Présentation d'une cartographie des risques et de son utilisation

Qu’est-ce que la cartographie des risques ?

La cartographie des risques consiste avant tout en un schéma organisé autour d’un classement par couleur (heatmap”) des menaces pour la société. Si sa mise en place peut paraître simple, elle cache néanmoins une lourde organisation autour d’acteurs de différents niveaux hiérarchiques.

Définition officielle du “risk mapping” et schématisation

La cartographie des risques, ou “risk mapping” en anglais, trouve une définition détaillée dans les textes de l’Agence économique et financière (L'Agefi). Selon celle-ci, la cartographie des risques se caractérise comme “la démarche d’identification, d’évaluation, de hiérarchisation et de gestion des risques inhérents aux activités de l’organisation”.

Dans le cadre d’une démarche de gestion des risques dus aux failles de cybersécurité, la cartographie des risques recoupe donc deux buts :

• identifier et gérer les cyberrisques pour assurer la cybersécurité de l’organisation ;
• permettre à la direction générale et à la Direction des systèmes d’Information (DSI) de mettre en place les mesures de prévention nécessaires à une gestion efficace du risque cyber.

Le résultat de cette approche méthodologique est une “carte”, c’est-à-dire une représentation graphique. Cette carte synthétise les risques de l’entreprise au sein d’un tableau organisé en deux axes :

• l’axe horizontal détaille le niveau de gravité de la survenance effective du risque, de mineure à majeure, voire à “catastrophique” selon l’échelle que vous souhaitez adopter. Il dépend donc d’une évaluation nominale du risque cyber, et non mathématique.
• l’axe vertical illustre le niveau de probabilité de cette survenance du risque allant de l'improbable au très probable / certains, selon leurs survenances hypothétiques.

Il arrive que certaines entreprises cartographient leurs risques en inversant ces axes, la probabilité étant alors en abscisse et la gravité en ordonnée. Dans tous les cas, la criticité du risque correspond au rapport entre son impact et sa vraisemblance. Les risques cartographiés en bas à gauche du graphique représentent ainsi une probabilité et un danger faible. Plus le risque se place en haut à droite du tableau, plus il représente une menace réelle et grave.

Les codes couleurs jouent souvent un rôle important dans cette cartographie des risques. Le graphique se décline ainsi du vert au rouge. Le vert représente un risque acceptable et le rouge, un risque vraiment très important excédent parfois les capacités de tolérance de l’organisation.

Qui participe au risk mapping ?

Idéalement, la conception de la cartographie des risques cyber doit faire participer les représentants de toutes les fonctions principales de l’entreprise. Chaque collaborateur s’expose ou participe à des scénarios de risques, qu’il faut pouvoir identifier pour les mesurer. Il est donc important d’inclure au mieux les différents départements de votre structure, ainsi que tous les niveaux hiérarchiques, de la direction jusqu’aux opérationnels.

Du point de vue de la gestion du risque cyber, le responsable de la sécurité des systèmes d'information (RSSI) joue bien sûr un rôle majeur dans la mise en place du tableau des risques informatiques. Il opère néanmoins main dans la main avec la direction des risques si elle existe et avec le contrôle interne. Pas de risk management efficace sans une parfaite communication entre fonctions.

Pourquoi cartographier les risques de l’entreprise ?

Comme évoqué ci-dessus, la cartographie des risques est avant tout un outil de risk management destiné aux instances dirigeantes de l’entreprise. Elle a pour objectifs de répertorier les risques principaux pour la société, en couvrant à la fois le management, le commercial, les ressources humaines, les risques cyber, la corruption ou encore les risques naturels ou sanitaires. La visualisation schématique des probabilités et des impacts simplifie la compréhension des risques auxquels l’entreprise est exposée.

