Comprendre le risque : publication d’une Norme internationale révisée

Étiquettes

, , , , , , , , , , , , , , ,

Image parOpenClipart-Vectors de Pixabay

L’incertitude, comme ce terme le sous-entend, définit un événement incertain ou imprévisible. Elle peut aussi être interprétée au sens d’instabilité ou de mouvant, c’est-à-dire ayant une proportion à la variabilité.


Le risque, ou danger plus ou moins prévisible, exprime une conséquence survenant en référence à des actions personnelles ou à des effets externes à notre pouvoir de précaution, voire à une combinaison de ces deux facteurs : interne et externe.


Incertitude et risque sont de ce fait des notions liées entre elles.

Comme nous le savons, il n’existe pas de risque « zéro ». Même si toutes les précautions sont prises, un infime phénomène peut survenir et remettre en cause notre protection préventive ou gêner l’immédiateté de notre réaction et l’accomplissement de la bonne correction ou de la bonne réaction.

Un degré plus ou moins conséquent d’indécision, d’indétermination, de perplexité ou d’irrésolution participe à cet écart entre survenance des faits et réactions effectives.

Réfléchissons à combien d’organisations, de collectivités ou d’entreprises, ont été prises en défaut, soit qu’elles aient ignoré les risques, soit qu’elles en aient sous-estimé la probabilité et la portée.

En revanche, la détermination du degré d’incertitude d’occurrence des nouveaux risques, et de la prévention de leur survenance, tel que le risque de catastrophe naturelle, le risque sanitaire, le risque de fraude, le risque d’informations mensongères ou le risque social sont beaucoup moins aisés à appréhender. Nous évoluons dans un univers complexe et nous ne disposons pas forcément d’exemples et de données historiques permettant d’affiner notre analyse.


« Aussi ne saurions-nous trop engager l’homme mûr, trop confiant en lui-même, à veiller toujours, car le péril est insidieux et les risques sont grands. »
Charles Burlureaux, la Lutte pour la santé, Projet Gutenberg


« D’autant que la complexité des facteurs qui entrent en ligne de compte et les éléments d’incertitude sont plus nombreux qu’avant. »
Jean-Jacques Bourque et François Lelord, l’Âme de l’organisation, Québec Amérique

Selon les périodes, les variables du couple incertitude / risque ont évolué de façon concomitante, mais pas forcément de manière égale. D’un contexte de proximité, nous sommes passés à un environnement départemental, puis régional et national, pour arriver à une semi-mondialisation.
À l’heure actuelle, nous sommes en totale mondialisation par l’ouverture de chacun au monde et par la survenance des pays émergents.


De ce fait, les degrés d’incertitudes et de risques sont de plus en plus élevés en fonction des zones géographiques d’intervention, mais aussi en raison d’une concurrence accrue venant de l’extérieur.


D’où la nécessité d’aller d’une gestion courante des risques vers une intelligence des risques ou, pour certains, vers l’ERM (Entreprise Risk Management).


Notons qu’appliquer une méthodologie de gestion / de management des risques (comme, par exemple l’utilisation de la norme ISO 31000) sans la présence d’une culture d’entreprise, et au sein de celle-ci, sans l’implantation d’une culture du risque, fera que l’entité ne sera pas entièrement protégée.

Lorsque l’incertitude est la seule certitude, la « boîte à outils du management du risque » de l’IEC et de l’ISO aide les organisations à anticiper les menaces qui pourraient nuire à leur succès.
Les menaces récurrentes auxquelles sont confrontées les entreprises sont nombreuses : paysages politiques imprévisibles, évolution rapide des technologies et aléas de la concurrence, pour ne citer que quelques exemples. L’IEC et l’ISO ont conjointement élaboré une boîte à outils de normes de management du risque pour aider les entreprises à se préparer et à réagir à de telles menaces et à récupérer plus efficacement dans leur foulée. Une des normes de cette boîte à outils, axée sur les techniques d’appréciation du risque, a été récemment révisée.

Lire la suite

En passant

Directive DAC 6 : un reporting fiscal de plus pour les institutions financières

Étiquettes

, , , , , , , , , , , , , , , , , , , , , , , , , , , , ,

Image par Kim Broomhall de Pixabay
Image par Kim Broomhall de Pixabay

Prévue au plus tard le 31 décembre 2019, la transposition française de la directive 2018/822, dite « DAC 6 », du 25 mai 2018 marquera le début de nouvelles obligations déclaratives au sein de l’UE à des fins de lutte contre l’évasion et la fraude fiscale. Afin de fournir aux autorités fiscales les éléments nécessaires à l’identification des pratiques dommageables responsables de l’érosion de leurs revenus, la directive s’articule autour de deux leviers : l’introduction d’un mécanisme de déclaration des dispositifs transfrontières ainsi que l’échange automatique et obligatoire des informations collectées entre les autorités fiscales des pays membres, renforçant l’efficacité de la Norme Commune de Déclaration (Common Reporting Standard ou CRS).

