Tout le monde fait de l'évaluation des risques - mais le fait-il correctement ?

On procède quotidiennement à des évaluations de risques plus ou moins importantes, par exemple dans la circulation routière, le sport ou les cas médicaux. A cela s'ajoutent de nombreuses autres évaluations des risques que l'on effectue dans le cadre professionnel pour différentes raisons. Ces évaluations servent entre autres à décider d'investissements, à estimer les dépenses, à garantir la sécurité des produits ou la fiabilité des services.

Il est intéressant d'observer que l'évaluation des risques, à petite ou à grande échelle, est effectuée par tous les niveaux de l'entreprise. La portée de la décision qui en résulte ne dépend pas du niveau hiérarchique. Par exemple, l'évaluation d'une menace terroriste potentielle par un vigile peut éventuellement avoir des conséquences plus importantes, même à court terme, qu'une décision d'investissement prise par la direction. Cela montre que la qualité des évaluations des risques et des décisions qui en découlent est très importante à tous les niveaux de l'entreprise. Bon nombre de ces évaluations sont inconscientes, implicites ou automatiques, y compris dans le contexte commercial. Toutefois, certaines de ces évaluations sont effectuées de manière explicite, car elles sont nécessaires pour des raisons de gouvernance et/ou de conformité.

Connaissances et erreurs typiques

Les évaluations des risques effectuées pour des raisons de "bonne gouvernance" ou de conformité devraient au moins respecter certaines règles et normes minimales. Indépendamment de l'importance de l'évaluation des risques, nous commettons toutefois régulièrement des erreurs - parfois conscientes, parfois inconscientes. Du point de vue de l'auteur, ces erreurs peuvent être grossièrement réparties en trois catégories :

1. Sources d'erreurs de définition
2. Sources d'erreurs procédurales
3. Sources d'erreurs cognitives

Des risques qui n'en sont pas : Le groupe des sources d'erreurs de définition comprend entre autres des définitions de risques erronées, insuffisantes ou non convenues d'un commun accord. Cela rend difficile une évaluation correcte. On remarque ici - mais seulement en y regardant de plus près - qu'il n'y a souvent pas de compréhension commune entre les personnes impliquées. Ce seul fait est déjà problématique. En outre, les risques ne sont généralement pas liés de manière cohérente aux objectifs de l'entreprise. Cela aussi est problématique, car la pertinence des risques n'est donc pas forcément donnée. Enfin, les chaînes de causes et d'effets ne sont pas, par définition, remises en question. Au lieu de cela, on se contente souvent, "pour des raisons pragmatiques", de simplifications qui ne tiennent cependant que rarement compte de la complexité réelle des risques.

Tous ces facteurs font que de nombreux portefeuilles de risques ne contiennent pas seulement des risques, mais aussi des facteurs de risque, c'est-à-dire des facteurs qui influencent le risque proprement dit, ou encore des incertitudes, c'est-à-dire des situations ou des scénarios qui peuvent éventuellement se transformer en risque réel à une date ultérieure, mais pas nécessairement. La distinction entre risque et incertitude se fait sur la base des probabilités et du degré de concrétisation des conséquences. Comme les incertitudes peuvent aussi déployer leurs effets dans un sens positif, elles sont parfois aussi intitulées "opportunités".

En somme, il n'est pas rare que des évaluations de risques soient effectuées pour des risques qui n'en sont pas. Cela rend l'évaluation très difficile et la contrôlabilité presque impossible.

Processus d'évaluation des risques - immature, inapproprié, incomplet : Les lacunes dans la définition ont un impact direct sur le processus d'évaluation. Outre les sources d'erreurs de définition mentionnées, de nouvelles sources d'erreurs supplémentaires se cachent également dans le processus d'évaluation lui-même. ), il existe également des erreurs potentielles moins évidentes, dont voici quelques exemples :

- Le choix et la composition des participants à un atelier sur les risques peuvent à eux seuls influencer significativement le résultat.

- Le choix de la méthode a une influence massive sur le résultat et les décisions qui en découlent. La crise financière fournit un exemple éminent du choix d'une méthode inadaptée : avant la crise financière, toutes les banques ont misé presque exclusivement sur la méthode de la valeur à risque pour calculer le risque et ont réalisé des pertes gigantesques en cas d'effondrement des marchés hypothécaires. En effet, cette méthode ne présente des valeurs de risque réalistes que si les conditions générales restent constantes. En cas d'effondrement complet du marché, les valeurs de risque calculées sur la base de ce modèle ne sont justement pas correctes.

- Évaluation des risques sur la base de probabilités : Il existe des cas où cette méthode fonctionne bien et est judicieuse. Toutefois, il manque souvent, par exemple, une base de données statistiques appropriée pour une évaluation correcte ou les personnes concernées font des estimations massives. En outre, les probabilités offrent également un potentiel d'erreur considérable lors de l'évaluation ultérieure des résultats. Des scientifiques comme Gigerenzer et Kahneman & Tversky ont démontré de manière impressionnante que les probabilités sont plutôt inappropriées dans l'évaluation des risques dans de nombreux cas.

