Risques n° 113

Mars 2018

N° ISBN : 978-2-35588-081-0

Commander
Feuilleter
Télécharger

Risques et solutions – Se protéger face aux cyberattaques

Gilles Bénéplanc, Introduction au dossier

Philippe Lemoine, La malédiction des données

On dit parfois que les données sont le pétrole du XXIe siècle. La comparaison est hasardeuse mais elle a au moins ceci de juste que le pétrole est à l’origine de ce que les économistes ont appelé la malédiction de la rente et que nos économies pourraient bien connaître demain la malédiction des données. Que veut-on dire par malédiction de la rente ? C’est l’idée, vérifiée par plusieurs études empiriques, que les pays riches en matières premières, notamment en pétrole, et qui ont fondé leur développement sur cet avantage de la nature, ont connu des taux de croissance plus faibles que des pays équivalents mais privés de cet atout. Les raisons ? Un mélange de plusieurs effets : l’insécurité liée à la volatilité du cours des matières premières ; un effet taux de change qui fait que l’exportation de l’or noir enchérit la monnaie et nuit à la compétitivité-prix des industries naissantes ; et surtout cet effet rente qui fait que certains États pétroliers n’ont aucun besoin de lever l’impôt et ne jouent donc aucun rôle dans l’encouragement des nationaux à créer de la richesse. De même, parler de malédiction des données, c’est rappeler que la donnée n’est créatrice de valeur que combinée à d’autres facteurs et que vouloir s’en remettre isolément à elle est une dangereuse illusion. Pour prendre la mesure du danger, il n’est pas inutile de prendre d’abord un peu de recul et de suivre l’irrésistible ascension de la donnée qui nous a conduits à un certain vertige face au big data.

Julien Nocetti, La nouvelle géopolitique de l’Internet

Les événements internationaux de l’année écoulée ont replacé les problématiques numériques sur le devant de la scène diplomatique et stratégique. Les soupçons d’ingérence russe dans l’élection présidentielle américaine via les outils cyber et informationnel, les piratages massifs qui ont visé les sociétés Dyn et Yahoo, les rançongiciels de type WannaCry ou Petya et, plus globalement, la course aux cyberarmements, traduisent la volatilité d’une politique internationale bouleversée par la dissémination globale des moyens numériques.

François-Xavier Albouy, C’est une volonté politique qui a fait de l’Estonie la première société digitale

La société digitale n’est pas venue en Estonie de la puissance des magnats de l’high-tech et de riches commerçants en ligne, mais directement d’une volonté politique qui a bénéficié de circonstances historiques exceptionnelles. Il n’y a pas de défiance sociale vis-à-vis du numérique, mais au contraire la volonté de construire un projet de société ouverte qui s’incarne dans une inclusion numérique. C’est le politique qui a démarré, et ce au bénéfice des citoyens. Dans un pays en avance sur la transition démographique et sur l’égalité entre les sexes, cette révolution s’est accompagnée de plans ambitieux de formation pour les seniors et d’une politique salariale égalitaire entre les sexes. Ce sont aujourd’hui les entreprises et le secteur privé qui en bénéficient. La cybersécurité est un état d’esprit inscrit dans le système et le modèle insiste sur la résilience et la fiabilité.

Eric Filiol, La réalité du contexte « cyber »

La transformation digitale de nos sociétés est souvent perçue avec crainte, comme un nouveau risque en soi et non simplement comme porteuse de risques – à terme – maîtrisables. Le but de cet article, en adoptant le point de vue de ceux qui doivent non seulement gérer mais également assurer ces risques, est d’expliquer pourquoi, contrairement aux autres révolutions qui se sont produites au cours de l’histoire, un certain nombre d’aspects légitiment ces craintes.

Laure Zicry, Les données, un patrimoine à protéger

Comme jadis on protégeait ses biens contre les cambriolages ou les simples effractions, depuis quelques années, c’est contre les cyberattaques que l’on doit se prémunir. Et quelle est la première motivation des pirates informatiques ? Les données ! En sus du patrimoine mobilier et immobilier qui constitue l’actif de l’entreprise, il y a désormais un nouveau patrimoine à protéger, le patrimoine informationnel, et celui-ci se développe à grande vitesse avec la digitalisation. Les données sont devenues un enjeu majeur pour l’entreprise et elles attirent la convoitise.