Source : square.insight https://blog.square-management.com/2019/06/21/directive-dac-6-un-reporting-fiscal-de-plus-pour-les-institutions-financieres/

A consulter également :

Un vaste système de fraude sur les dividendes a fait perdre 55 milliards d’euros aux Etats européens

La compliance et la réglementation dans l’environnement européen

Blanchiment d’argent & évasion fiscale: le Bitcoin dans le viseur de l’Europe

Les 28 adoptent une nouvelle liste noire de paradis fiscaux

Comment fédérer les énergies des fonctions de contrôle en entreprise dans une approche à forte valeur ajoutée?

En passant

Comment le gang des «faux Le Drian» a piégé le gotha mondial

Étiquettes

, , , , , , , , , , , , , ,

ENQUÊTE – Pendant plusieurs années, des escrocs se faisant passer pour le ministre Jean-Yves Le Drian ont soutiré des millions à de riches personnalités françaises ou étrangères. Deux gangs ont déjà été arrêtés. Mais l’affaire est-elle réellement terminée?
La conversation a lieu à Tunis, un jour de mars 2019, entre Jean-Yves Le Drian et Olivier Poivre d’Arvor. «Dis donc, Jean-Yves, tu as encore appelé un de mes amis le mois dernier, un homme d’affaires tunisien, pour lui demander de l’argent! Tu exagères!» «Ah bon? J’ai recommencé? Encore pour libérer des otages? Et combien j’ai demandé cette fois? Ça commence à bien faire…» Cet échange de plaisanteries surréalistes entre le ministre des Affaires étrangères et l’ambassadeur de France en Tunisie, où Jean-Yves Le Drian faisait escale entre deux visites auprès des responsables libyens à Tripoli et à Benghazi, est le dernier épisode d’une spectaculaire arnaque visant depuis plus de trois ans l’un des poids lourds du gouvernement français.
Plus c’est gros, mieux ça passe! S’il ne s’agissait pas d’une gigantesque escroquerie, qui a coûté des millions d’euros à de nombreuses victimes, on s’inclinerait volontiers devant le caractère romanesque de l’histoire. Depuis fin 2015, un gang de malfaiteurs se fait passer, au …

Lire la suite

En passant

Outil de déchiffrement du rançongiciel (ransomware) PyLocky versions 1 et 2

Étiquettes

, , , , , , , , , , , , , , , , , ,

Le ministère de l’Intérieur met à disposition du public sur la plateforme Cybermalveillance.gouv.fr, dont il est membre fondateur, un outil gratuit de déchiffrement du rançongiciel PyLocky.
PyLocky est un programme malveillant (appelé communément « virus ») de la catégorie des rançongiciels (ou ransomware en anglais). Il rend inaccessible les fichiers de la victime en les chiffrant et lui réclame une rançon en échange de la clef qui pourrait permettre d’en recouvrer l’accès.
PyLocky se propage généralement par message électronique (email) et se déclenche à l’ouverture d’une pièce jointe ou d’un lien piégés.
PyLocky est très actif en Europe et on compte de nombreuses victimes en France tant dans un cadre professionnel (entreprises, collectivités, associations, professions libérales) que particuliers.
Cet outil est le fruit de la collaboration des services du ministère de l’Intérieur, en particulier de la Brigade d’enquêtes sur les fraudes aux technologies de l’information (BEFTI) de la Direction régionale de la police judiciaire de Paris qui a pu récolter dans le cadre de ses investigations des éléments techniques en association avec des chercheurs en sécurité bénévoles. Ces éléments ont permis au Service des technologies et des systèmes d’information de la sécurité intérieure ST(SI)², rattaché à la Gendarmerie nationale, de réaliser ce programme.

