Blog

Blog Management des risques

Meilleurs Voeux

  • By Christophe Ponchon
  • Published 7 janvier 2019
  • Tagged

Perspicio vous souhaite une très belle année 2019 durant laquelle vous pourrez prendre de la hauteur et saisir les nombreuses opportunités qui ne manqueront pas de se présenter.

Puissent les aléas qui ont émaillé l’actualité de 2018 être moins nombreux et surtout mieux anticipés pour être moins impactants

« Agir en conscience pour être en confiance »

Voeux-Perspicio-2019

Joyeuses Fêtes de fin d’année

  • By Christophe Ponchon
  • Published 20 décembre 2018
  • Tagged

Nous vous donnons rendez-vous en 2019, bonnes fêtes à toutes et à tous

Tous nos vœux les meilleurs

  • By Christophe Ponchon
  • Published 31 décembre 2015
  • Tagged

PERSPICIO vous présente ses meilleurs voeux 2016

Puisse l’année 2016 voir vos projets avancer, les succès se multiplier et surtout les célébrations se multiplier avec tous celles et toutes ceux qui auront contribué à générer l’enthousiasme et les conditions du changement pour une performance renouvelée de votre entreprise et le bénéfice du plus grand nombre de vos parties prenantes.

Nous serons heureux d’être à nouveau à vos côtés en 2016 pour poursuivre sur cette dynamique du succès

Bonne et heureuse année 2016

Se faire Uberiser? Créer la rupture, ne pas la subir

  • By Christophe Ponchon
  • Published 20 mai 2015
  • Tagged

Les langueurs du mois de mai avec ses ponts et viaducs (un record cette année) donnent un avant-goût de repos bien mérité et invitent à se projeter vers la trêve estivale…

Mais à l’heure où les prémices porteuses d’espoir -annoncées en une de tous les médias- d’une reprise économique le disputent aux mauvais augures -rachats de fleurons nationaux par les étrangers, économies gouvernementales et chômage record- l’incertitude demeure, voire s’accroît.

 

« Tout le monde commence à avoir peur de se faire Uberiser »  (Maurice Levy, Financial Times 14/12/2014)

Tout le monde a peur de se faire ubériser

Etre ou ne pas être victime d’une rupture de modèle d’affaires ?

 

A ce qui précède s’ajoutent les nombreuses ruptures de modèles d’affaires (la recherche du terme « uberisation » renvoie 31.800 résultats sur Google.fr…) rendues possibles par la digitalisation accrue de l’économie et l’émergence d’une nouvelle génération d’entrepreneurs sur tout le globe et dont l’ambition rompt avec celle de leurs aînés : le monde comme territoire de jeu sinon rien !

Les exemples abondent et il n’est probablement nul secteur d’activité qui ne se sente menacé.

A tout seigneur, tout honneur. Ainsi, le néologisme « Uberisation » tire-t-il son origine de la société UBER qui a introduit l’une des ruptures les plus remarquées -décriée systématiquement par les taxis et régulièrement par les pouvoirs publics d’un côté, plébiscitée par les utilisateurs et les chauffeurs privés de l’autre- au monde de ces derniers mois. Tout « simplement » en ayant construit une offre d’intermédiation performante permettant le déplacement d’un point à un autre par un simple « toucher de bouton » comme une alternative plus pratique et plus économique que le recours aux traditionnels taxis.

Citons également AirBnB ou Booking qui sèment le trouble dans l’univers de l’hôtellerie ou encore Lending Club ou Prêt d’union qui marchent sur les platebandes des établissements bancaires.

Les lecteurs de ce billet auront vite fait de compléter la liste…

Mais il n’est nul besoin que l’adversaire soit nommé pour présenter une menace pesant sur des acteurs en place.

Ainsi, qui aurait pu dire que le syndicalisme pourrait se trouver menacer par les réseaux sociaux et l’ instantanéité qu’ils offrent : « à l’heure de la révolution numérique, plus besoins d’intermédiaires : c’est l’ubérisation du syndicalisme ! »

Après internet, puis les outils nomades qui ont permis les premières ruptures de modèles d’affaires et l’émergence de ces nouvelles icônes de l’économie mondiale, les objets connectés (« Internet of Things » Iot) et l’imprimante 3D sont d’ores et déjà les prochains vecteurs des ruptures à venir.

