Pour Matthias von Ah, CEO de Gasser Felstechnik AG, la sécurité et la protection de la santé des collaborateurs sont une préoccupation personnelle. "Chez nous, chacun doit pouvoir rentrer chez lui le soir en bonne santé. Nos collaborateurs sont notre plus grand capital", dit von Ah en soulignant : "Pour moi, il n'y a pas de compromis possible". C'était donc une étape logique que l'entreprise adhère à la charte de sécurité et donne ainsi un signe à l'intérieur et à l'extérieur que la santé des collaborateurs est une priorité absolue et que les règles vitales font donc partie intégrante du travail quotidien.

Les erreurs peuvent être fatales

Gasser Felstechnik AG est une entreprise spécialisée dans les travaux souterrains, la consolidation des roches, les techniques de dynamitage et les travaux spéciaux de génie civil. C'est justement parce que les risques d'accident sont particulièrement élevés dans ces domaines d'activité que l'entreprise investit beaucoup dans la prévention des accidents depuis plusieurs années déjà. Et ce pour une bonne raison. Si un collaborateur commet une erreur en travaillant dans la paroi rocheuse, il peut, dans le pire des cas, faire une chute de 200 mètres. "Chez nous, la sécurité est fermement ancrée dans la culture d'entreprise. Nous considérons que c'est une marque d'estime envers nos collaborateurs que de veiller à leur sécurité", explique Matthias von Ah.

C'est pourquoi la sécurité et la santé font partie des activités quotidiennes de Gasser Felstechnik AG. Le premier jour de travail, les nouveaux collaborateurs reçoivent une formation détaillée sur la sécurité. De plus, les règles vitales sont régulièrement enseignées et thématisées sur place, sur les chantiers, dans des situations de travail concrètes.

La sécurité dans la poche

Afin de mettre régulièrement les règles vitales à l'ordre du jour, Gasser Felstechnik AG mise en outre sur l'utilisation d'une application interne à l'entreprise. Toute la communication concernant l'entreprise peut être consultée via cette application, y compris les thèmes relatifs à la sécurité et à la protection de la santé. Les collaborateurs confirment dans l'application qu'ils ont pris connaissance des contenus. L'entreprise de Lungern souhaite augmenter constamment la sécurité et la santé et a trouvé les leviers qui lui semblent efficaces. "L'analyse des déclarations d'accident, des déclarations de quasi-accident et d'autres événements qui se produisent sur le chantier nous donne des indications importantes sur la manière dont nous pouvons continuer à optimiser nos procédures et nos processus en matière de sécurité", explique von Ah.

Une promesse de sécurité accrue

Outre les règles vitales, la charte de sécurité est un outil important pour réduire les accidents et les maladies professionnelles dans l'entreprise. Dire oui à la Charte de sécurité, c'est s'engager. Un engagement qui présuppose la volonté de s'engager activement en tant qu'entreprise pour la sécurité et la santé de ses propres collaborateurs.

La nouvelle campagne d'information sur la Charte de sécurité de la Suva mise sur des modèles authentiques. Les directeurs et les responsables de la sécurité qui soutiennent la Charte de sécurité veulent convaincre d'autres entreprises de l'intérêt d'adhérer à la Suva en tant que témoignages. Car chaque accident évité signifie aussi une souffrance évitée pour les personnes concernées et leurs proches. En outre, les entreprises peuvent économiser des coûts si les collaborateurs restent en bonne santé et ne sont pas absents de leur poste de travail.

Plus d'informations : charte de la sécurité.ch

L'enregistrement d'images et de vidéos lors d'interventions policières n'est plus un phénomène nouveau depuis longtemps. Peut-on filmer des interventions policières sans y être invité ? Et les images peuvent-elles ensuite être diffusées sur Internet sans être pixellisées ? Les policiers exercent une activité relevant de la souveraineté de l'Etat et exercent le monopole de la force publique. La couverture des actions de la police par le public est donc couverte par l'intérêt public à l'information (art. 28, al. 2 du Code civil). Filmer les opérations de police est donc en principe autorisé.

Il existe toutefois des exceptions à cette règle, comme le prouvent plusieurs décisions de justice. En 2017, lors d'une manifestation à Berne, une altercation violente a eu lieu entre un groupe du service d'ordre et un participant à la manifestation. Une personne a filmé cette intervention policière à une distance d'environ 5 à 10 mètres. Elle se trouvait également sous le contrôle de la police. Pour des raisons compréhensibles, de nombreux membres de la police ne veulent pas être filmés, se détournent ou regardent par terre. Le chef d'intervention a reconnu dans ce comportement de ses collaborateurs un risque pour la sécurité. Il a demandé à la personne qui filmait de cesser de filmer et d'effacer les enregistrements, en la menaçant d'arrestation et de saisie du téléphone portable. Le parquet a alors ouvert une procédure pénale contre le chef d'intervention pour abus d'autorité et contrainte.

D'un point de vue juridique, la police ne peut interdire de photographier ou de filmer une intervention policière que si la personne commet en même temps une infraction, par exemple en entravant une action officielle. Et ce n'est que dans ce cas que les possibilités d'arrestation et de saisie du téléphone portable peuvent être indiquées en cas de refus. Si aucune infraction n'est commise, il s'agirait d'une menace de conséquences illégales et donc d'un abus de pouvoir.

