Bienvenue sur mon blog

Étiquettes

contrôle, contrôle interne, contrôle permanent, Gestion des risques, maîtrise, risk-management, Risques, système de contrôle interne

Résilience : ce terme, appartenant au vocabulaire de la physique, s’emploie initialement pour exprimer la résistance aux chocs des matériaux.
Il fut ensuite utilisé en psychologie afin de préciser l’aptitude d’un être à affronter un stress intense et à s’y adapter.
Citons quelques synonymes de ce terme se rapprochant de notre propos : cohésion, homogénéité, robustesse, solidité, sûreté.
La résilience, nouveau mot à la mode dans les contextes actuels de crise et dans les années à venir, résumant l’agilité nécessaire à tout type d’organisation afin de « survivre » maintenant et dans le futur.
Afin d’éviter toute erreur d’interprétation, ceci n’exprime pas l’idée de revenir à une situation identique (comme résultante d’un Plan de Continuation de l’Activité), mais d’apporter une « assurance » évolutive et permanente des éléments composant, au sens large, tout système de contrôle interne, en corrélation avec la gestion des risques, et l’adaptation des objectifs stratégiques d’une organisation.

Quelle est la nécessité d’élaborer un blog à propos du contrôle interne, qu’une forte majorité de non-praticien considère comme une simple conformité réglementaire ou, dans de petites entités, comme inutile et coûteux?
Si vous consultez Internet à ce sujet, vous constaterez l’existence de peu de blogs traitant de ce sujet. Quelques uns ont pour auteurs des cabinets d’expertise comptable, d’autres émanent de professionnels (secteurs public et marchand).
Ces derniers sont tombés en désuétude par abandon par leurs auteurs.
C’est pour cela que l’expérience est tentée.

Les principaux objectifs de ce blog sont :
– de démystifier les concepts, de démontrer les processus de mise en oeuvre opérationnelle et les « passerelles » menant à la finalité d’un tel système : l’aide au décisionnel.
– d’apporter une vision dynamique et « agile » de l’implantation et de l’évolution
permanente de tout système de contrôle interne.
– de mettre en avant les similitudes, mais aussi les spécificités, entre secteur
« marchand » (privé) et secteur public.
– de mettre en exergue et de montrer les similitudes, mais également les complémentarités, entre le Contrôle permanent et la Qualité.
– d’entamer une réflexion, sous forme de recherche et développement (R&D), des évolutions de la fonction « Contrôle Interne » en tant que telle, mais aussi par rapport aux fonctions de Management des risques, de Conformité (incluant un nouveau phénomène : la protection des données), l’audit interne et la gouvernance.

Cette réflexion est déjà entamée, à l’aide d’une application de curation de contenu, depuis novembre 2011, consultable à l’aide de l’url : http://www.scoop.it/t/recherche-et-developpementcontrole-interne-r-d.
Il serait intéressant qu’un échange interactif de points de vue s’effectue ultérieurement (en premier sur ce blog et en second par l’utilisation de l’url déjà citée).

Enfin, un concept innovant, qui fera l’objet de posts ultérieurs, pourrait permettre au contrôle interne de participer plus amplement à la création de valeur et à l’amélioration de la performance : risques maîtrisés = opportunités.
Le contrôle interne est l’un des moyens de maîtrise des risques. Il offre également la possibilité d’identifier des gisements de valeur au travers de l’utilisation de constats objectifs ressortants du fonctionnement de l’entreprise.
Couplés à une réelle maîtrise de l’information, ceci améliorera de manière significative la prise de décision.

En espérant que les thèmes et les sujets, qui seront traités, participent au Knowledge-Management (KM) que vous recherchez, je vous souhaite une bonne lecture.

RGPD : la CNIL veut instaurer un vrai acte de consentement des internautes qui acceptent cookies et traceurs

Étiquettes

acte, AFCPD, application, autorité, cadre, cadre de référence, CNIL, consentement, données, DPO, entreprise, informatique, internautes, organisme, Plateforme, protection, protection des données, référence, recommandations, recueil, RGPD, site

La CNIL actualise ses cadres de référence et prépare une nouvelle recommandation qui précisera et renforcera les modalités de recueil du consentement aux cookies.