La cartographie des risques peut aussi se décliner pour chaque fonction de votre organisation. L’entreprise conçoit alors un risk mapping par catégorie de dangers : un pour la cybersécurité, un pour le management, un pour les ressources humaines, etc. Dans le domaine cyber, le tableau des risques a pour but d’assurer la bonne compréhension des risques liés aux technologies de l’information par l’ensemble des fonctions de l’entreprise et ainsi informer la prise de décision en matière de stratégie de cybersécurité.

Le risk mapping n’est par ailleurs pas une procédure obligatoire. Il peut néanmoins s’intégrer avec succès au document unique d'évaluation des risques (DUER), qui lui est prévu par la loi. Les entreprises cotées ont en outre le devoir d’adopter un dispositif de gestion des risques efficace, en répertoriant les risques majeurs auxquels elles s'exposent.

‍

‍

Comment réussir le risk mapping de votre société ?

Une fois que le principe qui régit la construction d’une cartographie des risques est acquis, reste à appliquer quelques principes et astuces pour que l’outil soit vraiment utile :

• Qui dit exhaustivité, dit aussi évolutivité : la carte doit être actualisée régulièrement et s’adapter à d’éventuelles nouvelles menaces ;
• Nommer les risques ne suffit pas : il faut les situer dans le fonctionnement global de l’entreprise ;
• La façon dont on détermine la fréquence et la gravité des dangers doit être définie et décrite en annexe du tableau des risques, comme le spécifie la norme ISO 27005 ;
• pour une réelle valeur prédictive, il peut être utile de l’associer à une méthode quantitative d’évaluation du risque en termes financiers. Une approche telle que la méthode VaR, Value at Risk, consiste à collecter des données statistiques pour établir des estimations probabilistes du cyber risque ; Elle est beaucoup plus rigoureuse et fiable que les approches qualitatives
• Cette cartographie doit rester un document accessible et compréhensible par tous les collaborateurs.

Dans cette optique de lisibilité, certaines structures prennent le parti de numéroter les risques les plus graves pour l’entreprise. C’est notamment la stratégie de “risk measurement" du cabinet de conseil McKinsey & Company. Celui-ci propose d’associer à la cartographie des risques cyber une numérotation de 1 à 4 pour les principaux cyberrisques. Dans l’exemple ci-dessous, la société identifie donc 4 risques graves : perturbation des services en ligne (1), fuite de données (2), cyberfraude (3), risque fournisseurs ou vendeurs (4).

Vous pouvez reprendre cette stratégie de numérotation pour faciliter la compréhension des collaborateurs qui ne participent pas à l’élaboration de votre cartographie des risques. Cette échelle relève effectivement de la subjectivité de votre groupe de travail, elle mérite donc d’être explicitée. En effet, tel que documenté dans la section 8.3 de ISO27005 et Addendum E2, cette approche qualitative basée sur des échelles nominales ou ordinales souffre de subjectivité, permet peu les comparaisons fiables entre scenarios de risque ou efficacité des mesures de protection et n’aide donc pas efficacement à la prise de décision. Ce n’est pas la representation graphique qui est en cause ici mais bien les méthodes de mesure de la proabilité et de l’impact qui ne sont pas fiables.

Quelles méthodes pour cartographier les risques cyber ?

Réaliser un risk mapping implique de se plier à une procédure en 4 temps minimum. Cette démarche, la plus habituelle, vise à identifier le socle de fonctionnement de l’entreprise et les risques qui peuvent le menacer. L’Agefi recommande, quant à elle, une méthode en 6 étapes.

La démarche de risk mapping traditionnelle en 4 phases

Dans bien des cas, la cartographie des risques se déroule simplement en 4 temps :

1 / Recenser les activités principales de votre structure et les actifs clefs;

2 / Identifier les risques menaces auxquelles elle pourrait être confrontées. Il s’agit, dans cette phase, de déterminer les vulnérabilités de votre entreprise. Dressez ici la liste des situations problématiques susceptibles de mettre votre société en situation de crise, voire de menacer sa survie. Dans le cadre de la cybersécurité, il faut donc examiner chaque cyberattaque potentielle : attaque DDoS, hameçonnage, rançongiciels, attaque par l'homme du milieu (MITM) et autres logiciels malveillants.