Dans le cas mentionné, il était finalement légitime que le chef d'intervention identifie un problème de sécurité dans les images filmées. L'acte officiel effectué était autorisé. L'abandon de la procédure pénale contre le chef d'intervention a été confirmé par la Cour suprême.² En ce qui concerne les prises de vue et les films, il convient donc de distinguer si une personne entrave réellement l'intervention de la police ou si elle prend simplement des photos en tant que personne extérieure non impliquée. En ce qui concerne les enregistrements effectués par des journalistes, les obstacles sont encore plus importants en raison de la liberté des médias.

Atteinte à la personnalité de membres de la police

Il arrive maintenant qu'après une intervention lors d'une manifestation, des photos de portraits d'un groupe d'intervention soient publiées sur Internet avec des appels à la violence, puis dans la presse écrite et à la télévision.

Les prises de vue réalisées dans l'intérêt public doivent se limiter à l'enregistrement du déroulement de l'événement. Les membres de la police peuvent être reconnaissables tant qu'ils ne sont pas particulièrement mis en évidence ou qu'ils ne sont reconnaissables qu'en tant qu'"accessoire" ou "prise accessoire". Le droit à l'image est violé lorsque des membres de la police sont manifestement pris en photo en tant que personnalités individuelles. C'est notamment le cas pour les portraits pris à courte distance ou au téléobjectif. En d'autres termes, les portraits sont illicites lorsqu'il n'y a pas d'action ou de lien avec le sujet du rapport, c'est-à-dire lorsque la photo est prise uniquement pour représenter les membres de la police eux-mêmes. De telles atteintes à la personnalité peuvent faire l'objet d'une plainte devant le tribunal civil. Les policiers doivent toutefois intenter cette action en tant que personne privée. La plupart du temps, les procédures sont si complexes qu'il faut faire appel à un avocat ou une avocate. En plus des frais d'avocat, les frais de justice doivent être avancés. Un procès de ce type peut rapidement coûter plusieurs milliers de francs. En outre, une procédure civile ne peut être engagée que si le défendeur est connu. Cela peut constituer un obstacle insurmontable dans le cas de publications sur des sites Internet anonymes dont les serveurs sont situés à l'étranger. La charge mentale et temporelle d'une telle procédure civile ne doit pas non plus être sous-estimée. Si le tribunal conclut à une atteinte illicite à la personnalité, il peut ordonner le retrait ou la destruction des images en question. Le tribunal peut en outre condamner le défendeur au paiement de dommages et intérêts et d'une indemnité pour tort moral.

Soutien de l'employeur ?

C'est précisément là que se pose la question de savoir si l'employeur ne doit pas agir contre de telles atteintes à la personnalité ? L'obligation d'assistance prévue par le droit du travail est un principe général de droit auquel tous les travailleurs peuvent se référer. L'employeur doit en tout cas veiller à ce qu'il n'y ait pas d'atteintes injustifiées à la personnalité des travailleurs et il doit les aider à éliminer les atteintes à la personnalité existantes. En conséquence, la protection juridique doit être accordée non seulement lorsque les membres de la police font l'objet de poursuites pénales, mais aussi lorsqu'ils doivent engager une procédure civile pour atteinte à la personnalité. Ici aussi, le lien avec l'activité policière est établi. Or, ce droit au soutien n'est pas accordé dans la plupart des cantons, de sorte que les membres de la police ne peuvent toujours pas compter sur l'aide de leur employeur. Cet état de fait est regrettable et nécessite une révision. D'autres mesures s'imposent également pour protéger la personnalité des membres de la police. A titre de suggestion, on peut citer l'utilisation systématique de plaques d'immatriculation au lieu de badges nominatifs ou le floutage généralisé des membres de la police sur les photos et les films. Il serait en outre utile que les sites Internet concernés soient bloqués de manière ciblée, comme en Allemagne. Car les procédures civiles ne peuvent pas être menées contre des inconnus, mais doivent être dirigées contre l'auteur ou l'exploitant du site web.

En résumé, les prises de vue et de film non justifiées ainsi que leur publication sur Internet constituent une atteinte à la personnalité. Les violations existantes peuvent être éliminées par voie judiciaire, mais les procédures sont coûteuses et prennent du temps. Les prestations de soutien de l'employeur sont jusqu'à présent en retard ou inexistantes. Il convient de remédier à cette situation, car les atteintes persistantes à la personnalité ne font pas partie des risques professionnels acceptables pour les membres de la police.

La gestion des données générées par les grands projets de construction est une tâche titanesque. Les équipes ont donc besoin d'un accès centralisé aux données et d'une transparence qui leur permette d'accéder aux informations au bon moment. Un environnement commun de données (Common Data Environment, CDE) est un outil inestimable pour rationaliser la complexité des grands projets de construction et d'infrastructure et pour améliorer la durabilité de ces installations tout au long de leur cycle de vie.

7 meilleures pratiques

1. le bon accès au bon moment Un environnement de données commun permet aux personnes impliquées dans le projet de commencer à collaborer plus tôt, mais un partage trop précoce ou trop tardif des données du projet peut être source de confusion. La solution CDE idéale devrait permettre de répartir les utilisateurs en groupes afin de contrôler qui a accès à quoi et quand il peut le consulter. Par exemple, il est possible de créer un groupe pour les propriétaires, un autre pour les architectes et un autre pour les entreprises artisanales. Les gestionnaires BIM peuvent alors déterminer quelles données chaque groupe peut consulter et à quel moment, et les ajouter ou les supprimer au cours du projet.

