Recensement des écrits sur le risque
Le risque La gestion du risque La mesure du risque Évaluation des menaces et du risque Le changement Culture Systèmes Bibliographie
Le recensement des écrits a été effectuée à partir des banques de données en  technologies de l’information et médecine. 
L’objectif étant de comprendre la gestion du risque informationnel pour aider à  assurer la sécurité des actifs informationnels. La sécurité est considérée  nécessaire parce que la technologie appliquée à l’information crée des risques. La  notion de risque dans la littérature est centrale par rapport à l'objecti f.
L'encadrement formel du risque demande qu'une définition de ce qu'est le risque  dans le contexte de l'organisation soit déterminé consensuellement. Ce n'est  qu'après un accord sur ce que constitue le risque dans le contexte que les  opérations impliquées dans une décision sur le risque peuvent, implicitement ou  explicitement, être mise de l'avant dans l'organisation. Cependant chacune des  opérations est sujet aux biais mentionnés (paralogismes, heuristiques, etc.).  Mentionnons quelques exemples de problématiques en relation aux opérations  cognitives impliquées dans une décision sur le risque :
  • L'identification des scénarios à envisager dépend de l'interprétation par  l’individu de la définition du risque informationnel, de sa connaissance de  l'organisation et de sa culture (ses croyances, ses valeurs), de ses habilités à  concevoir des scénarios complexes. En l'absence de données fiables, les  scénarios sont influencés par les mythes et les légendes du groupe et des  individus.
  • La difficulté de faire des prévision à priori des conséquences possibles  futures ou d'évaluer avec confiance les possibilité dans des situations  d'information incomplètes. 
  • La difficulté d'identifier les variables susceptibles d’influencer l’utilité attendue  (e.g. la valeur future de l'information exacte) du point de vue de l'ensemble des  ayants cause.
  • La complexité inhérente à l'évaluation des probabilités en l'absence de  données rétrospectives fiables et suffisantes ou de connaissance de l'histoire  de l'organisation.
  • Finalement, les différentes stratégie décisionnelle disponible et légitimes,  selon les contraintes de l'organisation et la situation particulière.
La nature subjective de ce que constitue un risque acceptable complexifie l'atteinte  d'un consensus dans une organisation sur une définition du risque informationnel.  Par surcroît, la nature dynamique du domaine de la santé demande une souplesse  et une adaptabilité sensible aux besoins d'un plus grand nombre d'ayant cause. La  nature même du sujet à l'étude indique qu'une exploration est nécessaire afin de  mieux le comprendre. Plus qu'un phénomène, le risque est un construit social qui  est lié aux valeurs et aux croyances des ayants cause d'une organisation. Il existe  bien un risque objectif, mais il représente qu’une partie de l'ensemble des risques.  Les choix, rationnels ou non, positiviste ou naturaliste, pour la mise en oeuvre de la  gestion de risque informationnel, formel ou informel, sont aussi liés à des  constructions sociales.
Les vulnérabilités inhérentes aux systèmes d'informations étant les résultants de  décisions organisationnelles dans un contexte donné, il y a un lien causal entre les  décisions et les vulnérabilités présentes. Ce lien est influencé par les individus qui  prennent les décisions. Les facteurs qui influent sur ces décisions sont un  déterminant à prendre en compte dans la construction sociale du risque  informationnel. Les menaces, qui exploitent les vulnérabilités, sont aussi tributaires  des décisions d'individus quant aux moyens en place pour les mitiger et, dans bien  des cas, des individus sont des déclencheurs (e.g. Un hacker) ou des catalyseurs  (e.g. un fraudeur). Il y a des déterminants subjectifs et sociaux dans les  vulnérabilités et les menaces. En même temps l'impact de l'exploitation de  vulnérabilités ou de la réalisation de menaces peut être influencé de façon  significative par des aspects sociaux (e.g. atteinte à la réputation).
Il est nécessaire d'explorer les différentes variables (individus, information,  menaces, vulnérabilités, impact) afin de comprendre les relations entre celles-ci.  De même, il est nécessaire de comprendre l'impact des technologies sur la  perception du risque. 
Haut - Top