IDENTIFICATION ET HIÉRARCHISATION DES RISQUES

Maintenant que nous avons décrit comment les aspects contextuels, relationnels et personnels influencent la manière dont la gestion des risques se déroule, nous aimerions nous pencher sur deux éléments qui nous sont apparus ressortir de manière particulièrement importante lors des entrevues : le processus d’identification et de hiérarchisation des risques (l’un de nos objectifs spécifiques), et la difficile conciliation entre les intérêts sécuritaires et la profitabilité de l’entreprise.

En effet, nous pouvons affirmer que le processus de gestion des risques dépend d’un nombre important de facteurs, tant contextuels que relationnels. Pour ces raisons, le processus d’identification et de hiérarchisation des risques relève d’un exercice qui doit constamment être revu et corrigé. «J’te dirais que c’est tout le temps un processus qui est à revoir, à refaire» (Interviewé 2). Dans le commerce au détail par exemple, l’analyse de risques est encore loin d’être systématique et la hiérarchisation des risques dépend en grande partie de la culture informationnelle en place ainsi que des initiatives entreprises par le gestionnaire de la sécurité. En matière de gestion des risques informationnels, ces derniers s’entendent toutefois pour dire que ce qui constitue, semble-t-il, le plus grand

30 _{Sondages annuels de PricewaterhouseCoopers, Deloitte et Ernst & Young relativement aux risques} informationnels (2010 à 2013).

risque, est sans contredit le vol de données à partir de cartes bancaires (cartes de débit et cartes de crédit). Récemment (la période diffère d’un gestionnaire à un autre), on remarque cependant un changement dans la manière de gérer le risque dans le secteur du commerce au détail: «Avant, certains risques ne se voyaient pas ou alors moins. On acceptait la perte «mystère», donc le risque car la source demeurait inconnue. Maintenant, on identifie mieux le risque, on accepte moins les pertes et on en parle» (Interviewé 12).

Nous avons aussi constaté au cours de nos entretiens, que les méthodes pour évaluer le risque varient grandement d’une entreprise à une autre. Cependant, la plupart des gestionnaires interviewés utilisent une approche combinant les analyses qualitatives et quantitatives. Par qualitative, on fait principalement référence à des échelles de classification de type descriptif à trois ou cinq niveaux, allant de «risque non significatif» à «risque très élevé». Même s’il s’agit de démarches standardisées, certains facteurs d’ordre contextuel et/ou relationnel viennent parfois influencer l’évaluation des risques. Si certains dossiers "brûlants" pouvant par exemple affecter la réputation de l’entreprise nécessitent une attention immédiate, d’autres risques disons-le, moins prioritaires, devront faire l’objet d’une réévaluation ultérieure. «Si le risque est moyen, on va doser. On va peut-être essayer de l’adresser mais on va regarder est-ce qu’y a un projet au cours de l’année qu’on pense qui va pouvoir toucher à ce volet là et si oui, ben on va l’adresser dans le projet en question» (Interviewé 5). Même lorsque certains risques importants sont identifiés, si ceux-ci peuvent être contrôlés par des mesures temporaires, des projets à plus long terme seront initiés. Ces projets, pouvant se dérouler sur une période allant de trois à cinq ans, demandent temps et investissements et sont répartis en plusieurs phases. Ce que nous constatons auprès des interviewés, c’est que malgré une technologie qui évolue rapidement, la mise en place de procédures ou de nouvelles méthodes de contrôle peut se traduire par un processus long et fastidieux. Toutefois, lorsqu’il est question de risques liés à des obligations légales, règlementaires ou contractuelles, la plupart des gestionnaires s’entendent pour dire qu’il s’agit de cas hautement prioritaires.

Les échelles quantitatives sont quant à elles beaucoup plus complexes et laissent peu de place à la subjectivité : il est question notamment de l’élaboration de scénarios de risques et de modélisation mathématique. L’un des gestionnaires interviewés nous a par ailleurs admis que selon lui, il y a très peu d’entreprises qui n’utilisent que la méthode quantitative : «C’est pas réaliste de ce que j’ai vu sur le marché à date» (Interviewé 5). Nous avons en effet pu constater que l’analyse qualitative demeure largement utilisée par les gestionnaires de la sécurité. Toutefois, lorsque les risques deviennent trop nombreux et que la matrice de risques se complexifie, la méthode quantitative n’est plus une option, comme nous en a fait part l’interviewé 8 :

«(…) on a entrepris ce qu'on appelle un cyber risque deep dive. C'est- à-dire qu'on a fait une analyse de risque en profondeur de tous nos secteurs d'activités qui touchaient à la gestion de l'information pour savoir où on était à risque. Au bout de 18 mois, on a dit : il manque des risques dans votre matrice. On aura ajouté 47 risques dans la matrice. Alors, ces risques-là se sont retrouvés en addition à la matrice de risques qu'on avait élaborés. On a une matrice cinq par cinq».

Les gestionnaires nous ont aussi mentionné qu’ils comptent sur la fiabilité des rapports remis par les auditeurs internes et/ou externes en matière d’identification et de hiérarchisation des risques:

«Eux vont auditer tes systèmes, vont faire des rapports. Pis là moi dans le fond, c’est là que j’entre en jeu. Quand les rapports arrivent, on me les donne, pis là on me dit « gères ça!» (…) parce qu’un auditeur va te donner une note par exemple, bon, moyen, mauvais, extrêmement mauvais» (Interviewé 11).

Bien que ces rapports soient essentiels au bon fonctionnement du processus de gestion des risques, certains interviewés nous ont admis que les recommandations des auditeurs sont parfois irréalistes et ne tiennent pas compte de la multitude d’acteurs qui

interviennent dans ledit processus ni des objectifs de l’entreprise en matière d’efficacité organisationnelle et de profitabilité. Les propos de ce gestionnaire résume bien cette situation : «Je sais interpréter ce qu’ils disent et moi, je sais la réalité, j’sais c’est quoi l’implication ou si on veut, le travail qu’il y a à faire pour mettre en place ce qui nous manque. Parce que souvent, eux-autres, y ont des objectifs qui sont peu réalistes» (Interviewé 11).

Est-ce que cette divergence constitue un obstacle à la gestion des risques informationnels ou assistons-nous à une forme de négociation où il est question de faire des compromis sur certains éléments au «meilleur intérêt de chacun» (Rémy 1996, p.13)? En fait, nous avons noté au fil des entretiens que l’identification et la hiérarchisation des risques relèvent d’un processus où les transactions sociales sont omniprésentes, à différents niveaux, forçant une modification du contexte, conséquence des interactions, des objectifs poursuivis et ultimement, des décisions qui sont prises. Ainsi, à travers l’analyse multidimensionnelle des risques, s’imbriquent, de manière parfois chaotique comme nous avons pu le constater, ce jeu d’acteurs d’où émergent des solutions qui, loin d’être parfaites, conviennent à toutes les parties jusqu’à ce qu’un nouvel élément s’ajoute et que le processus redémarre.

4.5 PROFITABILITÉ DE L’ENTREPRISE ET SÉCURITÉ : OBJECTIFS