2. soutenir le besoin de CDE individuelsCela peut paraître contre-intuitif, mais dans certaines situations, il y a de bonnes raisons de conserver des CDE séparés. Les sous-traitants qui doivent effectuer un travail intensif de planification, de calcul et d'analyse des coûts peuvent souhaiter conserver leurs propres CDE afin de protéger leurs données de coûts et de rationaliser la quantité d'informations qu'ils fournissent à l'entrepreneur général ou au maître d'ouvrage. Dans ce cas, ils importent le modèle de conception validé dans leur propre CDE, effectuent leurs analyses et renvoient leurs modèles détaillés à l'entrepreneur général. Cette approche permet de réduire la quantité de données générées dans le cadre d'un projet de grande envergure, tout en permettant au sous-traitant de centraliser la gestion et l'échange de données entre les équipes internes.

3. Représentation de vos donnéesUn bon CDE préserve la qualité des données, quel que soit le programme utilisé pour créer le modèle original et quels que soient les systèmes utilisés par les différents membres de l'équipe pour le réviser. Les observateurs du modèle CDE ne devraient pas supprimer les données de l'original. Au lieu de cela, ils devraient les traduire de manière à ce qu'elles puissent toujours être affichées dans un format fidèle à l'original. Pour ce faire, les champs doivent être alignés entre les systèmes, un processus connu sous le nom de "data mapping".

En tant que sous-produit du mappage des données, les utilisateurs ont une meilleure compréhension des informations collectées. Le mappage des données oblige les personnes impliquées dans le projet à réfléchir aux informations qui doivent réellement être extraites des différents fichiers et aux attributs qui doivent être affectés au sein du CDE.

4. automatiser les processus de travail à l'aide d'API : un CDE qui prend en charge les interfaces de programmation d'applications (API) permet de se connecter à n'importe quel nombre de systèmes, des systèmes ERP aux outils de gestion documentaire. Cette connectivité permet de mettre en place des automatisations afin d'améliorer l'efficacité et la précision des données. Avec un outil tel que Trimble Connect, par exemple, les planificateurs peuvent automatiser les flux de travail avec l'ERP et le CDE afin de déclencher des paiements aux géomètres dès qu'ils ont terminé leur liste de tâches dans le CDE. Les connecteurs API permettent également de faire évoluer les investissements technologiques.

5. Ne saisir que les données dont on a vraiment besoinAprès la conception et la construction, les données du projet peuvent être utilisées par les propriétaires pour exploiter et entretenir plus efficacement les bâtiments construits, ainsi que par les concepteurs et les entrepreneurs pour les mises à niveau, les transformations et les mises à niveau. Toutefois, ces données ne sont précieuses que si elles sont facilement accessibles et pertinentes. Pour éviter d'être submergés de données, les utilisateurs devraient configurer leur EDC de manière à ne collecter que les données nécessaires au projet et utiles aux équipes impliquées.

Il est par exemple possible de créer ses propres ensembles de propriétés, qui se composent des entrées utilisées pour la création de votre modèle. Au sein de ces ensembles de propriétés, il est possible de créer des champs ou des propriétés auxquels des attributs spécifiques peuvent être attribués. Si le nouveau champ nécessite une entrée numérique, il est possible de les définir comme paramètres et même de limiter la valeur minimale ou maximale.

6. normes ouvertes pour le partage : Pour profiter réellement des données centralisées, il faut un CDE qui traite toutes les données de la même manière, quel que soit le programme ou l'outil dont elles proviennent. Dans le cas contraire, les planificateurs prennent le risque d'une saisie manuelle des données et d'une mauvaise intégrité des données. Un CDE qui prend en charge des normes ouvertes pour le partage des données permet de faciliter les flux de travail avec n'importe quel outil de conception, sans perte ni corruption de données. Et c'est précisément ce que permet un projet réellement indépendant du logiciel. Les normes ouvertes permettent à chaque entreprise d'utiliser la technologie qui correspond le mieux à ses besoins et à son budget, tout en collaborant pleinement, sans avoir recours à des solutions de contournement.

7. travailler avec un modèle unique de bout en boutLe contrôle des versions peut poser problème lorsque chaque intervenant travaille avec son propre modèle. Avec un CDE orienté objet, les informations peuvent être échangées directement entre le modèle et les propres outils de conception internes via des API.

Lorsque chaque intervenant travaille sur un modèle unique de bout en bout, au lieu de télécharger de nouveaux fichiers à chaque modification, le contrôle des versions n'est plus un problème. En prime, la courbe d'apprentissage pour l'adoption est encore plus courte que pour la plupart des autres CDE, car les utilisateurs effectuent les mises à jour avec les outils qu'ils utilisent actuellement. Cette interactivité améliorée du modèle prend également en charge le niveau de maturité BIM de niveau 3.

S'équiper pour réussir un environnement de données robuste

Certains CDE offrent plus de fonctionnalités que d'autres et permettent de créer une source unique de vérité sur chaque projet et de tirer un plus grand profit de vos données. Si le CDE ne sert qu'à stocker des données et n'offre pas grand-chose d'autre, vous risquez de passer à côté de tous les avantages qu'une source unique de vérité peut offrir, notamment une productivité, une efficacité et une durabilité accrues, ainsi qu'une réduction des risques. Si toutes les parties prenantes ont accès aux bonnes données au bon moment, de nouveaux processus automatisés peuvent être mis en place pour accroître la productivité ; la transparence des données peut être améliorée pour réduire les risques. En outre, les parties prenantes peuvent mettre à disposition les bonnes données au bon moment afin de prendre des décisions meilleures et plus rapides, d'obtenir des informations pertinentes et d'améliorer l'efficacité tout au long du cycle de vie du projet (red./sgr).

