Alors que l’économie se prépare pour la reprise des activités, les garanties commerciales peuvent se révéler utiles

L’assouplissement des mesures de confinement et la réintégration des télétravailleurs sur leur lieu de travail posent des questions de cybersécurité supplémentaires.

Ces risques sont d’ailleurs susceptibles d’affecter également les entreprises qui étaient préparées au déploiement du télétravail.

Nous avons classé ces risques de cybersécurité en quatre grandes catégories : appareils personnels, applications personnelles non approuvées, systèmes non surveillés et erreur humaine. Chacune des catégories représente un vecteur d’introduction d’un logiciel malveillant et/ou de perte de données sensibles pour votre entreprise.

Utilisation d’appareils personnels

 Le passage rapide au télétravail a entraîné une augmentation de l’utilisation d’appareils personnels pour travailler. En outre, l’impact de la COVID-19 sur la production internationale et les expéditions a rendu difficile de se procurer de nouveaux appareils pour travailler, nécessitant une utilisation professionnelle d’appareils personnels. Ces derniers ne comprennent pas uniquement les téléphones et ordinateurs personnels, mais également les supports de stockage USB et autres périphériques qui sont également en mesure de stocker ou transmettre des données. S’ils sont compromis par des hackers et ensuite intégrés aux infrastructures d’une entreprise, ces appareils représentent un vecteur potentiel d’introduction de logiciels malveillants dans le réseau d’une entreprise lors du retour au bureau, provoquant ainsi le chaos.

Dans un monde idéal, les appareils personnels ne seraient pas intégrés dans l’infrastructure lors du retour au travail. Toute tâche effectuée sur les appareils personnels serait désinfectée et migrée sur les infrastructures propres de l’entreprise. Cependant, comme ce n’est pas toujours possible, les entreprises doivent prévoir les modalités selon lesquelles les appareils personnels pourront si besoin être intégrés au flux de travail. Les options comprennent des réseaux séparés et surveillés dédiés aux appareils personnels et des solutions disponibles dans le commerce pour sécuriser les appareils mobiles, ordinateurs portables et de bureau.

Applications personnelles non approuvées

 Le télétravail peut entraîner un chevauchement entre vie personnelle et vie professionnelle. Il est souvent difficile pour les employés de se retenir d’utiliser les appareils professionnels pour leur usage personnel. Cela pose le problème des applications non approuvées et non vérifiées installées sur le matériel professionnel. Ces applications comprennent (sans s’y limiter) les logiciels de téléconférence, les applications personnelles de stockage dans le cloud, les pilotes d’imprimante ou d’autres matériels, et les jeux vidéo. Par ailleurs, l’utilisation des réseaux sociaux et la navigation sur Internet en général depuis les appareils du travail peuvent augmenter l’exposition à l’hameçonnage et aux attaques de logiciels malveillants. Ces applications présentent les mêmes risques sur les appareils personnels, mais peuvent être plus problématiques quand elles sont installées sur des appareils qui sont susceptibles d’être considérés comme des appareils sûrs ou de confiance selon les normes de l’infrastructure.

Les entreprises devraient disposer d’un plan pour identifier et sécuriser les appareils qui ont été utilisés dans le cadre du télétravail. Le répertoire doit être mis à jour avant le retour au travail, ainsi que pendant le processus. La sécurisation des appareils implique d’identifier et de corriger les mauvaises configurations, d’appliquer des correctifs, de supprimer les ressources qui ne devraient pas être en ligne, de scanner/nettoyer les logiciels malveillants et, si possible, de restaurer les appareils à partir d’une sauvegarde de bonne qualité et connue. Tout cela doit avoir lieu avant d’établir des connexions avec les parties sécurisées du réseau de la société.

Réintroduction de systèmes non surveillés

 Du point de vue informatique, la remise en ligne de systèmes et services qui étaient hors ligne ou non surveillés pendant la période de télétravail pose également question. Les entreprises peuvent avoir interrompu tout ou partie de leur fonctionnement informatique pendant cette période de télétravail. Les entreprises qui ont dû fermer complètement peuvent également avoir mis hors ligne certaines parties de l’infrastructure informatique pendant ce temps. Si cela a entraîné l’omission de certains correctifs de sécurité, ces systèmes peuvent désormais être vulnérables lors de leur remise en ligne. En outre, si les systèmes étaient hors ligne sans être surveillés, ils peuvent avoir été involontairement compromis par des hackers qui attendent que l’entreprise reprenne le travail pour déployer des logiciels malveillants sur le réseau de la société.

