en aval – de prendre des mesures correctives et de coopérer avec les autorités.

Depuis 2012, 14 affaires de CAPE ont été résolues, aboutissant à la sanction de 19 personnes physiques et 23 personnes morales. Parmi ces affaires, 5 ont été résolues hors procès, grâce à une CJIP. Au demeurant, ces poursuites ont ciblé des acteurs économiques de grande envergure comme entre autres Airbus, Bolloré SE ou Systra.

Selon le rapport, il s’agit d’un véritable progrès si l’on compare à la période pré-2012, au cours de laquelle seules 3 condamnations de personnes physiques (et aucune personne morale) avaient eu lieu, pour des affaires d’envergure mineure. Cependant, même si ces résultats sont encourageants, le rapport met aussi en lumière un certain nombre de vulnérabilités du modèle français.

Des acquis fragiles, à consolider d’urgence

Même si le nombre d’enquêtes ouvertes pour CAPE a été multiplié par 3,5 depuis 2012, seulement 13% d’entre elles ont donné lieu à des condamnations ou à un règlement par CJIP. Cette proportion est très faible par rapport aux économies européennes comparables, pour lesquelles 39% des enquêtes donnent lieu à une condamnation. Par ailleurs, un nombre important d’allégations n’ont donné lieu à aucune enquête.

Selon le rapport, cette insuffisance n’est pas liée à une absence de volonté politique, mais au manque de ressources affectées à l’ensemble des maillons de la chaîne pénale. L’augmentation de ces moyens est donc une condition sine qua non à l’efficacité de la lutte anticorruption en France.

Le Groupe estime aussi que les avancées de la France sont fragilisées par certaines réformes récentes ou en cours. En 2021, par exemple, la durée d’enquête préliminaire a été limitée à trois ans : le rapport recommande d’allonger cette durée, afin de s’assurer de disposer de tous les éléments nécessaires à une sanction rapide et efficace

Autre hic : la possible refonte de l’AFA et de ses missions, envisagée par la proposition de loi déposée fin 2021 par le député Raphaël Gauvain, suscite des inquiétudes quant à la poursuite du travail d’accompagnement et de contrôle des entreprises. Le Groupe recommande donc de tout faire pour préserver les missions et les moyens alloués à l’AFA.

Le reste des recommandations concerne surtout la poursuite des avancées entamées : préserver le rôle d’enquête du PNF (ciblé par des critiques après la condamnation de Nicolas Sarkozy), poursuivre les efforts afin de développer une justice négociée efficace grâce aux CJIP, et continuer à améliorer la coordination entre les différents services pour l’émergence d’une justice mieux coordonnée.

La France ne doit donc pas relâcher ses efforts, et cela semble en bonne voie à ce jour : parmi les chantiers actuels, on peut citer la loi pour la confiance dans l’institution judiciaire visant à renforcer l’indépendance du parquet (adoptée fin 2021), ou encore la transposition (en cours) de la dispositive européenne sur les lanceurs d’alerte. Fin 2023, la France présentera à l’OCDE un rapport détaillant les mesures prises pour mettre en œuvre ces recommandations.

Cas détectés : la partie émergée de l’iceberg ?

Plus globalement le rapport estime que le nombre de cas détectés est probablement dérisoire par rapport au profil économique de la France et au nombre d’allégations de corruption dans les médias.  En tant qu’acteur majeur dans l’économie mondiale, la France est en effet très présente dans des juridictions à haut risque comme l’Asie ou l’Afrique, et les entreprises françaises s’exposent dans des domaines risqués : aéronautique et spatial, production d’énergie nucléaire, industries manufacturières et extractives, armement, construction…

L’une des priorités, selon le rapport, doit donc être l’amélioration de la détection. La France a déjà pris certaines mesures afin d’améliorer la coordination entre ses services : par exemple en 2020, la circulaire Belloubet a enjoint les intervenants à « exploiter l’ensemble des canaux de signalement existants ». Mais ces canaux, comme les postes diplomatiques ou les lanceurs d’alertes, ont été très peu utilisés ; la grande majorité des affaires poursuivies étant toujours détectées par Tracfin, la cellule de renseignement française anti-blanchiment, on peut dire que la diversification des sources d’alerte n’a pas fonctionné.