 

L’urgent est fait, l’impossible est en cours, pour les miracles… prévoir un délai

La relation que nous avons au temps qui passe ne cesse d’évoluer, ou plutôt serait-on tenté de dire, ne cesse de se détériorer.

L’information est omniprésente et tend à nous submerger (« infobésité » renvoie 69.300 résultats sur Google.fr !).

Emails, reportings se succèdent sans relâche sur nos écrans.

Refuser l'infobésité

La vague du numérique : la prendre et la surfer ou se laisser submerger ?

L’urgence qu’on leur prête nous oblige à les consulter tout le temps en toutes circonstances. Difficile de s’y soustraire.

Qu’il semble loin le temps où on les lisait confortablement installé à son bureau en amont de la réunion à venir ou après celle que l’on venait de terminer.

Maintenant on les consulte et on les traite pendant les réunions, dans les transports…

Plus une minute à perdre. Et comme tout le monde accède à tout le monde, le nombre d’emails, de questions et de reportings s’accroît de manière exponentielle…

Pour les miracles… ? Prévoir un délai !

 Le Big Data : f(t,Qi)

Le « Big Data » est annoncé comme la révolution majeure à ne pas râter

De manière forcément réductrice, le Big Data est fonction (au sens mathématique du terme) du temps (t) et de la qualité des données disponibles à traiter (que nous nommerons Qi).

Big-data-f(t,qi)

Le Big data : une question de qualité des données (plutôt que de quantité!) corrélée au facteur temps

 

Cette fonction vise à répondre à la question suivante :

Comment définir (d’un point de vue qualitatif donc) puis obtenir, organiser, hiérarchiser et traiter une quantité d’informations à déterminer sur une période à définir, pour produire des éléments d’information visant à générer pour l’entreprise un avantage concurrentiel  sur son marché ?

Le Big Data sera-t-il  la promesse de la domestication de l’infobésité grâce à la puissance du digital ?

Impossible d’apporter une réponse définitive à ce stade, chacun aura son opinion sur le sujet. A coup sûr, nombreux seront ceux qui s’égareront en faisant de Qi une variable basée sur la quantité plutôt que sur la qualité.

Pour le moment, tout un chacun y verra au choix : une nouvelle vague qui va le submerger, une menace pour soi-même, son entreprise, ses parties prenantes (clients, fournisseurs…), ou bien encore  une opportunité à saisir…

***

Comment dans ce contexte caractérisé par des ruptures (récentes, présentes et… à venir) de modèles d’affaires d’une part, un environnement économique peut-être en cours de retournement d’autre part, ce sentiment d’urgence permanent et oppressant enfin, partir cet été l’esprit confiant ?

Perspicio est à vos côtés pour vous aider à prendre conscience des risques auxquels vous vous trouvez exposés, des incertitudes auxquelles vous êtes confronté(e) mais aussi et surtout des opportunités qui s’offrent à vous.

N’attendez pas d’être la cible de la prochaine rupture de modèle d’affaires à venir pour réagir !

Il se pourrait fort bien qu’il soit alors trop tard…

Prenez plutôt les devants et changer à votre profit les règles du jeu qui prévalent aujourd’hui dans vos environnements et laisser aux autres la nécessité de réagir et de tenter de s’adapter…

Adoptez à votre profit notre signature et mettez-vous en posture d’agir en conscience pour être –et donc partir en congé- en confiance !

Leçons par le RAID et le GIGN à retenir pour nos organisations

  • By Christophe Ponchon
  • Published 21 janvier 2015
  • Tagged

RTL Emission spéciale

Dans cette émission spéciale de RTL, le RAID et le GIGN reviennent sur les assauts donnés contre les frères Kouachi et A Coulibaly et nous donnent une grande leçon de management des risques et de gestion de crise

Le double assaut à Dammartin et porte de Vincennes raconté par les hommes du Raid et du GIGN

Pour mémoire, le fait pour les forces de police et de gendarmerie d’avoir deux situations à gérer en simultané ne s’était encore jamais produit à ce jour. La complexité qui en résulte se trouve par ailleurs renforcée par le fait que les deux situations étaient liées, et que lesdites forces pouvaient légitimement penser que les terroristes étaient informés de l’autre situation en quasi temps réel (on sait désormais que Coulibaly avait accès aux chaînes d’information continue)

1.- Ce qu’il convient de retenir des témoignages des officiers supérieurs du RAID et du GIGN

Faire face à des situations complexes, aux enjeux élevés ne s’improvise pas. Cela s’étudie en long en large et en travers, aussi bien sur les situations que l’on a pu vivre soi-même ou que d’autres ont vécu. Ce travail est à effectuer en amont de la survenance de la crise. Dans le monde de nos organisations, une bonne pratique consiste à travailler sur l’identification des risques et incertitudes auxquels l’organisation pourrait se retrouver confrontée.