Avant de revenir au travail, les systèmes critiques qui n’ont pas été surveillés doivent être scannés entièrement avec un outil antivirus afin de s’assurer qu’aucune infection n’a eu lieu et le journal doit être contrôlé pour détecter d’éventuelles intrusions. Les correctifs de sécurité et les configurations doivent être vérifiés sur toutes les machines, notamment celles qui étaient hors ligne ou déconnectées de l’infrastructure pendant la période de télétravail.

Je me souviens de la première fois où j’ai visité la National Gallery of Art à Washington D.C. et de la première fois où j’ai vu le portrait de Bindo Altoviti de Raphaël en personne. Je pensais comprendre assez bien le travail de l’artiste à partir de mes cours à l’université et des différentes publications sur l’art. À un certain niveau, c’était vrai. Mais l’impact émotionnel de la vision de l’œuvre en personne a été frappant et profond. Les images du tableau de Raphaël que j’avais vues en classe étaient loin de saisir l’impact vertigineux de l’original.

Mon expérience n’est pas rare ; quiconque contemple régulièrement des œuvres d’art en personne, que ce soit dans un musée, une galerie ou une foire, pourrait raconter la même histoire. Malheureusement, la visite en ligne était notre seule option pour découvrir les collections des musées pendant la pandémie actuelle. Et si de nombreuses institutions ont merveilleusement réussi à créer des reproductions virtuelles de leurs collections, les voir sur un écran n’a rien de comparable avec le fait de s'attarder devant de grandes œuvres d'art et d'absorber les différentes émotions qu'elles évoquent.

De nombreuses difficultés

Lorsque la vie publique s’est soudainement arrêtée à cause du COVID-19, les questions immédiates et urgentes pour les administrateurs des musées consistaient à assurer la santé et la sécurité des employés ; se posaient également des questions financières et de continuité de l’activité, et de protection de leurs œuvres et objets d’art. (Nous avons consacré un article à ce dernier défi à la fin du mois d’avril, Protéger la collection lorsque le musée ou la galerie est fermé.)

Maintenant, la vie en dehors de la maison reprend lentement et progressivement ses droits, bien que le calendrier, le rythme et les paramètres varient selon les pays et parfois même à l’intérieur d’un même pays. En France, comme le précise Patricia Naudan, responsable Fine Art & Specie chez AXA XL en France, certains musées en province ont réouvert dès le 11 mai en suivant les préconisations sanitaires. Les grands établissements publics se préparent également à la ré-ouverture selon les Directives du gouvernement et du Ministère de la culture.

Ce que nous constatons à partir des premiers pays et des premières villes qui commencent à sortir du confinement, c’est qu’il était plus facile de fermer les portes que de les rouvrir. Les rapports initiaux suggèrent que proposer une expérience enrichissante dans un musée tout en assurant la sécurité du personnel et des visiteurs nécessite plus qu’un simple rappel des employés sur le lieu de travail et l’ouverture des portes.

Pour commencer, les musées doivent désormais désinfecter soigneusement leurs locaux avant de rouvrir et continuer à le faire au quotidien. Ils devront cependant être prudents, car une exposition continue à long terme aux désinfectants du commerce à base de javel ou d'agents oxydants pourrait nuire aux œuvres d’art. En alternative, les désinfectants « écologiques » à base d’huiles essentielles antibactériennes pourraient présenter un moindre risque.

En plus de mettre à disposition du désinfectant pour les mains partout dans leurs bâtiments, les administrateurs de musée doivent également déterminer les meilleurs moyens d’assurer la distanciation sociale. La plupart des musées sont supposés limiter le nombre de personnes à l’intérieur de leurs bâtiments, éventuellement en demandant aux visiteurs de s’inscrire pour un créneau spécifique. Et il peut être nécessaire de déployer le personnel du musée pour contrôler le nombre de personnes dans les galeries plus petites.

Dans le contexte d’un musée, l’ingénierie sociale désormais omniprésente pour promouvoir la distanciation sociale, par exemple par une signalétique et un marquage au sol, pose un problème de conception afin d’équilibrer au mieux sécurité et esthétique. Des marquages de circulation peuvent-ils être installés d’une manière discrète et cohérente avec l’ambiance générale du musée, tout en tenant les personnes à distance ?

Ensuite, il y a la question des masques. Selon des articles de presse en Allemagne, où certains musées ont récemment rouvert, « la plupart des musées, mais pas tous, exigent que les visiteurs portent des masques. » En revanche, en Suisse, les musées adoptent une approche plus détendue, du moins pour le moment. Les visiteurs des musées suisses récemment rouverts racontent que seule une poignée d’employés et une minorité de visiteurs portaient des masques. Quant à la France, c’est port du masque obligatoire.