- A la fin d'un processus d'évaluation des risques, le résultat est généralement présenté sous forme de matrice visuelle. Même si cette matrice des risques est très répandue, cette représentation conduit souvent à des erreurs d'interprétation flagrantes en raison de la condensation des informations.

- Les listes de classement sont une représentation encore plus dangereuse (car trompeuse). Les approches de classement basées sur la multiplication des axes (probabilité multipliée par l'ampleur des dommages) sont particulièrement dangereuses à cet égard. Outre le fait que des grandeurs indépendantes ne devraient pas être mélangées entre elles, elles ne sont pas possibles du point de vue mathématique (échelles ordinales).

Les pièges cognitifs : Le troisième groupe de potentiels d'erreur comprend des aspects cognitifs qui, selon le cas, ont une forte influence sur le processus. Les effets suivants sont une sélection extrêmement abrégée des conclusions des professeurs Gigerenzer et Kahneman & Tversky, qui ont étudié ces questions de manière approfondie pendant des années. Ils influencent de manière significative l'ensemble du processus d'évaluation et donc le résultat. Pour le lecteur intéressé, des recommandations de livres sont jointes à la fin de l'article pour une lecture plus approfondie :

Premièrement, - L'illusion de la certitude : les gens ont tendance à rechercher la certitude. Parfois, cela va jusqu'à préférer une "valeur de risque précise" (même si elle est douteuse, voire fausse) à une fourchette de montants approximative (même si cette fourchette est beaucoup plus réaliste).

Deuxièmement, - Effet d'ancrage : dans le cadre d'une discussion de groupe sur l'évaluation des risques, il peut arriver que quelqu'un place, consciemment ou inconsciemment, ce que l'on appelle un "ancrage" en proposant une valeur X. Il s'agit alors d'un effet d'ancrage. Par la suite, il n'est souvent question que d'ajuster la valeur au lieu de la remettre complètement en question ou de lui en opposer une toute autre.

Troisièmement, - Surestimation de soi : les cadres ont tendance à surestimer leur propre jugement ou, plus précisément, la qualité de leur jugement. Cet effet a tendance à être renforcé chez les personnes qui ont particulièrement bien réussi (parce que, selon leur perception, elles ont fait beaucoup de choses correctement jusqu'à présent), en fonction de certains traits de personnalité et d'aspects situationnels.

Quatrièmement, - Effet de cadrage : cet effet décrit le fait que des problèmes théoriquement identiques devraient être décidés de manière identique par les mêmes personnes dans les mêmes conditions, même s'ils sont formulés de manière légèrement différente. Or, ce n'est pas le cas : même de légères différences dans la description du problème (donc du "cadre") peuvent conduire à des décisions totalement contradictoires ou opposées. Il y aurait encore divers autres pièges cognitifs, comme l'effet de conjonction, l'erreur de tir du joueur ou les aspects de la pensée de groupe, qui peuvent jouer un rôle non négligeable dans le processus d'évaluation des risques. Dans ce contexte, Gigerenzer ou Kahneman & Tversky parlent également d'"heuristics and biases". En résumé, les évaluations des risques sont donc massivement influencées par de tels effets cognitifs des personnes qui agissent. En combinaison avec les aspects de définition et de procédure décrits plus haut, une évaluation des risques peut donc rapidement aboutir à un résultat politiquement souhaité, mais éventuellement assez irréaliste.

Il existerait encore divers autres pièges cognitifs, comme l'effet de conjonction, le mauvais tir du joueur ou les aspects de la pensée de groupe, qui peuvent jouer un rôle non négligeable dans le processus d'évaluation des risques. Gigerenzer ou Kahneman & Tversky parlent également dans ce contexte d'"heuristics and biases".

En résumé, les évaluations des risques sont donc massivement influencées par de tels effets cognitifs des personnes qui agissent. En combinaison avec les aspects de définition et de procédure décrits plus haut, une évaluation des risques peut donc rapidement aboutir à un résultat politiquement souhaité, mais éventuellement assez irréaliste.

En conséquence, l'initiateur ou l'animateur d'un processus d'évaluation des risques doit être conscient de ces effets et s'assurer, par des mesures, une sélection et une animation appropriées, que ces effets sont éliminés ou équilibrés dans la mesure du possible. La norme ISO 31010 récemment révisée dans sa version 2019 offre une aide très efficace à cet égard.

ISO 31010:2019 - une norme utile pour l'évaluation des risques

Avec la nouvelle édition entièrement révisée de la norme ISO 31010:2019 "Risk Assessment Techniques", publiée en 2019, un nouvel ouvrage de référence est désormais disponible. Cette norme (environ 40 pages) fournit une aide détaillée sur la manière dont une "évaluation des risques" devrait se dérouler selon les experts, sur les aspects qui devraient y être pris en compte et sur laquelle des 41 méthodes décrites pourrait être utilisée et quand. Comme toutes les normes ISO, elle se base sur un consensus minimal. Cela signifie qu'il n'y a pas de directives contraignantes, mais uniquement des recommandations. Si l'utilisateur suit les recommandations, cela serait interprété comme une "bonne pratique".

