Les chocs extrêmes : des risques que les entreprises globales ne peuvent plus se permettre d’ignorer (partie 2)

Cybersécurité et confiance numérique

Publié le

Nous évoquions dans la tribune précédente les fameux Cygnes Noirs de Nassim Nicholas Taleb (événements aux probabilités non mesurables mais aux impacts extrêmes), et leur occurrence de plus en plus forte ces dernières années.

Bien que leur nature ne s’y prête pas facilement, il est pourtant devenu incontournable de faire rentrer ces risques dans le champ de réflexion des entreprises, et d’y apporter des réponses.

Mieux appréhender l’incertitude : raisonner à partir des impacts

Dans un premier temps, il convient sans doute d’arrêter de considérer ces risques comme imprévisibles « par nature ». Bien souvent, ils n’ont été tenus éloignés des réflexions du management que par une posture de déni (« impossible que ça arrive, c’est trop énorme »), parfois masquée derrière un apparent rationalisme (« on a déjà bien d’autres risques, beaucoup plus probables, à traiter »).

Si l’histoire récente a parfois obligé les entreprises à s’améliorer sur ce point, il semble possible de progresser encore, en développant une réflexion « inversée » sur les risques, consistant à partir des conséquences (en l’occurrence catastrophiques), et à en déduire la liste des causes potentielles.

Déjà appliquée dans le domaine financier (« reverse stress-testing »), et bien connue des experts en continuité d’activité, elle permet souvent de « décoincer » les esprits, et par ailleurs d’ébaucher une réflexion pertinente sur les modalités de traitement de ces risques.

Capitaliser sur le risk management en place, via la notion de « cascade de risques »

Il faut ensuite mobiliser le dispositif de gestion des risques déjà en place (les processus d’Enterprise Risk Management – ERM), qui a généralement permis de cartographier les risques financiers et opérationnels, en laissant souvent de côté nos fameux Cygnes Noirs.

Il s’agit alors d’établir les liens entre ces risques si particuliers et les risques classiques déjà identifiés, en travaillant sur les interdépendances et en faisant apparaître les cascades de risques, qui sont le plus souvent à l’origine des vraies catastrophes (cf. l’exemple classique de la défaillance – à cause du froid – d’un joint de la navette Challenger en 1986).

Le résultat de ce travail montrera sans doute que les Cygnes Noirs ont une fâcheuse tendance à entraîner dans leur sillage la concrétisation de plusieurs risques « classiques » simultanément… mais il permettra de faire le lien avec une réalité connue.

Bâtir une organisation résiliente

Enfin, puisqu’identifier des risques sans les traiter reste un exercice théorique assez vide de sens, la question des solutions doit être posée.

La multiplicité des menaces potentielles rend difficile l’identification d’une solution miracle, mais on peut néanmoins remarquer qu’elles sont pour la plupart géographiquement concentrées : dès lors, les solutions classiques de continuité (repli des utilisateurs sur un site distant, redémarrage du SI sur un datacenter distant) peuvent être envisagées.

A la difficulté près qu’elles sont parfois invalidées par les risques eux-mêmes, et que des solutions alternatives doivent être pensées en amont: par exemple, comment déplacer les équipes quand un ouragan bloque tout le trafic aérien ? (élément de réponse : en faisant porter l’activité par d’autres équipes).

Les organisations les plus matures ont déjà intégré cela dans leur réflexion, et bâtissent nativement des processus et organisations résilients entre plusieurs sites distants : certaines banques d’investissement ont ainsi réparti leurs desks les plus critiques entre les plates-formes londonienne et parisienne, chaque opérateur disposant d’un back-up sur l’autre plate-forme. Pour plus de réactivité, un flux vidéo entre les deux est même mis en œuvre, afin de pour pouvoir rapidement évaluer la nécessité de « reprendre la main » sur les opérations en cours. Dans ce cas, aucun impact… si ce n’est la capacité à absorber le volume d’opérations habituel.

Même dans ce cas, attention toutefois à ne pas se sentir totalement protégé : les nouvelles menaces de type cyber-attaques n’ont que faire de la localisation de leurs cibles. Dans ce cas d’autres mesures, déjà largement développées sur ce site, sont alors à envisager !