Le risque informationnel et l’urgence de le gérer de façon adéquate

Dans la littérature scientifique, le terme risque revient souvent. Peu importe la discipline considérée, la composante risque agit comme un dénominateur commun dans la réflexion sur les sujets sous étude.  Dans tous les domaines pris en compte, les managers et autres parties prenantes sont d’accord pour évoluer dans un environnement  exposé au risque minimum, sachant que le risque, s’il ne peut pas être éliminé, doit au moins être réduit de telle façon que sa concrétisation ne représente plus aucun danger pour le domaine, l’activité ou le projet considéré.

Bien que tout le monde fasse référence au risque et à l’effort qui doit être consenti pour sa maitrise, aucun consensus n’est vraiment trouvé pour une définition généralement et universellement accepté pour le risque.  En effet les divers domaines scientifiques tentent d’expliquer ou de définir le risque en fonction des spécificités propres à chacune de ces disciplines.

1- Une approche sociologique pour la compréhension du risque

Bien qu’une approche scientifique soit utilisée pour trouver les différentes versions de définition, une tentative d’explication de cette divergence de vues  peut être trouvée dans une approche sociologique de la façon de définir le concept de risque.  En effet, le risque se définit à partir de la façon dont les professionnels de chaque discipline le perçoivent.  Ce facteur de perception jouera ainsi un grand rôle dans la définition du risque non seulement par les scientifiques mais aussi par le commun des mortels.

 

Si aujourd’hui le concept de risque prend toute sa place dans les politiques de l’entreprise, il a toujours été une composante très présente dans le quotidien de l’homme. Les dangers et les occasions de leur concrétisation font partie intégrante  de notre vie.  Et c’est à chaque instant que nous devons faire des choix pour minimiser l’impact du risque sur notre vie.  Et cela concerne notre bonheur, notre santé, notre intégrité physique et morale, nos relations avec les autres humains et avec l’environnement, nos relations familiales et professionnelles

Ainsi tant du point de vue de l’individu que de l’entreprise, la constante du risque est toujours présente.  Ce qui amène à développer des stratégies pour minimiser ses impacts.

Dife-1La perception du risque ajoute ainsi une composante très subjective dans la définition que chacun donnera au risque.  Cette perception est fonction des facteurs sociaux et culturels touchant l’environnement de la personne tentant de définir le risque y compris les cindyniciens et les gestionnaires de risque.

2- Tentative de défintion du risque

Tenant compte de la sphère d’activité dans laquelle son organisation évolue, les professionnels tentent une classification des risques  dans le but de mieux cerner lesquels ont la plus grande probabilité de toucher ses actifs.  Ainsi, une entreprise qui entend se protéger du risque fera l’exercice d’inventorier tous les risques auxquels elle pourrait  être exposée. A partir de cet inventaire, elle met en place des catégories de risques desquels elle a la perception qu’elle devrait  se prémunir. Ainsi, ont été définies ces catégories  non exhaustives mais significatives de risques:

  • Risque de crédit
  • Risque de taux d’intérêt
  • Risques d’affaires
  • Risque industriel
  • Risque opérationnel
  • Risque informationnel.

Suite à ces considérations, quelle définition pourrait-on retenir pour le risque ?  Avant de tenter une réponse, commençons par  citer quelques définitions auxquelles a fait référence la littérature consacrée, suivant des disciplines spécifiques:

  1. Le risque est la probabilité qu’un effet spécifique se produise dans une période donnée ou dans des circonstances déterminées. En conséquence, un risque se caractérise par deux composantes : la probabilité d’occurrence d’un événement donné ; la gravité des effets ou des conséquences de l’événement supposé pouvoir se produire.
  2. Le risque est un événement incertain contre la réalisation duquel on s´assure. Par extension, les assureurs appellent « risque » le bien sur lequel porte l’assurance : risque locatif, ou la personne assurée.
  3. Il n’existe à l’heure actuelle aucune définition universelle du risque opérationnel. Pour de nombreuses banques, le terme désigne tout risque n’appartenant pas aux catégories des risques de marché et du risque de crédit; pour d’autres, il s’agit du risque de perte engendré par diverses sortes d’erreurs humaines ou techniques. Il est souvent associé aux risques inhérents aux règlements ou aux paiements, à l’interruption de l’activité ainsi qu’aux risques administratif et juridique.
  4. Quand on ne peut exprimer l’aléatoire par des probabilités, même subjectives, on doit plutôt parler d’incertitude.  Le mot  risque est  généralement utilisé  lorsqu’il  existe au moins  la  possibilité  de  conséquences négatives, s’il ne s’agit que de conséquences probables positives, on parlera plutôt de possibilités. L’adjectif informationnel étant relatif à l’information, et notamment à sa sélection, sa  mise en  forme,  son transfert  et  son  utilisation,  le risque  informationnel  est  celui  associé  à  la sélection, la  mise en forme, le transfert et l’utilisation de l’information.

Ces quelques définitions en essayant d’apporter un éclairage sur la question, ont en même temps traité le problème sous un angle réducteur, le ramenant uniquement à  la discipline à laquelle appartient chaque auteur.  On y retrouve  cependant des constantes intéressantes qui pourraient être utilisées pour tenter une définition au concept de risque.  En effet,  toutes ces définitions suggèrent que le risque a un impact négatif sur les activités de l’entreprise.  A cela s’ajoute une idée d’incertitude et de probabilité d’occurrence des évènements qui pourraient entrainer cet impact négatif.  Bien entendu l’idée de perception du risque ou l’élément subjectif vu précédemment, est aussi présente dans ces définitions.