Résultat : à ce jour, un grand nombre d’affaires n’ont pas été détectées par les autorités françaises… Mais par des autorités étrangères.

Aux entreprises d’agir à l’international

Ce cas de figure fréquent, en plus d’alerter sur l’efficacité relative des mesures déployées, peut être lourd de conséquences pour les entreprises françaises. Lorsqu’une autorité étrangère détecte un cas de CAPE, il est en effet d’autant plus probable que cela donne lieu à des poursuites contre des sociétés qui, à l’international, doivent naviguer dans une multiplicité de législations locales et extraterritoriales.

Pour se protéger d’une telle éventualité, la compliance reste la principale arme des firmes françaises. Et un grand nombre d’entre elles semble en avoir pris conscience : on peut ainsi voir, derrière le récent classement EcoVadis qui place les entreprises françaises à la 3ème position mondiale en matière de responsabilité sociale et d’achats responsables, l’influence de la loi Sapin 2 et l’importance accordée aux due diligences d’intégrité avant de s’associer à un partenaire commercial tiers.

Là  aussi, les progrès restent pourtant à relativiser. Fin 2020, un baromètre a révélé que les entreprises françaises peinent à développer une vision d’ensemble des risques à l’étranger : réglementations locales, coutumes et pratiques à risque, connaissance des partenaires locaux… Les entreprises ont, elles aussi, un long chemin à parcourir et de nombreux efforts à fournir.

Faciliter la détection et la sanction des infractions pour les services de l’Etat et mieux prendre en main les enjeux de conformité pour les entreprises : telles sont les deux conditions qui semblent aujourd’hui indispensables pour confirmer les progrès de la France dans la lutte contre la corruption internationale.

Brune Lange ; 20 janvier 2022

Partager sur print

Sources

SKAN1 Outlook : Loi Sapin 2 : succès et évolutions du modèle anticorruption français

Dalloz Actualités : Durée maximale des enquêtes préliminaires : de la lenteur à l’arrêt ?

SKAN1 Outlook : En route vers une loi « Sapin 3 » ? Retour sur le projet déposé par le député Raphaël Gauvain pour renforcer la lutte anticorruption

France Inter : Le Parquet national financier sous le feu des critiques

SKAN1 Outlook : Une nouvelle enquête du PNF sur Thales ravive le débat sur les lanceurs d’alerte

  • Justice négociée par CJIP

SKAN1 Outlook : La CJIP de l’affaire AIRBUS

SKAN1 Outlook : La CJIP Systra pour corruption en Asie Centrale

  • Entreprises françaises à l’international

SKAN1 Outlook : Extraterritorialité : année record du FCPA, enjeu prioritaire pour les autres acteurs

Ministère de l’Economie : palmarès Ecovadis des performances RSE

SKAN1 Outlook : Entreprises françaises : un bilan mitigé pour les dispositifs de conformité Sapin 2

LE LEGISLATEUR-REGULATEUR, AMPLIFICATEUR DE RISQUE. DEUX NOUVELLES ILLUSTRATIONS ISSUES DE l’ACTUALITE. (1) LA LOI SUR LE DEVOIR DE VIGILANCE.

Le législateur-régulateur a contribué et contribue à la diffusion de ce que M. Power appelle l’image d’un monde plus risqué et l’ont amplifié. Ils amplifient la notion de responsabilité du dirigeant en cas de négligence.

Le concept d’amplification sociale du risque.

