Projection des risques, grille d’évaluation des vulnérabilités et représentation cartographique des zones de vulnérabilité

 

1. Projection

 

Lors d’un audit des risques portant sur un système – entreprise, service, outil, etc – étic utilise la cartographie des risques comme outil d’analyse et de communication avec le client. Cette méthode rend visuels et accessibles les résultats exhaustifs de l’analyse.

 

Après la définition initiale de l’enjeu – le système – et des critères du bon fonctionnement de cet enjeu, on identifie toutes les ressources qui concourent à ce bon fonctionnement.

 

Chaque ressource fait face à des menaces qui, en cas d’occurrence, peuvent avoir un ou plusieurs impacts. Ces impacts peuvent s’exprimer dans des domaines :

  • opérationnel : le système ne fonctionne plus ou il n’est plus apte à assurer le service attendu (enjeu)

  • financier : des coûts sont engendrés par la disparition du bon fonctionnement du système (coûts directs ou indirects)

  • en termes d’image : l’entreprise est prétéritée par l’occurrence du risque avec des conséquences à court, moyen ou long terme

 

On parle donc de projection puisqu’il s’agit d’imaginer, avant qu’ils n’arrivent, tous les événements ou aléas qui pourraient intervenir sur un système et sur ses ressources et provoquer ces différents niveaux d’impact.

 

C’est ici que réside tout le savoir-faire qu’il est nécessaire d’avoir et de mettre en œuvre pour ce type d’analyse, afin :

  • d’identifier de manière exhaustive et indépendante l’ensemble des ressources et des menaces auxquelles elles sont confrontées – indépendamment du fait qu’elles soient déjà apparues ou non

  • de déterminer la probabilité d’occurrence individuelle de ces différentes menaces

  • d’évaluer l’ampleur des impacts qui vont en résulter

  • de différencier les risques acceptables de ceux nécessitant une stratégie de gestion de risques adéquate

 

L’identification des menaces passe avant tout par l’analyse du passé du système et des événements qui l’ont impacté. Le concept de projection intègre également le fait que des vulnérabilités peuvent ne pas être identifiables par simple observation et déduction sur le système et sur son environnement actuel.

 

Par contre, ces vulnérabilités peuvent être induites à partir du contexte et de l’environnement. En d’autres termes, on doit prévoir l’imprévisible et imaginer et retenir certaines menaces comme possibles. Il s’agit en particulier des menaces résultant de modifications futures du cadre légal, d’une modification de la concurrence, de modifications des habitudes de consommation, de l’arrivée de nouveaux produits, etc.

 

 

2. Grille d’évaluation des vulnérabilités [retour "Gestion des risques"]

 

La grille d’évaluation des vulnérabilités – ou matrice des vulnérabilités – est un tableau à deux entrées qui permet de quantifier chaque risque simultanément selon les deux critères, la probabilité d’occurrence de la menace et l’impact de la menace sur l’enjeu.

 

La matrice est alors remplie avec une estimation du risque effectif, déduit de la manière suivante :

 

Risque effectif (ou vulnérabilité) = Probabilité de la menace x Impact sur l’enjeu

Ainsi et en première analyse, on estimera :

  • qu’un risque à faible probabilité d’occurrence mais à impact majeur a un niveau de vulnérabilité globalement moyen

  • qu’un risque à faible impact mais à haute probabilité d’occurrence a un niveau de vulnérabilité globalement moyen

 

 

3. Représentation cartographique des zones de vulnérabilités [retour "Gestion des risques"]

 

L’ensemble des vulnérabilités qui peuvent toucher un système – on peut en dénombrer couramment plusieurs centaines en fonction de la complexité du système – est ensuite représenté graphiquement, afin de fournir une image globale de l’état du système face aux risques.