LA GESTION DES

RISQUES au sein
d’une société
Contrôle interne et réglementation
Travail présenté par :

El kamely Dounia Ben Salem Nour

Benachib Oumaima Tahri Rechid
Ben Mimoun Ghassen Sliti Mohamed Youssef
Sommaire 01 02
Introduction et
Types de risques
Cartographie

03 04
Risques
Conclusion
informatiques
I. Définitions
II. Illustrations
III. Solutions
 01
Introduction
Introduction

Dans le monde des affaires d'aujourd'hui, les

entreprises font face à une multitude de
risques qui peuvent compromettre leur
succès et leur pérennité. Ces risques peuvent
provenir de diverses sources, allant des
fluctuations économiques aux changements
réglementaires, en passant par les menaces
technologiques émergentes. Il est essentiel
pour les entreprises de comprendre et de
gérer efficacement ces risques pour
maintenir leur compétitivité et leur stabilité
financière.
Cartographie des risques

CREDITS: This presentation template was created by Slidesgo, including icons

by Flaticon and infographics & images by Freepik
 02
Types de risques
 Différents types de RISQUES
Risques Risques de
opérationnels réputation

Risques Risques
stratégiques environnementaux
et sociaux

Risques de conformité Risques juridiques

réglementaire
 03
Risque de
sécurité
informatique
Le risque Informatique
Les entreprises sont exposées à une multitude de menaces informatiques, allant des cyberattaques
sophistiquées aux erreurs humaines involontaires. Les cybercriminels exploitent les vulnérabilités
des systèmes pour accéder illégalement aux données sensibles, causer des dommages financiers
ou perturber les opérations commerciales. Par exemple, les attaques de ransomware peuvent
bloquer l'accès aux fichiers critiques d'une entreprise jusqu'à ce qu'une rançon soit payée,
compromettant ainsi la continuité des activités.
1/ Ransomware
De quoi il s’agit :
Les ransomwares constituent l'une des stratégies les
plus efficaces pour attaquer les entreprises, les
infrastructures critiques et les particuliers. Ce type
de logiciel malveillant infecte les ordinateurs et
empêche ou restreint considérablement les
utilisateurs ainsi que les logiciels externes d'accéder
aux appareils ou aux systèmes entiers jusqu'à ce que
les demandes de rançon soient satisfaites.
En termes d'impact, les ransomwares peuvent
affecter la disponibilité des données de plusieurs
manières, en détruisant les données et en perturbant
l'accès.
 Biggest Hits

DarkSide contre Colonial REvil visant JBS USA

Pipeline Company

Rançon payée : 4,4 millions de Rançon payée : 11 millions de dollars.

dollars.

Evil Corp visant CNA Wizard Spider visant le système de

Financial santé public d'Irlande

Rançon payée : 40 millions de Rançon payée : 0 millions de dollars.

dollars.
Comment lutter contre les Ransomwares?
● Sensibilisation et formation régulière.
● Mises à Jour Régulières : Assurez-vous que tous les systèmes d'exploitation,
logiciels et applications sont régulièrement mis à jour avec les derniers correctifs
de sécurité.
● Filtrage du Courrier Électronique : Mettez en place un filtrage du courrier
électronique pour bloquer les courriels malveillants et les pièces jointes
suspectes.
● Sauvegardes Régulières : Effectuez des sauvegardes régulières de toutes les
données importantes et assurez-vous qu'elles sont stockées de manière
sécurisée hors ligne.(Back-UP).
● Plan de Continuité des Activités : Ayez un plan de continuité des activités en
place pour minimiser les perturbations en cas d'attaque réussie
 2/ Le risque de conformité
Le risque de conformité découle du non-respect des
lois, règlements, normes ou codes de conduite auxquels
une entreprise doit se conformer. Cela peut englober
divers domaines tels que la conformité financière, la
protection des données, les questions
environnementales, les droits des employés, etc. Les
entreprises peuvent être confrontées à des sanctions
légales, des amendes, une perte de réputation, voire des
conséquences opérationnelles si elles ne parviennent
pas à respecter ces normes
 Cas de SG et BNP Paribas
Pour rappel, plus d'une centaine de salariés de la BNP Paribas et la Société Générale ont échangé
entre 2018 et 2020 des milliers de messages, tels que mails ou SMS au contenu professionnel à
travers des messageries privées, dont iMessage et WhatsApp.
Le 8 août 2023, les deux régulateurs bancaires américains, La CFTC et la SEC, ont chacun présenté
des sanctions financières à l'encontre de plusieurs sociétés.

Une distinction toutefois empêche de complètement fermer ce qui a été surnommée "l’affaire
WhatsApp". Si l’amende de 110 millions de dollars couvre l’utilisation illégale de canaux non
professionnels, elle n’inclut pas le défaut de stockage des messages. Au vu des excès qui avaient
précipité la crise de 2008, toute communication bancaire doit pouvoir être enregistrée et conservée
par les banques à des fins d'enquête. Le communiqué de la SEC marque le coup : "Les entreprises
n'ont pas conservé ou préservé la grande majorité de ces communications extérieures, en violation des
lois fédérales sur les valeurs mobilières. En ne conservant pas les enregistrements requis, certaines
entreprises ont probablement privé la Commission de ces communications extérieures dans le cadre
de diverses enquêtes de la SEC."
 Cas de Tiktok
La Commission nationale de l’informatique et des libertés (CNIL) a infligé une amende de
cinq millions d’euros à TikTok, le 29 décembre 2022.
L’autorité vient de révéler publiquement les tenants et aboutissants de la sanction sur son
site Web.