  • Un travail d’identification et de hiérarchisation

Ces risques et incertitudes pourront venir de l’organisation elle-même (sa stratégie, son organisation, ses ressources humaines, industrielles ou financières…) et/ou de son environnement (concurrence, régulateurs, partenaires, marchés côtés, cataclysmes naturels…). Ils devront être définis, évalués, hiérarchisés…

Pour les risques et incertitudes que l’organisation jugera inacceptables, il conviendra d’essayer d’apporter une réponse appropriée (évitement, externalisation, réduction selon leur nature et le coût de leur traitement face aux enjeux qu’ils représentent).

  • Un traitement selon deux axes pour les risques et incertitudes aux conséquences jugées inacceptables

La réponse qui correspond à la réduction du risque ou de l’incertitude peut avoir un volet en amont (réduire la probabilité de survenance de l’événement redouté) et/ou une action palliative -en aval donc- qui visera à en réduire l’impact, les conséquences. Dans tous les cas, la « solution » retenue doit être définie a priori

La situation d’une prise d’otages est en de nombreux points comparable à cette opération de réduction des impacts des risques et des incertitudes. Que nous disent les officiers concernant le déroulement des opérations ?

  • Chacun sait ce qu’il a à faire et ne fait que cela

Certains s’occuperont de recueillir des informations (le gérant de l’imprimerie, l’artisan qui est intervenu pour des travaux dans l’épicerie…), d’autres de gérer les tiers (habitants à proximité, médias pour ne pas donner un avantage aux terroristes…), certains seront des « vigies » (tireurs d’élite) d’autres pénétreront en force le cas échéant (avec une incertitude fondamentale et élevée : qui essuiera le feu ennemi ?) d’autres évacueront les otages, les blessés, certains décideront, coordonneront…

2.- Ce que l’on peut retenir et transposer à nos organisations

  • L’improvisation est à proscrire

Nous l’avons abordé plus haut mais il est essentiel de le rappeler, la performance exceptionnelle du GIGN et du RAID n’a pu être possible qu’au prix d’une évaluation minutieuse en amont des situations probables et possibles, réalisée a priori et complétée de leçons apprises lors de l’analyse a posteriori d’événements antérieurs.

On ne saurait attendre de la grande majorité de nos organisations qu’elles atteignent le niveau du RAID et du GIGN en la matière, mais combien sont aujourd’hui dans le flou le plus total ? Beaucoup trop, hélas !

  • Se mettre le plus proche possible d’une situation réelle pour s’entraîner et agir avec justesse le jour J

On l’a dit, savoir précisément qui fait quoi dans quelles conditions est nécessaire, mais cela ne saurait être suffisant. Ces hommes d’élite ont tous vécu des situations d’entrainement avec tirs à balles réelles, sur leurs boucliers ou leurs gilets pare-balles pour réduire au maximum le risque « d’erreur » au moment d’entrer -dans ce cas- dans l’épicerie casher et d’essuyer pour certains les tirs de kalachnikov de Coulibaly (5 blessés chez les policiers lors de l’assaut !).

Rédiger des process et des procédures que l’on met sur un intranet est loin d’être suffisant. Il faut mettre en oeuvre par les acteurs concernés les plans d’action définis sans quoi tout l’investissement consenti en amont dans leur élaboration pourrait vite passer par perte. Les exercices d’évacuation incendie (obligatoires : ICI) illustrent plus souvent qu’il ne serait souhaitable à quel point le décalage est grand entre la théorie et la pratique !

