La prédiction des risques est impossible puisqu’ils surviennent de façon aléatoire. Pour autant, la construction de scénarios aide à éclairer la vision du futur.
L’analyse de risque est depuis longtemps essentielle pour un certain nombre de professions comme les assureurs par exemple, mais aussi, et de plus en plus, pour n’importe quelle entreprise. Si les risques répétitifs sont relativement faciles à prévoir, il n’en est pas de même pour les risques de type accidentels ou de malveillance dont on ne connaît pas a priori ni le périmètre ni l’intensité.
Comment prédire ce qui va arriver ? A priori, c’est impossible puisque, par définition, la plupart des risques se matérialisent de façon aléatoire. L’une des pistes pour y voir plus clair et disposer d’un minimum de connaissances prédictive sur les risques consiste à élaborer des scénarios de risques.
Dans l’idéal, il est préférable de combiner plusieurs scénarios, par exemple un scénario de nature accidentelle, un autre lié à des actes de malveillance, chacun pouvant avoir comme conséquence des destructions totales ou seulement partielles. On remarquera, qu’en pratique, les responsables sécurité, les DSI et les directions générales éprouvent des difficultés à admettre l’existence possible d’un scénario de malveillance interne dans leur propre entreprise, bien que les trois-quarts des sinistres de malveillance naissent par complicité interne.
Le cadre du scénario n’est évidemment pas le même selon le secteur économique, le pays, le contexte socio-politique ou réglementaire. Et un scénario, comme un échantillon statistique pour un sondage par la méthode des quotas, demande à être précisément établi pour pouvoir donner lieu à induction sans biais.
Le périmètre système d’information (informatique, télécoms, réseaux, applications…) s’inscrit dans la cible métier. D’autant qu’il existe des métiers pour lesquels l’outil informatique et télécoms est le seul outil de production de valeur de l’entreprise comme par exemple, une salle des marchés dans le domaine boursier ou bancaire.
De même, il existe également des métiers de type industriel, par exemple, pour lesquels l’informatique est indispensable pour permettre la production mais où la technologie est spécifique et se démarque de l’informatique classique (de gestion), par exemple dans le cas des constructeurs d’automobiles qui utilisent beaucoup la robotique pour produire chaque automobile.
Il faut donc entrer dans le détail : bâtir un scénario de malveillance du type vol dans un entrepôt n’aura pas la même amplitude qu’une malveillance de type vol de fichiers informatiques dans une entreprise de e-commerce. Dans les deux cas, il s’agit de malveillance, mais les conséquences de l’acte ne sont pas les mêmes au plan des risques informatiques et de l’estimation financière de ceux-ci. La cible métier est donc essentielle.
Pour élaborer un scénario de risques, plusieurs critères sont donc à prendre en compte, selon le découpage indicatif suivant :
Présentation du scénario
- L’origine
- Les causes
- Les conséquences
- Les variantes possibles
- Les composantes métiers et système d’information
- Les impacts selon les métiers
- Les modes de reprise
- Le planning de reprise
- Le partage des responsabilités
- L’approche financière
- L’estimation des pertes directes
- L’estimation des pertes indirectes
- Le financement des pertes