Le concept d’amplification sociale du risque suggère que les risques sont amplifiés et instrumentalisés par des institutions telles que le régulateur-législateur et les médias. Le rôle du régulateur-législateur a commencé en France avec la Loi de Sécurité Financière. Sur fond de scandales et de crise, les interventions du régulateur-législateur  ont amené les entreprises à renforcer les systèmes de contrôle interne et de gestion des risques : loi du 3 juillet 2008, ordonnance du 8 décembre 2008 ; rapport du 8 décembre 2009de l’AMF ; loi Sapin II du 9 décembre 2016 ; loi sur le devoir de vigilance du 27 mars 2027…

Les loi Sapin II du 9 décembre 2016 et loi sur le devoir de vigilance du 27 mars 2027 ont comme points communs :

  • de mettre en place de la prévention (des plans d’action) et de la communication (transparence, communication judiciarisée) ;
  • de renforcer la responsabilité des dirigeants.

En savoir plus…

Pour en savoir plus sur le concept d’amplification du risque (Kapperson et al., 1988 ; Pidgeon et al., 2003), sur les lois Sapin II et devoir de vigilance, les lois, règlements et soft-law (principe de précaution, normes) : voir « La Fonction Risk Manager. Organisation, Méthodes et positionnement. » Aubry et Dufour. Chapitre 1 Définition des notions mobilisées et contextualisation de la Fonction Risk Manager ; p.47-58.

Lien. https://www.la-librairie-rh.com/livre-entreprise/la-fonction-risk-manager-fris.html

Cette semaine je vous propose deux articles relatifs à l’actualité de la loi sur le devoir de vigilance : « les litiges seront tranchés par le tribunal judicaire ». Dans quinze jours je vous proposerai un article sur le passage de la loi sapin II à la loi Sapin III : « ce que l’on sait de la future loi Sapin III. »

Devoir de vigilance : les litiges seront tranchés par le tribunal judiciaire

© Laurence Soulez

C’est finalement le tribunal judiciaire de Paris qui sera compétent pour trancher les litiges portant sur le devoir de vigilance des multinationales introduit dans le Code de commerce par la loi du 27 mars 2017. C’est en effet ce qu’a décidé la commission mixte paritaire (CMP) réunie, ce jeudi 21 octobre, pour trouver un accord sur les dispositions encore en discussion du projet de loi pour la confiance dans l’institution judiciaire.

Il s’agissait là de l’intention du gouvernement qui avait inscrit cette compétence dans son projet de loi. Mais, fin septembre, le Sénat était revenu sur cette disposition en confiant cette compétence au tribunal de commerce de Paris, réputé plus à l’écoute des arguments des entreprises que le tribunal judiciaire. Le sénateur LR Serge Babary avait fait valoir que le tribunal de commerce traitait déjà des litiges de nature économique et commerciale de dimension internationale. Au contraire, pour le garde des Sceaux, Éric Dupond-Moretti, le devoir de vigilance porte sur des sujets qui « relèvent par essence des juridictions judiciaires ».

Le 16 octobre, 26 ONG avaient signé une tribune sur Médiapart appelant les parlementaires à « ne pas brader les droits humains au tribunal de commerce ». « Les premiers contentieux portent (…) sur des allégations de graves violations du droit à l’alimentation causées par des expropriations massives ainsi que des risques de dommages environnementaux irréversibles liés à un projet pétrolier de Total en Ouganda, de déforestation et d’invasion de territoires autochtones par des fournisseurs de Casino au Brésil ou encore de contamination d’un réseau d’eau potable par une filiale de Suez au Chili », rappelaient les organisations signataires. « Confier ces contentieux à un tribunal de commerce serait un recul inexplicable et un non-sens historique », expliquaient-elles

Laurent Radisson ; journaliste ; 21 octobre 2021   

DEVOIR DE VIGILANCE : LES PARLEMENTAIRES ATTRIBUENT LA COMPÉTENCE AU TRIBUNAL JUDICIAIRE, UN SOULAGEMENT POUR LES ASSOCIATIONS

Depuis des années les affaires liées au devoir de vigilance traînent en raison d’un flou sur la compétence des tribunaux pouvant juger ces litiges. Le 21 octobre, les parlementaires ont finalement attribué cette compétence au tribunal judiciaire. Un soulagement pour les associations qui poursuivent des multinationales sur leur impacts environnementaux et sociaux sur l’ensemble de leurs chaînes de valeur.

