En prenant exemple sur le centre israélien de Beer-Sheva, le gouvernement songe à créer un campus pour rassembler les cadors français de la cybersécurité, qu’il s’agisse des industriels (comme Orange Cyberdefense, Atos, Thales ou Capgemini), des startups, du monde universitaire, de la recherche, ainsi que certaines agences et ministères.
En avril dernier, c’est une équipe française qui a remporté l’édition 2019 de Locked Shields, le prestigieux exercice international de cyberdéfense en situation réelle à Tallinn (Estonie). Cinq jours durant, 60 experts civils et militaires de l’Agence nationale de la sécurité des systèmes d’information (Anssi) et du ministère des Armées ont déjoué tout un éventail de cyberattaques. La France a in fine décroché la première place, devant la République Tchèque et la Pologne. Florence Parly, la ministre des Armées, s’en est félicitée : « Nous avons en France une expertise indéniable dans le domaine cyber, et surtout des personnels de talent », a-t-elle affirmé dans un communiqué de l’Anssi.
Le problème, c’est que les talents français, aussi compétents et bien formés soient-ils, ont une fâcheuse tendance à se faire la malle aux États-Unis, écrasant poids lourd en matière de cybersécurité. Michel Van Den Berghe, le patron d’Orange Cyberdefense, le pôle dédié à la cybersécurité de l’opérateur historique, déplore ce phénomène. « Nous avons une très belle expertise en cyber, elle est rare, et nous perdons nos talents dont beaucoup partent en Californie », regrette-t-il. Le gouvernement en a bien conscience, et cherche, par tous les moyens, à enrayer cette fuite des cerveaux. L’enjeu est des plus importants à l’heure où les cybermenaces sont de plus en plus grandes, et les cyberattaques, qui émanent parfois des États, de plus en plus dévastatrices.
Dans un appel d’offre repéré par Le Parisien, le centre de formation de la Sécurité sociale indique vouloir apprendre à ses agents à repérer les assurés menteurs pour mieux lutter contre la fraude. C’est un appel d’offre original qu’ont repéré nos confrères du Parisien ce dimanche. Dans celui-ci, l’Institut 4.10, qui forme depuis 2016 le personnel de la protection sociale lance un appel d’offre pour la «conception et l’animation de formations» pour des «techniques d’audition et/ou de détection de mensonge». En d’autres termes, apprendre à déterminer quand un interlocuteur ment. D’une valeur estimée à «un maximum de 749.999 euros HT sur l’ensemble de sa durée, éventuelles reconductions comprises», le marché doit permettre de former les agents de la sécu, pour qu’ils soient capables de déterminer quand un assuré leur ment durant un entretien.
Les outils apportés par les formations doivent permettre aux agents de mener «des entretiens et des auditions permettant de caractériser la fraude et l’intentionnalité des faits constatés». Autrement dit, «déceler le mensonge dans les dires verbaux, les écrits et de savoir décrypter le langage non-verbal». Tout un programme. Les formateurs, de leur côté, «devront avoir une bonne connaissance de la lutte contre la fraude et contre le travail dissimulé ainsi que des métiers de contrôle et d’Officier de Police Judiciaire», afin que les leçons soient les plus «efficaces» possibles.
La fraude aux chèques s’élevait en 2018 à 450 millions d’euros, soit une progression annuelle de 52 % en trois ans, a fait savoir mardi la Banque de France.
Leur utilisation a beau être en déclin, les chèques sont devenus en 2018 le moyen de paiement le plus fraudé en France. Depuis trois ans, « le chèque connaît une hausse des montants fraudés, lesquels atteignent 450 millions d’euros en 2018, ce qui représente une progression annuelle de 52 % », a souligné la Banque de France à l’occasion de la publication du troisième rapport annuel de son Observatoire sur la sécurité des moyens de paiement. En cause notamment : le renforcement de la sécurité des autres moyens de paiement, mardi 9 juillet. Le chèque « est l’instrument désormais le plus fraudé en montant, alors qu’il était le deuxième après la carte encore en 2017 », a souligné François Villeroy de Galhau, le gouverneur de la Banque de France lors d’une conférence de presse.