Source : Trimble

Les poussières de perçage peuvent provoquer le cancer et, au sens propre du terme, se loger dans les yeux. Lorsque des copeaux volent, que des nuisances sonores apparaissent et que des objets à arêtes vives sont manipulés, les bricoleurs devraient également se protéger à l'aide de moyens auxiliaires.

Bien se protéger les mains

Nous sommes constamment actifs avec nos mains. Les gants de protection protègent les mains des blessures douloureuses. Important lors de l'achat :

• Pour le travail avec des outils ou des matériaux à arêtes vives, il existe des gants de protection portant la désignation normative EN 388. Ces gants protègent contre les risques mécaniques tels que les coupures ou les piqûres.
• Pour les travaux de nettoyage et la manipulation de produits chimiques, des gants de protection avec la désignation normalisée EN 374 choisir.
• Des gants solides et résistants à l'hiver protègent du froid et des intempéries.
• Se faire conseiller sur le sujet : Le choix est vaste.
• ImportantNe pas porter de gants lorsqu'il y a un risque de se prendre les pieds dans des pièces de machines en mouvement (par ex. perceuses).

Pour ne rien perdre de vue

Les copeaux de bois ou de métal qui volent, la poussière et les éclaboussures : les lunettes de protection permettent de garder les yeux intacts.

Important lors de l'achat :

• Choisir des lunettes bien ajustées et bien étanches.
• Pour les travaux au soleil, il existe des lunettes de protection avec protection UV et teintées.
• Acheter des lunettes portant la désignation normalisée EN 166.
• ImportantLes lunettes normales pour corriger l'amétropie ou les lentilles de contact n'ont pas d'effet protecteur, il existe donc des surlunettes spéciales pour les porteurs de lunettes.

L'ouïe doit être protégée

Le travail avec des machines est bruyant. Une protection auditive permet d'éviter les dommages auditifs. Important lors de l'achat :

• Choisir des protections auditives parfaitement adaptées à l'activité et à l'intensité du bruit.
• Demandez conseil à un spécialiste : Il existe des protections auditives avec différentes valeurs d'atténuation.
• Des modèles spéciaux sont disponibles pour les enfants.
• Sur la désignation de la norme EN 352 de faire attention.

Contre la congestion des poumons

Le bricolage génère des poussières ou des vapeurs toxiques. Un masque de protection respiratoire permet de protéger les poumons. Important lors de l'achat :

Poussières ou vapeurs : se faire conseiller. Selon le domaine d'utilisation et le type de substance nocive, un masque de protection respiratoire différent est nécessaire.

Source : BFU

Le vendredi 13, à sept heures, tout s'est soudainement arrêté dans la marque de mode allemande Marc O'Polo. Les téléphones sont restés muets, les e-mails ne fonctionnaient plus, les scanners et les systèmes de caisse dans les magasins de la marque étaient morts. Suite à une attaque de hackers, les systèmes informatiques de la chaîne de mode avaient été cryptés. Une rançon a été demandée. L'entreprise de mode a payé cette somme il y a trois ans. Il a tout de même fallu près de quatre semaines pour que le fonctionnement normal soit rétabli.

Une nouvelle tendance : davantage de doubles et triples pressions

Marc O'Polo fait partie d'une série de petites et grandes entreprises qui ont déjà été victimes d'une attaque de ransomware. Actuellement, ces attaques avec cryptage des systèmes et des données et demande de rançon représentent l'un des plus grands cyber-risques pour les entreprises du monde entier. Selon le dernier cyber-rapport d'Allianz Global Corporate & Specialty (AGCS), il y a eu un record de 623 millions d'attaques de ransomware dans le monde en 2021, soit deux fois plus qu'en 2020. Bien que la fréquence ait diminué de 23 % dans le monde au cours du premier semestre 2022, le nombre total d'attaques de ransomware jusqu'à présent dans l'année dépasse toujours celui de 2017, 2018 et 2019 : En Europe, les attaques ont même fortement augmenté au cours de cette période. On prévoit que les ransomwares causeront des dommages à hauteur de 30 milliards de dollars US dans le monde entier d'ici fin 2023. Du point de vue de l'AGCS, la valeur des sinistres d'assurance causés par les ransomwares, auxquels l'entreprise a participé avec d'autres assureurs en 2020 et 2021, a largement dépassé 50 % de tous les coûts des sinistres de la cyberassurance.

Les coûts des attaques de ransomware ont également augmenté parce que les criminels ont ciblé de plus grandes entreprises, des infrastructures critiques et des chaînes d'approvisionnement. En outre, les criminels ont affiné leur tactique pour extorquer plus d'argent. Les attaques de double et de triple chantage sont désormais la norme - outre le cryptage des systèmes, les données sensibles sont de plus en plus volées et utilisées comme moyen de pression pour exiger le paiement de partenaires commerciaux, de fournisseurs ou de clients.

Augmentation des tactiques de deep fake

La gravité des attaques de ransomware restera une menace majeure pour les entreprises, alimentée par la sophistication croissante des gangs et également par la hausse de l'inflation, qui se traduit par une augmentation des coûts des spécialistes de la sécurité informatique. En outre, les petites et moyennes entreprises, qui manquent souvent de ressources pour investir dans la cybersécurité, seront également de plus en plus ciblées par les gangs de ransomware. Ceux-ci utilisent un large éventail de techniques d'extorsion, adaptent leurs demandes de rançon à des entreprises spécifiques et font appel à des négociateurs expérimentés pour maximiser les bénéfices de leurs activités criminelles.