Et qu’en est-il des accessoires importants comme les audioguides et les écrans interactifs ? Et des commodités comme les cafés et les boutiques de souvenirs ? Ces derniers font souvent partie intégrante de l’expérience du musée et, dans certains cas, génèrent des revenus importants. La Zurich Kunsthaus, en Suisse, continue par exemple de proposer des audioguides ; le musée signale que « ces derniers sont désinfectés avant et après chaque utilisation, comme cela a toujours été le cas. » Ses boutiques et son café restent également ouverts, avec des séparations en plexiglas entre le personnel et les visiteurs, et moins de tables dans le restaurant.

Attirer et intéresser les visiteurs

Bien que les situations financières et les sources de financement des musées varient largement, tous s'attendent maintenant à traverser une période indéterminée de baisse importante de revenus. Les touristes ne reviendront pas de sitôt, et les expositions exceptionnelles, les événements destinés aux membres, les activités de collectes de fonds et autres peuvent être restreints, ou même suspendus dans un avenir proche. De plus, en raison des pressions financières extraordinaires auxquelles les gouvernements sont confrontés à tous les niveaux, le financement public sur lequel de nombreux musées comptent pour une partie de leurs dépenses pourrait commencer à s’assécher.

Compte tenu de ce changement de réalité, comment les musées continueront-ils à attirer et intéresser le public ? La plupart vont appliquer les leçons apprises pendant la phase de confinement et continuer à inventer des formes numériques créatives et innovantes de communication avec le public. À Washington D.C., par exemple, un musée a récemment accueilli un événement virtuel qui a attiré une participation du monde entier ; un public bien plus important et divers que celui qui aurait assisté en personne à un tel événement. Sur la base de cette expérience, ce musée prévoit d’intégrer une composante virtuelle à tous ses futurs événements.

D’autre part, l’organisation et les espaces physiques de nombreux musées incitent déjà à la distanciation sociale. Des recherches récentes ont montré que les visiteurs des musées interagissent avec bien moins de personnes et sont bien moins susceptibles de toucher des surfaces partagées que les personnes qui se rendent dans de nombreux autres lieux publics, comme les restaurants, les centres commerciaux, les clubs de sport, les parcs de loisirs, etc.

Ce qui soulève une question intéressante : l’absence de visiteurs extérieurs à la ville peut-elle être en partie contrebalancée par un accroissement du nombre de visiteurs locaux à la recherche d’une alternative aux manifestations sportives, concerts, festivals, et autres activités similaires qui restent à l’arrêt ? Y compris des personnes qui ne vont habituellement pas au musée ? Pour l’anecdote, des amis et relations vivant dans des villes européennes racontent également qu’ils prévoient maintenant de visiter des musées et galeries qu’ils évitent généralement, car ils sont remplis de hordes de touristes. Actuellement, ils sont impatients d’avoir « les lieux pour eux seuls. »

Le temps nous le dira, évidemment. Néanmoins, cette période pourrait être une opportunité pour les musées de créer des liens avec de nouveaux publics, tout en renforçant les liens avec les communautés locales.

Une oasis bienvenue

Dans notre article précédent, nous avions noté que « le réconfort, l’inspiration et l’espoir que nous retirons chacun personnellement et intimement de l’art sont peut-être plus importants que jamais. »

Cela reste vrai. Telle une oasis au milieu du désert, les musées offrent un répit face au stress du monde, ainsi que « du réconfort, de l’inspiration et de l’espoir. » En outre, si nous visitons souvent des musées avec notre famille et nos amis, l’expérience est en fin de compte « individuelle et intime. »

Ce qui soulève une dernière question : Les musées commenceront-ils à adopter une approche de retour aux sources en mettant à nouveau l'accent sur la simple interaction entre le spectateur et l'œuvre d'art ? Depuis de nombreuses années maintenant, les musées ont consacré des ressources considérables pour séduire des visiteurs par des moyens qui ne seront peut-être pas viables pendant quelque temps, par exemple par des événements à grande échelle et des activités interactives et multisensorielles. Si ces efforts se sont montrés efficaces pour développer et conserver un public, peut-être que l’attrait sera désormais plus basique ; la sécurité, la simplicité et le réconfort de se tenir simplement devant de magnifiques œuvres d’art.

De nombreux défis qui attendent les administrateurs de musée sont finalement liés à des questions économiques et de conservation qui dépassent le champ de nos experts en art et consultants en matière de risque. Cependant, AXA XL peut guider et assister dans l’évaluation de la sécurité et des pratiques d’hygiène d’un musée, ainsi que de ses systèmes/mesures de sécurité. Nous comprenons qu’il est primordial d’assurer la sécurité du personnel, des visiteurs et de la collection, et nous sommes prêts à aider les musées à atteindre cet impératif fondamental.

