Loi PACTE : la simplification comptable, une mesure de protection des informations

La loi PACTE offre la possibilité aux moyennes entreprises (moins de 40 meuros de CA et moins de 250 salariés) de ne publier qu’une présentation simplifiée de leurs comptes de résultat. N’hésitez pas à utiliser cette opportunité. Outre qu’il s’agit d’une simplification de vos obligations comptables, c’est surtout un outil de protection de vos informations stratégiques.

En effet, la lecture attentive des bilans, comptes de résultat détaillés et rapports des commissaires aux comptes permet d’obtenir de très nombreux renseignements sur une entreprise, sa stratégie, sur sa santé financière et même celle de ses clients. Les comptes publiés livrent, en accès public, vos forces et faiblesses. Toute attaque concurrentielle ou financière sur une entreprise commence par une étude comptable.

La loi PACTE ne va pas encore assez loin. Il n’y a aucun intérêt à obliger à un exhibitionnisme comptable des entreprises qui ne font pas appel à de l’épargne publique (cotation en bourse). La confidentialité des comptes ne nuit pas à l’information des personnes qui peuvent légitimement en avoir besoin (actionnaires, créanciers, banques…) puisque celles-ci peuvent les demander.

Astéroïde : la simulation d’un impact finit par la destruction de New York !

http://ow.ly/Kngi30oIdBn

Un passionnant exercice international de gestion de crise a eu lieu du 29 avril au 3 mai dernier. Il s’agissait d’anticiper la chute d’un astéroïde sur la Terre et de coordonner les mesures à prendre au niveau international pour sauver l’humanité. Cette année, les décisions qui ont été prises ont permis de sauver la planète mais la ville de New-York a été détruite.

Le plus intéressant dans ce type d’exercice est le RETEX, ou retour d’expérience, savoir tirer les leçons de ce qui vient de se passer pour améliorer la gestion de la prochaine crise.

La probabilité d’un impact d’astéroïde n’est certainement pas à prendre en compte dans le Plan de Continuité d’Activité (PCA) d’une PME, mais pour chacun, un exercice bien conduit permet de mettre le doigt sur les difficultés qui ne manqueront pas de surgir le jour ou une vraie crise surviendra.

Arrestation en Suède d’une personne soupçonnée d’espionnage au profit de la Russie

http://ow.ly/D4gB30nRu2g

En Suède, une personne travaillant dans un secteur d’une technologie de pointe, a été arrêtée. Elle est suspectée d’être un agent des services de renseignement russes. Cette affaire nous rappelle que, même à l’époque des cyber-attaques, le recrutement de sources humaines reste un moyen des plus efficaces pour obtenir des informations stratégiques ou sensibles. La combinaison de capteurs différents (sources ouvertes, humaines, techniques ou opérationnelles) optimise une attaque.

A ce jeu, les services de renseignement russes, civils ou militaires, qui ont toujours eux des départements de renseignement technologique, sont des outils redoutables. La Russie n’est, d’ailleurs, pas la seule à utiliser les moyens étatiques sur des objectifs technologiques et économiques.

Brexit: un sujet à aborder sous l’angle d’un Plan de Continuité d’Activité (PCA)

http://ow.ly/q2hu30nDAfX

Depuis quelques semaines, les britanniques recrutent massivement des spécialistes de la gestion de crises pour préparer et armer des cellules de gestion de crises pour le « jour d’après » le Brexit.

Coté Français, peu d’entreprises ont abordé la gestion du Brexit sous l’angle « conduite de crise ». Il reste 50 jours pour le faire.

Quel sera l’impact du Brexit sur mes processus de fabrication, de distribution ou d’approvisionnement ? Mon entreprise risque-t-elle une rupture dans la continuité de son activité ? Si oui, en combien de temps pourront nous revenir à la normale ? Ce délai est-il acceptable ? Si non je fais quoi pour éviter cette rupture ou au moins être capable de la gérer ?

