Livre « La cybersécurité et les décideurs »

Marie de Fréminville est l’auteure de « La cybersécurité et les décideurs : Sécurité des données et confiance numérique », publié en 2019 aux éditions ISTE.

Prix du livre « Cybersécurité » FIC 2020. Prix spécial du jury des Plumes des Achats 2021.

La cybersécurité est une question essentielle pour la confiance des internautes et la pérennité des entreprises. Elle est aussi un enjeu national de développement économique et de résilience. Les cyber risques ne concernent pas seulement les responsables de sécurité informatique, ils s’appliquent également à chaque individu et engagent la responsabilité des dirigeants et administrateurs vis-à-vis des actionnaires, clients, fournisseurs, salariés, banques et pouvoirs publics. Mettre en place des dispositifs de cybersécurité permet de protéger contre le vol de données stratégiques et personnelles, le sabotage et la fraude. La cybersécurité et les décideurs présente un panorama complet de la cybercriminalité et des bonnes pratiques pour s’adapter au monde numérique en toute confiance : cartographie des risques, conformité au RGPD, culture cyber et éthique, gestion de crise. Il s’adresse à tous ceux qui se préoccupent de la protection de leurs données, ainsi qu’aux décideurs de toute organisation.

Ouvrage disponible en librairies
Chez Decitre
Sur Amazon

se mettre en conformité RGPD
La conformité à la sécurité des données (RGPD en Europe et LPD en Suisse)
se mettre en conformité RGPD

Image by freepik

La conformité à la sécurité des données (RGPD en Europe et LPD en Suisse) est un pilier de la stratégie numérique !

En Suisse, la nouvelle loi sur la protection des données (compatible avec le RGPD) entrera en vigueur en septembre 2023, elle tient compte des développements de nouvelles technologies et de la transformation numérique des entreprises.

« Cette modernisation est importante pour que l’UE continue de reconnaître la Suisse comme un État tiers ayant un niveau de protection des données adéquat et que l’échange de données transfrontière reste possible sans exigences supplémentaires. Il s’agit là de points cruciaux pour la place économique et la compétitivité de la Suisse », affirme le Conseil Fédéral.

La démarche pour être conforme à ces règlementations, visant à sécuriser les données personnelles, peut être étendue à l’ensemble des données critiques: données stratégiques, commerciales, financières…

Une entreprise ne peut pas se lancer dans la transformation numérique sans mettre en place un dispositif permettant de sécuriser son patrimoine informationnel et ses systèmes d’information. Ce dispositif doit impérativement faire partie de la stratégie numérique! Objectifs: renforcer la confiance (transparence sur les raisons de la collecte de données), améliorer l’efficacité, mieux gérer ( par exemple : ne collecter que ce qui est nécessaire, détruire ce qui n’est pas utile, ou ce que vous n’avez pas le droit de conserver), optimiser les investissements informatiques, assurer la continuité de l’activité.

Comment faire pour se mettre en conformité RGPD / LPD?

– Identifier des données critiques

– Cartographier les risques

– Garantir l’intégrité du patrimoine en réduisant les risques de pertes de données ou de piratage.

– Prendre des mesures, informatiques ou physiques, qui dépendront du type de données traitées.

Conformité, éthique et sécurité sont intimement liées!

Pour en savoir plus : https://lnkd.in/eCJHB93G

Quizz sur le RGPD / LPD : testez vos connaissances !

politique de cyber sécurité
La responsabilité des dirigeants et les cyber risques

Le risque cyber, l’affaire de tous dans l’entreprise.

Regarder en replay le webinaire du 9 mars 2022 sur le thème : Administrateurs, dirigeants, votre responsabilité est de plus en plus exposée… Comment faire face?

Avec l’intervention de Marie de Fréminville, administratrice et experte en cybersécurité.


Le risque cyber est-il bien pris en compte par les entreprises ?

La plupart des PME minimisent le risque cyber. Pourtant, elles ne sont pas à l’abri des attaques. Pour les cybercriminels, il est plus facile de pirater des PME, qui manquent de ressources dédiées, et d’obtenir le paiement d’une rançon. Par ailleurs, elles sont la porte d’entrée pour atteindre leurs clients, avec lesquels elles sont connectées.

Le risque cyber n’est pas qu’un sujet IT. C’est aussi une responsabilité des dirigeants. Comment les sensibiliser ?

Les dirigeants sont responsables de la pérennité de l’entreprise. Une cyberattaque peut avoir des impacts graves, en termes financiers et de réputation. La faille étant à 95 % humaine, la formation de tous est indispensable. Les outils IT sont nécessaires, mais ne suffisent pas : les dirigeants doivent identifier les actifs critiques à protéger, mettre en place une organisation, des processus, des règles, un audit régulier, et se préparer à gérer la crise qui va arriver.

