Toute organisation est exposée à des risques très variés, qu’elle soit publique ou privée, grande ou petite et quel que soit son secteur d’activité : fuite de données, panne informatique, pandémie, actes de cybercriminalité, mauvaise rétention des talents, coûts de production trop élevés, etc. On peut facilement imaginer les conséquences négatives de tels événements sur sa performance, ses résultats et sa santé financière.
La mise en place d'une stratégie de gestion des risques semble donc indispensable à son bon fonctionnement sur le long terme. Pour mener cette mission à bien, de plus en plus d'entreprises se tournent vers la cartographie des risques, un procédé de définition, de hiérarchisation et de gestion de l'ensemble des risques. Quels outils et méthodes utiliser pour réaliser ce travail indispensable ? Réponses dans cet article.
1.Identifier les risques
Identifier les sources de risques
L'identification d'un risque peut se faire de manière hasardeuse, pendant l'installation d'un logiciel ou lors d'un incident technique. Lorsque des signaux évidents apparaissent, il est bien sûr important de les prendre en compte et de les intégrer rapidement au SI.
Mais cette étape primordiale doit avant tout être le résultat d'une stratégie de gestion des risques menée en continu par le risk manager. Évidemment, toutes les entités, selon leur taille ou leur positionnement, n’ont pas la possibilité ou la nécessité de nommer un risk manager dédié. Dans ce cas, il suffit de définir la bonne organisation (comité, service, …), en fonction du contexte de l’entreprise, pour prendre en charge cette activité.
De façon méthodique, le responsable des risques doit répertorier l'intégralité des risques liés à son entreprise, qu'il pourra ensuite catégoriser selon leur impact : humain, technique, financier, environnemental, etc.
Pour cela, il doit réaliser des audits internes :
- en consultant les managers des différentes équipes afin de comprendre les processus de travail mis en œuvre, les responsabilités de chaque collaborateur, etc.
- en étudiant l'historique des événements considérés comme problématiques,
- en imaginant divers scénarios susceptibles de se produire.
Évaluer la probabilité et l'impact des risques
Une fois les risques identifiés, il faut les évaluer un à un en utilisant 2 critères :
- La probabilité : il s'agit ici de classer chaque risque selon ses chances de survenance. Il peut être « très probable », « peu probable », « presque impossible », ou toute autre dénomination appropriée. Par exemple, un atelier de fabrication situé en France pourra choisir la probabilité « presque impossible » pour le risque sismique. Par contre, une usine située au Japon, pays connu pour ses tremblements de terre à répétition, devra choisir la mention « très probable ». Cette différence va entraîner des décisions spécifiques, notamment sur les techniques de construction des bâtiments et de stockage des marchandises.
- L'impact des risques : on évalue ici le degré d'impact d'un événement sur l'entreprise. Il peut être « mineur », « problématique », « majeur » ou encore « catastrophique ». Reprenons l'exemple du séisme en imaginant qu'il est de forte magnitude : si une telle situation arrivait en France, l'impact serait catastrophique, aussi bien d'un point de vue humain que matériel, car il n'existe pas de mesures de sécurité spécifiques. Au Japon, un séisme équivalent aura beaucoup moins d'impact, car les bâtiments sont conçus pour y résister et le personnel est formé pour se mettre à l'abri rapidement.
Mettre en place des mesures de sécurité contre les séismes en France pourrait donc sauver des vies et des bâtiments, mais étant donné la probabilité que cela arrive, est-ce vraiment nécessaire ? Les critères de probabilité et d'impact des risques sont donc à mettre en rapport afin de déterminer la criticité d'un événement.
2. Analyser les risques
Organiser les risques en fonction de leur gravité
Chaque risque identifié doit ensuite être analysé afin de déterminer son degré de gravité. Pour cela, les données de probabilité de survenance et d'impact sont d'une grande utilité.
Concrètement, les risques qui présentent à la fois une forte probabilité et un impact majeur ont un haut degré de criticité et doivent donc être traités en priorité. À l'inverse, les risques exceptionnels à l'impact mineur ont une faible criticité. Ils peuvent être traités en dernier, voire ignorés.
Tous les risques doivent ainsi être classés dans un tableau à double entrée comportant plusieurs zones faciles à identifier : risque fréquent de faible impact, risque rare à impact modéré, risque occasionnel à impact élevé, etc.
Une fois cette étape réalisée, le risk manager doit définir un seuil d'acceptation basé sur le degré de criticité des risques. Cela lui permettra de répondre à cette question : quels sont les risques acceptables et ceux qui ne le sont pas ? Ce travail minutieux est indispensable pour mettre en lumière les chantiers à mener en priorité et ceux à abandonner.
Déterminer les actions à entreprendre pour chaque risque
Lorsque les risques sont identifiés et organisés, il est temps de passer à la phase d'audit de chacun d'entre eux. Voici quelques questions à se poser afin d'effectuer cette étape de la cartographie des risques correctement :
- Quels sont les moyens matériels, humains, organisationnels, etc. existants pour éviter ce risque ?
