Gérer les risques est une mission difficile, qu’il s’agisse des risques d’entreprise ou, plus précisément, des risques qui pèsent sur le système d’information. Deux sociétés de conseil, Atep Services et Elseware, se sont associées pour proposer une approche outillée intégrée, qui industrialise la collecte d’informations, l’analyse, la cartographie, la valorisation et la quantification des risques, facilitant ainsi les missions des acteurs engagés dans ces activités sensibles.
« Hâtez-vous lentement, et, sans perdre courage, vingt fois sur le métier remettez votre ouvrage : Polissez-le sans cesse et le repolissez ; Ajoutez quelquefois, et souvent effacez. » Ces mots du poète Nicolas Boileau pourraient décrire le quotidien des responsables des risques, ou risk managers, et de toute personne dont les fonctions l’amènent à cartographier et gérer des risques opérationnels : DSI, responsables de la sécurité des systèmes d’information… La gestion des risques est en effet une activité complexe et souvent chronophage, du fait de la variété des informations à collecter et à traiter.
Un risque est la possibilité qu’un péril frappe une ressource de l’organisation et nuise à ses objectifs. Il s’agit d’un événement hypothétique, qui ne peut être quantifié en tant que tel. Seule la perception d’un risque permet de le mesurer. Or, cette perception évolue en permanence : d’une semaine à l’autre, de nouveaux risques sont découverts, d’autres disparaissent, et d’autres, enfin, prennent subitement de l’ampleur.
C’est dans ce contexte incertain et changeant qu’œuvrent les risk managers et les autres professions en charge de gérer les risques, s’efforçant d’acquérir et de maintenir une vision précise, pertinente et à jour des risques pesant sur leur organisation.
Capitaliser sur les connaissances existantes
Pour faciliter leur mission, les sociétés de conseil Atep Services et Elseware proposent une démarche en trois étapes, combinant leurs savoir-faire à des technologies innovantes. Dénommée ACP (pour Analyser, Coter et estimer les Probabilités), cette approche permet de gérer les risques de manière progressive, tout en capitalisant sur la connaissance détenue par l’entreprise. Il s’agit, tout d’abord, de reconstituer les chaînes de production du périmètre concerné à partir des informations opérationnelles afin de pouvoir mesurer comment un risque peut perturber l’activité en utilisant des techniques d’analyse d’impacts par propagation pondérée.
Ensuite, le risque est hiérarchisé puis valorisé. Enfin, une analyse poussée permet d’estimer plus finement l’impact financier des risques à fort enjeu, en les quantifiant et en estimant la probabilité que l’événement se produise. « Chaque étape peut être menée de manière autonome, mais les étapes de cotation et de quantification sont facilitées par les étapes précédentes », précise Olivier Martin, président d’Atep Services.
Analyser l’ensemble de la chaîne de production
Cette étape consiste à recueillir les informations disponibles, nécessaires et suffisantes dans l’organisation, afin d’identifier, d’une part, les composants qui jouent un rôle important dans la production des biens ou des services, d’autre part, l’organisation et les ressources humaines qui font fonctionner cette chaîne.
Ces informations peuvent être de différentes natures, par exemple :
- Des données de géolocalisation sur des sites, des personnes ;
- Des informations sur les ressources utilisées pour produire les biens et services (matériels informatiques et industriels) ;
- La description des processus fonctionnels et des applications utilisées ;
- Des informations sur les services fournis (catalogue, engagements de services…) ;
- Les contraintes réglementaires ;
- Des informations sur les clients et la contractualisation (pénalités encourues par exemple).
Une réconciliation automatisée et intelligente de ces éléments permet de cartographier la chaîne de production dans des délais surprenants. Une fois celle-ci établie, il devient possible de l’analyser pour visualiser l’impact d’un risque ou sa chaîne de causalité. Une entreprise pourra par exemple identifier l’impact d’une inondation dans l’un de ses sites sur sa sécurité, ses applications, ses services, ses métiers, ses utilisateurs et son bilan financier.
Coter les risques pour mieux y répondre
Pour hiérarchiser les risques et les classer par ordre de priorité de prise en compte, les responsables de la gestion des risques s’appuient sur des mécanismes de type questionnaires et audits, complétés par des visites de sites afin de rencontrer les opérationnels et de contextualiser les questions. Au cours de leurs missions, ils font face à plusieurs difficultés : établir et maintenir des questionnaires pertinents, adapter les questions au contexte et, enfin, traiter les résultats des questionnaires.
Pour faciliter cette étape, Atep Services a conçu un système qui permet de définir des questions pour chaque risque à traiter, puis de les assembler dans des questionnaires. « Des profils permettent d’indiquer pour chaque utilisateur les risques suivis, explique Paul Opitz, responsable de l’offre risque chez Atep Services. Les questionnaires sont ensuite assemblés dynamiquement, de manière à ce que les correspondants risk managers locaux ne voient que les questions correspondant à leur périmètre au travers d’un questionnaire unique. »
Une fois les questionnaires remplis, la solution s’appuie sur un moteur de règles pour effectuer une première cotation, traduite par un code couleur (classiquement, vert pour un niveau de risque acceptable, rouge pour un niveau élevé et orange pour un niveau intermédiaire). Cette étape démontre, de manière concrète, le niveau de contrôle de chaque risque en lui donnant une valeur.
En s’appuyant sur les chaines de production concernées par le risque, le gestionnaire de risques peut estimer de manière dynamique et rapide les conséquences financières, réglementaires et humaines de la survenance du risque sur l’organisation.