Quels sont les enjeux à venir de la cyber sécurité ?

Les attaques vont se multiplier. La cybersécurité est basée sur la gestion de risques, l’anticipation de la crise, la mise en place de moyens, notamment humains, le développement d’une culture dans l’ensemble des organisations (le risque est systémique !). Comme pour l’automobile, la sécurité s’améliorera avec du matériel fiable, des contrôles techniques, un permis de conduire obtenu grâce à de la formation, un code de la route et un contrôle de l’application de règles standard.

image d’illustration : Image by freepik

expert big data en suisse
Collecting, analysing and protecting data: this is nothing new! What is new is …

Découvrez une interview de Marie de Fréminville, experte en gouvernance et cyber-sécurité, sur le site du Swiss Cyber Forum.

Enjoy the full interview below. Security Expert Interview series – Marie de Freminville – Swiss Cyber Forum

Many thanks to Swiss cyber Forum for giving me the opportunity to speak about the « data industry » and the protection against the « attack industry”. It is a strategic matter for all companies, whatever their size or business!

https://www.swisscyberforum.com/blog/security-expert-interview-series-marie-de-freminville

Faut-il transférer les risques cyber à l’assurance?

ENTRETIEN CYBER – CYBER-SÉCURITÉ ET DÉCIDEURS avec Marie de Fréminville

A regarder sur Youtube, une vidéo de CYCOVER, le premier comparateur de cyber assurance en ligne.

Parce que nous voulons contribuer à rendre le monde numérique plus sûr, nous avons décidé de donner la parole à des experts du domaine.

Nous sommes heureux de poursuivre ce cycle d’entretiens avec Marie de Fréminville, administratrice de société membre de l’IFA, associée fondatrice de Starboard Advisory et experte en gouvernance, cartographie des risques et performance financière.

Elle nous donne sa vision de la relation entre les RSSI et les dirigeants, sur l’assurance cyber, et le rôle clé des décideurs en matière de cyber-sécurité

Le dialogue actionnarial est pénalisé en 2021
Marie de Fréminville dans AGEFI : « Le dialogue actionnarial est pénalisé en 2021 »
Le dialogue actionnarial est pénalisé en 2021

https://agefi.com/actualites/acteurs/le-dialogue-actionnarial-est-penalise

Pour la deuxième année consécutive, les assemblées générales se sont tenues à huit clos, en raison de la Covid.

Par Marie de Fréminville, pour AGEFI. 29 avril 2021

Au printemps 2020, il était matériellement impossible de transformer une assemblée générale en visioconférence. En 2021, c’est différent, les entreprises auraient pu utiliser la vidéo au minimum, ou mieux, la visioconférence.

Pourtant, la plupart des sociétés cotées ont tenu leur assemblée générale sans présence physique des actionnaires, conformément à la décision du conseil fédéral (article 27 de l’ordonnance 3). La Covid, en Suisse, n’a pas accéléré la transformation numérique des AG! Pourtant les actionnaires exercent leurs droits de participation durant l’assemblée générale ordinaire, selon le code suisse de bonnes pratiques pour le gouvernement d’entreprise. Bien sûr, les actionnaires peuvent consulter les documents avant l’assemblée générale, poser des questions par écrit et voter. Mais le manque de contacts, les délais entre les questions et les réponses, l’impossibilité de s’exprimer en public et d’interroger le conseil d’administration publiquement, réduit la capacité d’échanges réels, la transparence, et risque de réduire à terme la confiance des «petits» actionnaires dans les entreprises dans lesquelles ils investissent. Les investisseurs publics et institutionnels ont, eux, l’occasion d’échanger directement avec les responsables des relations investisseurs, ou même avec la direction des entreprises.

Il faut néanmoins saluer quelques exceptions comme Swisscom et UBS ou Nestlé

Il faut néanmoins saluer quelques exceptions comme Swisscom et UBS (diffusion en direct sur Internet) ou Nestlé (mise en ligne des discours du Président et du CEO). Plusieurs associations, comme le Cercle suisse des administratrices, ont pu réunir un grand nombre de leurs membres, les informer, répondre à leurs questions et leur permettre de voter en direct! Innovation et gouvernance étaient au rendez-vous à l’assemblée de 2021!

Les pratiques de certains pays voisins ont évolué et, une majorité des assemblées 2021 ont été diffusées en direct par visio-conférence. Certaines, moins nombreuses (25% du SBF 120, parmi lesquelles Air Liquide, Atos, Axa, Société Générale par exemple), ont permis à leurs actionnaires de poser des questions en direct.