Le cyber-rapport a mis en évidence une série de menaces supplémentaires auxquelles les entreprises suisses devraient se préparer. Ainsi, la fraude Business E-Mail Compromise (BEC) continue de progresser. Ce phénomène est favorisé par la numérisation et la disponibilité croissantes des données, le déplacement des postes de travail vers le home office et la propagation des technologies de deep fake. Selon le FBI, les fraudes BEC s'élèvent à un total de 43 milliards de dollars US dans le monde entre 2016 et 2021, avec une augmentation de 65 % rien qu'entre juillet 2019 et décembre 2021. Les attaques sont de plus en plus sophistiquées et ciblées, car les criminels utilisent désormais des plateformes de réunion virtuelles pour inciter les employés à transférer des fonds ou à partager des informations confidentielles. De plus en plus, ces attaques sont rendues possibles par l'intelligence artificielle, qui imite à s'y méprendre les cadres supérieurs par le biais de faux audio ou vidéo profonds. L'année dernière, un employé de banque des Émirats arabes unis a transféré 35 millions de dollars après avoir été trompé par la voix clonée d'un dirigeant d'entreprise.

Impact du thème de la guerre sur les assurances

La guerre en Ukraine et les tensions géopolitiques générales sont également un facteur important qui modifie le paysage des cybermenaces : Le risque d'espionnage, de sabotage et de cyberattaques contre les entreprises liées à la Russie et à l'Ukraine, ainsi que contre les alliés et les entreprises des pays voisins, est accru. Les cyberattaques soutenues par l'État pourraient viser des infrastructures critiques, des chaînes d'approvisionnement ou des entreprises. Jusqu'à présent, la guerre entre la Russie et l'Ukraine n'a pas encore entraîné d'augmentation significative des demandes d'indemnisation au titre de la cyberassurance, mais elle indique un risque potentiellement accru de la part des États-nations. Bien que les actes de guerre soient généralement exclus des produits d'assurance traditionnels, le risque de cyberguerre hybride a accéléré les efforts sur le marché de l'assurance pour préciser la question de la guerre et des cyberattaques soutenues par l'État dans les contrats d'assurance et pour fournir aux clients des informations claires sur la couverture d'assurance.

Moins de personnel qualifié pour les concepts de sécurité informatique

Le manque de personnel qualifié est également une source de préoccupation majeure, car il entrave les efforts visant à améliorer la cybersécurité. Bien que le management soit de plus en plus sensibilisé, le nombre de postes non pourvus dans le domaine de la cybersécurité a augmenté de 350 % au cours des huit dernières années pour atteindre 3,5 millions, selon les estimations. Cette situation est d'autant plus préoccupante que, dans le même temps, la cybersécurité est de plus en plus considérée à travers les lunettes ESG : Aujourd'hui, le niveau de cybersécurité des entreprises intéresse bien plus de parties prenantes que par le passé. Les aspects de cybersécurité sont de plus en plus intégrés dans l'analyse de risque ESG des fournisseurs de données. Il n'a jamais été aussi important de s'assurer que des politiques et des processus de cybersécurité sont en place et qu'ils sont également ancrés au niveau du conseil d'administration.

Les entreprises sont-elles pour autant impuissantes face aux pirates ? Certainement pas ! Nous pouvons confirmer que les entreprises disposant d'un niveau élevé de sécurité informatique et d'une cyberdéfense bien rodée sont certes elles aussi victimes d'attaques, mais qu'elles parviennent beaucoup mieux à les repousser et à revenir rapidement à la normale. En tant que cyberassureur, nous assistons aujourd'hui à un tout autre débat sur les cyberrisques et les concepts de protection qu'il y a quelques années. Nous obtenons un bien meilleur aperçu par le biais de questionnaires et de dialogues sur les risques, et nous apprécions que les clients s'efforcent de nous fournir des informations complètes. Inversement, cela nous aide à fournir des conseils et des recommandations utiles, par exemple sur les contrôles les plus efficaces ou les domaines dans lesquels la gestion des risques peut encore être améliorée. Le résultat devrait être que les entreprises subissent moins d'événements cybernétiques - ou du moins moins moins graves - et que nous voyons par conséquent moins de sinistres d'assurance. Une telle collaboration contribuera à la création d'un marché de l'assurance viable à long terme, qui ne s'appuie pas uniquement sur les couvertures traditionnelles, mais qui intègre de plus en plus les cyber-risques dans les assurances captives et l'auto-assurance, ainsi que dans d'autres concepts alternatifs de transfert de risques.

En novembre 2022 déjà, le Centre national de cybersécurité (NCSC) a informé que plus de 2800 serveurs Microsoft Exchange en Suisse étaient vulnérables, car ils présentaient la vulnérabilité critique appelée "ProxyNotShell". Un mois plus tard, environ 2000 opérateurs ont été invités par le NCSC, par le biais de lettres recommandées, à combler cette faille de sécurité. Néanmoins, le message n'est toujours pas passé partout. Plus de 600 serveurs en Suisse présentent toujours cette porte d'entrée pour les cybercriminels. Le NCSC conseille d'appliquer les mises à jour le plus rapidement possible.

Ce chiffre serait inquiétant, car le NCSC met en garde à intervalles réguliers depuis deux mois contre cette faille et demande également personnellement aux exploitants, par lettre recommandée, de la combler. Chacun de ces 660 serveurs risque chaque jour d'être victime d'une cyber-attaque. Le NCSC recommande en outre de toujours contacter le contact de sécurité pour les applications et les sites web sur Internet. "security.txt" et de vérifier impérativement l'exactitude de l'adresse dans le Whois du domaine.

