L’analyse des risques, vaste sujet que nous allons essayer d’aborder aujourd’hui de façon concise. Il ne s’agit pas de faire ici un cours, mais plutôt de faire une forme d’introduction à ce domaine trop souvent boudé mais au combien primordial pour une entreprise.
En effet combien de personnes considèrent que « Il n’y a pas de risque. », « Ce n’est jamais arrivé. », etc. La réponse est : beaucoup trop !
Même si cela est bien trop souvent sous-estimé, un risque mal géré peut faire perdre des sommes astronomiques, la confiance des clients ou partenaires voire même l’entreprise entière. Il n’est pas rare de voir des entreprises avoir de grandes difficultés à se remettre d’un sinistre (réalisation d’un risque), ou même de ne pas s’en relever du tout.
En chiffres :
Et les Systèmes d’Information dans tout cela ?
- 40% des entreprises ayant subi un arrêt de 72 heures de leurs moyens informatiques font faillite.
- 93% des entreprises ayant perdu leurs données ou l’accès à celles ci pendant 10 jours ou plus ont fait faillite dans l’année.
L’analyse des risques est une branche importante de la sécurité des S.I. C’est en faisant de la sécurité que l’on parvient le mieux à connaître son entreprise. Cela nous permet donc d’anticiper et maîtriser les dangers potentiels, mais également de saisir voire créer les meilleures opportunités.
Qu’est-ce que l’on entend par risque ?
Le risque est une notion assez ambiguë de par son nombre d’interprétations et d’usages différents. Ce qui explique que d’un domaine à l’autre sa définition peut varier, en effet que ce soit dans le domaine mathématiques, économique, industriel ou même dans le sens commun, le risque peut être décrit de manière différente.
Dans ces quelques lignes nous allons nous reposer sur la définition suivante du risque :
Comment l’analyse-t-on ?
Identification
La première étape est évidemment d’identifier les risques ! Avant de pouvoir faire quoi que ce soit il est nécessaire de déterminer les différents risques possibles et ce de la manière la plus exhaustive possible.
Pour cela plusieurs techniques sont possibles, et même pour la plupart, complémentaires.
Il est par exemple possible de faire entre autres un audit ou une étude interne, interroger le personnel, regarder les études ou listes des risques d’entreprises équivalentes, etc.
Évaluation
Une fois les risques identifiés, il s’agit maintenant de les évaluer. Un risque sera estimé par rapport à sa criticité.
La criticité d’un risque va être principalement définie par deux critères bien distincts : sa probabilité d’occurrence et son impact.
La probabilité d’occurrence est la fréquence du risque (ou en tout cas son estimation). En effet ce n’est pas la même chose si le sinistre se réalise une fois par mois ou une fois tous les cent ans.
Son impact quant à lui, est la gravité des conséquences du sinistre. Cela n’aura pas les mêmes répercutions si il s’agit d’une faute de frappe ou d’un incendie.
Ces deux critères sont, en général, estimés sur une échelle de 4 à 5 échelons chacun.
Exemple :
Nous avons dans cet exemple, un code de trois couleurs qui nuance et évalue la criticité et la priorité de la gestion de ces risques.
En rouge, il s’agit des risques critiques, et donc à traiter en priorité. Les risques oranges sont, eux, modérés, ils seront traités après les risques critiques rouges. Les verts quant à eux, seront traités en derniers, leur impact et probabilité étant les deux faibles, ils sont plus négligeables.
Et après ?
Une fois que l’on a identifié et évalué ses risques on se retrouve avec plusieurs possibilités. Soit on :
- Réduit le risque, en essayant de baisser sa criticité,
- Transfère le risque (exemple : assurance, etc.),
- Accepte le risque (si on considère que ça ne vaut pas le coup de payer pour baisser le risque ou qu’on n’en a tout simplement pas les moyens).
Pourquoi sommes-nous contraints d’accepter certains risques ? Tout simplement parce que réduire ou même transférer le risque demande des ressources, et la baisse de risque que l’on y gagne ne vaut pas toujours la dépense.
Il est important de trouver l’optimum entre la baisse du risque et la dépense pour y parvenir.
Investissement optimum
Pour réduire un risque, il est nécessaire de baisser sa criticité. Nous avons ainsi deux possibilités qui s’offrent à nous :
- Faire de la protection, c’est-à-dire baisser l’impact du risque. Exemple : Sauvegarder ses données. Dans le cas du risque d’une attaque ransomware de type cryptolocker, le fait d’avoir une sauvegarde de ses données, rend les conséquences de l’attaque moins importante que s’il n’y avait pas de sauvegarde des données et donc une perte totale des données.
- Faire de la prévention, qui dans ce contexte va signifier baisser la probabilité d’occurrence du risque. Exemple : Avoir un mot de passe fort. Dans le cas du risque d’intrusion informatique, le pirate aura moins de chance de réussir son opération s’il y a un mot de passe fort que s’il y avait un mot de passe faible. Ainsi avoir un mot de passe fort permet de baisser la probabilité de se faire pirater
Finalement comment obtenir un risque zéro ?
Contrairement à l’idée reçue, il est possible d’atteindre le risque zéro, et ce d’une façon simple et efficace : ne rien faire. En effet l’unique façon de n’avoir aucun risque est de ne rien faire, pas de Recherche & Développement, pas de Système d’Information, pas d’achat ou de vente, pas d’infrastructure, pas d’employés, pas de clients, pas d’entreprise, etc.
Est-ce que l’on doit donc tout arrêter et vivre dans des grottes ?
Evidemment que non !
Il faut simplement être conscient de l’existence des risques et agir en conséquence. C’est-à-dire les identifier, les quantifier et les gérer au mieux.
Evidemment, cela peut être un travail laborieux, c’est pour cela qu’il est toujours possible de se faire aider par un cabinet de conseil, qui aura l’expertise et l’expérience pour vous accompagner dans cette tache.