C’est un feuilleton qui prend fin. Depuis quelques mois, une bataille fait rage dans l’hémicycle pour savoir qui du tribunal de commerce ou du tribunal judiciaire est compétent pour juger les affaires liées au devoir de vigilance. Ce dernier, voté en 2017, oblige les entreprises multinationales à assurer une activité de production respectueuse des droits humains et de l’environnement sur l’ensemble de leur chaîne d’approvisionnement. Le 21 octobre, les parlementaires, réunis en commission mixte paritaire dans le cadre de l’examen du Projet de loi pour la confiance dans l’institution judiciaire, ont finalement décidé de confier au tribunal judiciaire la compétence pour juger les affaires liées au devoir de vigilance.

« La lutte contre l’impunité des entreprises multinationales ne souffre désormais plus d’ambiguïtés !« , s’est réjoui le député socialiste Dominique Potier. « Les atteintes aux droits humains et à l’environnement par les entreprises ne pourront plus être examinées par des tribunaux de commerce mais exclusivement par un tribunal judiciaire », ajoute-t-il. Le sujet, technique, est pourtant primordial quant à l’application de cette loi dont la France est pionnière en Europe. Les associations étaient montées au front quand, le 29 septembre dernier, les sénateurs avaient, contre l’avis du gouvernement, choisi d’attribuer la compétence au tribunal de commerce.

« Une très bonne nouvelle » 

Le risque, selon elles, était de vider de sa substance le devoir de vigilance « avec une vision trop restrictive »« Les juges des tribunaux de commerce sont des commerçants élus par leurs pairs. Ils tirent leur légitimité de leur connaissance du monde des affaires alors que le devoir de vigilance concerne la protection des droits humains et environnementaux, il dépasse très largement les enjeux commerciaux », expliquait à Novethic Juliette Renaud, responsable de campagne « régulation des multinationales » des Amis de la Terre. « 

Depuis des années, le débat freine drastiquement les décisions judiciaires sur le fond des dossiers. La première affaire faisant appel au devoir de vigilance n’a par exemple toujours pas été jugée. Plusieurs ONG dont les Amis de la Terre et Survie poursuivent en effet Total concernant deux méga projets en Ouganda et en Tanzanie qui priveraient les populations riveraines de leur terre.

En décembre 2020, la Cour d’appel de Versailles a confirmé le jugement en première instance du tribunal judiciaire de Nanterre qui s’était déclaré incompétent à juger l’affaire, préférant la déléguer au tribunal de commerce. À l’inverse, le tribunal de Nanterre s’est déclaré compétent pour juger une autre action en justice visant Total non pas sur son impact sur les droits humains mais sur son inaction climatique.

Cette décision est « une très bonne nouvelle pour les affaires liées au devoir de vigilance. Notre action en justice contre Total avec quatre ONG et 14 collectivités et celle des Amis de la Terre contre les activités de Total en Ouganda pourront enfin être jugées sur le fond devant les tribunaux compétents« , s’est ainsi réjouit l’association Notre Affaire à Tous. 

Marina Fabre ; 2022 ; Novethic

UN 2EME CLASSEMENT DES RISQUES PAR LES ENTREPRISES : LE BAROMETRE D’ALLIANZ

Dans le baromètre des risques 2022 d’ALLIANZ :
 
👍Le Cyberrisque, sans surprise, en hausse, risque n°1 depuis 2019. Voir https://gestiondesrisques.net/2020/01/16/contrer-le-cyber-risque-risque-n1-du-barometre-allianz-2019/ En première position dans l’enquête annuelle du cabinet PwC Voir https://gestiondesrisques.net/2022/01/17/classement-des-risques-par-les-entreprises/
 
👍Le risque sanitaire, risque n°4, en baisse.
 
👍Les catastrophes naturelles et le changement climatique respectivement en 3ème et 6ème positions, en hausse tous les deux. 