Ces bonnes pratiques pourront probablement être conservées dans le futur, grâce à un partenaire de confiance, qui assure la sécurité des élections (notamment l’authentification des actionnaires): la participation à distance permet en effet à un plus grand nombre d’actionnaires d’assister à l’assemblée générale, assure un meilleur dialogue et fidélise les actionnaires.

par Marie de Fréminville, Starboard Advisory, Experte gouvernance, finance et cybersécurité

Vice-Présidente Cercle Suisse des Administratrice

Et si la prochaine crise était numérique ?

Les dirigeants et administrateurs ont un rôle à jouer dans la lutte contre le crime informatique. « Quand c’est urgent, c’est trop tard » (Talleyrand).

Crise sanitaire, crise numérique et conseils d’administration

La crise sanitaire aura des conséquences significatives sur nos entreprises. Au-delà de la survie de l’entreprise à court terme, la direction d’entreprise et le conseil d’administration se pencheront sur les conséquences à moyen terme et long terme, et l’adaptation éventuelle de l’entreprise au monde d’après, qui sera certainement plus numérique.

Une crise numérique pourrait avoir des conséquences tout aussi graves que cette crise COVID-19, et il est nécessaire de s’y préparer. L’entreprise Lise Charmel, attaquée fin 2019, en redressement judiciaire depuis mars 2020. « Quand c’est urgent, c’est déjà trop tard » disait Talleyrand.

Le développement du numérique est nécessaire, mais fragilise nos entreprises, et le rythme des attaques informatiques n’a pas ralenti, bien au contraire, y compris contre les hôpitaux et les organisations de santé, notamment pour collecter des données qui ont de la valeur sur le marché du « big data ».

La mise en place de dispositifs de cyber sécurité fait partie des responsabilités des dirigeants et administrateurs. Ils permettront d’assurer la pérennité des organisations et de se positionner comme acteurs de confiance.

La prise de conscience par les conseils d’administration des impacts que pourrait avoir une crise numérique est insuffisante, faute de compétences à bord. Plus de 50 % des conseils d’administration n’utilisent pas d’outils dédiés à l’échange de documents. Plus de 60% des documents échangés par les conseils d’administrations et les directions ne sont jamais chiffrés ou sont occasionnellement chiffrés. 1% des conseils d’administration sont identifiés comme complétement formés et informés sur les thématiques de cyber sécurité.

Les mesures à prendre sont comparables dans les domaines sanitaires et numériques.

En termes de :

prévention : appliquer les règles d’hygiène (dans le domaine numérique : sécurité des postes de travail, des communications, et des réseaux…), partager des informations de qualité sur les menaces pour pouvoir réagir vite et efficacement.

identification des vulnérabilités, des actifs critiques et vitaux

détection des signaux faibles, pour pouvoir intervenir très vite

protection : organisation, formation, règles et processus (mises à jour, configuration, sauvegardes), outils : firewall, antivirus, VPN, scan tools…

réaction : se confiner dans le domaine sanitaire, débrancher les postes de travail infectés pour éviter la propagation des virus, dans le domaine numérique.

restauration des systèmes et données, via des sauvegardes

La qualité des infrastructures nationales (réseaux de télécommunications, data centers, équipements et applications…) est essentielle pour la performance des organisations, elle sera un facteur de décision, concernant les développements à l’international.

Enfin, la qualité de l’écosystème (fournisseurs, banques, prestataires) est déterminante, d’un point de vue de la qualité de leurs produits ou services, mais aussi du point de vue de leur maturité en matière de cyber sécurité.

L’espace cyber n’a pas de frontières, la crise peut être systémique, et les virus peuvent se répandre rapidement. L’objectif de la cyber sécurité n’est pas d’arrêter l’épidémie, mais de se préparer à limiter les impacts.

Marie de Fréminville

Présidente de Starboard Advisory

Membre du Cercle Suisse des Administratrices

Formation confiance numérique, conformité protection des données, cybersécurité
Formation confiance numérique, conformité protection des données, cybersécurité
Formation confiance numérique, conformité protection des données, cybersécurité

Préambule

• Les administrateurs et dirigeants n’ont pas vocation à devenir des experts Informatiques.

• L’essentiel est comprendre les enjeux et les responsabilités

• 2 priorités: la gestion des risques et la conformité

Contenu

1. Le contexte général

2. La crise covid-19 et le télétravail

3. Les enjeux pour les organes de gouvernance

4. Les dispositifs à mettre en place

5. La conformité

Formations – Ateliers – séminaires adaptés à vos activités

1. Cartographier les risques

2. Evaluer la stratégie de cyber sécurité

3. Mettre en place le dispositif (estimer les coûts)

4. Simuler la crise

5. Etudier le transfert des risques à l’assurance