Pour corriger les failles de sécurité Exchange, le NCSC recommande la procédure suivante :

• Assurez-vous d'avoir appliqué une mise à jour cumulative (CU) récente avec toutes les mises à jour de sécurité correspondantes (Nov22SU) ;
• Vérifiez votre serveur Exchange à l'aide de HealthChecker, mis à disposition par Microsoft :
  https://microsoft.github.io/CSS-Exchange/Diagnostics/HealthChecker/
• Analysez votre serveur Exchange avec un antivirus à jour ;
• Examinez votre stratégie en matière de correctifs et assurez-vous que les mises à jour de sécurité critiques sont également appliquées en dehors des fenêtres de maintenance.

Source : NCSC

La prise de conscience de l'importance de la cybersécurité dans l'informatique augmente, mais les environnements OT ne reçoivent toujours pas suffisamment d'attention - avec des conséquences potentiellement fatales, car de graves incidents de ransomware contre des infrastructures critiques, tant dans le cloud que sur site, se multiplient dans le monde entier. Les tactiques et techniques d'attaque ne cessent d'évoluer et ciblent de plus en plus les systèmes OT, y compris dans des domaines tels que la domotique ou la production. Le pire est que les systèmes OT font également partie d'infrastructures critiques, par exemple dans les secteurs de la santé, des transports, de l'énergie et de l'approvisionnement. Contrairement au monde numérique, les dommages physiques y sont souvent irréversibles et peuvent même mettre des vies humaines en danger. Ces derniers mois en particulier, de nombreuses cyberattaques ont été perpétrées, notamment en raison de vulnérabilités connues depuis longtemps dans des systèmes très répandus : Log4j, Microsoft Exchange, Linux, Apache, Remote Access, etc. Les possibilités d'attaque contre les systèmes OT se sont donc considérablement accrues en raison de l'augmentation du paysage des menaces.

Infrastructures critiques

Bien que le monde physique de l'OT nécessite des approches de sécurité différentes de celles de l'informatique virtuelle, celles-ci se rapprochent. Les nouvelles technologies issues de l'informatique sont en corrélation avec les développements et les modernisations dans l'OT. Dans l'industrie, des robots auto-apprenants fabriquent des produits complexes ; dans la domotique, des capteurs intégrés fournissent des données telles que la température, l'humidité, le taux d'utilisation ou la performance des installations à une plate-forme cloud centrale ; dans l'électrotechnique, les systèmes de mesure sont de plus en plus mis en réseau, commandés et surveillés de manière intelligente. Deux mondes fusionnent, de nouveaux risques de sécurité apparaissent. La vision est celle d'une connectivité globale et d'une exploitation des potentiels de synergie. La réalité, en revanche, est que ces deux mondes présentent souvent des interfaces complexes, parfois obsolètes ou comportant des erreurs, ce qui rend difficile une fusion sûre. Les cybercriminels exploitent la vulnérabilité et la manipulabilité de ces systèmes OT, qui ont jusqu'à présent été conçus et mis hors ligne pour assurer la stabilité plutôt que la sécurité.

Alors que l'IT met classiquement l'accent sur la confidentialité, la sécurité des informations et la protection des données, l'OT se focalise sur la disponibilité des systèmes OT (machines et installations) ainsi que sur la protection (Safety) des collaborateurs et de l'environnement. La garantie de cette sécurité n'est pas seulement nécessaire en raison des environnements critiques en termes de sécurité, elle est également obligatoire d'un point de vue légal. Il existe donc des directives claires et des évaluations coûteuses, mais pas pour la sécurité OT. L'IT et l'OT font pourtant tous deux partie intégrante de l'entreprise et devraient donc être pris en compte dans l'évaluation des risques opérationnels et opérationnels. Comme les attaques sur les systèmes OT peuvent mettre en danger la sécurité physique, leur protection devrait être une priorité absolue. Les mesures nécessaires consistent, d'une part, à sensibiliser les collaborateurs aux risques spécifiques et, d'autre part, à développer le savoir-faire et les compétences en matière de composants et de protocoles OT. En outre, une approche multicouche (Defence-in-Depth) combinant tous les niveaux est indispensable. Cela implique une architecture de sécurité complète avec des solutions de sécurité intégrées pour corréler les données et réagir aux menaces distribuées, des systèmes tels que IDS/NIDS ou In-Line-Detection, la détection d'attaques, XDR, Threat Management, etc.

La norme CEI 62443 s'est établie dans l'environnement OT pour l'établissement, la mise en œuvre, la vérification et l'amélioration continue d'un système de gestion de la sécurité de l'information (ISMS). Il s'agit d'une méthode efficace pour sécuriser les systèmes industriels d'automatisation et de contrôle (SIAC) en tenant compte de tous les aspects importants, par exemple la sécurité des collaborateurs et de la production, la garantie de la disponibilité, l'augmentation de l'efficacité et de la qualité de la production ainsi que la protection de l'environnement. Les entreprises peuvent ainsi identifier à temps les points faibles potentiels de la technique de commande et de contrôle et prendre des mesures de protection judicieuses. Mais une approche globale et prévoyante va encore plus loin et prend en compte l'environnement informatique traditionnel, l'informatique de développement et justement aussi l'informatique de production. Il ne faut pas oublier une gestion proactive des points faibles. Il ne faut pas seulement se concentrer sur les vulnérabilités qui présentent une certaine valeur CVSS, mais aussi sur celles qui sont activement exploitées par les cybercriminels. Il est essentiel d'agir rapidement. Enfin, les évaluations des risques et de la sécurité ICS/SCADA ainsi que le contrôle correspondant font partie d'une approche globale de la sécurité.