En fait, une analyse classique de PCA et une préparation de cellule de crise …, il suffit juste de prendre le temps de le faire.

La compliance US une arme de puissance mais des opportunités pour les PME

La dernière publication de l’INHESJ aborde le sujet de la compliance et de l’impérialisme juridique, voire judiciaire, étatsuniens. Ce recueil est une rare somme de contributions qui aborde le sujet sous plusieurs angles complémentaires.

Il est évident que le problème n’est pas l’obligation qu’ont les entreprises de se soumettre à des règles de conformité mais l’utilisation, par un pays, d’un corpus juridique comme une arme de puissance internationale et un support à son industrie dans la compétition internationale.

Je regrette juste qu’on ne parle pas assez dans cet ouvrage des PME et des ETI et des opportunités qu’elles peuvent exploiter au moment où les plus grandes entreprises, comme Total ou Airbus, sont tétanisées à l’idée de repasser dans la lumière des phares de la justice US.

En effet, une ETI, pour peu qu’elle n’a aucun intérêt ou ambition outre atlantique et qu’elle utilise l’Euros dans ses transactions peut très bien braver les interdits de Washington. Il faut aussi pour cela qu’elle ait le soutien d’une banque qui ne soit pas elle aussi paralysée de peur devant les avocats yankees.

Si l’Europe veut réellement sortir de cette soumission aux règles US, c’est peut-être en garantissant et développant une réelle autonomie bancaire.

Intelligence économique : Bic contre les briquets hors normes

briquets-non-conformes-bic-porte-plainte-contre-la-france-et-l-allemagne

73% des briquets distribués en Europe, 86% en France et en Allemagne, ne sont pas conformes aux normes de sécurité (ISO 9994) et sont donc dangereux tant pour les utilisateurs que pour l’environnement. Aussi, le groupe BIC, victime d’une concurrence asiatique déloyale a porté plainte auprès de la commission européenne.

C’est aussi ça une stratégie d’intelligence économique: exiger que l’Europe s’assure que les importateurs respectent les mêmes règles que celles qu’elle impose aux producteurs locaux. Pour cela, il est nécessaire de mettre en place une veille sur la concurrence et les normes, voire de prendre part à l’élaboration de celles-ci et définir et coordonner des actions de riposte (communication, justice, lobbying…).

Il s’agit d’un travail de longue haleine qui nécessite d’être accompagné par des spécialistes mais la survie d’une marque, d’une entreprise peut passer par cet effort.

Comment gérer le fait religieux en entreprise ?

https://www.faceaurisque.com/2018/10/04/le-fait-religieux-en-entreprise/

 

Face au développement, parfois revendicatif ou prosélytiste, du fait religieux sur les lieux de travail, les chefs d’entreprise se sentent parfois démunis. Pourtant, un corpus juridique existe qui encadre la pratique religieuse au travail et surtout protège « le principe de neutralité ». Néanmoins, pour être pleinement efficaces, ces règles demandent une prise en compte dans le règlement intérieur, ce qui ne peut être fait qu’après un travail de réflexions et de dialogue. Il peut être utile d’être accompagné dans ce travail qui demande de prendre du recul et d’avoir une forte expérience de la sûreté en entreprise et de l’interculturalité.

un excellent point sur la réglementation par maître Thibault du Manoir

RGPD : arrêtez de faire peur

La date du 25 mai est agitée par beaucoup comme un épouvantail….ou un argumentaire de démarches commerciales.

Oui, le RGPD va profondément modifier le rapport des entreprises, et des administrations, aux données personnelles des citoyens européens, non le 25 mai ne sera pas un grand soir qui plongera les entreprises dans le chaos.

Le 10 avril 2018, à l’occasion d’une conférence de presse, la présidente de la CNIL (la Commission Nationale de l’Informatique et des Libertés), Isabelle Falque-Pierrotin, à fait un point sur le RGPD et ses enjeux. Elle s’est montrée rassurante quant à la mise en oeuvre des mesures de contrôle qui accompagneront l’application du règlement européen.

