Pourquoi votre entreprise bénéficie d'un système de gestion des risques et comment le mettre en œuvre au mieux
L'environnement des entreprises devient de plus en plus complexe. La concurrence croissante, la mondialisation des marchés, la pénurie de compétences et la pression constante sur les coûts font partie de notre quotidien. De nouveaux risques sont apparus en raison du recours croissant à la technologie numérique et aux solutions en nuage. De même, les risques naturels et les catastrophes naturelles entraînent régulièrement des pertes économiques importantes en raison des interruptions d'activité et des retards de livraison. Ces réalités opérationnelles soulignent la nécessité d'un système de gestion des risques pour les petites et moyennes entreprises.
Si vous ne disposez pas encore d'un système de gestion des risques, y compris un programme de continuité des activités, ou si vous souhaitez revoir votre système existant, voici quelques domaines clés où votre entreprise peut être à risque. Vous obtiendrez également des recommandations sur les mesures spécifiques que vous pouvez prendre pour commencer à prévenir ou à contrôler les vulnérabilités.
-
Vos employés :
- Formez vos employés aux politiques de l'entreprise, aux programmes de sécurité au travail, à la gestion des données et aux procédures d'intervention d'urgence. Organiser régulièrement des formations de remise à niveau pour tous les employés, en créant des dossiers de formation documentés.
- Développez, révisez et testez votre plan d'évacuation d'urgence (par exemple en cas d'incendie) au moins tous les 12 mois.
- Effectuer des vérifications des antécédents et des CV lors de l'embauche d'employés.
- Utilisez un système de sécurité physique et informatique (par exemple, badge, clé et accès informatique) qui interdit l'accès aux anciens employés et aux parties extérieures.
- Établir des politiques et des mesures de protection contre la fraude et le détournement de fonds.
- Former les employés à l'utilisation et à l'entretien corrects des équipements de protection individuelle, si nécessaire.
- Assurez-vous que vous disposez d'un plan d'espace ergonomique approprié.
- Formez vos employés aux politiques de l'entreprise, aux programmes de sécurité au travail, à la gestion des données et aux procédures d'intervention d'urgence. Organiser régulièrement des formations de remise à niveau pour tous les employés, en créant des dossiers de formation documentés.
-
Votre entreprise et vos installations d'exploitation :
- Identifier toutes les matières dangereuses (y compris les liquides inflammables ou combustibles) et s'assurer que des contrôles appropriés sont en place pour utiliser, stocker, distribuer et éliminer ces matières en toute sécurité.
- S'assurer que les risques d'incendie ont été évalués de manière adéquate. Les équipements de protection contre l'incendie doivent être maintenus en état de marche et entretenus conformément aux normes applicables. L'équipement de détection d'incendie doit être adapté aux locaux et envoyer des signaux à un emplacement surveillé en permanence.
- Fournir des voies d'accès et des zones de travail claires et sans obstacles.
- S'assurer que l'équipement électrique est installé et testé conformément aux codes applicables.
- Remplacez toutes les rallonges électriques par des câbles en dur.
- Assurez-vous que les machines sont dotées de protections appropriées et de procédures documentées de verrouillage/étiquetage.
- Fournir une zone d'accueil appropriée et contrôlée pour les visiteurs.
- Identifier toutes les matières dangereuses (y compris les liquides inflammables ou combustibles) et s'assurer que des contrôles appropriés sont en place pour utiliser, stocker, distribuer et éliminer ces matières en toute sécurité.
-
Des tempêtes violentes :
- Mettre en œuvre un programme de gestion de la continuité des activités et élaborer des plans pour les situations d'urgence. Révisez chaque année les plans d'urgence appropriés du programme et des pratiques.
- Se préparer aux événements naturels. Par exemple, dans une zone inondable, déplacez les installations essentielles au-dessus du niveau d'inondation potentiel ; disposez des matériaux appropriés (sacs de sable, murs anti-inondation, etc.) ; installez des contrôles pour empêcher les déversements.
- Mettre en œuvre un programme de gestion de la continuité des activités et élaborer des plans pour les situations d'urgence. Révisez chaque année les plans d'urgence appropriés du programme et des pratiques.
-
Votre système et votre technologie informatiques :
- Vous devez disposer d'une politique de cybersécurité formelle, élaborée par un professionnel de la sécurité informatique qualifié, qui utilise des normes de cybersécurité reconnues, telles que la norme ISO27001 ou les cadres de cybersécurité du NIST. La politique doit couvrir tous les systèmes d'entreprise (y compris, par exemple, les bases de données administratives, les logiciels des systèmes de fabrication et de développement, les outils CRM et ERP), les connexions réseau avec les clients et les fournisseurs, les systèmes de stockage en nuage et de gestion des sauvegardes, ainsi que les processus sécurisés de développement de produits.
- Assurez-vous que les cyberincidents et les plans d'intervention correspondants sont inclus dans votre programme de gestion de la continuité des activités.
- Créez un plan concret de réponse à la violation des données (Data Breach Response Plan) pour soutenir le confinement, l'enquête et la notification suite à un incident de sécurité des données. Veillez à ce que ce plan d'intervention soit revu et testé chaque année pour rester efficace et pertinent.
- Sauvegardez régulièrement les données critiques et les informations du système, stockez-les hors site et testez et re-testez leur récupération. Assurez-vous que les capacités de récupération répondent suffisamment aux besoins de votre entreprise pour minimiser l'impact sur les revenus en cas de panne du système/perte de données.
- Mettez en place des procédures robustes de gestion des accès sur l'ensemble de votre réseau, y compris l'accès aux systèmes critiques et aux données sensibles, telles que les informations personnelles, sanitaires et commerciales confidentielles.
- Formez vos employés, au moins une fois par an, à une bonne cyberhygiène, notamment à la gestion de mots de passe forts, à la sensibilisation à l'ingénierie sociale et au hameçonnage, et à l'importance de la protection des données sensibles.
- Vous devez disposer d'une politique de cybersécurité formelle, élaborée par un professionnel de la sécurité informatique qualifié, qui utilise des normes de cybersécurité reconnues, telles que la norme ISO27001 ou les cadres de cybersécurité du NIST. La politique doit couvrir tous les systèmes d'entreprise (y compris, par exemple, les bases de données administratives, les logiciels des systèmes de fabrication et de développement, les outils CRM et ERP), les connexions réseau avec les clients et les fournisseurs, les systèmes de stockage en nuage et de gestion des sauvegardes, ainsi que les processus sécurisés de développement de produits.
Ce document est d’ordre informatif et constitue une ressource à utiliser conjointement avec les recommandations de vos conseillers en assurance entreprise dans le cadre de votre programme de prévention des sinistres. Il s’agit d’une simple présentation qui n’a pas vocation à se substituer à un rendez-vous avec votre courtier d’assurance ou à des recommandations d’ordre juridique, technique et professionnel.
Chubb Versicherungen (Schweiz) AG / Chubb Insurance (Switzerland) Limited / Chubb Assurances (Suisse) SA, Bärengasse 32, 8001 Zürich, T + 41 43 456 76 00, chubb.com/ch-fr
Vous avez une question ?
Nous sommes là pour y répondre.