Télétravaillez en toute sûreté

Face au développement de la crise du Covid 19, le télétravail, quand il est possible, est certainement, d’un point de vue sanitaire, le choix le plus sûr et le plus responsable. Si cette solution résulte de l’application de mesures prévues, avant la crise, dans un Plan de Continuité d’Activité (PCA), l’organisation du travail, l’équipement en matériels et en logiciels ainsi que la formation des collaborateurs auront été préparés de façon à minimiser les risques. Si comme beaucoup, la mise en place du télétravail est faite dans l’urgence, avec les moyens du bord, il est probable que la sûreté n’a pas été une priorité et c’est normal. Néanmoins, les hackers et autres escrocs le savent et peuvent profiter de cette situation sans aucun scrupule. Le confinement risque de durer, il est maintenant temps de renforcer votre protection.

Avec la mise en place du télétravail en urgence et sans préparation, il y a trois catégories de risques à prendre en compte :

  • Une attaque informatique
  • Une attaque en ingénierie sociale (arnaque au président, faux ordres de virement, faux ordres de livraison…)
  • Une désorganisation des process de travail et des pertes d’informations

Une attaque informatique

Si vous continuez à travailler avec vos stations de travail professionnelles, sur vos serveurs habituels et avec des moyens de liaisons sécurisés (VPN, chiffrement…), les risques ne sont pas plus élevés qu’à l’ordinaire, demandez juste à votre service informatique ou votre prestataire extérieur d’être un peu plus vigilant.

Si, dans l’urgence, vous avez acheté des ordinateurs portables, ou ressorti de vieilles stations des placards, si vos collaborateurs utilisent leurs propres équipements et si vous échangez par email, il convient de mettre en place des mesures simples pour limiter les risques d’attaque :

  • Mettez à jour les logiciels, c’est par les failles de versions anciennes que les hackers entrent. Attention, les appareils neuf sont rarement à jour ;
  • Utilisez un anti-virus, ou activez Windows Defender (je ne vais pas entrer ici dans les débats sur les avantages et limites des uns ou des autres…) ;
  • Avant d’ouvrir une Pj ou un lien, vérifiez l’expéditeur ;
  • Dans la mesure du possible, ne mélangez pas, sur une même machine, les usages professionnels avec les usages personnels. Avec le confinement, la tentation de visiter des sites dangereux augmente (téléchargement illégal, sites de jeux en ligne,….) ;
  • Pour les échanges mails ou si vous utilisez un cloud public, chiffrez vos documents importants. Des fonctionnalités de certains logiciels simples le permettent, vous les avez déjà (pdf, 7z, WinZip…). Il faut juste envoyer le mot de passe par une autre voie que celle utilisée pour le document (SMS, appel téléphonique…) ;
  • Utilisez votre wifi domestique et pas un wifi public (ou mieux la liaison Rj45 sur votre box, en plus c’est plus rapide)

Une attaque en ingénierie sociale

Une attaque en ingénierie sociale consiste à se faire passer pour un responsable de l’entreprise, un client ou un fournisseur, pour demander une action au final préjudiciable (virement, livraison…) ou une information stratégique. En fonctionnement normal, notamment dans les PME et TPE, on peut facilement aller voir le patron pour confirmer un ordre, en période de confinement, les escrocs peuvent plus facilement agir.

Quelques mesures simples permettent de se protéger :

  • Toujours contrôler et confirmer l’identité du donneur d’ordre :
    • vérifiez les ordres ou demandes mails par un appel téléphonique (ou mieux par un appel vidéo de type whatsApp),
    • pratiquez le rétro-appel qui consiste à rappeler l’interlocuteur en composant le numéro (ou l’adresse mail) que l’on a déjà en mémoire et ne pas faire seulement « rappel »,
  • Mettre en place des procédures
    • au sein de l’entreprise (pas de virement supérieur à X€ sans un rétro-appel)
    • avec ma banque (vérification pour tout mouvement supérieur à X€)
    • avec les partenaires….
  • Pour les demandes de virement, être attentif aux coordonnées bancaires et à la localisation de la banque notamment quand celle-ci est domiciliée dans un pays exotique…)
  • Pour les changements d’adresse de livraison, vérifiez avec Google map la localisation.

La lutte contre l’ingénierie sociale est un travail d’équipe et de confiance. Il est important d’informer et de former vos collaborateurs sur les risques. Par ailleurs, ne vos offusquez pas si votre comptable vous passe un appel whatsApp pour confirmer une consigne reçue, au contraire félicitez sa réaction.