3 / Évaluer l’impact et la vraisemblance de survenance de ces risques. L’impact d’une cyberattaque peut notamment concerner la réputation de l’entreprise, l’arrêt de son fonctionnement, ses actifs financiers, ses infrastructures ou encore la sécurité des données personnelles de ses utilisateurs ou clients.

Donner un niveau de gravité à chacune de ces conséquences : vert, jaune, orange ou rouge. Attribuer ensuite à chacun de ces risques une probabilité d’occurrence, ici encore du vert (peu probable) ou rouge (très probable). C’est ce classement qui doit vous permettre d’aboutir à une cartographie des risques organisée autour de 4 niveaux d’abscisse et 4 niveaux d’ordonnées au minimum.

Notez que cette méthode de classement des risques à la fois nominale et ordinale relève d’évaluations personnelles, subjectives, influencées par le vécu et les représentations de l’équipe de travail. Pour un travail de prévention vraiment efficace, il peut être utile de la coupler à des méthodes de quantification financière des conséquences des principaux risques cyber. En effet, des études scientifiques ont montré le grand degré de subjectivité dont même les experts sont victimes (cf etude Harvard Business Review and 19710101 - Amos Tversky and Daniel Kahneman - belief-in-the-law-of-small-numbers-stats-org-uk.pdf )

4 / Identifier les mesures à mettre en place pour détecter ces cyberrisques avant leur survenue, ainsi que les moyens de réduire leurs impacts.

‍

Quelles erreurs courantes faut-il éviter lors de la conception de sa carte des risques ?

1 / Se focaliser sur les menaces avant d'avoir identifié les actifs critiques au fonctionnement de l'organisation pour lesquels on redouterait un des trois effets du triptyque C-I-D (Confidentialité, Intégrité, Disponibilité)

2/ Négliger les éléments du contexte dans lequel votre entreprise opère (business model, écosystème de l'entreprise, modèle B2B ou B2C, territoire géographique,...)

3 / Rester trop théorique dans les risques identifiés. Votre cartographie doit adresser des scénarios de risques précis, dont l'événement de perte redouté soit mesurable.

4 / Ne pas assez impliquer la direction générale, et les fonctions métiers car ce sont eux qui connaissent la chaîne de valeur de l'entreprise et les processus et les actifs critiques qui la sous-tendent.

5 / Se contenter d'une analyse qualitative, basée sur des échelles nominales et ordinales, qui part nature est subjectif. Le problème n'est pas le rendu final de la cartographie des risques mais la manière dont sont estimés la fréquence d'une part et l'impact d'autre part des sinistres.

Les limites de la cartographie des risques

L’avantage de ce type de cartographie c’est qu’elle est simple à comprendre. Le système de couleur a le mérite de la pédagogie et c’est notamment pour cette raison qu’il est aussi largement employé pour évaluer les risques quelles que soient les activités de l’entreprise considérée. Pourtant, cette simplicité peut aussi verser dans la simplification exagérée et/ou présenter des erreurs (cf ISO 27005, Annex E 2 ; How To Measure Anything in Cyber Risk – Doug Hubbard and Richard Seiersen)

Le problème, c’est que le monde a changé, les risques auxquels sont soumises les entreprises ont fortement évolué avec le numérique notamment. La cartographie des risques en l’état manque cruellement de précision. Elle gagne à s’associer à des méthodes mathématiques et probabilistes de quantification des risques cyber.

L’enjeu aujourd’hui est d’être en mesure de bien plus finement identifier les risques et leurs conséquences éventuelles en allant jusqu’à chiffrer cet impact en termes financiers. C’est extrêmement important notamment pour mieux piloter ses budgets de sécurité et notamment de cybersécurité.

Pour aller plus loin nous vous recommandons de vous intéresser à la méthodologie de quantification du risque FAIR™️.

‍