Arnaud Tanguy, Placer l’humain au cœur de la cybersécurité

Maîtriser sa cybersécurité est un enjeu majeur dans un monde en profonde transformation numérique, c’est pourquoi les entreprises se dotent de moyens grandissants pour se protéger : ressources dédiées, acquisition d’outils et de logiciels, renforcement de la gouvernance et des contrôles de sécurité. Une des dimensions essentielles d’un dispositif de sécurité efficace réside dans la sensibilisation des collaborateurs et la mobilisation de leur attention. Placer l’humain au cœur du dispositif est capital, notamment parce que les erreurs humaines se trouvent à l’origine de la plupart des cyberattaques récentes. Beaucoup d’entreprises l’ont compris et ont entamé, depuis de nombreuses années, des démarches de sensibilisation de leurs collaborateurs visant à leur faire adopter de bonnes pratiques en matière de sécurité. Toutefois, les approches classiques d’éducation et de formation atteignent aujourd’hui leurs limites car elles ont tendance à réduire la sécurité de l’information à un sujet technique et contraignant. De ce fait, les utilisateurs ne s’approprient pas complètement les règles, voire les outrepassent volontairement. Il est donc nécessaire de faire évoluer ces approches en développant une culture de la cybersécurité, afin d’obtenir un changement profond et durable du comportement des collaborateurs et de faire de l’humain le meilleur allié de la protection de l’entreprise.

Michael Nguyen, La protection des données personnelles, éthique vs technologie

La protection des données personnelles n’est pas une nécessité mais un devoir pour les assureurs. En effet, compte tenu de la sensibilité des données traitées, une cyberattaque n’impacterait pas uniquement l’entreprise, mais potentiellement la vie privée de tous ses clients. Comment quantifier le préjudice pour une personne dont l’employeur découvrirait qu’elle a une maladie grave ou pour celui dont le conjoint apprendrait qu’il n’est pas le bénéficiaire de son assurance vie ? Protéger les données personnelles n’est pas une chose aisée, surtout dans le secteur de l’assurance, qui dispose de données historiques très importantes. Nous proposons dans cet article une démarche pour relever ce défi, en identifiant, grâce à l’ensemble des métiers où se trouvent ces données, qui les utilise avec quelle finalité, puis en sécurisant les accès à celles-ci et en utilisant des moyens tels que le chiffrement ou l’anonymisation pour réduire les impacts en cas de cyberattaque. Au-delà de ces mesures, la technologie permet également aujourd’hui d’envisager des moyens proactifs de profilage des employés et de potentiels futurs hackers pour identifier les risques de cybercrime, grâce à des algorithmes d’analyse prédictive. Mais l’usage de ces moyens nouveaux ouvre un débat éthique : est-il envisageable de faire confiance à une intelligence artificielle (IA) pour juger le comportement humain au nom de la protection des entreprises ?

Analyses et défis – Sécuriser et valoriser les parcours professionnels

Pierre-Charles Pradier, Introduction au dossier

Thierry Vachier, D’un monde du savoir à un monde du risque…

Les transformations permanentes des entreprises sous les coups de boutoir technologiques, économiques et sociologiques génèrent de nouveaux risques de vulnérabilité des salariés. Le traditionnel équilibre « qualité du travail » et « maintien de l’emploi » est pulvérisé au profit d’une nouvelle donne, celle des trajectoires-parcours professionnels et d’employabilité. Dorénavant, c’est la personne en dehors de son statut qu’il convient de sécuriser plutôt que l’emploi. Mais comment concilier la liberté d’entreprendre de l’employeur et la liberté de travailler et de se développer professionnellement pour le salarié ? La France, jusqu’aux ordonnances de 2017, a essentiellement joué la carte de la sécurisation, sans pour autant oser reconnaître dans l’entreprise un droit au développement professionnel du salarié en fonction de son projet personnalisé. Poussé par les jeunes générations (75 % des salariés en 2025 seront nés entre 1980 et 2000 ), un autre pacte social reposant sur une relation sociale de donnant-donnant entre l’entreprise et ses salariés émerge doucement : une forme de liberté négociée et la consécration d’un arbitrage personnel tout au long de sa vie, par le biais d’un compte personnalisé de ses droits sociaux, portables, transférables, rechargeables, à abonder. Une évolution inéluctable où les assureurs auront aussi leur mot à dire !