Une désorganisation des process de travail et des pertes d’informations

Un des biens les plus précieux, les plus valorisables, d’une entreprise est son stock d’informations, sa mémoire. La constitution de ce stock est généralement structurée, mais également en partie, informelle. Il est fondamental d’assurer la protection et la continuité de la gestion des informations. Pour cela :

  • Identifiez et qualifiez vos informations et faites effort sur celles qui sont importantes / sensibles / stratégiques / confidentielles / données à caractère personnel
  • Assurez-vous de continuer de faire des sauvegardes
    • en local, chacun doit le faire sur son lieu de confinement
    • au niveau de l’entreprise selon les modalités habituelles mais également en demandant à chacun de « verser » dans la mémoire collective leurs travaux
    • formalisez par des mails ou des notes de synthèse les échanges téléphoniques importants
    • sauvegardez vos SMS
  • Recréez des moments d’échange pour remplacer la réunion du matin ou la pose café où tout le monde se retrouvait. Outre le maintien et le renforcement des équipes cela permet le partage, et donc la mémorisation, d’informations informelles. Inventez un « morning skype » ou un « apéro skype » (sans alcool bien sur…)

La sûreté n’est malheureusement pas toujours une priorité, un chef d’entreprise en ayant beaucoup d’autres. En période de confinement et de télétravail, les vulnérabilités sont accrues et les risques majorés. La protection des informations peut, à peu de frais et d’effort, être renforcée. Pensez-y.

Coronavirus et gestion de crise dans les PME

Avec le développement du Coronavirus en Chine, c’est toute l’activité d’un pays qui se fige et, par « contagion » (l’analogie est ici facile), l’économie mondiale est impactée à des degrés divers. Cette situation interroge sur les capacités de continuité d’activité et de gestion de crise des entreprises françaises et plus particulièrement des PME et ETI.

 Une stratégie continuité d’activité, pour une entreprise, vise à identifier les risques d’événements pouvant perturber de façon importante ses activités et son fonctionnement, d’en évaluer les conséquences et de préparer des mesures et des adaptations pour en limiter les effets et pouvoir reprendre rapidement une fonctionnement normal. Cette stratégie est concrétisée par un Plan de Continuité d’Activité (PCA).

 Dans la situation chinoise du moment, les approvisionnements en produits finis ou en pièces détachées peuvent être fortement perturbés, voire suspendus. Si ce type de rupture n’a pas été anticipé, l’impact « supply chain » est majeur.

 L’impact est encore plus important pour les entreprises qui ont développé (délocalisé) des unités de production directement en Chine. Les coûts de réorientation des flux d’approvisionnement sont encore plus élevés. Pour les entreprises qui entretiennent des équipes d’expatriés sur place, il convient également de rappeler que l’employeur est responsable, y compris pénalement, de leur sécurité et de celle de leurs familles.

Certes, il est difficile de faire du business sans passer par la Chine, mais il convient d’analyser cette pratique sous l’angle de la continuité d’activité et de l’intégrer dans le PCA. Depuis le SRAS en 2003, les risques sanitaires en Chine sont connus, tous les spécialistes prédisaient qu’une épidémie comme celle du Coronavirus surviendrait et d’autres maladies couvent probablement encore sans parler des épizooties. De même, les risques pour la stabilité politico-sociale de ce pays-continent sont importants et, d’ailleurs, le pouvoir en place pourraient être fortement bousculé dans les semaines à venir. Les entreprises qui avaient pris en compte ces risques dans leur PCA avaient pris de mesures pour limiter leur dépendance chinoise (gonflement des stocks, diversification des approvisionnement, relocalisation, assurance…).

 Et si, au-delà du cas Chinois, une pandémie de ce type (ou même celle-ci) frappait la France ? Que faire si 25% des collaborateurs ne pouvaient pas rejoindre l’entreprise ? Que faire si des restrictions de circulation étaient imposées pour des raisons sanitaires ?

 Les crises sanitaires, mais également écologiques (canicules extrêmes, intempéries…) ou sociales doivent être envisagées dans un PCA, même pour un PME. Peut-être même surtout par les PME, car elles sont plus fragiles et plus sensibles « aux vents violents » extérieures. 

Toute crise sera d’autant mieux surmontable qu’elle aura été anticipée et préparée alors qu’une absence d’anticipation peut être fatale. Un Plan de Continuité d’Activité, même simple et rudimentaire, peut aussi devenir un argument commercial, en effet, une entreprise préparée à la gestion d’évènements exceptionnels rassure ses partenaires, qu’ils soient clients, banquiers ou assureurs.