Baromètre des risques 2022 d’Allianz : les cyberattaques passent en première place, devant la Covid-19 et les perturbations de la chaîne d’approvisionnement

  • L’interruption d’activité occupe le deuxième rang, car les perturbations massives des chaînes de production et d’approvisionnement ne devraient s’atténuer que progressivement.
  • La pandémie passe de la deuxième à la quatrième place, les entreprises s’estimant généralement bien préparées à de futurs événements.
  • Les catastrophes naturelles et le changement climatique se hissent respectivement en troisième et en sixième position, face à l’augmentation des événements météorologiques graves et des risques liés à la transition.
  • Ce baromètre explore également les principaux risques spécifiques à 20 différents secteurs, notamment pour le Transport (1er Interruptions d’activité), l’Aviation & Spatial (1er Incidents cyber), la Marine (1er Interruptions d’activité), l’Hôtellerie & Tourisme (1er Pandémie).

Paris, le 18 janvier 2022. En 2021, les cyber attaques, les interruptions d’activité et perturbations de la chaîne d’approvisionnement, et les catastrophes naturelles ont durement touché de nombreuses entreprises. Selon le Baromètre des risques 2022 d’Allianz, ces trois risques demeurent les plus importants pour les entreprises. Les incidents cyber arrivent en tête pour la deuxième fois seulement dans l’histoire du baromètre (44 % des réponses). Les interruptions d’activité les suivent de près (42 %) et les catastrophes naturelles grimpent de la sixième à la troisième place (25 %). Le changement climatique bat son record en passant du neuvième au sixième rang (17 %). Enfin, la pandémie descend en quatrième position (22 %).

L’enquête annuelle d’Allianz Global Corporate & Specialty (AGCS) analyse les opinions de 2 650 experts, notamment des directeurs généraux, gestionnaires de risques, courtiers et assureurs, dans 89 pays et territoires. Consultez le classement complet des risques au niveau mondial, national et pour 20 secteurs différents (Transport, Aviation/Spatial, Marine, Banques et services Financiers, Télécoms, Construction & Immobilier, Divertissement & Médias, Hôtellerie & Tourisme, Services publics, Automobile, Energie, Biens de consommation…) en cliquant sur ce lien et en français en pièce jointe.

« L’interruption d’activité devrait rester la principale thématique de risque sous-jacente en 2022, signale Joachim Mueller, CEO d’AGCS. La plupart des entreprises redoutent avant tout de ne pas pouvoir fabriquer leurs produits ou fournir leurs services. 2021 a connu des bouleversements sans précédent, causés par différents facteurs. Les cyber attaques dévastatrices, les multiples événements météorologiques liés au réchauffement climatique touchant les chaînes d’approvisionnement, ainsi que les difficultés de production et la saturation des transports en raison de la pandémie ont provoqué des perturbations majeures. La situation ne devrait s’améliorer que progressivement cette année. Le renforcement de la résilience face aux nombreuses causes d’interruption d’activité s’avère de plus en plus souvent un avantage concurrentiel ».

Principaux risques en France

Cyberdélinquance : préoccupations liées aux ransomwares et sensibilisation aux vulnérabilités

Les incidents cyber arrivent en tête du Baromètre des risques 2022 d’Allianz et se classent parmi les trois premiers risques dans la plupart des pays étudiés. La hausse récente des attaques par ransomware en constitue la raison majeure. Celles-ci sont considérées comme la principale menace cyber en 2022 par les personnes interrogées (57 %). Ce phénomène révèle des tendances préoccupantes, telles que les stratégies de ‘‘double extorsion’’ qui associent les chiffrements de systèmes et les violations de données, l’exploitation de vulnérabilités logicielles qui peut toucher des milliers d’entreprises (comme Log4J et Kaseya) ou le ciblage d’infrastructures physiques essentielles (comme Colonial Pipeline aux États-Unis). La cyberdélinquance représente aussi une source d’inquiétude majeure au regard des critères environnementaux, sociaux et de gouvernance (ESG) des entreprises. Les sondés reconnaissent la nécessité de renforcer la résilience et la préparation aux risques de défaillance, sous peine de subir les mesures des régulateurs, investisseurs et autres parties prenantes.

