4.19 Identification des menaces
Anderson(1994) Gougeon(1997) Stirling(1999) Stirling(1999) Hillson(2001) Tregear(2001) Hillson(2001) Tregear(2001) Brukner(2001) ISO Guide73(2002) ISO13335-2(2002) Padayachee(2002) Blakley(2002) IVRI(2004) Vol d identité Hackers Anderson(1994)
Identification du risque
Le risque est un phénomène naturel qui est présent partout. Chez les humains, les réflexes  naturels de la peur et de l’anxiété, sont un indicateur de la présence d’un risque inopiné. Dans  le cas de l’homme c’est une question de survie qui a emmené le développement d’un sens  naturel d’identification du risque, la peur. Cette habilité est intrisèque à l’homme, inscrite dans  son code génétique. Pour une organisation, il n’y a pas de mécanismes naturels possible pour  identifier la présence du risque, encore moins pour alerter d’un danger ou prendre des actions  défensives par rapport à une situation à risque, comme la peur engendre chez l’humain.
L’organisation, système social que nous avons présenté précédemment, n’a aucune façon de  développer des mécanismes de défenses naturels. Les individus membres d’une organisation  peuvent réagir en réaction à des événements ou face à une situation, ils doivent intervenir en  prenant une décision ou en posant des actions. Une organisation peut mettre en place des  mécanismes, des processus ou des outils qui pourront influencer le risque. Cependant, des  individus doivent exécuter des actions et prendre des décisions sur leur sélection, leur  configuration et leur utilisation.  De même que mentionné plus tôt, comme tout système  technique sous l’influence d’éléments externes (politiques, économiques, sociaux culturels,  technologiques ou environnementaux) et internes (stratégie, humains, financiers), l’impossibilité  de tout contrôler amène une certaine incertitude. En plus ces éléments peuvent interagir entre  eux, de façon discontinue dans le temps et avec des résultats imprévisibles.
Il est aussi important de remarquer, comme le dit le Professeur Lagadec :
‘…, jadis, on pouvait séparer aisément risque «naturel», risque «technologique»,  risque «social». Aujourd’hui, tout risque naturel est clairement remis dans le  cadre de la responsabilité humaine directe; tout accident est suspecté d’être de  nature terroriste – et lever le doute peut s’avérer délicat; toute interrogation sur  les vulnérabilités au terrorisme renvoie aux choix technologiques.’ 
(Lagadec, 2003)
Pour réduire le risque, une organisation doit essayer de rendre les résultats prévisibles. Des  individus dans l’organisation doivent identifier les variables dépendantes et indépendantes. Ils  doivent consciemment essayer de comprendre comment la variable dépendante influe sur la  variable indépendante. Ensuite, ils doivent envisager des scénarios susceptibles de se produire,  estimer leur probabilité, les prioriser et prendre des décisions. De ces décisions résulterons une  mobilisation de ressources et des actions de traitement du risque. Ces actions vont  généralement prendre les formes suivantes (ISO13335-2, 2005):
  • Ignorer le risque : l’organisation peut décider consciemment d’ignorer le risque ;
  • Éviter le risque : l’organisation pourra décider de ne pas poursuivre une opportunité car  elle considère que le risque ne vaut pas la chandelle ;
  • Accepter le risque : l’organisation détermine que le risque associé à une situation  donnée est acceptable pour l’organisation compte tenu de ses contraintes et des ses  objectifs d’affaires ; 
  • Mitiger le risque : par exemple par la mise en place d’un pare- feu, une organisation  réduira la menace d’intrusion de son réseau informatique via l’Internet ;
  • Transférer le risque : une organisation pourrait décider de prendre une police  d’assurance qui couvre un risque précis, une organisation pourrait aussi transférer le  risque, contractuellement, à un tiers.