  • Attention à la dimension systémique

La sortie subite des frères Kouachi déclenche l’assaut de l’épicerie. Les risques ne peuvent et ne doivent s’analyser puis s’appréhender indépendamment les uns des autres. La complexité de nos organisations et des environnements dans lesquels elles évoluent conduisent parfois à des effets domino. N’avoir travailler que sur le premier domino peut s’avérer fatal si l’on n’a pas vu que sa chute entraînait par suite celle de tous ceux situés derrière lui. La dimension systémique est généralement tout autant -sinon plus- sous-évaluer que la nécessité d’éprouver « à blanc » les plans d’action

  • Un exercice de révision permanent pour un résultat à la hauteur des attentes

Les représentants des héros des derniers jours de toute une nation nous le disent dans l’interview: ils actualisent constamment leurs analyses en fonction de l’évolution des environnements des menaces auxquels ils sont confrontés. Dans le passé, le plus souvent un preneur d’otages était ramené à la raison, cela prenait du temps mais il n’y avait pas de victime. Dans un tel contexte, on peut imaginer que les dispositifs ou l’attention des intervenants pouvaient ne pas être à leur maximum. Nous apprenons que dès lors qu’un preneur d’otage est radicalisé, il n’y a jamais eu de reddition. L’affrontement jusqu’à la mort est la seule issue. La réponse dans de telles situations devra donc nécessiter un dispositif massif et une attention de tous les instants.

Le traitement prévu d’un risque, élaboré depuis un « certain » temps pourrait ne pas remplir son office. Depuis sa conception, la nature du risque a pu évoluer, le dispositif ne plus fonctionner (l’extincteur par exemple est périmé et il n’y a plus de pression à l’intérieur) ou la ressource ne plus satisfaire aux attentes (mutation ou départ, en déplacement…).

  • L’usure du temps et l’ampleur de la tâche : nos pires ennemis !

Évacuons rapidement l’ampleur de la tâche : trop souvent, nos organisations voient l’ampleur de la tâche, sa récurrence et la mobilisation des ressources comme trop importantes. Alors on finit par se convaincre que cela n’arrive qu’aux autres (voir sur ce sujet notre billet ICI) et l’on ne fait rien…

L’usure du temps et son cortège de fausses alarmes peuvent aboutir au même résultat: l’événement survient et l’on prend son impact intégralement, le dispositif de réduction du risque n’ayant pas fonctionné.

Dans le cas de la rédaction de Charlie Hebdo, le dispositif de protection a été progressivement allégé (lire l’article édifiant rétrospectivement du Figaro ICI) et lorsque les frères Kouachi se sont présentés, le policier du Service De La Protection n’a rien pu faire alors qu’ils ont semble-t-il commencé à tirer avant d’être sur lui (ce qui a pu l’alerter ?). La rage et détermination des assassins a pris tragiquement le dessus et conduit à son meurtre et celui des membres du journal.

3.- Alors que faire ?

Atteindre le niveau de maîtrise du GIGN et du RAID constitue de toute évidence un voeu pieu pour nos organisations. Mais le fait que leur expertise ne semble pas à notre portée ne constitue pas une excuse recevable pour ne rien faire ou se cacher derrière une croyance telle que « cela ne peut pas nous arriver à nous » ou une pseudo-certitude telle que « on verra bien lorsque cela arrivera, on en a vu d’autres… »

Qui aurait osé dire que l’on pouvait couler un navire moderne à quelques encablures de l’Italie ? Qui aurait parier sur le fait qu’une banque pouvait perdre 5 milliards d’euros du fait semble-t-il des actions d’un seul salarié ? Comment un leader mondial de l’automobile a-t-il pu être amené à rappeler en une année 30 millions de véhicules pour des défaut de qualité ? Les exemples sont légions.

Penser identification des risques et incertitudes, adoption des comportements adéquats pour les prévenir ou en réduire les impacts devraient devenir un acte inconscient, de ceux que l’on a intégrer et que l’on exécute sans même sans rendre compte.

Il y va peut-être de la survie de votre organisation. Comme dans toute chose, il faut bien commencer petitement avant de parvenir à des performances acceptables puis bonnes voire excellentes. Les GIGN, RAID et autre GIPN n’ont pas atteint leurs niveaux d’excellence en un jour.