L’incertitude, comme ce terme le sous-entend, définit un événement incertain ou imprévisible. Elle peut aussi être interprétée au sens d’instabilité ou de mouvant, c’est-à-dire ayant une proportion à la variabilité.
Le risque, ou danger plus ou moins prévisible, exprime une conséquence survenant en référence à des actions personnelles ou à des effets externes à notre pouvoir de précaution, voire à une combinaison de ces deux facteurs : interne et externe.
Incertitude et risque sont de ce fait des notions liées entre elles.
Comme nous le savons, il n’existe pas de risque « zéro ». Même si toutes les précautions sont prises, un infime phénomène peut survenir et remettre en cause notre protection préventive ou gêner l’immédiateté de notre réaction et l’accomplissement de la bonne correction ou de la bonne réaction.
Un degré plus ou moins conséquent d’indécision, d’indétermination, de perplexité ou d’irrésolution participe à cet écart entre survenance des faits et réactions effectives.
Réfléchissons à combien d’organisations, de collectivités ou d’entreprises, ont été prises en défaut, soit qu’elles aient ignoré les risques, soit qu’elles en aient sous-estimé la probabilité et la portée.
En revanche, la détermination du degré d’incertitude d’occurrence des nouveaux risques, et de la prévention de leur survenance, tel que le risque de catastrophe naturelle, le risque sanitaire, le risque de fraude, le risque d’informations mensongères ou le risque social sont beaucoup moins aisés à appréhender. Nous évoluons dans un univers complexe et nous ne disposons pas forcément d’exemples et de données historiques permettant d’affiner notre analyse.
« Aussi ne saurions-nous trop engager l’homme mûr, trop confiant en lui-même, à veiller toujours, car le péril est insidieux et les risques sont grands. » Charles Burlureaux, la Lutte pour la santé, Projet Gutenberg
« D’autant que la complexité des facteurs qui entrent en ligne de compte et les éléments d’incertitude sont plus nombreux qu’avant. » Jean-Jacques Bourque et François Lelord, l’Âme de l’organisation, Québec Amérique
Selon les périodes, les variables du couple incertitude / risque ont évolué de façon concomitante, mais pas forcément de manière égale. D’un contexte de proximité, nous sommes passés à un environnement départemental, puis régional et national, pour arriver à une semi-mondialisation. À l’heure actuelle, nous sommes en totale mondialisation par l’ouverture de chacun au monde et par la survenance des pays émergents.
De ce fait, les degrés d’incertitudes et de risques sont de plus en plus élevés en fonction des zones géographiques d’intervention, mais aussi en raison d’une concurrence accrue venant de l’extérieur.
D’où la nécessité d’aller d’une gestion courante des risques vers une intelligence des risques ou, pour certains, vers l’ERM (Entreprise Risk Management).
Notons qu’appliquer une méthodologie de gestion / de management des risques (comme, par exemple l’utilisation de la norme ISO 31000) sans la présence d’une culture d’entreprise, et au sein de celle-ci, sans l’implantation d’une culture du risque, fera que l’entité ne sera pas entièrement protégée.
Lorsque l’incertitude est la seule certitude, la « boîte à outils du management du risque » de l’IEC et de l’ISO aide les organisations à anticiper les menaces qui pourraient nuire à leur succès. Les menaces récurrentes auxquelles sont confrontées les entreprises sont nombreuses : paysages politiques imprévisibles, évolution rapide des technologies et aléas de la concurrence, pour ne citer que quelques exemples. L’IEC et l’ISO ont conjointement élaboré une boîte à outils de normes de management du risque pour aider les entreprises à se préparer et à réagir à de telles menaces et à récupérer plus efficacement dans leur foulée. Une des normes de cette boîte à outils, axée sur les techniques d’appréciation du risque, a été récemment révisée.