Partout dans le monde, la pandémie de COVID-19 a contraint de nombreux sites à procéder à un arrêt partiel ou total.   

C’est particulièrement à ces sites inoccupés, dont les bonnes pratiques pour garantir un niveau de protection approprié dans ces installations inactives ou tournant au ralenti pendant une telle période vous avaient été partagées dans notre récent article « Protection des sites industriels inoccupés », que s’adresse ce guide.

Il n’aborde pas les mesures de plus grande ampleur nécessaires pour relancer une installation qui a été à l’arrêt pendant des années.

Pour redémarrer, trois aspects clés doivent être pris en compte par les responsables de sites dans leur processus de planification : les programmes de gestion, la protection incendie et les équipements de production.

Programmes de gestion

• Si la production doit dépasser les niveaux antérieurs pour rattraper les pertes de production, suivez les indications des «°enjeux en matière de risque et de sécurité dans le cadre de la réorientation de l’activité°».
• Formez les employés de retour ou les nouveaux employés qui auront besoin d’accomplir de nouvelles tâches en raison du manque de main d’œuvre.
• Contrôlez les procédures des sous-traitants et assurez-vous qu’ils comprennent les règles de sécurité, notamment celles liées au travail par point chaud.
• Assurez-vous que les procédures de travail par point chaud sont appliquées rigoureusement si ce travail doit être effectué dans le cadre du redémarrage.
• Contrôlez les systèmes d’eau potable à l’aide du système WaterWorks

Protection incendie

• Assurez-vous que la protection incendie est parfaitement fonctionnelle avant de reprendre votre activité. Effectuez un test de purge de 2 pouces (50 mm) sur tous les systèmes qui ont été coupés pendant l’arrêt.
• Signalez que les systèmes sont de nouveau en service par un RSVP.
• Vérifiez soigneusement toutes les vannes pour vous assurer qu’elles sont adéquatement positionnées.
• Remplissez les réservoirs d’eau, les réservoirs des pompes à gazole, etc.
• Faites tourner les pompes à incendie chaque semaine et chaque mois.
• Les alarmes doivent être intégralement testées si elles ne l’ont pas été selon la fréquence normale pendant l’arrêt. Faites des contrôles ponctuels dans tous les cas.
• Vérifiez les batteries des équipements de protection incendie, comme les pompes à incendie et les systèmes d’alarme incendie.
• Vérifiez que les portes coupe-feu et notamment leurs rails ne sont pas endommagés.
• Effectuez tous les autres essais spéciaux afin de vous assurer que les protections incendie sont 100 % opérationnelles.

Équipements de production

• Réalisez une inspection de tous les équipements pour identifier d’éventuelles sources de défaillance au démarrage.
• En fonction de la longueur de l’arrêt, et de ce qui a été fait pour arrêter les équipements, un redémarrage de mise en service complet peut être nécessaire. Il faut également envisager la présence d’un représentant du fabricant.
• Le cas échéant, retirez l’agent dessiccateur.
• Lors du remplissage des circuits de fluides qui peuvent être exposés à la corrosion, envisagez une mesure de passivation* adaptée au matériau à protéger.
• Si un inhibiteur de corrosion ou tout autre revêtement de protection a été appliqué, il peut être nécessaire de le nettoyer pour que l’équipement fonctionne comme prévu.
• Effectuez une évaluation de maintenance des éléments qui auraient pu se détériorer et auraient besoin d’être remplacés, comme les joints.

Regarder vers l’avenir

En ces temps d’incertitude, personne ne peut prédire le moment exact où les installations devront être remises en service. Cependant, il est important de planifier à l’avance. Notre mission consiste à être au côté de nos clients durant cette période difficile, comme toujours. Notre équipe de risk consulting est là pour vous aider, vous fournir des renseignements et vous proposer des mesures de précaution à prendre.

Pour un accès facile, téléchargez un exemplaire de notre guide ici - Démarrons : Guide de redémarrage des installations à l’arrêt touchées par la pandémie

* La passivation est un procédé permettant de former une couche protectrice sur une surface métallique dans un environnement corrosif. La passivation est généralement obtenue en faisant circuler un acide doux mélangé à de l’eau à des températures élevées (140 F – 170 F) pendant un certain temps (12 à 24 heures). À la fin du processus, la surface métallique résiste à la fissuration, aux piqûres, à l’écaillage et aux autres formes de corrosion. Une entreprise de traitement chimique des eaux industrielles est en mesure d’aider à mettre en place un procédé de passivation pour une surface métallique spécifique.