Les performances que nous relatent dans cette émission de RTL leurs patrons constituent une belle opportunité pour chaque dirigeant de nos organisations de se questionner sur leur état de conscience et sur le niveau de préparation de l’organisation dont ils ont la responsabilité. Quid de leur responsabilité si un événement malheureux qui aurait pu être évité ou contrôlé se produit et impacte fortement salariés, partenaires, fournisseurs et autres clients…?

N’hésitez pas à nous faire part de vos commentaires et réflexions sur ce sujet et sur ce billet

PS : nos pensées vont aux familles des victimes de cette tragédie et au dévouement et courage des forces de police et de gendarmerie. L’évocation des circonstances héroïques (ou tragiques) vient à l’appui de nos objectifs de sensibilisation en s’appuyant sur les propos tenus dans cette émission et les informations rendues publiques dans différents média

Meilleurs Vœux de succès

  • By Christophe Ponchon
  • Published 2 janvier 2015
  • Tagged

 

Meilleurs voeux 2015

En 2015, PERSPICIO vous souhaite de relever en confiance de beaux challenges, que vous aurez définis en conscience

Pour cela, nous formulons pour vous les vœux suivants:

Curiosité pour appréhender la complexité de votre environnement
Clairvoyance pour identifier et réduire les incertitudes liées à cet environnement
Gourmandise pour saisir les opportunités qui s’offrent à vous
Sagesse pour évaluer les risques qu’elles induisent
Générosité pour fédérer les ressources adéquates
Détermination pour relever les challenges, nouveaux comme actuels

Belle et heureuse année 2015

Compte-rendu de la conférence « Cybercriminalité : l’entreprise est-elle victime ou responsable ? »

Nous avons eu la chance d’assister le jeudi 11 décembre 2014 à la conférence « Cybercriminalité : l’entreprise est-elle victime ou responsable » organisée par le journal « Acteurs de l’Economie – La Tribune », C’M’S’ Bureau Francis Lefebvre, le CIC et l’EMLYON Business School.

Nous vous proposons ci-dessous les faits marquants et enseignements que nous avons retenus.

« Des entreprises peu préparées et généralement démunies »

Walter Salamand, associé du Bureau Francis Lefebvre à Lyon ouvre la soirée et plante le décor : les entreprises françaises sont peu préparées et démunies face au risque de cybercriminalité.
Pour confirmer ses dires, ils communiquent les résultats d’une enquête de la société Kaspersky : 1/3 des entreprises seraient victimes de cybercriminalité.

« Victimes mais aussi très souvent responsables ! »

Il apporte ensuite la réponse à la question titre de la conférence.
Bien sûr les entreprises sont avant tout victimes de la cybercriminalité.
Mais aussi –et ne serait-ce pas finalement le plus grave ?- responsables si l’enquête qui s’ensuit généralement révèle qu’elles n’ont pas mis en œuvre les moyens proportionnés pour se prémunir de l’attaque, ou si elles n’ont pas respecté les obligations réglementaires en vigueur (les délibérations de la CNIL notamment).
Au final l’entreprise peut avoir subi un préjudice direct résultant de l’attaque, mais plus encore, elle sera, si sa responsabilité est engagée, poursuivie au civil et ses dirigeants au pénal où ils et elles pourront être condamnés.

Jean-Louis Bruguière expose ensuite la situation de la lutte contre la cybercriminalité, une responsabilité partagée avec les pouvoirs publics

bruguiere

L’ancien coordinateur du pôle anti-terrorisme cite l’amiral Rogers, Directeur de la NSA pour qui le cybercriminalité est une nouvelle forme de guerre, puis le directeur du centre de sécurité informatique de l’OTAN, Suleyman Anil qui, pour sa part dès 2008, a appelé à considérer la défense des infrastructures réseau au même niveau de priorité que la défense militaire aérienne et la lutte mondiale contre le terrorisme.

S’il en est besoin, le ton est donné.

« Cybercriminalité : une impunité planétaire quasi garantie sur le long terme… »

L’ancien magistrat expose qu’une prévention efficace est très difficile à réaliser, la dimension internationale des acteurs et les rôles actifs joués par certaines nations (parmi lesquelles la Chine, la Russie, l’Iran, la Corée du Nord…) impliquant quasi de facto une impunité planétaire pratiquement garantie sur le long terme.