« Les attaques par ransomware sont devenues très lucratives pour les cyber délinquants, qui perfectionnent leurs stratégies et peuvent aujourd’hui opérer avec un simple abonnement de 40 dollars et quelques connaissances informatiques. La commercialisation des outils de cyberdélinquance facilite l’exploitation des vulnérabilités à grande échelle. Les attaques sur les chaînes d’approvisionnement technologique et les infrastructures essentielles vont se multiplier », prévient Scott Sayce, directeur mondial de l’assurance cyber chez AGCS.

Les interruptions d’activité représentent le deuxième risque le plus préoccupant. Durant une année marquée par des perturbations majeures, les vulnérabilités des chaînes d’approvisionnement et des réseaux de production modernes ont été plus que jamais mises en évidence. L’enquête révèle également que l’incident cyber constitue la cause d’interruption d’activité la plus redoutée, compte tenu de l’augmentation des attaques par ransomware, mais aussi de la dépendance au numérique et du télétravail. Les catastrophes naturelles et la pandémie sont les deux autres principales causes d’interruption d’activité, selon les personnes interrogées.

En 2021, les hausses de la demande consécutives aux confinements ont aggravé les perturbations des chaînes de production et d’approvisionnement liées à la fermeture d’usines en Asie et à un engorgement inédit des ports à conteneurs en raison de la Covid-19. Les retards causés par la pandémie se sont ajoutés à d’autres problèmes logistiques, comme le blocage du canal de Suez ou la pénurie mondiale de semi-conducteurs après les fermetures d’usines à Taïwan, au Japon et au Texas, provoquées par des incendies et des événements météorologiques.

« La pandémie a démontré que l’interconnexion des chaînes d’approvisionnement modernes et la combinaison de différents événements pouvaient créer des perturbations majeures. Pour la première fois, la résilience des chaînes d’approvisionnement a été éprouvée dans le monde entier jusqu’au point de rupture », fait remarquer Philip Beblo, directeur Dommages aux biens Technologie, Médias et Télécoms chez AGCS.

Selon le récent Global Trade Report d’Euler Hermes, les fortes perturbations de la chaîne d’approvisionnement causées par la pandémie de Covid-19 devraient se poursuivre au cours du deuxième semestre 2022. Toutefois, les difficultés liées au déséquilibre entre l’offre et la demande mondiales, ainsi qu’à la saturation du transport par conteneurs devraient s’atténuer, en supposant qu’il n’y ait pas d’autres développements inattendus.

La sensibilisation aux risques d’interruption d’activité est aujourd’hui une question stratégique essentielle pour l’ensemble de l’entreprise. « Les dirigeants veulent une plus grande transparence des chaînes d’approvisionnement. Les organisations investissent dans des outils et travaillent sur des données afin de mieux comprendre les risques et de mettre en place des inventaires, redondances et plans d’intervention visant à garantir la continuité d’activité », souligne Maarten van der Zwaag, directeur mondial du conseil en risques Dommages aux biens chez AGCS.

Après l’amélioration de la préparation aux pandémies : renforcer la résistance au changement climatique

Si le risque de pandémie reste une préoccupation majeure pour les entreprises, il descend de la deuxième à la quatrième place (avant émergence du variant Omicron). La crise de la Covid-19 assombrit toujours les perspectives économiques de nombreux secteurs, mais il est encourageant de constater que les entreprises semblent s’être bien adaptées. La majorité des sondés (80 %) estiment qu’ils sont suffisamment ou bien préparés à un futur incident. L’amélioration de la gestion de la continuité d’activité est la principale mesure prise pour accroître la résilience des entreprises.

