mercredi 27 juin 2007

Qu'est-ce que le "whistle-blowing"



Littéralement, ce terme signifie "souffler dans un sifflet". Il a pour origine les fameux bobbies (= les forces de l'ordre du Royaume Uni) qui vont siffler en cas de constatation d'infractions sur la voie publique. Dans le même ordre d'idée, mais cette fois-ci au sein d'une entreprise, la mise en place d'un système de whistle-blowing a pour but de permettre aux employés d'annoncer, à un tiers de confiance et de manière confidentielle, des comportements contraires à l'éthique.

Encore assez peu répandu en Suisse, le whistle-blowing connaît un essor important en Europe de l'Ouest où 40% des entreprises multinationales ont déjà mis un tel système en place.

Objectifs

Il arrive que les collaborateurs soient les seuls à savoir que des actes délictueux sont commis au sein de l'entreprise. Ils ne peuvent toutefois pas en parler sans courir le risque de perdre leur emploi. En effet, comment dénoncer un acte de corruption, par exemple, si son supérieur hiérarchique est (ou peut être) lui-même impliqué ? Le fait même d'en discuter avec ses collègues peut conduire à son isolement, à des représailles, voire même à des enquêtes internes mal menées au terme desquelles c'est le whistle-blower lui-même qui se voit licencié.

La connaissance d'un acte délictueux peut également provenir de l'extérieur de l'entreprise. Je pense à des clients, des fournisseurs ou des partenaires à différents niveaux qui pourraient avoir été confrontés à des propositions douteuses.

De tels scénarios sont évitables mais cela nécessite quelques réflexions quant aux objectifs de l'entreprise en matière de lutte contre la fraude. Quels sont les risques ? (marchés, personnel, réputation, etc..), quelle est la situation actuelle et comment va-t'elle évoluer dans le futur ? Quelles sont les exigeances en matière de compliance ou de législation ? Si l'analyse de ces questions conduit la direction à vouloir mettre en place un système de détection de la fraude, ce dernier devra permettre:

  • de communiquer la position et les attentes de la direction en matière d'éthique dans les affaires (code de conduite)

  • d'informer l'ensemble du personnel de l'entreprise sur les risques encourus en cas de comportement contraire à l'éthique

  • de garantir l'anonymat (ou à tout le moins la confidentialité) de toute personne qui dénoncerait des malversations sur la base de soupçons étayés

  • de la protéger contre toutes représailles éventuelles

  • d'assurer un traitement professionnel de son annonce

Avantages

L'entreprise qui ne dispose pas d'un code de conduite, respectivement d'un système d'annonce anti-fraude, se prive d'une opportunité réelle de communiquer sa vision en la matière ainsi que le moyen d'organiser ses processus afin de diminuer le risque de fraude. A ceux qui craignent que le whistle-blowing instaure un climat de suspicion permant, les premières enquêtes réalisées auprès de collaborateurs d'entreprises disposant d'un tel système montre que la grande majorité d'entre eux (66%) se déclarent satisfaits de savoir que leur employeur dispose de ce genre d'outil. Plus impressionnant encore, 94% sont d'accord avec le fait que les droits de celui qui dénonce un cas de fraude doivent être protégés.


Du point du vue de la direction, le fait d'être capable de démontrer à l'ensemble des partenaires de l'entreprise (stakeholders), voire même - le cas échéant - aux autorités judiciaires, que tout a été mis en oeuvre pour promouvoir et maintenir un haut degré d'éthique dans les affaires constitue sans nul doute un avantage important.

vendredi 22 juin 2007

La prison pour un couple d'internautes !


Grande première en Suisse, le tribunal pénal fédéral a prononcé des peines de 2 ans de prison, dont 6 mois fermes à l'encontre d'un Tunisien de 39 ans, et de 6 mois avec sursis pour son épouse.

Ces internautes ont été condamnés pour avoir diffusé, sur leurs sites internet de propagande islamiste, des images représentant de la violence (art. 135 CPS) ainsi que pour avoir été reconnu coupables de soutien à une organisation criminelle (art. 260ter CPS). Les messages publiés vantaient les mérites du djihad et montraient des vidéos d'exécution d'otages. La peine du mari est plus sévère que celle de Madame car il a également été reconnu coupable de provocation au crime (art. 259 CPS) en ayant exigé une rançon contre la libération de deux journalistes français.


Par ce jugement, le procureur Claude Nicati a donc réussi à incriminer le canal de l'Internet comme vecteur de propagande. Cela est une grande première dans notre pays et constitue un signal très important à ceux qui croient que le web est une zone de non-droit où tout est permis.
J'adresse mes plus sincères félicitations à M. Nicati et son équipe et suis heureux de pouvoir (enfin) entendre parler du Ministère Public de la Confédération sur une victoire. Bravo !

Sécurité des systèmes d'information

Les résultats d'une intéressante étude, conduite par Ernst&Young, ont été présentés lors d'une conférence à l'Université de Lausanne en date du 14 juin dernier.