La version précédente de la norme ISO 31010, datant de 2009, présentait des faiblesses évidentes au niveau du contenu et s'inspirait trop de la "norme mère" 31000 (gestion des risques). Les nouveautés de la version ISO 31010:2019 sont principalement les aspects suivants :

Scope élargi : Dans le cadre de la révision, le champ d'application a d'abord été épuré et élargi. L'idée de base est que la norme 31010 ne s'applique pas uniquement dans le contexte de la norme ISO 31000, mais qu'elle couvre le plus grand nombre possible de cas différents dans lesquels une "évaluation des risques" pourrait être requise. Il convient de souligner que l'incertitude peut également être un cas d'application explicite.

Concept clé et processus révisés : Alors que la version originale était étroitement liée à la norme ISO 31000, la nouvelle version met l'accent sur l'application et l'utilité. C'est pourquoi tout le texte et l'ensemble du processus d'évaluation des risques ont été revus de fond en comble.

aspects de la mise en œuvre : Dans le même esprit, un chapitre supplémentaire a été ajouté avec des aspects et des indications qui, du point de vue des experts, doivent être pris en compte lors d'une mise en œuvre.

Lien avec l'annexe : L'une des principales critiques formulées à l'encontre de la version précédente était l'absence de lien entre le processus et les nombreuses méthodes présentées en annexe. Cet aspect a donc fait l'objet d'une attention particulière à d'innombrables endroits lors de la révision et des indications correspondantes ont été placées dans la nouvelle version.

Choix de la méthode : Pour aider les utilisateurs, des instructions et des critères supplémentaires ont été élaborés afin de faciliter le choix d'une méthode adaptée à la situation et aux besoins de l'utilisateur parmi les nombreuses méthodes énumérées en annexe.

Révision de l'annexe : Enfin, l'inventaire des méthodes a été entièrement revu. Sur les 31 méthodes existantes, certaines ont été supprimées et d'autres ajoutées. Pour l'ensemble des 41 méthodes nouvellement listées dans la norme, une grille uniforme de deux pages par méthode a été définie, ce qui doit garantir des informations plus complètes et une meilleure comparabilité par méthode.

Dans l'ensemble, cette révision de la norme ISO 31010:2019 représente un saut quantique en termes de contenu par rapport à la version précédente. En résumé, il convient toutefois de souligner clairement que la norme ne doit pas être considérée - au sens figuré - comme un manuel de construction, mais plutôt comme un guide pour une utilisation adéquate de la "boîte à outils" disponible.

Perspectives et conseils pour le prochain assessment

En raison de la qualité de la nouvelle norme ISO 31010:2019, une recommandation d'utilisation de la norme pour la prochaine évaluation s'impose. En ce qui concerne certains points faibles explicitement abordés dans les évaluations des risques, les conseils suivants pourraient notamment s'avérer utiles :

- Veillez à ce que l'approche choisie corresponde à la complexité réelle de la situation. Cela implique également de choisir un "outil/une méthode approprié(e)" pour l'évaluation.

- Comme les probabilités sont souvent sujettes à erreur, il est recommandé d'utiliser plutôt les fréquences.

- Les échelles ordinales devraient être évitées dans la mesure du possible et remplacées par des échelles numériques. Celles-ci permettent ensuite d'effectuer des calculs.

- Travaillez et évaluez dans des fourchettes, car les valeurs exactes (ne sont pas du tout possibles, mais) ne conviennent que dans des conditions spéciales et offrent ainsi une fausse sécurité.

- Examinez de plus près les chaînes de causes et d'effets afin de distinguer les vrais risques des facteurs de risque. Les risques peuvent être évalués, les facteurs de risque peuvent être contrôlés.

- Faites éventuellement appel à un spécialiste.

- Veillez à ce que les hypothèses et le cadre de l'évaluation des risques soient bien documentés afin d'en faciliter la compréhension ultérieure.

Réaliser des évaluations des risques est un processus d'apprentissage et la prise en compte d'au moins la majorité des points mentionnés permettra d'améliorer considérablement la qualité de la prochaine évaluation des risques.

Vers l'auteur

Axel Sitt, Practice Lead Cyber Security & Privacy chez AWK Group AG. Il est titulaire d'un doctorat en gestion des risques et travaille depuis 20 ans dans les domaines de la gestion des risques et des crises, du SCI et de la sécurité informatique. Depuis 2012, il est délégué de la Suisse auprès de l'ISO, où il a contribué à la mise à jour de la norme 31000 et de manière déterminante à la révision de la norme 31010.

Références bibliographiques

• Gerd Gigerenzer : L'Eimaleins du scepticisme

• sur le bon usage des chiffres, éditions Piper

• Daniel Kahneman : Pensée rapide, pensée lente. Livres Pingouin

• ISO : 31010:2019 Risk assessment techniques (peut être obtenu auprès de SNV)