Pour reprendre l’exemple précédent, l’entreprise menacée par une inondation verra ainsi l’impact sur ses engagements de services, avec les pénalités encourues, les frais liés à la remise en état du site et les charges liées à l’immobilisation forcée du personnel. Elle visualisera également dans quelles proportions ces coûts non prévus sont financés par l’assurance, ce qui conduit à évaluer le risque résiduel. « à partir de ces éléments, l’entreprise pourra renégocier son contrat d’assurance pour mieux l’adapter au niveau de risque », explique Paul Opitz.
Cela permet d’ajuster la stratégie de réponse au risque, l’objectif étant de trouver le meilleur compromis, selon le principe : « ni trop, ni trop peu ». Les risk managers peuvent également s’appuyer sur ces éléments pour justifier cette stratégie à la direction financière : montrer les coûts encourus si le risque survient facilite l’évaluation du retour sur investissement des actions de gestion du risque.
Quantifier pour affiner les scénarios
Les responsables des risques doivent parfois effectuer des arbitrages complexes entre plusieurs options. Dans cet exercice délicat, une seule certitude : que le risque survienne ou pas, la sanction se traduit toujours par un chiffre. Plus celui-ci peut être estimé avec précision, meilleure sera la qualité de l’arbitrage entre plusieurs actions de réponse au risque, dont l’optimisation de la couverture assurancielle.
L’approche permet de modéliser et de quantifier de manière fine les risques à fort enjeu. Elle estime à la fois le niveau moyen des pertes encourues, mais aussi le niveau maximum que l’on peut atteindre dans x % des cas, en poussant le risque à l’extrême. Pour cela, le modèle s’appuie sur trois composantes : l’exposition au risque, la survenance (probabilité que le risque se réalise) et la gravité (impacts sur les objectifs de l’entreprise).
« Ces paramètres peuvent être déterminés en s’appuyant sur des bases de sinistres, quand elles existent, souligne Laurent Condamin, directeur technique d’Elseware. Mais, le plus souvent, les risk managers recourent à des avis d’experts, des retours d’expérience ou des résultats d’études. » Le modèle doit être décrit de manière explicite, afin d’être discutable et réfutable. Pour cela, il est représenté sous la forme d’un contrat de connaissance qui transpose sous forme de réseaux bayésiens les relations d’interdépendance entre les éléments de l’entreprise ainsi que les différents facteurs de risques.
Si l’on analyse, par exemple, le risque d’explosion d’une plate-forme pétrolière, l’exposition dépendra du nombre de sites dont dispose l’entreprise, mais aussi de la demande en pétrole. La survenance consiste, quant à elle, à identifier les différentes causes possibles et leur probabilité : erreur humaine, séisme, tempête, etc.
Enfin, la gravité doit intégrer l’ensemble des composantes de la perte – pertes matérielles, dédommagements, dépollution – et les facteurs qui les influencent : météo, durée de la fuite, etc. Toutes ces variables sont en partie aléatoires. Il faut donc à la fois les quantifier et en calculer la probabilité…
Grâce à ce modèle, il sera ensuite possible de voir les éléments de la chaîne de production sur lesquels agir en priorité pour faire baisser le niveau de risque. Dans le cas où cette chaîne repose sur différents systèmes d’information, cela permet d’identifier ceux qui sont les plus critiques, pour ensuite approfondir l’analyse et identifier les actions prioritaires à mener.
Les bénéfices pour le risk manager…
- Disposer d’une vision dynamique de la chaîne de production, qui permet d’effectuer une analyse structurelle de la propagation des risques.
- Modéliser des risques à fort impact et leur apporter des réponses pertinentes.
- Rendre compatibles des données disparates, en valorisant ainsi le capital informationnel de l’entreprise.
- Travailler sur des données cohérentes et fraîches, de manière à disposer de résultats qui ne soient pas obsolètes avant même leur publication.
- Industrialiser et réutiliser : que ce soit pour la collecte de données, l’analyse d’impact, la propagation des risques, la cartographie, la cotation et la valorisation des risques, ou encore l’évaluation des probabilités, la solution proposée permet d’industrialiser une grande partie des tâches. Cela libère ainsi du temps pour l’identification et l’analyse de nouveaux risques.
- Améliorer la gestion de crise avec un modèle à jour et opérationnel, une aide à l’évaluation des impacts et enfin une aide à la recherche de solutions, à travers les simulations et l’analyse de causalité.
- Réduire les coûts et charges sur les phases de recherche, de préparation et de mise à jour des données.
- Réorienter les budgets et les ressources vers des stratégies de réduction du risque plutôt que vers des tâches « administratives » et répétitives.
Les bénéfices pour les DSI et RSSI
- La solution peut être utilisée pour modéliser le système d’information dans son ensemble. Cette cartographie peut ensuite être utilisée pour répondre à différents enjeux :
- Optimiser les délais, les coûts et les ressources ;
- Connaître les chaînes de production qui reposent sur le système d’information ;
- Analyser de manière industrielle les impacts métiers et techniques d’un changement ;
- Piloter les risques ;
- Prioriser les actions de réduction des risques et les investissements ;
- Contribuer à la conformité réglementaire ;
- Contribuer aux exigences de normes comme ISO 27001 et ISO 22301 (continuité d’activité), en mettant par exemple en évidence
les changements qui impactent le plan de continuité et en justifiant des investissements par rapport aux pertes ainsi évitées (ROI).