3- Le risque informationnel

Le risque informationnel, dans une large mesure, prend en compte les menaces auxquelles sont exposés  les actifs  informationnels de l’entreprise. Dans ce contexte, ces actifs doivent être considérés en évitant toute définiton réductrice tendant à y classer uniquement les biens ayant rapport avec l’informatique.  Les actifs informationnels, en effet, touchent tous les éléments rentrant dans le processus  de mise en place et d’exploitation des systèmes d’information de l’entreprise.  Cela prend en compte le matériel informatique, les processus, les données, de même que l’information conservée sur support papier ou sur tout autre type de support.

En traitant du risque informationnel, l’attention est notamment portée sur les opérations effectuées sur les données ou les informations.  Le risque informationnel est ainsi associé au processus de traitement de l’information, traitement qui prend place comme composante du système d’information.

Partant notamment de cette association, on serait tenté de considérer le risque informationnel comme la probabilité qu’une menace exploite les failles des systèmes d’information en les impactant de façon négative.  Les conséquences porteront ainsi atteinte aux objectifs de sécurité de l’information qui sont la disponibilité, l’intégrité et la confidentialité des systèmes et de ses composantes.   Plus concrètement, ces conséquences se traduiront en termes de perte ou de destruction de données, de divulgation d’information confidentielle, de modification non autorisée des données, de destruction, sabotage ou vol d’actifs informationnels.  En bout de ligne si ces risques se matérialisent, il en résultera pour l’entreprise des  effets négatifs touchant notamment le domaine financier, opérationnel, technique et légal, de même que son image et sa renommée.

A ce stade, il serait intéressant de noter que la littérature tend aujourd’hui à attribuer des conséquences positives au risque.  Elle fait ainsi intervenir la notion d’opportunité. Bien que cette idée soit de plus en plus partagée dans la communauté, pour le moment, nous trouvons difficilement une application de ce concept dans le traitement  du risque informationnel.  Une analyse plus poussée de cette proposition trouvera peut-être sa concrétisation dans la gestion  des risques d’affaires où l’exposition à un risque plus grand rapportera plus de gains à l’entreprise.

4- De l’urgence de la gestion des risques informationnels

Si l’unanimité ne peut pas être faite sur la définition à apporter au risque informationnel, tout le monde est d’accord que ses conséquences impactent négativement les organisations.  Ce consensus explique la nécessité de bien gérer son risque informationnel de façon à minimiser ses effets.  Pour tout gestionnaire, l’idéal serait d’évoluer dans un environnement sans risque.  Etant donné que toute activité humaine comporte des risques inhérents, la gestion des risques se bornera-telle à essayer de minimiser les risques en sachant que le « risque zéro » n’existera jamais. Le risque résiduel de l’entreprise sera donc fonction de son appétence pour le risque.

Cette notion d’appétence pour le risque fait référence au niveau de risque que l’entreprise est prête à assumer dans le cadre de la réalisation de ses objectifs d’affaires.  Ainsi la gestion des risques s’évertuera à ramener tous les risques auxquels l’entreprise est exposée au niveau qu’elle trouve acceptable.  Comme nous l’avons fait remarquer, cette évaluation se basera sur une approche vraiment subjective où rentreront  en ligne de compte, la personnalité, la culture et les valeurs en lesquelles croient les gestionnaires ; tout cela basé sur la perception du risque et l’appétence pour le risque.  Ainsi, il sera logique de constater que deux entreprises évoluant  dans le même domaine gèrent leurs risques façon fort différente alors que l’analyse montre bien qu’elles sont exposées aux mêmes menaces.

Le développement des systèmes d’information entrainant avec lui l’augmentation des risques informationnels a permis une forte avancée de la discipline de la gestion des risques informationnels.  Gérer ses risques informationnels dans l’organisation, constitue ainsi,  non un simple projet avec un début et une fin, mais un processus formel et itératif. Il part de la classification des actifs informationnels, et de l’identification des risques pour aboutir à l’adoption d’une stratégie de gestion. Suivant un processus basé sur l’amélioration continue, la gestion des risques fournira  au gestionnaire l’option de réduire le risque, de le transférer, de le minimiser ou de l’accepter en toute connaissance de cause, c’est-à-dire en fonction de sa perception du risque et de son appétence pour le risque.

Après avoir tenté de faire le tour de la question, nous pensons qu’il reste toujours ce consensus à trouver en faveur d’une définition pour le risque informationnel.  Nous croyons malgré tout que le concept est bien compris par la communauté scientifique. Les études sur le risque  et les différentes tentatives de définition montrent que pour qu’il y ait risque et pour que ses effets négatifs se réalisent, il faut la conjugaison  des trois composantes que constituent la menace, la vulnérabilité et l’impact.  C’est donc sur ces facteurs qu’il faut agir dans l’élaboration de toute politique visant la réalisation des objectifs d’affaires de l’organisation.  Cela  permettra au gestionnaire de porter une attention particulière au risque, ce paramètre qui, s’il n’est pas maitrisé, constituera un facteur qui fera dévier l’entreprise de ses objectifs et peut à terme  compromettre sa survie.

Author: Lyonel Vallès, CISM, CISA, CRISC

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *