Définitions et concepts de risque

Concept de risque

Le risque est omniprésent dans notre vie quotidienne. Il se manifeste lorsque nous traversons une rue, lorsque nous prenons le volant, lorsque nous pratiquons un sport, effectuons un achat en ligne ou encore lorsque nous misons sur un pari sportif. À chaque instant, consciemment ou non, nous pratiquons la gestion du risque. Dans ces situations, notre cerveau évalue instinctivement les dangers potentiels et propose des stratégies pour les minimiser. Lorsque nous skions ou faisons de la luge durant l’hiver, nous décidons de porter un casque afin de réduire les risques de blessure. Si nous choisissons d’éviter les pistes noires, nous éliminons totalement le danger d’une chute sur un parcours difficile. En revanche, pour les sportifs expérimentés ou amateurs de sensations fortes, la prise de risque devient un choix assumé lorsqu’ils dévalent des pentes vertigineuses.

Le risque peut être défini comme la possibilité qu’un événement non désiré se produise, entraînant des conséquences plus ou moins graves. Il peut causer des dommages matériels, financiers, humains ou encore environnementaux. Dans le cadre d’une entreprise, cette notion prend une dimension stratégique. L’organisation peut être confrontée à des pertes financières importantes...

Définition du risque

Daniel Bernoulli a défini le risque en 1738 de la manière suivante : « Le risque est l’espérance mathématique d’une fonction de probabilité d’évènements », signifiant qu’il s’agit de la valeur moyenne des conséquences pondérée par leur probabilité.

Aucun modèle d’analyse de risque n’est fiable à cent pour cent. Il demeure toujours une incertitude, qui peut être soit négligeable, soit significative, et avoir un impact comme une perte, une altération des données ou encore leur divulgation. Parfois, l’impact peut être majeur comme une panne internet, de courant, ou dramatique en causant des pertes humaines.

C’est pourquoi les individus, et les organisations, cherchent toujours différents moyens de prévoir les risques qu’ils courent. Hormis des cas rares, la plupart des risques peuvent être anticipés ou évités en mettant au point des parades toujours plus efficaces. Malgré tout, il est fortement conseillé d’évaluer les risques pour chaque organisation ou particulier, mais aussi de mettre en place des mesures de précaution avant qu’un incident ne survienne. Par exemple, l’arrêt de la production dans une usine à la suite d’un incident...

Les statistiques et les risques

Il est important, dans la gestion du risque, de quantifier, mais aussi de qualifier le risque pour l’appréhender de la meilleure manière. Pour évaluer ce dernier, il faut vérifier toutes les hypothèses, les données disponibles mais aussi les caractéristiques d’exposition. Malheureusement, il faut aussi prendre en compte que certaines situations à risque sont inconnues ou connues partiellement. L’absence d’information ne signifie pas que le risque n’existe pas, et une méconnaissance d’une situation ne la rend pas pour autant inoffensive.

Prenons l’exemple d’une plage où un drapeau rouge signale aux nageurs un danger. La majorité des baigneurs, avertis par ce code couleur, renonceront à s’éloigner du rivage, voire décideront de ne pas entrer dans l’eau. Grâce à ce système d’alerte visible, le nombre d’accidents est considérablement réduit, et aucun incident n’a été signalé sur cette plage depuis deux ans.

Cependant, cette absence d’accidents peut induire une perception biaisée du risque. Certains pourraient croire que cette plage est naturellement sûre, et que le drapeau rouge est inutile, coûteux, voire encombrant. Ils pourraient alors proposer de le retirer, pensant qu’il...

L’opportunité par le risque

Certaines opportunités peuvent se dégager d’un scénario de risque. L’opportunité permet une amélioration de la performance d’une organisation mais peut aussi engendrer un nouveau risque. Par exemple, une société souhaitant élargir son activité et saisir l’opportunité d’un nouveau marché devra faire face à des problématiques qu’elle ne maîtrise pas et pour lesquelles ses processus sont inopérants. Le risque qu’un évènement négatif se produise est alors augmenté, mais l’organisation peut tout de même en tirer des bénéfices.

Parfois, une opportunité naît directement d’un événement défavorable. Une crise interne, un changement brutal des conditions économiques, ou encore une cyberattaque peuvent contraindre une organisation à repenser sa stratégie, son modèle économique ou son infrastructure. Ce qui pouvait apparaître comme une menace devient alors le moteur d’une transformation bénéfique, incitant l’entreprise à innover, à améliorer ses processus et à renforcer sa résilience face à l’incertitude.

Ainsi, toute prise de risque implique une prise de décision : faut-il l’éviter...

La perception du risque

La perception du risque varie considérablement d’une personne à l’autre. Il s’agit d’une notion purement subjective, influencée par l’émotion, l’expérience individuelle et l’environnement culturel. Bien que le risque puisse être quantifié grâce à des faits et des statistiques, notre façon de l’appréhender reste irrationnelle et difficilement mesurable.

L’exemple du danger face au monde animal illustre parfaitement cette divergence entre risque réel et risque perçu. Statistiquement, le moustique est bien plus mortel que le requin, en étant le vecteur de maladies telles que le paludisme, la dengue ou le virus Zika. Pourtant, la peur des requins est largement ancrée dans l’imaginaire collectif, et de nombreuses personnes hésitent à se baigner par crainte d’une attaque.

L’International Shark Attack File (ISAF) estime que chaque jour, un million d’interactions entre humains et requins ont lieu sans incident. L’homme ne faisant pas partie du régime alimentaire du requin, les attaques sont extrêmement rares, mais le moindre accident est largement relayé par les médias, alimentant ainsi une peur disproportionnée.

En sécurité de l’information, ce phénomène se retrouve dans les fraudes aux cartes bancaires....

Quelques définitions d’ISO 27000

Nous trouverons ci-dessous quelques définitions données par la norme ISO 27000. Ces termes seront utilisés dans les chapitres suivants de cet ouvrage et leur bonne compréhension est importante.

Les types de mesures de sécurité

Une mesure de sécurité est un moyen mis en œuvre pour modifier un risque. Elle peut réduire la probabilité d’occurrence, atténuer les impacts potentiels ou les deux. Selon la norme ISO/IEC 27001:2022, ces mesures sont désormais organisées selon quatre grandes familles : organisationnelles, humaines, physiques et technologiques.

Les avantages de la gestion du risque

Chaque organisation, quelle qu’elle soit, est confrontée à des facteurs internes et externes qui peuvent influer sur l’atteinte de ses objectifs. La gestion du risque permet de les identifier et de réfléchir à une manière de les appréhender dans le but d’atteindre ses objectifs et d’effectuer ses missions tout en respectant ses valeurs.

La gestion du risque permet également de bien connaître les actifs présents au sein de son organisation. Elle permet de s’assurer que l’organisation est bien au fait des risques auxquels elle s’expose, et qu’elle est prête à établir et mettre en place des moyens afin de réduire ou empêcher les incidents. Elle permettra également de se conformer aux réglementations et aux obligations légales comme le RGPD (Règlement général sur la protection des données).

La théorie connaissant parfois ses limites en matière de détection des risques, il est important d’identifier tous les risques éventuels, même les plus improbables. De plus, faire appel à un expert dans le domaine permet d’avoir un regard objectif et extérieur sur ses besoins. En effet, une analyse de risque se doit d’être la plus objective possible, mais en pratique il y aura toujours...