Lire la suite

En passant

Les attaques DDoS de retour en nombre (et en force) en 2019

Étiquettes

, , , , , , ,

En baisse durant l’année 2018, les attaques DDoS font leur grand retour en 2019, tant en nombre qu’en puissance, si l’on en croit une nouvelle étude de Kaspersky Lab.
Les attaques DDoS, ou attaques par déni de service en français, consistent à submerger de requêtes un service pour le rendre indisponible. Cela s’opère la plupart du temps en saturant la bande passante du serveur et/ou en épuisant les ressources du système pour rendre non opérationnelle l’infrastructure.
Les attaques DDoS reviennent en force en 2019
Kaspersky Lab, société spécialisée dans la sécurité informatique, analyse fréquemment les attaques sur le web. Selon une étude, il semblerait que les attaques DDoS soient de plus en plus fréquentes depuis le début de l’année. En augmentation de 84% sur le premier trimestre 2019 par rapport au premier trimestre 2018. Plus précisément, les attaques les plus longues, de plus d’une heure, auraient littéralement explosé, doublant en nombre, pour une durée moyenne en augmentation de près de 500%.

Lire la suite

En passant

Comment les hackeurs volent-ils les mots de passe ?

Étiquettes

, , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,

Contrairement à ce que laissent penser les films et séries de ces dernières années, il ne suffit pas de taper rapidement sur son clavier et de froncer les sourcils pour pirater des mots de passe. Petit passage en revue des méthodes les plus utilisées par les hackers pour voler vos mots de passe.

Si vous lisez ces lignes, il est fort probable que vos identifiants numériques ont été compromis au moins une fois. Pas plus tard qu’en janvier 2019, le gestionnaire du site Have I Been Pwned découvrait l’existence de Collection #1, un fichier agglomérant pas moins de 700 millions d’adresses email compromises dans des fuites précédentes. Comment des mots de passe se retrouvent-ils ainsi dans la nature ? C’est ce que nous allons vous expliquer dans cet article.

Un peu d’ingénierie sociale
« La plus grande faille d’un système informatique se trouve entre le clavier et la chaise de bureau », dit l’adage. Parmi les techniques les plus simples et les plus efficaces de vol de mots de passe, on retrouve ainsi celles qui impliquent de tromper ou manipuler l’utilisateur. Le célèbre hameçonnage (ou phishing) consiste à créer un faux site Internet prenant l’apparence d’un service légitime, et à inciter l’utilisateur à s’y connecter. Son mot de passe en clair peut alors être volé en toute tranquillité.

Lire la suite

En passant

Les acteurs de la finance se jugent encore mal outillés dans la lutte antiblanchiment

Étiquettes

, , , , , , , , , , , , , , , , , , , ,

Une étude de Duff & Phelps fait aussi ressortir un besoin criant d’harmonisation entre juridictions

Les scandales Danske Bank ou Swedbank le montrent, les banques ont encore du chemin à faire pour se montrer irréprochables en matière de lutte antiblanchiment et contre le financement du terrorisme (LCB/FT). Les intéressées sont les premières à le reconnaître, selon une étude mondiale publiée par Duff & Phelps le 29 mai. Des 183 décideurs de la finance (DG, directeur financier…) interrogés par le cabinet, 30% estiment qu’au moins l’un des éléments de leur dispositif de lutte contre le blanchiment de capitaux est peu ou pas efficace.
Ces éléments sont, entre autres, l’évaluation du risque de blanchiment, la collecte et l’analyse de données, la production et le suivi de rapports en cas de suspicion d’activité frauduleuse, et l’audit interne. Ce dernier constitue d’ailleurs la partie du programme de lutte contre l’argent sale dans laquelle les banques s’estiment vraiment mal outillées : 15% des répondants jugent leur audit interne du risque LCB/FT peu efficace, et 9% pas du tout. Un comble, vu l’importance de cette fonction pour le dispositif de lutte.

Source : Agefi.fr http://www.agefi.fr/banque-assurance/actualites/etude-texte-reference/20190603/acteurs-finance-se-jugent-encore-mal-outilles-dans-275956

A consulter également : https://resilienceducontroleinterne.wordpress.com/2017/01/30/big-data-nouvelle-methode-marketing-nouvel-or-noir-ou-nouvelle-approche-des-marches-et-des-projets/ https://resilienceducontroleinterne.wordpress.com/2018/11/29/quand-tracfin-disseque-la-delinquance-financiere/ https://resilienceducontroleinterne.wordpress.com/2018/03/22/pouvons-nous-evoluer-dune-gestion-du-risque-lcb-par-detection-parametrages-et-scenarios-vers-une-gestion-predictivealgorithmes/

En passant

Brève : Cybersécurité : vers la convergence des règles ?

Étiquettes

, , , , , , , , , , , , , , , , , , , ,

Il est désormais acquis que la cybercriminalité représente un risque systémique, et que les menaces vont croître en nombre et en dangerosité. Face à ces constats, s’installe l’idée d’une nécessité de développer la coordination internationale dans le secteur financier. « Le système financier est par nature un marché global qui ne s’arrête pas aux frontières. […] Aucun pays ne peut agir efficacement seul. Nous avons besoin d’une approche globale, vraiment coordonnée, pour être capable de répondre positivement à ces attaques », a affirmé Bruno le Maire, ministre de l’Économie et des Finances, lors de la conférence du G7 sur la cybersécurité à la Banque de France, en mai.