En matière de recueil du consentement pour les cookies et autres traceurs, la réglementation se peaufine, et la Commission nationale de l’informatique et des libertés (CNIL) a même décidé de prendre un peu d’avance. Le gendarme des données a adopté des lignes directrices, le 4 juillet, faisant suite à son plan d’action détaillé le 28 juin dernier. La Commission souhaite renforcer le recueil du consentement des utilisateurs.

La CNIL veut remplacer (et durcir) une précédente recommandation devenue obsolète avec le RGPD

Si le gendarme des données avait adopté, en 2013, une recommandation pour guider les opérateurs dans l’application de l’article 82 de la loi « Informatiques et Libertés », qui prévoit l’obligation de recueillir le consentement des utilisateurs, celle-ci n’était plus compatible avec les dispositions du RGPD, entré en vigueur le 25 mai 2018, et a désormais été abrogée.

Depuis, la CNIL a défini les bases de sa future recommandation, qui viendra définir les modalités pratiques de recueil du consentement, sans attendre le futur règlement européen « vie privée et communications électroniques », qui ne devrait pas entrer en application avant un moment. C’est ainsi que l’autorité propose de discuter de la façon dont les sites, plateformes et opérateurs, vont devoir obtenir le consentement de leurs utilisateurs.

Lire la suite →

La France réfléchit à se doter d’un hub dédié à la cybersécurité

Étiquettes

ANSSI, campus, compétences, cyber, cyberdéfense, cybermenaces, dirigeants, expertise, France, gouvernement, hub, Inria, Israel, menaces, start-up, talent

En prenant exemple sur le centre israélien de Beer-Sheva, le gouvernement songe à créer un campus pour rassembler les cadors français de la cybersécurité, qu’il s’agisse des industriels (comme Orange Cyberdefense, Atos, Thales ou Capgemini), des startups, du monde universitaire, de la recherche, ainsi que certaines agences et ministères.

En avril dernier, c’est une équipe française qui a remporté l’édition 2019 de Locked Shields, le prestigieux exercice international de cyberdéfense en situation réelle à Tallinn (Estonie). Cinq jours durant, 60 experts civils et militaires de l’Agence nationale de la sécurité des systèmes d’information (Anssi) et du ministère des Armées ont déjoué tout un éventail de cyberattaques. La France a in fine décroché la première place, devant la République Tchèque et la Pologne. Florence Parly, la ministre des Armées, s’en est félicitée :
« Nous avons en France une expertise indéniable dans le domaine cyber, et surtout des personnels de talent », a-t-elle affirmé dans un communiqué de l’Anssi.

Le problème, c’est que les talents français, aussi compétents et bien formés soient-ils, ont une fâcheuse tendance à se faire la malle aux États-Unis, écrasant poids lourd en matière de cybersécurité. Michel Van Den Berghe, le patron d’Orange Cyberdefense, le pôle dédié à la cybersécurité de l’opérateur historique, déplore ce phénomène.
« Nous avons une très belle expertise en cyber, elle est rare, et nous perdons nos talents dont beaucoup partent en Californie », regrette-t-il.
Le gouvernement en a bien conscience, et cherche, par tous les moyens, à enrayer cette fuite des cerveaux. L’enjeu est des plus importants à l’heure où les cybermenaces sont de plus en plus grandes, et les cyberattaques, qui émanent parfois des États, de plus en plus dévastatrices.

Lire la suite →

Fraude : la Sécu veut former ses agents à repérer les assurés menteurs

Étiquettes

agents, allocation, animation, appel d'offre, assurés, audition, conception, contrôle, décrypter, détection, efficacité, entretien, formation, fraude, langage, mensonge, menteur, non-verbal, organisme, outils, Public, sécurité sociale, techniques, verbal

Dans un appel d’offre repéré par Le Parisien, le centre de formation de la Sécurité sociale indique vouloir apprendre à ses agents à repérer les assurés menteurs pour mieux lutter contre la fraude.
C’est un appel d’offre original qu’ont repéré nos confrères du Parisien ce dimanche. Dans celui-ci, l’Institut 4.10, qui forme depuis 2016 le personnel de la protection sociale lance un appel d’offre pour la «conception et l’animation de formations» pour des «techniques d’audition et/ou de détection de mensonge». En d’autres termes, apprendre à déterminer quand un interlocuteur ment. D’une valeur estimée à «un maximum de 749.999 euros HT sur l’ensemble de sa durée, éventuelles reconductions comprises», le marché doit permettre de former les agents de la sécu, pour qu’ils soient capables de déterminer quand un assuré leur ment durant un entretien.

