Article d'auteur Maîtrise des risques - II-40-30 - 01/12/2007

1  Introduction

Nous ne nous lancerons pas ici dans une redéfinition complète de ce qu'est un risque. Le présent classeur contient d'autres articles abordant largement ce sujet. Toutefois, nous rappellerons simplement que l'existence d'un risque est conditionnée par l'existence d'un danger, celle d'une cible et, donc, de l'existence d'une menace. Sans danger, le risque n'existe pas. Sans cible, le risque n'existe pas non plus puisque le danger ne peut rien atteindre. Ainsi, il s'avérera sans doute dangereux de vivre sur la planète Mars, mais tant que personne n'y vit, ce risque ne peut avoir de réalité. En revanche, le premier homme à mettre le pied sur Mars, si d'aventure ceci se produit, sera exposé aux dangers de cette planète et sera donc menacé, menace dont on pourra peut-être mesurer l'étendue.

Ce rapide préambule a pour objet de justifier pourquoi nous développerons dans cet article trois approches différentes pour identifier les risques :

• la méthode « composants/fonctions », basée sur la recherche des dangers ;
• la méthode « objectifs/ressources », basée sur un examen des cibles menacées ;
• la méthode « causes/effets », basée sur une analyse de la menace.

Attention, nous tenons à préciser qu'il ne s'agit pas là d'appellations labellisées mais simplement de la façon que nous avons subjectivement choisie pour nommer ces méthodes.

L'identification des risques est une opération difficile dont il faut admettre, a priori et sans frustration, l'échec partiel puisque tous les risques ne seront jamais mis en évidence. Il ne faut donc se priver d'aucune méthode. Aucune de ces trois approches n'est exclusive, bien au contraire : elles sont toutes les trois complémentaires.

Terminons cette introduction en positionnant clairement la notion d'identification par rapport aux notions d'inventaires des risques ou de quantification des risques.

L'inventaire des risques consiste à lister tous les risques auxquels un système peut être confronté, en d'autres mots, les risques auxquels une entreprise peut être exposée. C'est la tentative que nous avons réalisée pour organiser le sommaire de ce classeur. Vu la nature abstraite et complexe du risque, l'exercice fait appel aux techniques de modélisation, qui elles-mêmes nous amènent à faire des choix. Nous sommes là dans une recherche d'exhaustivité, tout en restant très lucides donc modestes sur ce terme d'exhaustivité, compte tenu de la grande diversité des risques et plus encore de l'existence certaine de risques que nous ne connaissons pas voire que nous ne pouvons même pas envisager, dans la mesure où ils sont au-delà de notre périmètre de connaissance. C'est pourquoi la modélisation choisie doit ouvrir des axes de recherche et de réflexion « extensibles ».

Le résultat de l'étape précédente reste un inventaire « à la Prévert ». L'identification des risques dont il sera question ici consiste à vérifier si les risques inventoriés existent réellement au sein du système observé. Ce qui sera fonction de l'activité du système, des process et processus déployés, des règles de gestion et des règles d'arbitrage mises en œuvre, des acteurs et de leurs compétences, etc.

Le complément naturel de cette identification est bien entendu la quantification. Cette dernière consiste à mesurer, quand cela est possible, la menace que constitue le risque identifié, en termes de probabilité et de gravité. Identification et quantification sont les deux opérations constituant l'évaluation des risques.

Rappelons rapidement à ce dernier titre, et parce que nous y ferons référence dans la méthode dite « objectifs/ressources », que l'on peut « classer » les risques en quatre catégories, dépendante de notre capacité à mesurer les deux critères d'évaluation que sont fréquence (ou probabilité) et la gravité :

• les risques avérés, dont on peut estimer avec précision la probabilité de concrétisation et la gravité des conséquences potentielles ;
• les risques potentiels, dont nous ne savons en l'état actuel des connaissances ne mesurer qu'un seul des deux facteurs, fréquence ou gravité ;
• les risques présumés, dont nous pouvons supposer avec quelques certitudes l'existence sans toutefois être capables d'en évaluer ni la fréquence ni la gravité ;
• les risques inconnaissables, dont nous pouvons juste nous convaincre qu'ils existent sans pouvoir les nommer ni même les imaginer puisque le danger est en dehors de notre champ de connaissance.

×