Jean-Baptiste de Foucauld, Sécurisation des parcours, des exigences pour réussir

La sécurisation des parcours, pour être effective, ne peut être que la composante particulière d’une démarche globale. Elle doit respecter plusieurs conditions : éviter un désengagement de la collectivité vis-à-vis du plein-emploi et un report massif des responsabilités du chômage sur les personnes ; organiser parallèlement des formes appropriées de mobilisation collective pour l’emploi ; élever le niveau de la responsabilité sociale des entreprises ; organiser un accompagnement des personnes d’autant plus dense que le temps de recherche d’emploi s’allonge ; relier parcours professionnels et parcours de vie ; expérimenter des formes de sécurisation différentes de celle des droits de tirage sociaux. Et enfin, sécuriser en priorité les parcours des personnes qui en ont le plus besoin, et qui sont souvent, en fait, privées de parcours.

Hélène Garner, Des politiques publiques de sécurisation de l’emploi

Dans un contexte de mondialisation croissante, à défaut de protéger les emplois, depuis les années 2000, les pouvoirs publics ont privilégié la protection des personnes et la sécurisation des parcours professionnels (SPP), c’est-à-dire la sécurisation des transitions sur le marché du travail, entre deux emplois, entre emploi et chômage, entre études et emploi… Inspirée du droit communautaire, la voie retenue par les pouvoirs publics pour sécuriser les personnes a été de chercher à leur attacher des droits (sociaux, à la formation, à la qualification, à l’accompagnement, à la mobilité), de manière à leur donner les moyens de faire face aux aléas et risques du marché du travail . Cela se traduit du point de vue des politiques publiques par une plus grande responsabilisation des individus, censés ainsi devenir des « acteurs de leur parcours », et une plus grande individualisation des dispositifs afin de répondre de façon personnalisée aux besoins des personnes. Mais la sécurisation passe aussi par la construction de cadres collectifs qui garantissent ces droits et permettent leur exercice, sans quoi celle-ci ne profitera qu’aux mieux informés, aux plus éduqués et sera un vecteur d’inégalités accrues entre les actifs. Une tension apparaît alors entre l’autonomie portée par ces dispositifs et leur régulation sociale qui restreint de facto la liberté des personnes.

Xavier Bertrand, Les Hauts-de-France, pionniers des politiques de l’emploi

À l’aube de la troisième révolution industrielle, notre économie se transforme de manière exponentielle, au rythme effréné des progrès technologiques. Intelligence artificielle, techno-médecine, impression 3D, big data et autres méthodes d’apprentissage automatique : cette transformation accélère l’évolution des tâches et des métiers des Français au quotidien. En effet, selon le Conseil d’orientation pour l’emploi, ce phénomène général que l’on peut appeler « automatisation » a le potentiel de transformer la moitié des emplois existants, de manière significative, voire très importante. Quelles politiques de l’emploi devons-nous mettre en place pour répondre à ces nouveaux défis ?

Olivier Faron, Sécurisation des parcours professionnels : de la genèse à l’expérimentation au sein du Cnam

La notion de sécurisation des parcours professionnels constitue une réponse au besoin croissant des actifs d’être accompagnés lors de transitions professionnelles devenues plus fréquentes, voire inévitables en raison des mutations économiques. Mettre opérationnellement en œuvre la sécurisation des parcours professionnels convoque une pluralité de registres allant de l’ingénierie socio-pédagogique à la définition d’un cadre juridique idoine, en passant par la gestion des compétences au sein des opérateurs mobilisés. Cette sécurisation des parcours professionnels a vocation à s’incarner dans le cadre d’une articulation bien trouvée des offres de services existantes qui devront parfois être complétées. La contribution potentielle des organismes de formation à la sécurisation des parcours professionnels est cruciale. L’exemple du Cnam en atteste : mise en place de guichets uniques AIOA (accueil, information, orientation et accompagnement), modularisation des parcours d’accès à la certification, définition d’une fonction accompagnement, etc.

Stéphane Junique, Comment sécuriser les parcours professionnels ?

