Pour une définition du risque informationnel

Résumé

Cet article propose une exploration du concept du risque dans le but de préciser la définition du risque informationnel.

Introduction

Dans un précédent article, nous avons mentionné que la sécurité de l’information, c’est la sécurité de l’informatique et de l’information. La sécurité c’est l’absence de risques inacceptables reliés aux technologies de l’information dans l’organisation, tel que présenté dans la figure ci-bas :

Le risque est pour l’organisation composé de l’ensemble des menaces et vulnérabilités, pas seulement celles reliés aux technologies de l’information mais toutes celles qui influent sur la disponibilité au moment opportun d’information exactes. De même les impacts peuvent aller au-delà des limites des technologies et de l’organisation pour inclure des ayants cause (stakeholders) divers. En quelques sortes, le sentiment de sécurité est la perception par les ayants cause de l’absence de menaces et de vulnérabilités qui sont susceptibles de se réaliser, selon l’analyse qui a été faîte (implicitement ou explicitement) de leur probabilité et des conséquences négatif sur l’organisation ou sur son environnement.

Le risque, souvent exprimé en fonction d’une formule mathématique, est la somme des probabilités de la réalisation des menaces et de l’exploitation des vulnérabilités tout en considérant leur impact. Le risque est donc, selon ces deux définitions, la représentation de la sécurité de l’information. La sécurité elle-même ne peut être directement mesurée qu’en relation au risque. Le risque étant fortement influencé par des facteurs subjectifs, sa mesure elle-même est empreinte de subjectivité. Toute mesure du risque devra prendre en compte cette subjectivité afin de tenter d’en tenir compte ou, mieux encore, de la limiter.

Dans cet article nous allons explorer un peu plus en détail le risque pour tenter d’en préciser la définition dans le contexte des risques informationnels.

L’organisation comme système

Si l’on regarde une organisation d’un point de vue positiviste, on peut voir l’ensemble des processus, les stratégies et les autres composantes de l’organisation. Nous pouvons observer l’organisation comme un système complexe qui acquiert certaines matières premières (Intrants), avec l’apport de capital humain, de ressources financières ou industrielles, afin de produire des biens, des services ou les deux (Extrants) pour des consommateurs, tel que représenté à la figure 1. Ce système complexe est un système technique dans lequel un même intrant pourra produire des extrants différents, sous l’influence d’influences externes (politiques, économiques, sociaux culturels, technologiques ou environnementaux) et d’influences internes (stratégie, humains, financiers). L’impossibilité de contrôler tout les influences externes et internes amène une certaine incertitude quant aux extrants. Chacunes des influences externes et internes agissants sur le système technique, contribuant au résultat final. Le nombre presque infini des influences externes et internes, la complexité de leurs interactions rendent l’ensemble des variables difficiles à isoler et à contrôler.

figure 1 : productions de biens

Nous pouvons aussi observer l’organisation d’un point de vue naturaliste, ou ethnographique. De ce point de vue, nous voyons l’organisation comme un système social, composé d’individus d’origines, de cultures, d’habilitées et de formation diverse qui se divisent la tâche et coordonnent leurs efforts dans un but commun. Ils forment le capital humain de l’organisation en créant une communauté, culture à l’intérieure de la culture nationale ou régionale dans laquelle elle se situe. Pour toutes sortes de raisons, ces individus apportent leur collaboration à un effort d’entreprise commune, érigée en société ayant une existance morale sous la forme d’une compagnie, incorporée, SARL. En échange de leur apport individuel, l’entreprise leur fournit un bénéfice, qui souvent prend la forme d’un salaire. Ces individus se voient assigner des rôles et des responsabilités à différents niveaux dans l’organisation, ce qui les amène à prendre des décisions, qui correspondent à leur situation, ayant des impacts sur l’organisation, le système. Ainsi, chaque individu dans l’organisation devient une variable dépendante susceptible d’avoir un effet sur les extrants à chaque fois qu’il pose un geste ou prend une décision.

L’organisation a une mission, elle a des objectifs à court, moyen et long terme qu’elle souhaite atteindre et qui lui permettront, lorsque atteints, de survivre ou de prospérer. L’organisation disposant de ressources limitées utilisera divers mécanismes de gestion afin d’optimiser l’allocation des ressources disponibles dans le but d’accroître la probabilité qu’elle atteindra ses objectifs. Ceci se fait généralement au plus haut niveau de l’organisation, souvant à l’intérieur de processus formels de planification stratégique cyclique, d’alignement stratégique, de systèmes de qualité ou d’amélioration continu, tel qu’illustré sur la figure 2.

Du processus de planification stratégique résultera des choix qui prendront effet dans le présent ou dans le futur pour influencer les systèmes techniques et mitiger l’influence des influences externes et internes sur l’atteinte des objectifs. Un grand nombre influences externes et internes agissent avec un certain niveau d’incertitude sur l’organisation. En principle, plus il y a de mesures de mitigation des influence externes et internes sur l’organisation, moins il y aura d’incertitude.

L’organisation-système technique, avec des objectifs et produisant des biens et des services, tente de dominer l’incertitude de divers moyens de mitigation. La planification stratégique est un de moyens de mitiger l’incertitude, d’autres moyens sont :

Les contrôles budgétaires et financiers;

La mise en place de processus de gestion des ressources humaines;

La documentation des processus d’affaires;

La mise en place de processus de gestion du changement (e.g. ITIL);

L’adoption de normes de qualité (e.g. ISO 9001);

L’adoption de normes environnementales (e.g. ISO 14001);

Les options de mitigation de l’incertitude sont nombreuses. Il est cependant bon de noter que certaines variables dépendantes, par exemple l’environnement, peuvent difficilement être influencé. Il est impossible, par exemple, d’empêcher une catastrophe naturelle telle un ouragan.

Historique du mot risque

Le mot risque proviens du terme italien (Moyen âge) risco signifiant rocher escarpé et du latin resecum signifiant coupant. À un temps ou le transport maritime jouait un rôle important, ce terme fut utilisé pour désigner le péril couru en mer lors de l’apparition des premières compagnies d’assurance (Gènes au 14ième siècle). Certains événements, comme le grand feu de Londres, en 1666, et le désastre de Lisbonne (1755) ont amené un changement de mentalité. Auparavant, les événements étaient à la grâce de Dieu, inévitables fruits du destin. Avec l’avènement du calcul de probabilité (Pascal et le Chevalier de Méré, vers 1654), de l’article de JJ Rousseau sur l’incertitude paru dans l’Encyclopédie de Diderot (1751), le risque est devenu un aléa de la vie sur lequel l’homme peut réfléchir, exercer une influence ou en limiter l’impact. C’est bien plus tard, avec les travaux de Knight publiés en 1921, que le risque fut associé à l’incertitude amené par des événements à venir sur les objectifs de l’organisation commerciale. Knight parle de risque lorsque les probabilitées peuvent être déterminées et d’incertitude dans les autres cas. La théorie de l’utilité attendue avec des probabilités objectives de von Neumann et Morgenstern (1944) est une théorie de décisions sur le risque.

Le risque aujourd’hui

Il n’y a pas une seule définition du risque. Une recherche de différentes définitions dans la littérature a permi d’en identifier plus de deux cents (200). Une recherche sur Google (define risk) réalisée en septembre 2006 a donné plus de soisante-quinze millions (75 000 000) de résultats. La plupart des définitions du risque intègre un élément de subjectivité, selon la nature du risque et du domaine. Le risque est fréquemment défini comme une fonction de la probabilité de pertes résultantes d’événements et de leur impact. Il existe aussi plusieurs sens au mot risque qui peuvent être associé à l’opportunité (risque de succès) ou dans un contexte littéraire, qui ont un sens différent du risque comme objet d’analyse en gestion des organisations.

Le guide 73 de l’ISO définit le risque comme la combinaison de la probabilité d’un événement et de ses conséquences. La définition précise que le terme « risque » est généralement utilisé uniquement lorsqu’il existe au moins la possibilité de conséquences négatives. Dans certaines situations, le risque provient de la possibilité d’un écart par rapport au résultat ou à l’événement attendu. Malheureusement, beaucoup de
ce qui a été écrit sur le risque est
basé sur des données anecdotales et sur des études limitées à un aspect particulier.

L’ensemble des définitions recencées suggère le risque comme:

  • Discontinuité
  • Dysfonction
  • Désastre
  • Fonction de l’utilité attendue (Risque ≈ $)
  • La différence entre ce qui était attendu ($) et la réalité
  • Mesurable avec la probabilité   Risque = (Pb(Ev) x Conséquence)
  • Subjectif, perçu

Ainsi, une définition du risque devra se retouver dans un contexte particulier pour être congruente. Si c’est une discontinuité ou une dysfonction, en relation à quoi? Un budget, une prévision, un espoir.

Le risque peut être perçu comme émanant de situation ou les choses ne se passent pas tel que prévue. Par exemple si l’on prend une pièce de monnaie, qu’on la lance en l’air et qu’on regarde la face sur laquelle elle est retombée. Deux résultats sont possible, pile ou face. Toute choses étant égales par ailleurs, si on la lance en l’air un grand nombre de fois, on peut penser que la pièce tomberais 50% du temps sur pile et la même chose sur face, chaque lancé individuel étant un évènement distinct. Si l’on souhaite que le résultat soit pile, l’espérance d’être individuel est de 50%, c’est-à-dire qu’il y a une chance sur deux que l’on aura le résultat attendu. Mais qu’en est-il du risque? Il n’y a que deux résultats possibles, à long terme les deux résultats seraient 50-50. Est-ce risqué? On sait ce qui se passera! Il y a peu de risque puisque l’ensemble des résultats, leurs distributions et leurs probabilités sont connues. Le risque n’est donc pas fonction de la probabilité dans ce cas on ne peu pas vraiment parler ici de risque. En fait, tous les résultats sont connus puisque la somme de toutes les probabilités de réalisation des événements est de 100%.

Prenons une pièce imaginaire à 3 faces. Dans ce cas, il y a deux chances sur trois que le résultat attendu ne soit pas le résultat escompté, mais est-ce risqué? Pas vraiment par ce que l’on sait très bien quels sont les résultats possible et l’on ne se surprendra pas que deux fois sur trois l’on n’aura pas le résultat escompté. Le risque ce n’est pas la chance. Il y a une différence entre la prise de risque, par exemple en affaires, et le jeu, tel que l’achat de billet de lotteries. Lorsque le nombre de faces dépassera ce que l’observateur sera en mesure de manipuler comme information cette situation change. Imaginer une pièce comportant un nombre inconnu de faces numéroté de 1 à 00 et aucunes façon de savoir le nombre total, on sait seulement que c’est plus de deux, plus de trois mais possiblement infini (00). Dans on tel cas il serait logique de lancer les pièces en l’air un certain nombre de fois et noter les résultats.

Nos expériences de lancer la pièce imaginaire 10 fois, on pourra penser que la pièce a au moins 5 faces. Puis dans une seconde expérience serait de lancer la pièce encore cent fois (100), nous pourrins penser que la pièce as-t-elle sept faces ou plus selon les résultats obtenus. Évidement s’il était possible de répéter l’expérience à l’infini, éventuellement la Loi des grands nombres suggèrent que la distribution des probabilités serait égale au nombre de faces de la pièce. Le problème c’est qu’un nombre infini de tests prendrais une période de temps infinie! La réalité du monde dans lequel nous vivons nous oblige à segmenter nos activités par unités de temps fixes et il serait impossible de réaliser une telle expérience. Si c’était le cas, le résultat serait exempt de risque, puisque tous les résultats possibles sont connus, mais c’est une situation impossible si le nombre de faces étaients inconnus et infini. La somme des probabilitées ne sera donc jamais égale à 100%.

C’est parce qu’il est impossible de connaître toute les issues possible d’une situation qu’il existe du risque. Le risque n’est donc pas dans la probabilité que se produire un évènement, même néfaste, mais plutôt qu’il se produire autre chose que les issues envisagées ou souhaitées. Il y a donc un lien entre le risque et les habiletés humaines à interpréter et comprendre une situation. De même il y aurait un lien autre le temps disponible pour faire les mesures et le risque. Comme on ne peut disposer d’un temps infini, il faut se limiter, dans les cas où la distribution des probabilités est inconnue, à une période de référence déterminé selon des critères significatifs à celui qui efectue l’analyse. Cette détermination peut se faire sur des critères objectifs ou subjectifs. Ils sont cependant soumis à des influences internes et externes multiples.

Prenons un autre exemple : Un piéton (vous) : Vous arrivez à une intersection munie d’un feu de signalisation et vous souhaitez la traverser afin de continuer votre chemin.

Allez-vous prendre ce risque?

Deux possibilités sont offertes, traverser ou ne pas traverser. Dans le cas ou le feu est vert. Sachant que sur les 1000 dernier accidents impliquant des piétons 70% sont survenue lors du passage sur le feu rouge et 30% sur un feu vert, il vous semble logique que tout individu sensé traverse sur le feu vert. Vous voyez un feu vert et vous décidez de traverser. Mais sachant, au ayant un savoir populaire, qu’il est possible qu’un véhicule (identifié par C) peut tourner à droite et entré en conflit avec le piéton. Vous regardez à votre droite pour voir se que fait le véhicule avant de traverser. Vous observer qu’il vous fait signe de traverser de la main, le risque de conflit est exempté, tous vas bien et vous traverser.

Dans ce cas la situation indésirable (que le véhicule renverse le piéton) n’est nullement possible puisque :

  • l’accord entre le conducteur du véhicule et le piéton on grandement réduit, voire éliminé, le danger;
  • Le piéton traverse au feu vert sans incident.
  • Toutes autres choses étant égales par ailleurs, le risque est nul.

Évidement la vie n’est pas simple et il pourrait y avoir d’autres éléments, un autre véhicule filant à grande vitesse qui ne peut être observé du point A par exemple. Mais dans un scénario simple le risque semble associé ã un évènement indésirable qu’il a été impossible de mitiger ou ã des évènements inconnus du point de vue de l’observateur. Ce n’est pas risqué de traverser l’intersection si l’on respecte un certain nombre de règles de base qui sont généralement enseigné dès l’enfance. On ne prend pas de chance en traversant une intersection on s’arrête, on observe et on prend une décision qui est fréquemment remise en question puisqu’on continue d’observer la situation en traversant.

On s’assure qu’il n’y a pas de nouvelles observations susceptibles d’influencer sur la vitesse avec laquelle on marche par exemple.

Le risque est-il disparu?

Certainement pas, mais si à chaque fois l’on regarde et applique la procédure, jusqu’à devenir un automatisme, le risque est bas ce que tout piéton vous affirmera. Les véritables sources de risque pour le piéton étant l’inconnu. Les automobilistes qu’il ne voit pas, le scooter qui sort de nulle part et n’a pas été anticipé ou les autres aléas de la grande ville. D’autre facteur relié à la perception et sens d’un individu spécifique, par exemple un problème de vision ou d’ouie, qui empêche de voir ou d’entend un véhicule venir, pourrait influencer la décision de traverser. Des facteurs culturel, telle que la tradition typiquement montréalaise des piétons au centre ville qui traversent systématiquement sur les feux rouges, pourront aussi jouer dans la perception du risque présent et donc sur la décision de traverser. Kahneman et Taversky suggèrent que le point de référence adopté par les individus afin d’estimer les situations à risque affecte la prise de risque. En quelque sorte, la tolérance au risque est une notion subjective en l’absence d’informations et d’outils pour l’analyser.

On peut distinguer deux types de risques objectifs et subjectifs. Le risque objectif, est mesurable, peut être déterminé par la probabilité qu’il se produise un incident à l’intersection sur la base d’informations statistique disponibles. Par exemple s’il y a en moyenne dix incidents par an à l’intersection ou traverse en moyenne 10000 piétons par an, on pourrait parler d’un risque objectif de 10/10000 ou de 1/1000 ou encore 0,1%. Donc 99,0% du temps il n’y a pas d’incident. Mais il y a aussi des risque subjectifs, tel que perçu par le piéton qui prend la décision de traverser. Disons un piéton qui se trouve à Montréal à midi, à l’intersection achalandée des rues Sainte-Catherine et Berri percevra le risque comme plus élevé qu’à la même intersection un dimanche matin tranquille.

Le risque objectif requiert un grand nombre d’observation pour être fiable. Ce sont les règles de la statistique qui s’appliquent et qui gouverne sur l’usage. Dans la réalité du piéton le risque objectif a probablement peu d’utilité.

Rares seront ceux qui connaîtront le nombre d’accidents à une intersection, ni même à une ville ou un état. Le piéton se fiera probablement à son évaluation in vivo de la situation qui s’offre à lui.

En résumé :

  • Le risque est en fonction de la distribution des probabilités des résultats et évènements.
  • Les situations ou l’ensemble des résultats possibles sont connus, ne sont pas des situations où le risque est élevé.
  • Certain risques peuvent être déterminé objectivement.
  • Le risque subjectif est présent lorsque des individus doivent prendre des décisions sur le risque.
  • Des risques externes peuvent survenir.

Reprenons ces énoncés dans le contexte du risque informationnel.

Le risque est en fonction de la distribution des probabilités.

En risque informatique l’on se préoccupe des risques reliés aux systèmes d’information. Par définition ces systèmes comportes des interfaces avec des systèmes extérieurs, en réseau par exemple et avec des individus. Voici des interfaces homme/machine, tel des claviers et des écrans d’ordinateur. Si ce n’est que pour ces raisons, il est fort difficile d’estimer objectivement de la distribution des probabilités des divers évènements susceptibles d’affecter les systèmes d’informationnel.

Quand le nombre de variables est l’aspect dynamique de ceux-ci permet, au mieux d’en identifier les principaux sur la base de mesure historiques, par exemple. Ceci nécessite l’accès à des données véritables et fiables. L’on pourrait discuter longtemps de la possibilité de définir l’ensemble des évènements potentiels dans une situation donnée théorique à un moment précis, la réalité du terrain suggère cependant qu’il n’existe que peu d’environnement technologique sur lesquels l’on possède assez de données objectives permettant de produire des résultats statistiquement significatifs. Les risques reliés aux infrastructures; naturels et autres peuvent être évalué objectivement si ces derniers sont disponibles.

Les situations ou l’ensemble des résultats sont connus ne sont pas des situations ou le risque est élevé.

Un système d’information qui aurait un risque limité, des interfaces simples dans des processus limités, une situation probablement peu fréquente, qui aurait des vulnérabilisées connues et vérifiées sur une longue période aurait un niveau de risque peu élevé. La réalité du terrain nous suggère que dans un tel cas les risques devraient être maîtrisés, ce qui semble appuyer cet énoncé. Ainsi un système qui est en fonction depuis un certain temps et qui rencontre les conditions énoncés aura protection qu’un nouveau système d’information.

Quant toutes les sources de problèmes, ou un grand nombre de ceux-ci sont connues, le risque est moindre. Il est cependant important de mettre en place des contrôles interne et des processus afin de s’en assurer. De plus des changements aux conditions à remplir, des changements dans l’environnement ou dans le contexte influent.

Certain risques peuvent être déterminés objectivement.

Un système d’information dépend en parti d’éléments techniques, comme des serveurs ou des équipements de télécommunication. Ceux-ci sont composés d’élément dont les caractéristiques de fonctionnement ont généralement été conçues par des ingénieurs. Ainsi il existe fréquemment des donnés sur l’intervalle moyen entre les défaillances ou encore sur la disponibilité. Par exemple, un disque rigide ayant un intervalle moyen entre les défaillances de 20000 heures (un peu plus de 3 ans en usage continu) aurait une probabilité objective de défaire une base annuelle de 1/3. En appliquant des règles statistiques et lois de la probabilité, il devient possible de calculer l’ensemble des risques objectifs qui sont reliés à un système d’information, un processus, une unité d’affaires ou une organisation. L’ensemble des risques objectifs formant une partie du risque total. Le risque total, sera égal ou supérieur au risque objectif.

Le risque subjectif est présent lorsque des individus doivent prendre des décisions sur le risque.

Quand il s’agit de risque informationnels y a de nombreuses sources de risque qui peuvent être catégorisés comme subjectifs. Une partie des risques objectifs peuvent même s’y retrouver si les données objectives ne sont pas disponibles. Par exemple, les situations ou des modifications volontaires ou involontaires des données peuvent avoir un impact sur les résultats de l’organisation impliquent un évaluation des résultats attendus. Ceci peut rarement être fait sur une base objective. L’objectivité du risque subjectif devra se faire dans un cadre rigoureux pour avoir la moindre validité. L’identification des composantes du risque subjectif implique la quête de données qui sont détenues par des individus dans notre contexte, les concepteurs, les utilisateurs, opérateurs et propriétaires d’un système d’information, afin d’en comprendre le rôle dans l’atteinte des objectif et l’impacte sur les résultats de divers scénarios probables. Dans une organisation moderne l’inter dépendance entre les systèmes organisationnels, les connaissances et les résultats, signifie que la quête de données implique l’ensemble des membres d’une organisation et souvent aussi ses fournisseurs et ses clients. Il devient alors impossible de toute la capturer (saisir), il est nécessaire de procéder par un échantillonnage, ce qui introduit un grand niveau de complexité à l’oeuvre. Afin de limiter les biais qui peuvent être introduit par l’échantillonnage des méthodes qualitatives formelles peuvent fournir un cadre rigoureux.