La cybercriminalité se développe sous de multiples formes avec:
• le cyberterrorisme au moyen de sites web cryptés (ne permettant pas de détecter les menaces suffisamment rapidement) pour recruter des djihadistes, partager des expériences, engager des discussions sur des forums et bien sûr assurer la propagande (facebook, twitter, youtube…)
• les attaques d’état à état, version 2.0 de la guerre froide
• plus récemment, les attaques d’état à société avec la Corée du Nord qui menace Sony
• …

« Les PME/PMI françaises des cibles « molles » de choix pour la cybercriminalité »

Le secteur concurrentiel n’est bien évidemment pas épargné.
La France figure au 15ème rang mondial des pays dont les entreprises sont le plus attaquées par les cybercriminels. Toutefois, si l’on ne considère « que » les attaques ciblées (dites APT) notre pays figure au 1er rang concernant les attaques à l’encontre de nos PME/PMI qui constituent selon JL Bruguière, des cibles « molles », autrement dit faciles à attaquer car peu conscientes et protégées, avec un rapport bénéfices/coûts très favorable pour l’attaquant.

L’ancien magistrat évoque des attaques variées et qui évoluent au gré des réponses dont elles font l’objet:
• fraude au dirigeant
• espionnage de Cadres dirigeants (ex Dark Hotel via les connexions WIFI des grands hôtels… )
• hacking de smartphones, facilement géolocalisables
• de plus en plus fréquent, les « rançongiciels » qui bloquent le SI de l’entreprise jusqu’au paiement d’une rançon

Toutes sont alimentées par les données exposées de plus en plus sur les réseaux sociaux, dans les plaquettes corporate…

« Une dimension systémique ignorée par les entreprises françaises »

JL Bruguière insiste sur la dimension systémique du risque induit par le numérique et sur le fait que les entreprises françaises ignorent, comme l’illustrera plus tard le dirigeant convié à témoigner et pour lequel une accessibilité ignorée à son système d’information a failli conduire à une quasi faillite après que ses systèmes ont été saisis puis involontairement altérés par les gendarmes.

Il insiste également sur la nécessaire implication de toutes et tous, sur le fait que ce n’est pas de la seule responsabilité des dirigeants.

Cela peut passer par:
• la désignation d’un référent sécurité informatique
• prêter une attention de tous les instants sur les usages des réseaux sociaux (Twitter, Facebook et Linkedin notamment)
• ne pas mélanger les outils professionnels et privés dans leurs usages privés ou professionnels
• ne pas amener d’outils numériques dans des réunions pour ne pas être entendus après piratage (même éteints !)
• ne pas utiliser ses matériels (portables, tablettes) dans les transports en commun (trains et avions principalement)

« Vigilance renforcée pour le cloud et l’internet des objets »

Plus largement il invite tous les acteurs (publics comme entreprises, ensemble) à être très vigilants pour le futur quant au cloud d’une part, et à l’internet des objets connectés, ces derniers pouvant accélérer les incidences des attaques nées dans le cyber-espace puis importées dans la vie réelle.

Différents acteurs et témoins conviés à la table ronde livrent ensuite leurs réflexions et points de vigilance

Table-ronde

3 grandes typologies d’agressions sont relevées par CMS Bureau Francis Lefebvre :
• Vols de données en externe mais aussi en interne
• Attaque à la réputation des entreprises (sur les réseaux sociaux notamment)
• Escroqueries qui représentent pour la France une perte estimée entre 300 et 800 millions d’euros pour les entreprises

A noter que pour l’heure, les données commerciales ne relèvent pas du secret des affaires malgré une proposition de loi de novembre 2011 en France. La Commission européenne a élaboré une proposition de directive relative à la protection des secrets d’affaires, en date du 28 novembre 2013.

Des solutions assurantielles existent qui permettent outre la prise en charge des dommages, de faire un travail rigoureux d’analyse et de quantification en amont et de recueillir lors de ce diagnostic de précieux conseils. Enfin en cas de sinistre et de mise en cause du dirigeant, l’assistance s’avère un soutien moral apprécié en son temps par le dirigeant témoin de la soirée.

Les témoins experts apportent des éléments redonnant confiance dès lors que l’on s’adresse à des spécialistes reconnus.