À l’heure où les mutations du travail et les bouleversements sociétaux constituent des lames de fond sans précédent dans l’émergence de parcours professionnels et de vie plus fragmentés, la manière d’imaginer leur sécurisation est une véritable gageure collective. Parler des parcours professionnels, c’est parler des parcours de vie. À la pluralité des parcours, doivent répondre non pas une, mais des protections sociales où la personnalisation des réponses et de l’accompagnement ne rime pas avec une individualisation de leur financement. Les acteurs à but non lucratifs conjuguent de nombreux atouts pour répondre à ces enjeux de manière durable et responsable.

Etudes et débats

Pierre Martin, Les coûts du risque : une vieille histoire ?

« L’incertitude est une méconnaissance » estimait le mathématicien Bernoulli au début du XVIIIe siècle : une méconnaissance qui interdirait un calcul cohérent du prix du risque. Le risque a certes un prix calculé a priori par l’assureur, mais il a aussi des coûts, révélés souvent a posteriori. Sans oublier que la distinction canonique entre le risque et l’incertitude est postérieure d’un siècle à la création des sociétés d’assurance en France ! Comme souvent, le détour par le passé permet, sans doute, d’éclairer le présent…

Arthur Charpentier, Les modèles prédictifs peuvent-il être loyaux et justes ?

Dans Nosedive (traduit par le titre Chute libre en France), le premier épisode de la saison 3 de la série télévisée Black Mirror, on découvre la dystopie d’une société régie par une « cote personnelle », une note, un score allant de 0 à 5. Dans ce monde, chaque personne note les autres, les mieux notés ayant accès à de meilleurs services (priorité dans les services, meilleurs taux, meilleurs prix, etc.). Cette tendance à construire des scores dans toutes sortes de domaines (historiquement sur les crédits mais aujourd’hui sur des aspects criminels, voire civiques dans certains pays) ne va-t-elle pas déboucher sur un monde qui serait un concours de popularité sans fin ? Et comment serait-elle conciliable avec une justice sociale, a priori souhaitable ?

Geoffroy Legentilhomme, La réforme de l’assurance incendie en Suisse : une perspective historique

L’histoire de l’assurance incendie en Suisse est chargée de controverses. Depuis la création des premiers établissements cantonaux – publics et en monopole – au début du XIXe siècle, la question de l’organisation industrielle optimale de la branche et du degré de concurrence qui devrait y régner fait l’objet d’intenses débats. Cet article retrace l’histoire bicentenaire de ces controverses, auxquelles furent mêlés d’influents groupes de pression aux intérêts parfois antagonistes.

Les débats de Risques

Anne Lavaud, Emmanuel Barbe et Patrick Jacquot, Sécurité routière, comment progresser

Le 10 janvier 2018 Risques a organisé un débat sur la sécurité routière. Étaient réunis pour en évoquer les enjeux : Emmanuel Barbe, délégué interministériel à la Sécurité routière, Anne Lavaud, déléguée générale de l’association Prévention routière et Patrick Jacquot, président de l’association Attitude Prévention (Depuis le 10 décembre 2019, Attitude Prévention est devenue Assurance Prévention). Le débat était animé par Arnaud Chneiweiss et Pierre-Charles Pradier, membres du Comité éditorial de Risques.

Actualité de la Fondation du risque

Luc Arrondel et André Masson, La chute du taux d’actionnaires français depuis la crise

L’épargne des ménages français est abondante, voire surabondante (savings glut), s’élevant à près de 16 % du revenu disponible brut (RDB) ? seuls les Allemands font mieux. Elle serait toutefois mal orientée. Elle serait tout d’abord trop immobilière. Mais l’épargne financière de notre pays, de près de 6 % du RDB (mais 8 % en Allemagne), reste supérieure à la moyenne de la zone euro (5 %). Le débat porte en fait sur la structure de cette épargne financière, jugée trop prudente : en France, la part des produits d’épargne réglementés (Livret A par exemple) et des fonds en euros, fiscalement avantagés, dépasse la moitié du patrimoine financier brut en 2016 (contre 40 % seulement dix ans plus tôt), alors que les titres et les contrats en unités de compte font 35 % de ce patrimoine (contre 45 % en 2006). Comment expliquer la faible détention d’actions par nos compatriotes ? Quelles solutions pour y remédier ?

Recensions

François Meunier, Comprendre et évaluer les entreprises du numérique par Daniel Zajdenweber
Robert Gordon, The Rise and Fall of American Growth? par Carlos Pardo