Le ministère de l’Intérieur met à disposition du public sur la plateforme Cybermalveillance.gouv.fr, dont il est membre fondateur, un outil gratuit de déchiffrement du rançongiciel PyLocky. PyLocky est un programme malveillant (appelé communément « virus ») de la catégorie des rançongiciels (ou ransomware en anglais). Il rend inaccessible les fichiers de la victime en les chiffrant et lui réclame une rançon en échange de la clef qui pourrait permettre d’en recouvrer l’accès. PyLocky se propage généralement par message électronique (email) et se déclenche à l’ouverture d’une pièce jointe ou d’un lien piégés. PyLocky est très actif en Europe et on compte de nombreuses victimes en France tant dans un cadre professionnel (entreprises, collectivités, associations, professions libérales) que particuliers. Cet outil est le fruit de la collaboration des services du ministère de l’Intérieur, en particulier de la Brigade d’enquêtes sur les fraudes aux technologies de l’information (BEFTI) de la Direction régionale de la police judiciaire de Paris qui a pu récolter dans le cadre de ses investigations des éléments techniques en association avec des chercheurs en sécurité bénévoles. Ces éléments ont permis au Service des technologies et des systèmes d’information de la sécurité intérieure ST(SI)², rattaché à la Gendarmerie nationale, de réaliser ce programme.
Une étude de Duff & Phelps fait aussi ressortir un besoin criant d’harmonisation entre juridictions
Les scandales Danske Bank ou Swedbank le montrent, les banques ont encore du chemin à faire pour se montrer irréprochables en matière de lutte antiblanchiment et contre le financement du terrorisme (LCB/FT). Les intéressées sont les premières à le reconnaître, selon une étude mondiale publiée par Duff & Phelps le 29 mai. Des 183 décideurs de la finance (DG, directeur financier…) interrogés par le cabinet, 30% estiment qu’au moins l’un des éléments de leur dispositif de lutte contre le blanchiment de capitaux est peu ou pas efficace. Ces éléments sont, entre autres, l’évaluation du risque de blanchiment, la collecte et l’analyse de données, la production et le suivi de rapports en cas de suspicion d’activité frauduleuse, et l’audit interne. Ce dernier constitue d’ailleurs la partie du programme de lutte contre l’argent sale dans laquelle les banques s’estiment vraiment mal outillées : 15% des répondants jugent leur audit interne du risque LCB/FT peu efficace, et 9% pas du tout. Un comble, vu l’importance de cette fonction pour le dispositif de lutte.
Il a souvent été constaté un décalage plus ou moins important entre la théorie et la réalité.
Il est compréhensible qu’un dirigeant de PME ou d’ETI privilégie la stratégie, l’évolution du chiffre d’affaires et sa rentabilité en diminuant autant que faire se peut ses coûts.
Mais ne serait-ce pas du « temps perdu », au sens que ces finalités sont plus assimilables dans un tel contexte à une « fuite en avant » sans assurance d’une continuation d’activité durable et efficiente.
En France, tout contrôle est perçu comme l’empêcheur de tourner en rond. En PME et ETI, il est souvent mal appliqué faute de temps de la part des dirigeants et ces derniers sont parfois mal à l’aise dans l’application des concepts qui y sont liés selon la culture organisationnelle existante dans leur entreprise. Et la culture du risque est totalement inexistante.
Dirigeants, prenez le temps de vous poser et de vous engager dans la lecture du billet (et de son lien) cités ci-dessous.
Il convient d’évoluer du risque financier traditionnel vers les risques technologiques majeurs et les risques opérationnels. Plus exactement de se diriger vers une gestion holistique des risques.
En espérant que vous en soyez convaincus, il ne vous reste plus qu’à prendre connaissance de cette méthodologie et de son outil simple d’utilisation.
Quelques idées à retenir du livre publié, mercredi 12 décembre, par l’Amrae sur la gestion des risques dans les petites et moyennes entreprises, et celles de taille intermédiaire.
C’est fort d’un message simple – « La gestion de risques est aussi pour les PME et ETI ! » – que l’Amrae (Association pour le management des risques et des assurances de l’entreprise) a choisi de s’adresser à ces entreprises trop « petites » pour pouvoir s’offrir un spécialiste de la gestion des risques . « La gestion des risques a longtemps été un sujet de grands groupes. Si les dirigeants de PME et ETI traitent quotidiennement de nombreux risques dans leur entreprise, ils n’ont souvent pas les moyens, la méthodologie et des collaborateurs dédiés pour construire une démarche structurée », assurent, dans un ouvrage publié mercredi 12 décembre, des experts qui souhaitent apporter « une méthode et un outil simple d’utilisation » pour progresser sur le sujet.