Ce sondage est mené chaque année auprès de 1200 entreprises dans 48 pays, représentant 23 industries. Les personnes interrogées sont soit des CIO, des IT executives ou des CEO

Trends :
  • Jusqu’en 2005, les investissements ont été orientés matériel
  • Depuis 2006, les investissements s’orientent personnes / processus
  • Les investissements liés à la sécurité sont d’avantage soutenus par les directions

Priorités des entreprises :

  • Intégrer la sécurité de l’information dans l’organisation,
    c'est à dire traiter le problème d'un point de vue globale et non plus spécifique.
  • Mesurer l'impact du "compliance" et faire en sorte que l'entreprise atteigne ces standards.
  • Gérer le risque de l’outsourcing.
  • Focus sur la confidentialité et la protection des données.
  • Concevoir et mettre en place un système de sécurité de l’information

Je constate donc avec plaisir que les orientations prises dans le cadre de nos activités UDITIS-Forensic sont parfaitement en phases avec les priorités des entreprises.

mercredi 13 juin 2007

Cybercriminalité : point de situation


Hier en fin de journée se tenait la conférence organisée par le CLUSIS au Royal Savoy de Lausanne sur le thème de la cybercriminalité. 70 participants provenant du monde de la sécurité informatique ont participé à cet event.


Trois interventions étaient au programme de cette manifestation dont l'objectif était de faire un état des lieux actualisé des pratiques utilisées par les cybercriminels. Dans un premier temps, Mauro Vignati, Chef adjoint de la section MELANI/Cybrecrime la police fédérale a passé en revue les types d'attaques les plus courantes et nous a montré les trends liés à leur évolution. Il nous a également fait part de l'augmentation importante des entreprises victimes de phishing.

Ensuite, votre serviteur s'est attaché à démontrer à qui profite le crime et comment au travers d'exemples et de cas pratiques chiffrés. Finalement, Pascal Seeger nous a expliqué les précautions essentielles à prendre afin de pouvoir conserver les traces numériques dans l'optique d'en faire des preuves recevables dans le cadre d'un procès.


Comme à l'accoutumée, la manifestation s'est ensuite poursuivie autour d'un verre permettant ainsi à chacun d'échanger ses expériences et intérêts sur le thème de la cybercriminalité.


Pour plus d'informations ou pour obtenir les présentations, faites-moi part de votre intérêt par un petit commentaire !

jeudi 7 juin 2007

La seconde débacle de Swissair


Ainsi le jugement des 19 accusés du méga-procès Swissair a été rendu par le tribunal du Bülach: Tous acquittés ! La procédure d'accusation aura nécessité 5 ans de travail et rempli 4'000 classeurs fédéraux. Le procès aura duré 29 jours durant lesquels les comptes rendus quotidiens de la presse auront fait revivre aux Suisses le naufrage de leur compagnie aérienne nationale. Tout cela pour quoi ? Pour rien ! Pire même... alors que les milliers d'employés jetés à la rue n'ont pour certains toujours pas pu toucher les salaires ou indemnités dus, on apprend que le contribuable (zurichois en l'occurence, mais tout de même!) devra remettre la main au portemonnaie pour offrir aux anciens dirigeants plus de CHF 3 millions d'indemnités ! On croit rêver !!!

Personnellement, je ne m'attendais pas un instant à ce que des peines de prison soient prononcées. L'absence d'antécédents des prévenus ainsi que les délits retenus dans l'acte d'accusation auraient de toute manière permis d'obtenir des peines avec sursis. D'autre part, d'un point de vue pénal, on ne peut condamner l'incompétence ou les erreurs stratégiques. Mais ce qui me choque particulièrement, c'est qu'aucun des chefs d'accusation n'ait été retenu par le juge alors que des faux dans les titres et de la fraude aux états financiers ont été clairement dénoncés par l'instruction. Les comptes annuels 2000 ont été falsifiés et cela ne devrait pas rester impuni aux vu des conséquences désastreuses que nous connaissons. Il faut en effet se rappeler que les citoyens de ce pays, en tant que contribuables, ont été forcés "d'investir" dans cette compagnie lors de sa pseudo recapitalisation. Et si les élus politiques de l'époque avaient finalement dû accepter de verser ces milliards, c'était aussi et surtout sur la base des informations financières fournies par la direction et le conseil d'administration de Swissair. Que ce délit reste impuni est proprement scandaleux et la justice zurichoise délivre ainsi un message dramatique à la population; un message qui veut faire comprendre que "la responsabilité des dirigeants est inversément proportionnelle à l'importance de la faillite".


Ce verdict aura également des conséquences au niveau européen. On se souvient en effet de l'affaire Sabena dont le rachat par Swissair a donné lieu à des transferts de fonds importants de la Belgique vers la Suisse. Selon le gouvernement belge, plus de 650 millions de francs auraient été ainsi ponctionnés de la défunte compagnie Sabena pour venir renflouer les caisses de Swissair. Que ses dirigeants soient relaxés va être une pilule difficile à avaler par les Belges et qui pourrait bien peser sur les relations entre nos deux pays... Au moment même où nous pourrions avoir besoin de leur soutien dans le contentieux fiscal qui oppose la Suisse à l'Union européenne.

La honte !

Du côté des désormais ex-accusés, il leur restera néanmoins à vivre avec la responsabilité morale d'avoir coulé une entreprise symbole de l'excellence helvétique, de s'être trompé sur les décisions stratégiques et avoir engendré plus de 17 milliards de pertes, d'avoir fait perdre leur emploi a des milliers de collaborateurs qui s'identifiaient à leur entreprise et faisaient confiance à leurs dirigeants. J'ose espérer que ces gens auront la décence d'attribuer les indemnités que le tribunal leur versera à des oeuvres de bienfaisance...Mais là encore, on peut rêver !

La stratégie de sécurité de votre entreprise prévoit-elle le renseignement des données ?