DDR16 Cyberfraude, un risque qui s’amplifie !

8 entreprises sur 10 ont subi au moins une tentative de fraude en 2016.

C’est le constat de la troisième enquête sur le risque de fraude en entreprise en France. Euler Hermes, le leader européen de l’assurance fraude, et la DFCG, l’association nationale des directeurs financiers et de contrôle de gestion, se sont associés pour interroger deux cent directions financières sur leur exposition, leur ressenti et leurs mesures de prévention face au phénomène de la fraude.

De l’usurpation d’identité au risque cyber, la fraude est une menace protéiforme. Courant avril, la DFCG (en partenariat avec Euler Hermes) a proposé à ses membres et aux personnes appartenant à une direction financière, une formation intitulée « Piloter la lutte contre le risque de fraudes et cyber-fraudes : le rôle clé du DAF ».

Les entreprises craignent toutes une accentuation des attaques pour l’année à venir. « La fraude n’est pas un sujet nouveau, mais il ne cesse d’évoluer », confie Sophie Macieira-Coehlo, la vice-présidente de la DFCG. Les nouvelles technologies démultiplient les possibilités d’escroquerie et facilitent les attaques à répétition.

L’étude souligne néanmoins que 63% des entreprises n’ont pas mis en place de plan d’urgence à activer en cas de fraude. Un chiffre inquiétant, la réactivité étant primordiale pour limiter le préjudice subi.

A la lecture des documents de référence 2016 (publiés sur le site de l’AMF – Autorité des Marchés Financiers, au cours du premier trimestre 2017), et via nos méthodes de cotation et d’appréciation des thèmes RSE-minded, on notera que :

  • 62% des sociétés évoquent le contexte de la cybercriminalité
  • 32% indiquent la protection des données
  • 18% nomment explicitement la notion de cyber-attaque
  • 13% citent la protection des données personnelles

Politique, dispositifs de prévention et/ou protection, voire de contre-attaque sont soit mentionnés, soit énumérés. La typologie des risques est parfois explicitement détaillée. Le comité d’audit, principalement  interagit avec la direction des risques (direction de la gestion des risques), la direction du contrôle interne, la direction de la conformité (direction compliance), la direction financière… mais interfère peu avec la direction informatique.

Dans certains cas, un responsable Protection des données (DPO, Data Protection Officer) est en charge en charge de la protection des données (et/ou données à caractère personnel) et en relation avec les Responsables de la Sécurité de l’Information.

La fonction de Délégué à la protection des données sera obligatoire dès 2018 dans de nombreuses entreprises.

 

 

 

Cybercriminalité, de quoi parle-ton ?

Associée à la notion de délit en terme de Droit (ensemble des règles juridiques), la cybercriminalité vise à obtenir des informations personnelles afin de les exploiter ou de les revendre (données bancaires, identifiants de connexion à des sites marchands, etc.). Hameçonnage (phishing) et «Rançongiciel» (ransomware) sont des exemples connus d’actes malveillants portant préjudices aux internautes. Ce délit est notifié comme un risque majeur.

L’exploitation des documents de référence 2016 (DDR16) livre le champ sémantique auquel tout visiteur pourra se référer : piratage, data protection, cyberattaque, cybersécurité, cyber, cybercriminalité, protection des données, fraude, acte de malveillance

Le cyber (cybersécurité, cyberattaque…) est mentionné dans 50% des DDR, ce sur des déclarations de nature différente (pure citation déclarative, actions et/ou plan d’actions affirmées, détail de la politique mise en œuvre).

TF1, Cap Gemini sont les entreprises les plus disantes sur ce thème.

Par ex.

  • Mettre en oeuvre les contre-mesures nécessaires face à une cyber-agression (TF1, Bouygues).
  • BNP PARIBAS continue sa démarche de gestion des risques des systèmes d’information identifiés et d’optimisation des moyens.  (…) Au cours des années passées, les institutions du secteur financier ont été touchées par nombre de cyber-incidents, notamment par des altérations à grande échelle de données compromettant la qualité de l’information financière….  Les autorités réglementaires prennent des initiatives visant (…) à mettre en place des plans efficaces de rétablissement consécutifs à un cyber-incident (BNP).
  • Résister à la menace des cyber-attaques. (HSBC)
  • SCOR est exposé aux cyber-attaques…  le Centre a été sélectionné pour mener le Cyber Risk Test Bed Project, un programme de recherche soutenu par le Monetary Authority of Singapore (MAS).
  • politique de prévention en matière de cyber-criminalité. (Mersen)
  • Au cours de l’année 2016, une cartographie des risques cyber a été réalisée avec l’aide d’un prestataire spécialisé dans ce domaine. (Foncière des Murs)
  • L’Oréal ajuste ses efforts de sécurité de manière permanente en fonction des nouvelles menaces de cyber-attaques.

La protection des données n’est citée que par 32% des DDR16. Par ordre décroissant, Vivendi, TF1-Bouygues, Cap Gemini, Société Générale, Schneider sont les plus disants.

Par ex.

  • Le groupe demande à chaque filiale d’adhérer aux normes internes de sécurité et de protection des données, (Téléperformance)
  • Sanofi et ses prestataires extérieurs mettent en place des infrastructures technologiques sécurisées pour assurer la protection des données et la détection des attaques…
  • Société Générale investit donc en permanence pour garantir la sécurité des opérations et la protection des données de ses clients.
  • Les dispositifs de sécurité informatique et de protection des données clients sont décrits au chapitre 8 (Altareit)

Et de compléter pour la protection des données personnelles

Par ex.

  • a nommé notamment dès 2011 un Data Protection Officer (DPO), en charge de la protection des données à caractère personnel, que les quatre sociétés européennes du Groupe (SCOR SE, SCOR Global P&C SE, ..)
  • le déploiement de plans de contrôle génériques dans le domaine de la protection des données personnelles, … (BNP Paribas)
  • Un pôle Protection Des Données Personnelles Groupe, au sein de la Direction juridique spécialisé sur les enjeux de protection de la vie privée, (…)  la Direction Des Ressources Humaines Groupe a adopté des règles de protection des données personnelles RH applicables aux candidats et aux employés. (Société Générale)
  • Le Groupe se prépare à l’entrée en vigueur du nouveau Règlement européen sur la gestion et la protection des données personnelles. (La Poste)
  • ou du respect et de la protection des données personnelles. La société a mis en place des procédures adaptées… Dans le cadre de la protection des données personnelles, une attention particulière est apportée à la protection des mineurs. (Vivendi)
  • La Société dispose d’un Responsable de la protection des données personnelles rattaché au Responsable Global de la Conformité, (Biomérieux)

A noter que  BASTIDE LE CONFORT MEDICAL est le seul à porter attention au risque de « vol d’ordinateur ».

 

Sources : DFCG, Euler Hermes, Usine Nouvelle, Portail du gouvernement, plate-formes diverses (e-marketing, blog du modérateur, wikipédia).

Images : Pixabay

lien court : http://wp.me/p2OxiV-Ca

Twitter … #docderef

Vous pourriez être intéressé.e par notre vidéo sur la Corruption

Publicités
Poster un commentaire

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s

%d blogueurs aiment cette page :