- Sont-ils efficaces ?
- Comment sont-ils contrôlés, évalués et à quelle fréquence ?
- Les moyens mis en œuvre sont-ils facilement applicables et respectés ?
- Peuvent-ils être améliorés ?
- Par quel moyen et quelles actions concrètes ?
Lorsqu'un risque est considéré comme insuffisamment pris en charge, le responsable des risques doit procéder à une évaluation de ses causes et conséquences à tous les niveaux de l'entreprise. Il doit ensuite proposer des mesures barrières qui permettent de résoudre les causes, mais aussi de limiter les conséquences lorsqu'un risque ne peut être totalement éliminé.
3. Gérer les risques
Mettre en place des mesures de prévention et de gestion des risques
Chaque risque nécessitant une ou plusieurs actions représente un projet qu'il faut gérer de A à Z. Pour cela, le risk manager doit définir des objectifs précis en termes de résultats attendus et de délais à respecter. Il lui faut également évaluer les ressources à disposition et celles qui font défaut : budget, compétences, matériel, etc.
Ensuite, il doit attribuer les tâches aux collaborateurs impliqués dans le projet et suivre de près leur avancement ainsi que les dépenses engagées. Pour valider le succès du projet, le manager doit être en mesure d'évaluer les mesures de prévention mises en place à partir de critères objectifs qu'il aura établis en amont.
Par exemple, le risque de défaillance d'un fournisseur peut être traité de la sorte : le responsable des commandes crée une liste de concurrents. Il entre en contact avec chacun d'entre eux afin de connaître leurs tarifs et leurs délais de livraison. Ces informations sont tenues à jour afin de rendre le projet efficace sur le long terme. Cette mesure préventive permet de réagir rapidement en cas de survenance du risque. Pour limiter encore plus l'impact de celui-ci, il est possible d'aller plus loin en passant commande auprès de quelques fournisseurs afin de vérifier la qualité des marchandises et leur compatibilité avec les équipements et les processus de travail de l'entreprise.
Suivre l'efficacité des mesures mises en place
La cartographie des risques est un outil évolutif qui ne doit pas dormir dans le fond d'un tiroir : les risques peuvent changer, leur gravité aussi. Les mesures mises en place doivent également être évaluées fréquemment afin de juger de leur efficacité immédiate et sur le long terme.
Il est donc important de parcourir les données régulièrement, en prenant en compte les changements apparaissant sur le système d'information et ainsi rester au plus proche de la réalité. Le risk manager doit revoir les risques les plus graves environ 2 fois par an, les plus mineurs tous les 2 ans.
4. Outils de cartographie des risques
Logiciels de cartographie des risques
Pour cartographier les risques de son entreprise, un simple tableur atteint rapidement ses limites. Il manque en effet cruellement de fonctionnalités et de souplesse lorsqu'il s'agit de modéliser les risques et de les rendre lisibles par tous les collaborateurs.
Les logiciels de cartographie SI sont conçus pour répondre parfaitement aux besoins des équipes responsables de la gestion des risques. Toutes les données nécessaires à la mise en place de leur stratégie sont rassemblées sur une seule et même plateforme, de la méthode d'identification des risques à l'évaluation des mesures mises en place. Les différents intervenants peuvent les consulter facilement et varier leur présentation afin de gagner en productivité : classement par types de risque, par criticité, etc.
Les cartes dynamiques sont un autre point fort des logiciels de cartographie. Les changements dans les moyens mis en œuvre ou le plan d'action se répercutent automatiquement sur tous les éléments qui leur sont liés. Plus besoin de réaliser les modifications manuellement, une tâche qui est généralement source d'oublis et d'erreurs.
Enfin, ce type de solution se montre plus flexible : chaque entreprise peut la personnaliser selon ses besoins spécifiques.
Bilan d'impact sur l'activité
Le bilan d’impact sur l’activité est un outil indispensable à la phase de hiérarchisation des risques et doit permettre en particulier d’établir les produits, services et activités essentiels au fonctionnement de l’entreprise, afin d’accélérer la reprise en cas de sinistre. La description des attentes de disponibilité, d’intégrité, de confidentialité et de traçabilité (DICT) par processus permet de dégager immédiatement les priorités.
Toutes les entreprises, sans exception, sont exposées à des risques. En faire la cartographie permet de les identifier avec exhaustivité et de limiter leur impact. Négliger ce travail essentiel met en danger les actifs de l'entreprise, mais aussi son efficacité organisationnelle et donc sa performance. Pour réaliser cette tâche, un outil de cartographie adapté est indispensable, pour des raisons d'efficacité, d'adaptabilité et de cohérence des données.
EKIALIS Explore est un logiciel de cartographie SI pensé pour répertorier et organiser l'ensemble du patrimoine matériel et immatériel de l'entreprise : cartographie applicative, matériel, processus métiers, etc. Il permet également de cartographier les risques, d'améliorer leur visualisation et d'optimiser leur gestion.