S’il n’y aura pas de « période de grâce », il n’y aura pas, non plus, de « chasse aux sorcières », dit-elle. D’ailleurs, on peut se demander comment la CNIL pourrait, des le 26 mai, lancer une vaste opération de contrôle sur l’ensemble des administrations et des entreprises françaises (plus de 3,5 millions!) et étrangères détenant des données personnelles de français.

De façon beaucoup plus réaliste, La Commission Nationale de l’Informatique et des Libertés souhaite s’engager dans un processus de pédagogie et d’accompagnement. Ce qui est recherché, c’est que les entreprises et les administrations publiques prennent conscience des données à caractères personnels et sensibles qu’elles demandent à leurs clients ou usagers mais également à leurs collaborateurs, qu’elles soient conscientes de leurs responsabilités quant à la conservation et la sécurité de ces données (les exemples de fuites ou de pillages massives de données sont multiples) et qu’elles assument ces responsabilités en cas de perte de données.

Bien entendu, les organisations qui, par leur nature ou par leur taille, collectent déjà beaucoup de données à caractères personnels et sensibles (grandes entreprises, marketing, surveillance, hôpitaux….) feront plus rapidement et plus régulièrement l’objet de contrôles, et les citoyens ne peuvent que s’en réjouirent. L’immense majorité des PME, voire des ETI, ne sera, dans un premier temps, concerné que de loin….tant que ces entreprises ne seront pas touchées par une fuite ou une attaque visant à mettre leurs données sur la place publique….et qu’une plainte ne sera pas déposée par une victime.

C’est pourquoi, il est important pour tout organisme, public ou privé, de pouvoir démontrer qu’il a initié sincèrement une démarche RGPD, que son mode de traitement des données est dans l’esprit du RGPD, c’est à dire, que des données à caractères sensibles ne sont pas demandées sans raisons, qu’elles font l’objet d’une identification et d’un traitement spécifiques mais également d’une attention particulière. Plus qu’un travail de juriste ou d’informaticien, c’est d’abord une œuvre de bon sens et d’inventaire.

D’ailleurs, les entreprises auraient tout intérêt de profiter de ce travail d’inventaire pour le compléter par un examen de l’ensemble des données dont elles disposent et qui, sans présenter de caractères personnels et sensibles, sont, pour autant, vitales pour son développement. Il s’agit en particulier, des données dont le vol ou la dégradation pourraient faire perdre un avantage concurrentiel et avoir des conséquences sur le chiffre d’affaire et l’emploi (secrets de fabrique, plan marketing, données commerciales ou financières….).

Avoir l’esprit RGPD c’est donc :

  • penser RGPD au moment d’initier une nouvelle démarche de collecte d’informations personnelles et de se doter de nouveaux outils numériques pour cela (privacy by design) ;

  • cartographier et caractériser les données à caractères personnels dont on dispose déjà (dans une PME il y a en, en général, finalement assez peu)  ;

  • réagir avec le soucis des individus en cas de pertes de leurs données personnelles (c’est le bon sens)


Une explosion dans une usine pétrochimique suite a une cyber-attaque

Selon le "New York Times", des hackers ont tenté de causer une explosion dans une usine pétrochimique saoudienne en août dernier (image d'illustration)

http://www.parismatch.com

Une explosion dans une usine pétrochimique saoudienne aurait été évitée de justesse en août dernier. Ce cas illustre parfaitement les risques de confluence entre les cyber-attaques, le terrorisme et les enjeux géostatistiques, économiques et politiques.

Une PME peut être victime de ce type d’attaque, non pour elle même, mais pour les dégâts et les pertes humaines qu’une destruction chez elle peut provoquer dans son environnement.

Il convient, de plus en plus, d’envisager sa cyber-sécurité dans une analyse complète de son environnement, de son écosystème mais également de son environnement géopolitique.

La sûreté n’est pas uniquement de la technique.