Les outils apportés par les formations doivent permettre aux agents de mener «des entretiens et des auditions permettant de caractériser la fraude et l’intentionnalité des faits constatés». Autrement dit, «déceler le mensonge dans les dires verbaux, les écrits et de savoir décrypter le langage non-verbal». Tout un programme. Les formateurs, de leur côté, «devront avoir une bonne connaissance de la lutte contre la fraude et contre le travail dissimulé ainsi que des métiers de contrôle et d’Officier de Police Judiciaire», afin que les leçons soient les plus «efficaces» possibles.

Lire la suite →

Doubs: Spécialisée dans la lutte contre la fraude, une employée de Pôle Emploi détourne 260.000 euros

Étiquettes

audit interne, contrôle anti-fraude, contrôle interne, contrôle périodique, contrôle permanent, détournement, détournement de fonds, emplois, emplois fictifs, employés, fraude, fraudeur, Pôle Emploi, référent

La lecture de cet article, comme d’autres précédemment basés sur un sujet analogue, me rappelle un commentaire entendu de la part de certains dirigeants et managers un petit peu « agacés » par les obligations liées au contrôle interne qui exprimaient l’idée suivante: « Mais qui contrôle les contrôleurs » ? 

La référente fraude de l’agence Pôle emploi de Pontarlier inventait des emplois à sept receleurs en Suisse.

Le montage était simple. La référente fraude de l’agence Pôle emploi de Pontarlier, dans le Doubs, inventait des emplois à des personnes en Suisse en gonflant leurs indemnités. Et en retour, ils lui reversaient une partie des sommes reçues. Au total, plus de 260.000 euros auraient été détournés, révèle L’Est Républicain.

Lire la suite →

Fraude aux chèques : la Banque de France tire la sonnette d’alarme

Étiquettes

Banque de France, BDF, chèque, déclaration, faux, fraude, fraudeur, instrument de paiement, moyens de paiement, paiement, paiement sans contact, rapport, sécurité, taux de fraude, vigilance, virement, vol

Image parPrawny de Pixabay

La fraude aux chèques s’élevait en 2018 à 450 millions d’euros, soit une progression annuelle de 52 % en trois ans, a fait savoir mardi la Banque de France.

Leur utilisation a beau être en déclin, les chèques sont devenus en 2018 le moyen de paiement le plus fraudé en France. Depuis trois ans, « le chèque connaît une hausse des montants fraudés, lesquels atteignent 450 millions d’euros en 2018, ce qui représente une progression annuelle de 52 % », a souligné la Banque de France à l’occasion de la publication du troisième rapport annuel de son Observatoire sur la sécurité des moyens de paiement. En cause notamment : le renforcement de la sécurité des autres moyens de paiement, mardi 9 juillet.
Le chèque « est l’instrument désormais le plus fraudé en montant, alors qu’il était le deuxième après la carte encore en 2017 », a souligné François Villeroy de Galhau, le gouverneur de la Banque de France lors d’une conférence de presse.

Lire la suite →

Braquage de données du siècle au sein de la principale banque du Québec

Étiquettes

banque, braquage, clé USB, compte bancaire, coordonnées, données, employés, entreprise, finance, habitudes, informatique, institution, protection des données, salarié, salariés, sécurité, transactions, usb, usb port

Un salarié a dérobé les données de trois millions de comptes bancaires, dont ceux de 173.000 entreprises. Le Québec est en émoi.
Le braquage est stupéfiant. Il a suffi de quelques clés USB à un salarié du Mouvement Desjardins, la banque des Québécois, pour dérober les données de trois millions de comptes bancaires, dont ceux de 173.000 entreprises. «Quelle vulnérabilité de la part d’une aussi grande institution financière», s’indigne Le Journal de Montréal à la suite du vol, révélé jeudi. Guy Cormier, le président de Desjardins, la principale institution bancaire du Québec, avec sept millions de clients, 47.000 employés et 304 milliards de dollars d’actifs, a annoncé qu’un employé a téléchargé les noms, prénoms, adresses, courriels, numéros de téléphone, numéros d’assurances sociales (équivalent d’une carte d’identité) et les habitudes transactionnelles de 40 % de la clientèle.