De la défense en profondeur à la confiance zéro

La défense en profondeur, c'est-à-dire l'approche multicouche expliquée, occupe une place importante dans la sécurité IT/OT. Cela permet de minimiser le risque que les cyberattaques - ou les incidents déclenchés d'une autre manière - se propagent comme un effet domino et causent de gros dégâts. Toutefois, pour suivre le rythme des nouvelles menaces, les entreprises doivent également mettre en place des modèles de confiance zéro et d'automatisation. Zero Trust est une approche stratégique de la sécurité qui se concentre sur le concept d'élimination de la confiance inhérente ; autrement dit, des autorisations minimales et un accès minimal afin de minimiser les risques. Toutes les ressources sont considérées comme externes. La confiance n'est ni binaire ni permanente. Zero Trust établit la confiance pour chaque demande d'accès, d'où qu'elle vienne, et impose en même temps la fiabilité des appareils. L'automatisation, quant à elle, utilise les données actuelles sur les menaces pour inspecter le trafic, appliquer des politiques de confiance zéro et bloquer les attaques en temps réel.

Pour une mise en œuvre réfléchie d'un concept de sécurité, il est nécessaire d'améliorer les fonctions de sécurité de tous les systèmes, produits et solutions impliqués. Mais les directives, les processus et, en fin de compte, les collaborateurs doivent également être pris en compte de manière appropriée afin que différentes mesures puissent être établies. En effet, si une mesure de protection est contournée, la suivante continue à offrir une protection. Ce principe est très judicieux, car souvent les systèmes et composants impliqués ne sont pas au niveau de sécurité actuel en raison du manque de mises à jour et de disponibilité permanente.

Même si les exigences sont élevées de nos jours : C'est la seule façon d'atteindre les objectifs stratégiques de la cybersécurité, de minimiser les risques, de répondre aux exigences réglementaires et de garantir la sécurité et la sûreté dans des environnements IT/OT complexes.

Gestion intelligente des alarmes, Cloud, intelligence artificielle (IA) et analyse vidéo sont les technologies qui, combinées, améliorent considérablement la précision et l'efficacité de la vérification des alarmes. En tant qu'outils fiables pour la prévention et la réaction aux événements de sécurité dans les centres de réception des alarmes, les solutions basées sur l'IA peuvent analyser les données de plusieurs capteurs et caméras et fournir ainsi une vue d'ensemble complète autour de l'environnement. La détection et la réaction aux incidents deviennent ainsi beaucoup plus simples et précises, et la probabilité de fausses alertes diminue. La capacité d'intégrer une multitude de technologies est également essentielle pour une vérification précise et efficace des alarmes. Un site Architecture de système basée sur le cloud est flexible et peut être adapté aux nouvelles technologies dès qu'elles deviennent disponibles.

La solution Sitasys d'Eagle Eye Networks aide les professionnels de l'ARC à identifier les alarmes et à y répondre

Les centres de réception des alarmes (ARC) doivent surveiller des milliers de caméras. Pour pouvoir réagir rapidement, la capacité de filtrer efficacement les alarmes est essentielle. Sitasys et Eagle Eye Networks proposent aux CRA une solution de sécurité intégrée basée sur l'IA, qui rend la surveillance et l'analyse des données plus efficaces et plus précises. Elle aide le personnel de sécurité à filtrer les alertes et permet ainsi de réagir immédiatement aux alarmes et aux violations de sécurité potentielles. Avec des solutions comme celle-ci, les CRA peuvent devenir un outil plus puissant dans la lutte contre la criminalité, fournissant aux professionnels de la sécurité et aux forces de l'ordre les informations et le soutien nécessaires.

Pour plus d'informations, consultez la Étude de cas de Protectas.

Perspectives professionnelles

Pascal Hulalka, CTO de Protectas : "Pour suivre l'évolution tout en bénéficiant de services professionnels, il faut pouvoir utiliser les offres correspondantes sur le marché. L'intégration de solutions cloud dans le domaine de la sécurité permet aux utilisateurs d'échanger des données numériquement, de gagner du temps, de réduire les opérations au minimum et d'éviter des frais d'intervention inutiles grâce à la détection automatique audio et vidéo".

Peter Monte, CEO de Sitasys AG : "Le client est heureux de ne plus être dérangé par de fausses alertes. Les solutions de sécurité intégrées avec l'intelligence artificielle permettent de fournir des services de pointe aux clients. Grâce à l'automatisation par l'IA, le personnel spécialisé du centre de contrôle est moins sollicité".

Malte Hollung, directeur des ventes DACH, Eagle Eye Networks : "L'avenir de la vérification des alarmes dans le secteur de la sécurité est très prometteur. Grâce à des solutions de sécurité intégrées qui utilisent l'intelligence artificielle et l'analyse vidéo, la vérification des alarmes sera plus précise et plus efficace et contribuera à identifier et à répondre aux incidents de sécurité plus rapidement et plus efficacement. Les centres de réception des alarmes doivent exploiter pleinement le potentiel de la technologie à leur disposition afin d'améliorer la sécurité tout en préparant leur entreprise à l'avenir".

Tout comme le nouveau passeport lancé il y a quatre mois a été introduitLa carte d'identité suisse a été mise à jour à l'aide des techniques de sécurité les plus modernes. Certains éléments de sécurité sont intégrés dans le matériel, d'autres sont créés lors de la fabrication de la carte ou encore lors de sa personnalisation. Pour la première fois dans l'histoire des documents d'identité suisses, la nouvelle carte d'identité suisse forme, avec le nouveau passeport, une famille de documents d'identité au design uniforme.