La progression des catastrophes naturelles et du changement climatique est révélatrice. Étroitement liés, ces deux risques se classent respectivement à la troisième et à la sixième place. Ces dernières années, la fréquence et la gravité des événements météorologiques se sont accrues en raison du réchauffement climatique. En 2021, le total des pertes assurées dans le monde au titre des catastrophes naturelles devrait dépasser les 100 milliards de dollars, battant ainsi un record pour la quatrième année consécutive. L’ouragan Ida aux États-Unis a sans doute été le sinistre le plus coûteux. Toutefois, plus de la moitié des pertes sont liées à des risques dits secondaires. Ainsi, les inondations, fortes pluies, orages, tornades et même gelées hivernales, qui sont souvent des phénomènes locaux, s’avèrent de plus en plus coûteux. Parmi eux, citons la tempête hivernale Uri au Texas, la dépression Bernd qui a provoqué des inondations catastrophiques en Allemagne et au Benelux, les fortes inondations dans la ville chinoise de Zhengzhou, ou encore les canicules et les incendies de forêt au Canada et en Californie.

Les personnes interrogées dans le cadre du Baromètre des risques d’Allianz se déclarent principalement préoccupées par les événements liés au changement climatique qui causent des dommages aux biens des entreprises (57 %), et par les impacts sur l’activité et la chaîne d’approvisionnement (41 %). Leurs autres sujets d’inquiétude concernent la gestion de la transition vers l’économie décarbonée (36 %), la conformité à une réglementation et à des exigences d’information complexes. La prévention des risques de contentieux liés à une action insuffisante pour lutter contre le changement climatique est également citée par 34 % des répondants.

« Certes, les problèmes majeurs tels que la pandémie et la volatilité de l’environnement économique dominent la gestion des risques au quotidien. Cependant, la pression exercée sur les entreprises pour qu’elles agissent face au changement climatique s’est sensiblement accrue au cours de l’année, observe Line Hestvig, directeur Durabilité chez Allianz SE. Nous constatons une tendance nette vers la mise en place, au sein des entreprises, de compétences spécialisées dans l’atténuation du risque climatique, réunissant des experts en gestion des risques et en développement durable ».

Les entreprises et les assureurs doivent aussi renforcer la résistance aux événements météorologiques extrêmes. « Des événements autrefois centennaux pourraient survenir plus fréquemment à l’avenir et dans des régions jusque-là considérées comme ‘‘sûres’’. Les bâtiments et les plans de continuité d’activité doivent être plus solides pour pouvoir y faire face », conclut Maarten van der Zwaag.

Autres risques en hausse et en baisse dans le Baromètre des risques 2022 d’Allianz :

  • La pénurie de maind’œuvre qualifiée (13 %) fait son entrée dans le top 10 des risques, à la neuvième place. Il a rarement été aussi difficile d’attirer et de retenir les talents. Les sondés classent ce risque parmi les cinq premiers dans les secteurs de l’ingénierie, de la construction, de l’immobilier, des services publics et de la santé. Ils le placent au premier rang dans les transports.
  • Les évolutions législatives et réglementaires restent à la cinquième place (19 %). Les principales mesures réglementaires concernant les entreprises en 2022 portent sur la lutte contre les pratiques anticoncurrentielles dans le numérique, ainsi que les objectifs de durabilité environnementale, avec la taxonomie verte européenne.
  • Les incendies et explosions (17 %), qui constituent un risque permanent pour les entreprises, se classent à la septième place, comme l’année dernière. Les évolutions du marché (15 %) chutent de la quatrième à la huitième place. Enfin, les évolutions macroéconomiques (11 %) descendent de la dixième à la huitième place.

 Florence Claret. Contact Presse Allianz

CLASSEMENT DES RISQUES PAR LES ENTREPRISES

Il est toujours intéressant de faire un point sur le classement des risques par les entreprises.
👍 Le Cyberrisque, sans surprise, risque n°1.
👍 Plus inattendu et enseignement intéressant : le cyberisque, devant le risque sanitaire.
👎 Malheureusement sans surprise : le risque climatique, risque n°4 ; mais l’évolution, même si elle est lente, est positive.