Espionnage. « La Bretagne intéresse au plus haut point la Chine »

Les orientations prioritaires des services chinois sont : les énergies renouvelables, les bio-technologies, la cybersécurité, l’agroalimentaire, les innovations dans les secteurs de la défense et du naval. Tous ces domaines sont des sujets d’excellences bretons, alors comment s’étonner que la Bretagne soit un objectif majeur pour le renseignement économique chinois?

Si l’article du « Télégramme » s’étend longuement sur les mariages mixtes, il faudrait surtout citer : les propositions de partenariats, les stagiaires, les voyages d’affaires ou les visites d’entreprises, les intrusions numériques ou physiques, les investissements et rachats d’entreprises… . Les espions chinois peuvent également s’appuyer sur une puissance financière sans communes mesures et entièrement contrôlée par les moyens de l’Etat et du Comité central.

Mieux que les investisseurs français, l’Intelligence économique chinoise sait repérer les pépites en devenir, c’est pourquoi la sûreté économique doit être envisagée de façon native en conduite de projet. En écartant toute paranoïa, mais en étant réaliste, c’est une culture de sûreté qui doit se diffuser tant au niveau des entreprises que des pouvoirs publics et des collectivités territoriales.

la société bretonne SIEPEL reçoit un prix pour sa Secure Box

Le 23 septembre, au Théâtre de Paris, ont été remis les « Trophées de la sécurité » devant un public de plus de 700 professionnels. Une cinquantaine de projets étaient en compétition. La société SIEPEL, le spécialiste français de la cybersécurité des infrastructures, y a obtenu une médaille d’argent.

La Secure box permet de protéger la confidentialité d’une réunion, en isolant les téléphones des participants. Toute l’expertise des cages de faraday de SIEPEL a été concentrée dans la Secure box. SIEPEL conçoit, fabrique et installe des équipements de sécurité électromagnétiques et acoustiques, tout en étant en mesure de prendre en compte et d’intégrer les préoccupations globales de sûreté de ses clients en fonction de leurs objectifs stratégiques propres.

Félicitations à Christophe Cordes, le président de SIEPEL, et Stéphane Tanguy ainsi que Stéphanie Jegat. Vigi-Lance est très heureux de vous avoir accompagné sur ce projet.

Une société israélienne capable de pirater des données dans le cloud

Encore une fois, le nom de la société NSO est cité pour ses capacités d’intrusion numérique. Après avoir démontré qu’elle pouvait craquer un iphone grâce à son logiciel de hack « pegasus », la firme israélienne laisse entendre qu’elle est en mesure de récupérer toutes données stockées sur les cloud d’Apple, Google, Facebook, Amazon ou Microsoft.

Le cloud est-il pour autant un lieu ou vos données personnelles ou professionnelles sont en libre accès. Non, si vous prenez un minimum de précautions dans l’usage que vous en faite et si vous chiffrez vos données avant leur envoi sur les serveurs. De préférence choisissez une solution de chiffrement sans aucun lien avec le fournisseur de cloud. Par ailleurs, il est important de choisir avec soin votre solution cloud. Celui-ci doit impérativement être en Europe pour bénéficier de la protection du cadre RGPD et ne pas appartenir à une société américaine qui est contrainte par le « cloud act » de donner libre accès aux services américains aux données qu’elle héberge, même hors du sol américain.

La sûreté ce n’est pas de craindre l’évolution mais de la maitriser !

Loi PACTE : la simplification comptable, une mesure de protection des informations

La loi PACTE offre la possibilité aux moyennes entreprises (moins de 40 meuros de CA et moins de 250 salariés) de ne publier qu’une présentation simplifiée de leurs comptes de résultat. N’hésitez pas à utiliser cette opportunité. Outre qu’il s’agit d’une simplification de vos obligations comptables, c’est surtout un outil de protection de vos informations stratégiques.

En effet, la lecture attentive des bilans, comptes de résultat détaillés et rapports des commissaires aux comptes permet d’obtenir de très nombreux renseignements sur une entreprise, sa stratégie, sur sa santé financière et même celle de ses clients. Les comptes publiés livrent, en accès public, vos forces et faiblesses. Toute attaque concurrentielle ou financière sur une entreprise commence par une étude comptable.

