Présentation d'une cartographie des risques et de son utilisation

Qu’est-ce que la cartographie des risques ?

La cartographie des risques consiste avant tout en un schéma organisé autour d’un classement par couleur ("heatmap”) des menaces pour la société. Si sa mise en place peut paraître simple, elle cache néanmoins une lourde organisation autour d’acteurs de différents niveaux hiérarchiques.

Définition officielle du “risk mapping” et schématisation

La cartographie des risques, ou “risk mapping” en anglais, trouve une définition détaillée dans les textes de l’Agence économique et financière (L'Agefi). Selon celle-ci, la cartographie des risques se caractérise comme “la démarche d’identification, d’évaluation, de hiérarchisation et de gestion des risques inhérents aux activités de l’organisation”.

Dans le cadre d’une démarche de gestion des risques dus aux failles de cybersécurité, la cartographie des risques recoupe donc deux buts :

• identifier et gérer les risques cyber pour assurer la cybersécurité de l’organisation ;
• permettre à la direction générale et à la Direction des systèmes d’Information (DSI) de mettre en place les mesures de prévention nécessaires à une gestion efficace du risque cyber.

Le résultat de cette approche méthodologique est une “carte”, c’est-à-dire une représentation graphique. Cette carte synthétise les risques de l’entreprise au sein d’un tableau organisé en deux axes :

• l’axe horizontal détaille le niveau de gravité de la survenance effective du risque, de mineure à majeure, voire à “catastrophique” selon l’échelle que vous souhaitez adopter. Il dépend donc d’une évaluation nominale du risque cyber, et non mathématique.
• l’axe vertical illustre le niveau de probabilité de cette survenance du risque allant de l'improbable au très probable / certains, selon leurs survenances hypothétiques.

Il arrive que certaines entreprises cartographient leurs risques en inversant ces axes, la probabilité étant alors en abscisse et la gravité en ordonnée. Dans tous les cas, la criticité du risque correspond au rapport entre son impact et sa vraisemblance. Les risques cartographiés en bas à gauche du graphique représentent ainsi une probabilité et un danger faible. Plus le risque se place en haut à droite du tableau, plus il représente une menace réelle et grave.

Les codes couleurs jouent souvent un rôle important dans cette cartographie des risques. Le graphique se décline ainsi du vert au rouge. Le vert représente un risque acceptable et le rouge, un risque vraiment très important excédent parfois les capacités de tolérance de l’organisation.

Qui participe au risk mapping ?

Idéalement, la conception de la cartographie des risques cyber doit faire participer les représentants de toutes les fonctions principales de l’entreprise. Chaque collaborateur s’expose ou participe à des scénarios de risques, qu’il faut pouvoir identifier pour les mesurer. Il est donc important d’inclure au mieux les différents départements de votre structure, ainsi que tous les niveaux hiérarchiques, de la direction jusqu’aux opérationnels.

Du point de vue de la gestion du risque cyber, le responsable de la sécurité des systèmes d'information (RSSI) joue bien sûr un rôle majeur dans la mise en place du tableau des risques informatiques. Il opère néanmoins main dans la main avec la direction des risques si elle existe et avec le contrôle interne. Pas de risk management efficace sans une parfaite communication entre fonctions.

Pourquoi cartographier les risques de l’entreprise ?

Comme évoqué ci-dessus, la cartographie des risques est avant tout un outil de risk management destiné aux instances dirigeantes de l’entreprise. Elle a pour objectifs de répertorier les risques principaux pour la société, en couvrant à la fois le management, le commercial, les ressources humaines, les risques cyber, la corruption ou encore les risques naturels ou sanitaires. La visualisation schématique des probabilités et des impacts simplifie la compréhension des risques auxquels l’entreprise est exposée.

La cartographie des risques peut aussi se décliner pour chaque fonction de votre organisation. L’entreprise conçoit alors un risk mapping par catégorie de dangers : un pour la cybersécurité, un pour le management, un pour les ressources humaines, etc. Dans le domaine cyber, le tableau des risques a pour but d’assurer la bonne compréhension des risques liés aux technologies de l’information par l’ensemble des fonctions de l’entreprise et ainsi informer la prise de décision en matière de stratégie de cybersécurité.

Le risk mapping n’est par ailleurs pas une procédure obligatoire. Il peut néanmoins s’intégrer avec succès au document unique d'évaluation des risques (DUER), qui lui est prévu par la loi. Les entreprises cotées ont en outre le devoir d’adopter un dispositif de gestion des risques efficace, en répertoriant les risques majeurs auxquels elles s'exposent.

‍

‍