En complément, l’Amrae et le Medef Deux-Sèvres ont déployé une application, « Ma carto des risques », qui permet de réaliser un auto-diagnostic de ses risques. « En 54 questions, elle passe en revue sept familles de risques (stratégiques, financiers, opérationnels, sécurité/sûreté/cyber, gestion de crise, réglementation/conformité et risques RH) et permet au chef d’entreprise d’obtenir, en moins de trois heures, une cartographie synthétisant l’ensemble de ses risques majeurs et leur traitement », promeut l’Amrae. Cinq conseils à leur attention.
Compliance is based on a set of rules and plans to manage the risks of corruption. The latter is specific to each company and to the culture in which it evolves.
This includes deontology, as well as collective ethics, decided by each governance.
Now put yourself in the shoes of a manager or collaborators who have to make quick decisions. They will find themselves at a crossroads between the theoretical rules enacted by the company, the ethics in force, their own ethics and, above all, their personal goals of productivity and profitability.
There is always a more or less large gap between theory and reality, especially in times when nothing is immutable and everything is in perpetual movement.
In terms of compliance, nothing is all white or all black. There is also a so-called « grey area » where the human is confronted with his own choices according to his personal ethics. What I had already pointed out in the ticket entitled ‘ Implanting a real risk culture within entities ‘, the link of which appears under this post under the heading « To be consulted also ».
In the extension of my comment, I invite you to read the post of Marc Le ménestrel professor of corporate governance and sustainability at INSEAD that I consider interesting to highlight.
Having honest, adult conversations about corruption requires accepting that none of us is ethically pure.
These days, I sometimes begin my classes on corruption with an unusual admission. I announce to my students – who may be judges, police officers, military investigators, bureaucrats or any other variety of public official – that corruption is not a problem removed from me. I am corrupted too.
This is only partly a gesture of humility. It is also my attempt to initiate a dialogue on business ethics that is honest, for a change. The common thing to do when the subject of ethics comes up is to grandstand and make sweeping moral declarations, as though combating corruption were simply a matter of finding the “bad”people in an organisation, agency, justice system, etc.
But corruption has always existed and goes on everywhere. It is indeed very likely that it will always exist. Why not also in myself? Of course, I can avoid thinking about it. Even more convenient, I can choose or invent a definition of corruption that does not include my actions. In doing so, however, I am indulging a self-protective fantasy in which corruption has lost some of its most valuable meaning.
Most of us are very uncomfortable when confronted with the truth of our unethical behaviours. Since we tend to think in exclusive categories, we fear being bad because we think it implies we are not good. However, the truth is that ethics is a grey zone. Each one of us is both good and bad. We are not saints.
In my experience, the more I know the extent to which I am corrupted, the better I am at navigating the grey zone of my own ethics. Finding moral orientation in the grey zone sometimes entails resisting my own imperfections and striving for something higher. At other times, it is a matter of accepting some of my own “badness” so that I can keep my attention focused on the real world, on things as they actually are.
It can be difficult to determine what to resist and what to accept. Here are three ideas that I have found useful in my moral and ethical decision making.
Une cyberattaque mondiale coordonnée, diffusée par un courrier électronique malveillant, pourrait causer des dommages économiques compris entre 85 milliards et 193 milliards de dollars (entre 74 et 169 milliards d’euros), selon un scénario hypothétique issu d’un rapport publié mardi par le marché de l’assurance britannique Lloyd’s of London et par Aon, spécialiste de la gestion des risques.
Les demandes d’assurance concerneraient notamment des interruptions d’activité ou des cyberextorsions de fonds et une attaque pourrait toucher plusieurs secteurs dans le monde, avec les pertes les plus importantes dans le commerce de détail, la santé, l’industrie et la banque, selon ce rapport.
Les économies régionales davantage dominées par les services, en particulier les Etats-Unis et l’Europe, souffriraient davantage et seraient exposées à des pertes directes plus importantes, selon les auteurs du rapport. Le total des sinistres payés par le secteur des assurances dans ce scénario est estimé entre 10 milliards et 27 milliards de dollars.Lire la suite →