10 septembre 2021
Lecture 5 mn
//= do_shortcode('[addthis tool="addthis_inline_share_toolbox_wznq"]') ?>
Qu'est ce qu'un risque émergent ? par Béatrice Bonmichel
Qu’est-ce qu’un risque émergent ?
La notion de risque émergent revient de manière récurrente. Pourquoi aujourd’hui ? Les enjeux cyber et climatiques ont-ils été déterminants pour mettre en exergue cette notion ? L’idée d’émergence dynamise des cartographies qui se sont installées confortablement dans un formalisme revu périodiquement. Elle peut être révélatrice d’une évolution des consciences aux enjeux de responsabilité face à une appétence aux risques qui doit être assumée. La définition du risque émergent Quelle pourrait être la définition du risque émergent ? Qu’est-ce qui émerge ? Si nous prenons le risque climat, est-ce un risque émergent ? A l’échelle de la planète, c’est un risque présent depuis des millions d’années et qui évolue de manière significative depuis de nombreuses années. A l’échelle de l’entreprise, est-ce un risque de plus ou …une contrainte de plus (et opportunités pour les entreprises qui œuvrent à la réduction des impacts) ? La notion de risque émergent pourrait s’apparenter à un phénomène, un scénario relevant parfois du domaine de la science-fiction ou de l’improbable. Existe-t-il dans les cartographies actuelles des scénarios totalement nouveaux ou improbables ? Ou bien le risque émergent est-il celui pour lequel l’entreprise n’était pas préparée, que l’entreprise n’avait pas (suffisamment) anticipé ? Si nous comparons la cartographie d’une entreprise en 2010 et celle de 2021, de nouveaux scénarii sont apparus avec des niveaux de probabilité basés sur l’expérience et/ou la perception du risque. Quelles sont donc les origines de ces nouveaux scénarii ? L’évolution de l’exposition au risque liée au contexte environnemental et opérationnel Prenons l’exemple des risques sanitaires dans les chaînes alimentaires. Il est clair que l’expression des risques sur ce processus n’est pas le même qu’il y a 30 ans. Les procédés ont évolué et certains risques qui existaient autrefois n’ont plus cours aujourd’hui et vice-versa. L’évolution des technologies rend le risque cyber significatif. Si le risque d’interruption d’une activité, de quelque manière qu’elle soit, n’est pas émergent, son expression dans un contexte de technologie avancé, l’est. Le contexte de pandémie et la réponse par le télétravail rendent les risques psycho-sociaux, non pas nouveaux en tant que tels, mais significatifs ou plutôt « exacerbés » selon l’évolution du contexte. Enfin, une entreprise peut faire évoluer son périmètre d’activité (par exemple en se développant dans de nouvelles zones géographiques) et faire ainsi « apparaître » de nouveaux risques qui ne sont pas émergents pour toutes les entreprises. Ainsi, certains risques disparaissent ou se réduisent de manière significative et d’autres trouvent de nouvelles modalités d’expression. L’émergence porte alors sur la surface d’exposition et l’évolution de cette surface. Le renforcement du corpus réglementaire Toute évolution réglementaire comporte son volet de risque même si le cadre réglementaire est là pour encadrer certains risques. Quelle cartographie d’entreprise sensible aux données n’a pas intégré les enjeux de données (dont les données personnelles sous l’influence de RGPD) dans sa cartographie ? Qui n’a pas systématisé le risque de corruption (pour les entreprises soumises à Sapin II) ? Le cadre normatif suivant généralement les évolutions de l’environnement (économique, social, sociétal, géopolitique etc.), de nouveaux risques seront à traiter dans le futur, portés par la réglementation. Il en est ainsi des enjeux RSE qui se développent sous l’influence, notamment, des évolutions réglementaires. Les interactions entre un risque et sa(ses)réponse(s) Les réactions mises en œuvre face à un risque contribuent également à l’évolution potentielle des risques. Le développement de l’intelligence artificielle, l’évolution de la génétique ou l’automatisation des processus (censée réduire certains risques liés au processus manuel ou la fraude) contiennent en eux-mêmes des germes de risque dont nous ne connaissons pas encore toutes les expressions. Plus l’environnement se développe à partir de ce qu’il connait, plus il augmente les combinaisons de causes à effets, même s’il en réduit d’autres… ce qui augmente l’incertitude. La meilleure compréhension des causes et l’évolution des zones de vulnérabilité La perception du « danger » évolue. C’est le rôle de l’exploitation des bases de pertes et surtout d’incidents de nous éclairer sur des causes récurrentes et/ou nouvelles et qu’il faut prendre en compte. Les risques inhérents aux systèmes d’information n’étaient pas significatifs au début des années 90 mais cela ne veut pas dire qu’ils étaient absents. Aujourd’hui, à l’ère du full digital, des interconnectivités entre les systèmes et de l’usage des nouvelles technologies dans les activités des entreprises, les enjeux sont significatifs et le « danger » lié à une interruption de système est clairement identifié. En revanche, si l’expression des causes évolue, les notions-clés attachées aux causes sont généralement déjà appréhendées ; c’est ce qui rend le référentiel COSO si universel : défaut de procédure, de séparation des tâches, de compétence, dépassements de limites etc. restent des grands classiques des vulnérabilités donnant prise au(x) risque(s). N’est-ce pas alors plutôt la perception des acteurs qui est émergente sur certaines causes, l’évolution des prises de conscience permettant de prendre en compte des causes qu’on préférait ignorer ? Les causes peuvent évoluées dans leur modalité d’expression ; les conséquences restent néanmoins relativement stables : financières, juridiques, commerciales, humaines etc., elles sont généralement correctement anticipées ; La difficulté restant de les mesurer… Comment piloter alors l’émergence de nouvelles typologies de risque ? Le suivi d’indicateurs reste le point-clé du dispositif. Il s’agit notamment d’indicateurs permettant :- D’appréhender les évolutions stratégiques significatives (évolution de l’activité, externalisation, automatisation etc.) ;
- D’appréhender les évolutions de l’environnement externe et externe (facteurs de risque) ;
- D’analyser les pertes et les incidents (récurrents ou ponctuellement significatifs) ;
- De piloter l’adéquation et l’efficacité des contrôles-clés.