Annoncé comme une première mondiale, un exercice de simulation de cyberattaque du système financier à l’échelle des pays du G7 devait être mené début juin, sous la coordination de la Banque de France. La France a fait de la cybersécurité une des priorités de sa présidence du G7 cette année.

Source Revue Banque http://www.revue-banque.fr/risques-reglementations/breve/cybersecurite-vers-convergence-des-regles

A consulter également: https://resilienceducontroleinterne.wordpress.com/2019/06/05/cyberattaques-lue-cree-une-liste-noire-avec-sanctions/ https://resilienceducontroleinterne.wordpress.com/2017/07/05/leurope-nest-toujours-pas-prete-a-affronter-une-cyberattaque-majeure/ https://resilienceducontroleinterne.wordpress.com/2017/05/17/cyberattaques-une-montee-en-puissance-depuis-dix-ans/ https://resilienceducontroleinterne.wordpress.com/2017/05/14/la-traque-des-pirates-de-la-cyberattaque-mondiale-commence/

En passant

Cyberattaques: l’UE crée une liste noire avec sanctions

Étiquettes

, , , , , , , , ,

La création de cette liste noire doit permettre de sanctionner les responsables de cyberattaques menées depuis l’extérieur de l’UE.

L’Union européenne a décidé vendredi 17 mai de créer une liste noire pour sanctionner les responsables de cyberattaques menées depuis l’extérieur de l’UE, a annoncé le conseil des ministres de l’Union dans un communiqué. « Les mesures restrictives comprennent l’interdiction de voyager vers l’UE et le gel des avoirs. En outre, il est interdit aux personnes et aux entités de l’UE de mettre des fonds à la disposition des personnes et entités inscrites sur la liste », précise le communiqué.
L’objectif de ce régime de sanctions est de briser le sentiment d’impunité des organisateurs de telles attaques aux effets économiques parfois dévastateurs et qui font « peser un risque de conflit ».
« Pour la première fois, l’UE pourra imposer des sanctions à des personnes ou entités qui sont responsables de cyberattaques ou de tentatives de cyberattaques, qui apportent un soutien financier, technique ou matériel à des cyberattaques ou sont impliquées de toute autre manière dans celles-ci », souligne l’institution. « Des sanctions peuvent également être imposées à des personnes ou entités qui leur sont associées », ajoute le texte.

Source : Challenges.fr https://www.challenges.fr/monde/europe/cyberattaques-l-ue-cree-une-liste-noire-avec-sanctions_655880

A consulter également : https://resilienceducontroleinterne.wordpress.com/2019/02/05/une-cyberattaque-mondiale-couterait-74-a-169-milliards-deuros/

https://resilienceducontroleinterne.wordpress.com/2018/11/14/les-trois-pays-qui-refusent-de-signer-lappel-mondial-pour-lutter-contre-les-cyberattaques/

https://resilienceducontroleinterne.wordpress.com/2017/07/05/leurope-nest-toujours-pas-prete-a-affronter-une-cyberattaque-majeure/

En passant

Des juges vont enquêter sur la fraude comptable dans l’ex-holding de William Saurin (source judiciaire)

Étiquettes

, , , , , , , , , , , , , ,

hammer-802301_1280

Des juges d’instruction parisiens vont enquêter sur le scandale des comptes truqués de l’ancienne maison mère du groupe William Saurin, la Financière Turenne Lafayette, plus de deux ans après la découverte d’une vaste fraude comptable portant sur près de 300 millions d’euros, a-t-on appris aujourd’hui de source judiciaire. Après près de deux ans et demi d’enquête préliminaire, le parquet de Paris a ouvert le 8 avril une information judiciaire contre «X», notamment pour abus de biens sociaux, escroquerie, présentation de comptes inexacts, faux et usage de faux, dissimulation de la véritable situation de l’entreprise, a détaillé cette source judiciaire.

Des juges d’instruction sont chargés de poursuivre les investigations sur des soupçons de manipulations comptables, qui étaient ressortis d’un audit diligenté peu après la mort de l’énigmatique patronne de la holding, Monique Piffaut, en novembre 2016, à l’âge de 78 ans. Longtemps considérée comme un fleuron français de l’industrie agro-alimentaire, la Financière Turenne Lafayette (FTL), avait dû être lourdement restructurée, après la découverte de dix ans de comptes truqués.

Lire la suite