La cybersécurité inquiète plus les patrons que le Covid

L’enquête annuelle du cabinet PwC auprès de dirigeants d’entreprises partout dans le monde révèle leur confiance dans leur activité. S’étant adaptés à la crise sanitaire, ils ont pour principal sujet de préoccupation la sécurité de leurs systèmes informatiques.

Visiblement, les chefs d’entreprise n’ont guère de crainte sur les conséquences à venir de la pandémie du Covid-19 dans sa variante Omicron. Selon l’enquête annuelle effectuée par le cabinet PwC en interrogeant quelque 4.500 patrons de 89 pays, l’optimisme est de mise.

Plus de 75 % d’entre eux s’attendent à ce que la croissance économique s’améliore dans les douze prochains mois. Ils sont même 85 % en France à se montrer aussi confiant dans l’avenir. « C’est la première fois, dans notre enquête, que les chefs d’entreprises français sont plus confiants que leurs homologues des autres pays », observe Patrice Morot, Président de PwC France et Maghreb.

Les patrons français sont parmi les plus optimistes au monde.
Les patrons français sont parmi les plus optimistes au monde.PwC

En filigrane, l’optimisme se fonde sur le fait que les entreprises se sont adaptées à la situation sanitaire. « Nous ne sommes plus en mars 2020 où tout le monde était confiné, les villes étaient désertes et certaines entreprises obligées de fermer », témoigne Patrice Morot.

La Chine se distingue

A court terme cependant, les patrons chinois se montrent plus soucieux que leurs homologues étrangers en ce qui concerne l’évolution de leur chiffre d’affaires. Seulement 48 % d’entre eux s’attendent à une amélioration de leur activité dans l’année qui vient contre 67 % pour les patrons américains et 60 % pour les européens. Sans doute faut-il voir là les répercussions liées aux difficultés du groupe immobilier chinois Evergrande . De plus « les perspectives d’investissement se sont dégradées et la stratégie « zéro covid » du gouvernement chinois, mise à mal par le variant Omicron, pèse sur le moral des chefs d’entreprise », ajoute Patrice Morot. A plus long terme, l’écart entre les patrons chinois et étrangers s’estompe. Ensemble, ils sont optimistes à 64 % sur l’évolution de leur chiffre d’affaires d’ici à 3 ans. Ils sont 77 % aux Etats-Unis et 72 % en France.

La cybersécurité en priorité

En règle générale, les entreprises se sont adaptées à la crise sanitaire et vivent avec.

Dans un monde de plus en plus numérisé […], il est logique que les patrons se préoccupent de la sécurité de leurs infrastructures informatiques pour répondre aux nouveaux usages de leurs clients

La principale préoccupation des patrons concerne les risques liés à la cybersécurité. « Dans un monde de plus en plus numérisé auquel la crise sanitaire a donné un nouveau coup de fouet avec la hausse des achats via internet, il est logique que les patrons se préoccupent de la sécurité de leurs infrastructures informatiques pour répondre aux nouveaux usages de leurs clients », explique Patrice Morot.

Davos : des dirigeants particulièrement pessimistes

Les chefs d’entreprise français se distinguent de leurs homologues étrangers par le fait qu’ils placent, pour 40 % d’entre eux, les risques géopolitiques au deuxième rang de leurs inquiétudes. Sans doute faut-il y voir la forte dépendance des grands groupes mondiaux français aux importations, avance PwC. Les risques de rupture d’approvisionnement et les pénuries qui en découlent sous-tendent le débat actuel des relocalisations d’activité en France .

La décarbonation à la traîne

A l’heure où la lutte contre le changement climatique prend de l’ampleur dans un contexte de décarbonation de l’industrie, les patrons admettent un retard certain. Seulement 22 % d’entre eux ont pris des mesures en faveur de la neutralité carbone et 29 % prévoient de le faire. « Pour les deux tiers, ce sont des dirigeants d’entreprises mondiales. Si nous assistons à une véritable prise de conscience sur le sujet, les dirigeants des entreprises de taille intermédiaire abordent plus difficilement les enjeux climatiques » tempère Patrice Morot.

Richard Hiault. 17 janvier 2022.