Lire la suite →

Les hôpitaux français dans le collimateur des pirates informatiques

Étiquettes

attaque, établissement de santé, CHU, cyberattaque, cybersécurité, DDoS, hôpital, imagerie, informatique, intrusion, matériel médical, médical, numérique, pirates, pirates informatiques, protection des données, protection des informations, rançongiciel, santé, soins, technologies médicales, transmission, virus

Le gouvernement s’inquiète de la hausse des intrusions informatiques dans les établissements de santé. Trois cas majeurs sont survenus en un an. Révélations.

Montpellier (Hérault), Saint-Denis (Seine-Saint-Denis), Condrieu (Rhône). Trois lieux, trois crises. Selon nos informations, des attaques informatiques importantes ont touché les hôpitaux de ces trois villes ces derniers mois. Le premier a été victime d’un virus bancaire, tandis que les deux autres ont subi les affres d’un rançongiciel. Le deuxième a vu ses comptes rendus écrits, son imagerie en ligne comme ses résultats de laboratoire bloqués. « Cela n’a heureusement pas eu de retentissement sur les soins. Les transmissions ont juste été ralenties. On a fonctionné à l’ancienne en s’appelant pendant un peu plus de vingt-quatre heures », se souvient un médecin concerné. Parfois même, le matériel médical peut devenir inopérant, aggravant davantage les conséquences de ces assauts numériques. Saisie, la section cybercriminalité du parquet de Paris a ouvert deux enquêtes – pour le CHU de Montpellier et le CH Delafontaine à Saint-Denis – et coopère avec les autorités d’autres pays afin de retrouver la trace des criminels.

Lire la suite →

Why Risk Culture? Change starts at the top! — A Guide to Risk Management

Étiquettes

governance, guide, management, risk culture, risk-management, risks

By Horst Simon, The Risk Culture Builder, taken from the IRM Energy publication https://riskguide.wordpress.com/2019/07/09/

Also you can see :

IMPLANTER UNE VERITABLE CULTURE DU RISQUE AU SEIN DES ENTITES !

La culture du risque constitue-t-elle un risque majeur pour l’entreprise ?

Piratage informatique : « On n’est jamais assez préparé », alerte une experte en cybersécurité

Étiquettes

adresse, adresse électronique, adresse web, ANSSI, applications, attaque, audit, cyberattaque, cybersécurité, entreprise, fichiers, guide, hacker, hackeur éthique, informatique, logiciels, mot de passe, organisme, piratage, Plateforme, protection, protection des données, protection des informations, RGPD, sauvegarde, sécurité, sécurité informatique, sensibilisation

Les récentes attaques informatiques contre des grandes entreprises ou des organismes d’État interrogent sur le niveau de sécurité de ces plateformes.
Playstation, le ministère des Affaires étrangères, Uber ou la Nasa plus récemment. Les récents exemples de piratages sont légion, qu’ils concernent des organismes d’État ou les plus grandes entreprises mondiales. Cette multitude d’attaques interroge sur le niveau de protection de ces adresses web ultra-fréquentées. Julie Gommes, experte en cybersécurité se penche sur la question.

Lire la suite →

Espionage and LinkedIn: How Not to Be Recruited As a Spy

Étiquettes

espionage, hack, intelligence services, LinkedIn, recrutement, risks, social media platform, spy, tool

Image parStephan Marquardt de Pixabay

The risk that hostile intelligence services will use LinkedIn as a recruitment tool has been widely reported. One such report, by Mika Aaltola at the Finnish Institute of International Affairs published in June 2019, focused on Chinese activity on LinkedIn. The phenomenon, however, is neither confined to Chinese intelligence operations nor limited to that particular social media platform. All intelligence agencies use similar exploits, as illustrated by the Iranian-linked hack of Deloitte in which a LinkedIn connection was used to gain an employee’s trust. Even so, the number of reported cases attributed to the Chinese — including those of former intelligence officers such as Kevin Mallory and corporate espionage cases such as one involving an engineer at GE Aviation — suggest their intelligence services are among the most active and aggressive users of LinkedIn as a recruitment tool.

…

And this makes mitigating the threat critical, whether on LinkedIn or any other social media platform.

Lire la suite →