Comme le passeport, la nouvelle carte d'identité est délivrée par l'Office fédéral des constructions et de la logistique (OFCL). A l'OFCL, la carte est personnalisée avec des données personnelles telles que le nom du titulaire de la carte, la date de validité et la photo d'identité.

Obtention de la nouvelle carte d'identité

Toutes les cartes d'identité délivrées jusqu'à présent restent valables jusqu'à la date d'expiration inscrite dessus. Les personnes qui souhaitent obtenir une nouvelle carte d'identité peuvent en faire la demande à partir du 3 mars 2023 auprès d'un bureau des passeports ou de la représentation suisse compétente à l'étranger. Dans certains cantons, les communes de domicile délivrent également des cartes d'identité. Par ailleurs, des offres combinées comprenant un passeport et une carte d'identité peuvent également être commandées auprès des bureaux cantonaux des passeports.

Bureaux cantonaux des passeports et procédures dans les différents cantons

Source : Fedpol

Au cours de l'année d'exploitation 2022, aucun incident mettant en danger la sécurité de l'homme et de l'environnement ne s'est produit dans les centrales nucléaires, peut-on lire dans un rapport de l'Inspection fédérale de la sécurité nucléaire (IFSN). "Les rejets de substances radioactives dans l'environnement en provenance des installations nucléaires sont restés nettement inférieurs aux valeurs limites en 2022 également", résume Rosa Sardella, responsable de la division Radioprotection.

Selon l'IFSN, aucun rejet non autorisé de substances radioactives en provenance des installations nucléaires suisses n'a été enregistré au cours de l'année sous revue.

Un premier aperçu provisoire du nombre d'incidents soumis à l'obligation de notification et présentant un intérêt pour la sûreté nucléaire comprend 30 notifications. Les incidents soumis à notification se répartissent comme suit entre les installations nucléaires :

• 1 incident concernait la centrale nucléaire de Beznau 1 et 2,
• 5 incidents concernaient la centrale nucléaire de Beznau 1,
• 5 incidents concernaient la centrale nucléaire de Beznau 2,
• 6 incidents concernaient la centrale nucléaire de Gösgen,
• 6 incidents concernaient la centrale nucléaire de Leibstadt,
• 4 incidents concernaient la centrale nucléaire de Mühleberg (en cours de démantèlement),
• 2 incidents concernaient les installations nucléaires de l'IPS,
• 1 incident concernait le CCM.

Un arrêt rapide du réacteur s'est produit au cours de l'année de surveillance 2022 : Le 7 octobre 2022, le réacteur de la centrale nucléaire de Beznau 2 a été arrêté automatiquement en raison d'un dysfonctionnement technique au niveau de la turbine.

Dans son rapport annuel de surveillance, l'IFSN rendre compte de manière détaillée, au cours du deuxième trimestre 2023, des incidents et des constats soumis à déclaration dans les installations nucléaires.

Yeux qui pleurent, nez bouché, tête douloureuse : ces symptômes et d'autres similaires ne sont pas rares sur les lieux de travail de bureau. Souvent, ces troubles sont liés à la perception d'odeurs sur le lieu de travail et, par conséquent, à l'inquiétude quant aux risques pour la santé. Mais l'évaluation scientifique est compliquée.

Un questionnaire peut constituer une base utile pour l'analyse systématique de ces troubles de l'humeur. Un site liste de contrôle intéressante a été développé par l'Institut pour la prévention et la médecine du travail (IPA) et l'Institut pour la sécurité et la santé au travail (IFA) de l'assurance accidents légale allemande. Selon les institutions allemandes de protection du travail, l'outil d'enquête s'adresse à tous ceux qui sont responsables de la protection du travail dans les entreprises et les institutions.

Une enquête ciblée peut, dans certaines circonstances, permettre de prendre de nouvelles mesures pour vérifier l'efficacité des mesures d'assainissement ou réévaluer les locaux et les bâtiments dans l'optique de la gestion de la santé.

Source : DGUV

La Suisse achète presque entièrement son gaz à l'étranger et ne dispose pas de son propre stockage saisonnier. Si le gaz devait être acheté immédiatement, la réserve de plus de 6 TWh détenue dans des réservoirs à l'étranger constitue au moins une bonne garantie. Selon la Confédération, cette quantité correspond à environ 15 pour cent de la consommation annuelle de gaz en Suisse.

Prolongation des capacités de réserve

Le gaz russe ne sera probablement plus du tout disponible sur le marché européen en 2023/24. Le risque de défaillance disparaît donc également. Le 1er février 2023, le Conseil fédéral a créé une base appropriée pour prolonger ses propres réserves. La réserve de gaz a été adaptée et prolongée d'un an. Le concept a été élaboré par le secteur gazier.

Selon la Règlement afin de garantir les capacités de livraison en cas de pénurie grave, les gestionnaires de réseau gazier suisses suivants sont notamment tenus d'approvisionner suffisamment la Suisse en gaz naturel d'octobre 2023 à avril 2024 : il s'agit de Erdgas Ostschweiz AG, Erdgas Zentralschweiz AG, Gasverbund Mittelland AG ainsi que Gasznat SA et Aziende Industriali di Lugano SA.

Toutefois, la réserve désormais prolongée pour l'hiver 2023/24 pourrait ne pas couvrir entièrement les défaillances de livraison. En cas de grave crise d'approvisionnement, l'accès aux réserves étrangères n'est pas automatique. Seule la France dispose d'un contrat d'État garantissant les livraisons. Cela reste un risque à prendre au sérieux en cas de situation de crise grave à l'échelle européenne, selon le Conseil fédéral.

Source : Bund/Rédaction