En France, un interlocuteur privilégié en matière de prévention et de réaction aux attaques informatiques : l’ANSSI

Le premier réflexe consiste à s’interroger sur la fiabilité réelle des partenaires auxquels on s’adresse ou des systèmes que l’on utilise. Pour cela, chaque entreprise peut se rapprocher de l’Agence Nationale de la Sécurité des Systèmes d’Information, service gouvernemental créé en 2009.

L’ANSSI édite ainsi un guide des bonnes pratiques et délivre des labels de sécurité à des produits et des services de confiance ICI

Toute entreprise se doit de veiller à la qualité de son dispositif de sécurité y compris si tout ou partie de son informatique est sous-traitée hors les murs de l’entreprise.
La faire tester est recommandé (surtout ne pas en rester aux déclarations des prestataires !).
Les experts invitent les entreprises à ne pas stocker leurs données hors de l’UE.

Les experts rappellent qu’il existe une norme ISO en matière de Management de la Sécurité de l’Information, en l’occurrence, l’ISO 27001
Pour des données peu sensibles, il existe de bons logiciels de cryptographie (choisir un produit validé par l’ANSSI !), pour des besoins plus larges, il conviendra de mettre en place un SOC (Security Operations Center)

Se préparer à réagir à une cyber-attaque

Ils insistent également sur le fait que les entreprises doivent se préparer à réagir à une cyber-attaque car face à l’inconnu, les actions conduites peuvent être plus néfastes que bénéfiques si l’on n’est pas correctement préparé. Pour eux la question n’est pas de savoir si l’on va être victime de cybercriminalité, mais quand…
Afin de préparer les salariés, les experts proposent le recours aux « serious games »

Une PME victime… mais aussi son dirigeant responsable !

Le témoin d’entreprise (PME comme il en existe tant) raconte une histoire E-DI-FIANTE. Car s’il a été blanchi des faits qui lui ont été initialement reprochés, l’auteur d’une vengeance personnelle ayant été confondu, il n’en a pas moins été condamné « légalement » (à défaut de mériter de l’être moralement) à 3 ans de prison avec sursis, inscription au casier judiciaire pour les négligences inconscientes ayant permis l’introduction dans son SI des données nécessaires à la vengeance.
Sans parler de l’impact moral et psychologique que cette affaire a eu sur lui et probablement ses proches et salariés…

Un article dans le quotidien « Les Echos », paru le 9 décembre 2014 et intitulé «Les pirates attaquent le cloud» illustre très largement les enjeux en matière de Cybercriminalité et appuie les points de vue de nos orateurs d’un soir.

Pour conclure, et un citant le témoin d’entreprise « Ne croyez pas que cela n’arrive qu’aux autres » et prenez rapidement conscience de votre niveau de vulnérabilité avant que vous ne soyez frappés et que dès lors la confiance s’envole

Bienvenue

Bonjour et bienvenue à toutes et à tous,

Après la section « Bibliographie », nous sommes heureux de lancer notre blog !

Nous vous proposerons des billets sur l’actualité, d’autres sur des sujets techniques ou partagerons avec vous nos humeurs.

Au gré de leurs envies et de leurs disponibilités, nos partenaires vous proposeront un décryptage parfois différent, souvent complémentaire mais toujours enrichissant.

Diversité des sujets, différences de points de vue et esprit de partage constitueront le fil rouge et la richesse de ces pages.

Pour aller plus loin, nous vous proposons de contribuer selon votre sensibilité, vos expériences.
Vous êtes donc toutes et tous cordialement invité(e)s à réagir, à témoigner sur les billets qui vous intéressent.

Pour que le débat et la confrontation puissent être sources d’enrichissement, ils doivent porter sur les idées et les opinions exprimées – qui toutes appartiennent à leurs auteurs – et devront se faire dans le respect des personnes, de la morale et des lois.
Dans ce souci, nous optons pour une modération a priori des échanges plutôt que pour la publication d’une Charte.
La modération sera également appliquée à tout lien ou référence extérieurs au site internet de Perspicio dont nous estimerions qu’ils visent à assurer une quelconque promotion, commerciale ou non, sans apporter d’éclairage quant au sujet auquel ils se rapporteraient.

Nous vous souhaitons une bonne lecture et espérons avoir le plaisir de lire vos réactions
N’hésitez pas à utiliser le formulaire de contact pour toute question ou suggestion que vous pourriez avoir à propos de ce blog.