La loi PACTE ne va pas encore assez loin. Il n’y a aucun intérêt à obliger à un exhibitionnisme comptable des entreprises qui ne font pas appel à de l’épargne publique (cotation en bourse). La confidentialité des comptes ne nuit pas à l’information des personnes qui peuvent légitimement en avoir besoin (actionnaires, créanciers, banques…) puisque celles-ci peuvent les demander.

Astéroïde : la simulation d’un impact finit par la destruction de New York !

http://ow.ly/Kngi30oIdBn

Un passionnant exercice international de gestion de crise a eu lieu du 29 avril au 3 mai dernier. Il s’agissait d’anticiper la chute d’un astéroïde sur la Terre et de coordonner les mesures à prendre au niveau international pour sauver l’humanité. Cette année, les décisions qui ont été prises ont permis de sauver la planète mais la ville de New-York a été détruite.

Le plus intéressant dans ce type d’exercice est le RETEX, ou retour d’expérience, savoir tirer les leçons de ce qui vient de se passer pour améliorer la gestion de la prochaine crise.

La probabilité d’un impact d’astéroïde n’est certainement pas à prendre en compte dans le Plan de Continuité d’Activité (PCA) d’une PME, mais pour chacun, un exercice bien conduit permet de mettre le doigt sur les difficultés qui ne manqueront pas de surgir le jour ou une vraie crise surviendra.

Arrestation en Suède d’une personne soupçonnée d’espionnage au profit de la Russie

http://ow.ly/D4gB30nRu2g

En Suède, une personne travaillant dans un secteur d’une technologie de pointe, a été arrêtée. Elle est suspectée d’être un agent des services de renseignement russes. Cette affaire nous rappelle que, même à l’époque des cyber-attaques, le recrutement de sources humaines reste un moyen des plus efficaces pour obtenir des informations stratégiques ou sensibles. La combinaison de capteurs différents (sources ouvertes, humaines, techniques ou opérationnelles) optimise une attaque.

A ce jeu, les services de renseignement russes, civils ou militaires, qui ont toujours eux des départements de renseignement technologique, sont des outils redoutables. La Russie n’est, d’ailleurs, pas la seule à utiliser les moyens étatiques sur des objectifs technologiques et économiques.

Brexit: un sujet à aborder sous l’angle d’un Plan de Continuité d’Activité (PCA)

http://ow.ly/q2hu30nDAfX

Depuis quelques semaines, les britanniques recrutent massivement des spécialistes de la gestion de crises pour préparer et armer des cellules de gestion de crises pour le « jour d’après » le Brexit.

Coté Français, peu d’entreprises ont abordé la gestion du Brexit sous l’angle « conduite de crise ». Il reste 50 jours pour le faire.

Quel sera l’impact du Brexit sur mes processus de fabrication, de distribution ou d’approvisionnement ? Mon entreprise risque-t-elle une rupture dans la continuité de son activité ? Si oui, en combien de temps pourront nous revenir à la normale ? Ce délai est-il acceptable ? Si non je fais quoi pour éviter cette rupture ou au moins être capable de la gérer ?

En fait, une analyse classique de PCA et une préparation de cellule de crise …, il suffit juste de prendre le temps de le faire.

La compliance US une arme de puissance mais des opportunités pour les PME

La dernière publication de l’INHESJ aborde le sujet de la compliance et de l’impérialisme juridique, voire judiciaire, étatsuniens. Ce recueil est une rare somme de contributions qui aborde le sujet sous plusieurs angles complémentaires.

Il est évident que le problème n’est pas l’obligation qu’ont les entreprises de se soumettre à des règles de conformité mais l’utilisation, par un pays, d’un corpus juridique comme une arme de puissance internationale et un support à son industrie dans la compétition internationale.

Je regrette juste qu’on ne parle pas assez dans cet ouvrage des PME et des ETI et des opportunités qu’elles peuvent exploiter au moment où les plus grandes entreprises, comme Total ou Airbus, sont tétanisées à l’idée de repasser dans la lumière des phares de la justice US.

En effet, une ETI, pour peu qu’elle n’a aucun intérêt ou ambition outre atlantique et qu’elle utilise l’Euros dans ses transactions peut très bien braver les interdits de Washington. Il faut aussi pour cela qu’elle ait le soutien d’une banque qui ne soit pas elle aussi paralysée de peur devant les avocats yankees.

Si l’Europe veut réellement sortir de cette soumission aux règles US, c’est peut-être en garantissant et développant une réelle autonomie bancaire.