En effet, TikTok affiche en effet « un bouton permettant d’accepter immédiatement les

cookies », mais néglige de proposer une option pour les refuser simplement. Le régulateur
des données personnelles a estimé que cette stratégie visait à « décourager les utilisateurs
» souhaitant refuser les cookies. Il s’agit d’une infraction au RGPD, le Règlement général sur
la protection des données, en vigueur en Europe depuis 2018.
Solutions:
Évaluation des données
Sécurité des données
personnelles

Formation
et sensibilisation Obtention du consentement
Libre, spécifique, éclairé et
univoque.
Transparence
et divulgation

Droits des Individus ( D. d’accès,

D. de rectification , D. à
l’effacement, D.d’opposition )
3/ Le risque de continuité
des activités
Le RCA mesure la capacité d'une entreprise à
maintenir ses opérations essentielles en cas de
perturbations majeures comme les catastrophes
naturelles ou les pannes techniques. Il est évalué
dans la gestion des risques de l'entreprise et
englobe les interruptions de service dues à des
incidents imprévus. Les conséquences potentielles
incluent la perte de revenus, le mécontentement
des clients…
 Le cas de AMAZON

Un exemple notable d'une entreprise confrontée au risque de continuité des

activités est celui d'Amazon. En 2017, une panne massive de serveurs cloud AWS
(Amazon Web Services), l'un des principaux services d'Amazon, a provoqué des
interruptions de service pour de nombreuses entreprises qui dépendaient de ces
services pour leurs opérations en ligne. Des sites web, des applications et même
des appareils connectés à Internet ont été affectés.
FYI: Le jour même l'action Amazon a clôturé en baisse de 0,42% à 845,04 dollars à Wall
Street.
Solutions:
Plan de continuité Sauvegarde et récupération
d’activité de données

Evaluation Assurance et gestion de

des risques risque

Redondance Technologie de
des systèmes surveillance et d’alerte

Plan de communication de
Tests et exercices
crise
4/ Le risque de perte de
données
La perte de données correspond à la disparition,
momentanée ou permanente, d’informations
numérisées : données des clients, documents internes à
l’entreprise, logiciels, etc. Cette perte peut être liée à des
causes très diverses : erreur humaine, accident, vol,
obsolescence du matériel… La perte de données peut
entraîner d’importants préjudices, directs ou indirects,
à une entreprise que ce soit sur le plan financier,
logistique ou opérationnel.
 Illustration : Iron Mountain
en 2009, la société de sauvegarde informatique Iron Mountain a connu une perte
de données importante due à une erreur humaine. Iron Mountain stocke des
données pour de nombreuses entreprises, et dans cet incident, un employé a
expédié plusieurs bandes de sauvegarde contenant des données sensibles vers
un site de stockage tiers non autorisé.

Cette erreur a entraîné des conséquences désastreuses sur l’entreprise comme la

violation des de la confidentialité, la répercussion légal ou iron mountains a dû faire
face à des enquêtes réglementaires et des poursuites et surtout la perte de
confiance des clients.
 Solutions:
● Renforcer les procédures de sécurité à travers la mise en place des
procédés strictes pour la manipulation, le transport et le stockage des données
sensibles(disques durs externes , coffre fort numériques …)
● former et sensibiliser le personnel en fournissant une formation régulière
aux employés sur les bonnes pratiques de sécurité, en mettant l'accent sur la
manipulation des données sensibles. Les employés doivent être conscients des
risques associés à leurs actions ( test , forums et brochures…)
● réaliser un Suivi et audit réguliers en mettant en place des procédures
de suivi régulières et des audits pour s'assurer que les politiques de sécurité sont
respectées. Cela pourrait inclure des vérifications périodiques des procédures de
manipulation des données, des revues de la conformité aux politiques de
sécurité, et des audits internes pour identifier et corriger les éventuelles lacunes
 5/ Risque lié à la sécurité physique
La protection des bâtiments contre l’intrusion malveillante a pris un
tour plus important ces dernières années pour tenir compte de
nouveaux types d’attaques, soit violentes, soit discrètes. Une
intrusion dans les locaux peut conduire au vol et à la destruction
d’actifs physiques, voire à faciliter une intrusion logique dans le
système d’information en permettant l’introduction de programmes
malveillants (« malwares ») qui peuvent espionner, saboter ou
substituer des informations appartenant à l’institution, à ses clients
ou à ses partenaires. De telles intrusions sont possibles si les
mesures de protection des bâtiments ou d’accès aux équipements
informatiques sont insuffisantes.
Exemples des risques liés à la sécurité
physique
- Visiteurs inconnus
- Vol de documents
- Ingénierie sociale
- Vol d'identité
- Le " tailgating " (ou talonnage)
 Conclusion:
La gestion proactive des risques est cruciale pour assurer la
pérennité et la prospérité d'une entreprise. En identifiant,
évaluant et traitant les risques de manière systématique, elle
renforce la résilience de l'entreprise face à l'incertitude. La prise
de décision éclairée, des stratégies d'atténuation efficaces et
une culture organisationnelle axée sur la gestion des risques
favorisent la croissance et la création de valeur. En investissant
dans la gestion des risques, une entreprise peut mieux anticiper
les défis, saisir les opportunités et garantir sa viabilité à long
terme.
THANK YOU!

CREDITS: This presentation template was created by Slidesgo, including icons

by Flaticon and infographics & images by Freepik