Citation
L'auteur
Amira Rimani
(rimani.amira@gmail.com) - IAE Paris-Est
Copyright
Déclaration d'intérêts
Financements
Aperçu
Contenu
Introduction
Les organisations modernes doivent gérer divers risques pouvant affecter leur fonctionnement, leur réputation et, finalement, leur viabilité à long terme. Parmi ces risques, le risque cyber, lié à la sécurité des systèmes d’information (SI), prend une importance croissante avec la transformation numérique généralisée. Si les cyberattaques sont désormais courantes, les risques associés sont souvent traités dans une zone grise entre une gestion spécifique et une intégration dans la gestion des risques organisationnels au sens large. Dans ce contexte, notre mémoire souhaite apporter des éléments de réponse à la problématique suivante : le risque cyber doit-il être traité séparément des autres risques ou être intégré dans une approche de gestion des risques globale ? Pour atteindre cet objectifs, notre communication est structurée en cinq chapitres. Nous présentons dans un premier temps une revue de littérature sur les concepts de base et les définitions des risques globaux et cyber au sein des organisations. Dans un deuxième temps, nous exposons notre méthode de recherche qualitative. Nous poursuivons ensuite sur deux chapitres concernant les résultats et nos recommandations. Enfin, nous proposons d’identifier les impacts et, plus largement, l’utilité de notre travail.
Fondements théoriques
Le risque global au sein d’une organisation comprend l’ensemble des incertitudes et des événements potentiels susceptibles d’affecter négativement la réalisation de ses objectifs. Ces risques, provenant de sources internes et externes, touchent divers aspects de l’organisation (COSO, 2017). Parmi les principales catégories de risques globaux, on trouve les risques financiers, opérationnels, stratégiques, réglementaires et de conformité, ainsi que les risques de réputation. Par exemple, les risques financiers incluent les fluctuations des marchés financiers, les taux de change, les taux d’intérêt, ainsi que la liquidité et le crédit. Les risques opérationnels, quant à eux, concernent les processus internes, les systèmes et les personnes, incluant les erreurs humaines et les pannes de système (ISO 31000, 2018). Les risques stratégiques sont liés aux décisions stratégiques prises par l’organisation, tels que les décisions d’investissement, les fusions et acquisitions et les changements de stratégie de marché (Hopkin, 2018). Les risques réglementaires et de conformité peuvent entraîner des conséquences juridiques ou réglementaires, incluant des sanctions dues à des changements législatifs (COSO, 2017). Enfin, les risques de réputation touchent l’image et la perception publique de l’organisation, pouvant résulter de crises ou de scandales (ISO 31000, 2018). La gestion des risques globaux implique plusieurs étapes clés, à commencer par l’identification des risques. Cette phase consiste à déterminer les risques auxquels l’organisation est exposée à travers des techniques variées (Hubbard, 2009). Vient ensuite l’évaluation des risques, qui analyse la probabilité et l’impact potentiel de chaque risque identifié, permettant de prioriser les risques en fonction de leur criticité (Hopkin, 2018). Le traitement des risques développe des stratégies pour atténuer, transférer, accepter ou éviter les risques identifiés (ISO 31000, 2018). Enfin, la surveillance et la révision consistent en un processus continu qui suit l’évolution des risques et l’efficacité des mesures de gestion mises en place, nécessitant des ajustements réguliers en réponse aux changements. Parallèlement, le risque cyber se réfère aux menaces et vulnérabilités liées à l’utilisation des technologies de l’information et de la communication. Ce risque inclut une variété de dangers tels que les cyberattaques, les violations de données, les logiciels malveillants et les erreurs humaines (NIST, 2018). Parmi les formes les plus courantes de cyberattaques, on trouve les ransomwares, les attaques par déni de service distribué (DDoS) et le phishing. Les vols de données représentent également un risque cyber majeur, avec des conséquences graves telles que la perte de confiance des clients et des sanctions réglementaires sévères. Les erreurs humaines, comme les configurations incorrectes des systèmes et des pratiques de sécurité laxistes, jouent un rôle significatif dans l’augmentation des risques cyber (Hubbard & Seiersen, 2016). Pour gérer efficacement ces risques, les organisations doivent mettre en place des mesures de sécurité robustes. De plus, il est crucial d’établir des politiques de sécurité claires et de former régulièrement les employés aux bonnes pratiques de cybersécurité (Hopkin, 2018). La détection et la réponse aux incidents de sécurité sont également des composantes clés de cette gestion, nécessitant la mise en place de centres de réponse aux incidents et la simulation régulière d’attaques (ENISA, 2020).
Méthodologie
Notre recherche adopte une approche qualitative, idéale pour examiner en profondeur les distinctions complexes entre le risque cyber et le risque global au sein des organisations. Cette méthodologie permet de saisir les expériences, les perceptions et les attitudes des gestionnaires de risques et des décideurs. En se concentrant sur des études de cas, des entretiens approfondis et des analyses de contenu, elle offre une perspective riche sur les raisons pour lesquelles certaines organisations choisissent une gestion intégrée ou distincte des risques. Nous avons opté pour un échantillonnage non probabiliste. Les participants ont été sélectionnés pour leur expertise et leur expérience variées. Les critères de sélection incluaient une connaissance approfondie des risques organisationnels, une expérience significative dans leur secteur respectif et une familiarité avec les processus de gestion des risques. Cette méthode assure une diversité de perspectives, enrichissant la qualité des données recueillies et renforçant l’analyse des interactions entre différents types de risques. La collecte de données s’est faite à travers d’entretiens semi-structurés suivant un guide détaillé avec des questions ouvertes afin de faciliter les échanges. Au total, dix entretiens d’une durée de 30 minutes à une heure chacun ont été menés, jusqu’à atteindre le seuil de saturation des données, moment où aucune nouvelle information significative n’est obtenue. Cette stratégie a garanti une couverture importante des différentes perceptions et a renforcé la robustesse des résultats obtenus. Une analyse de contenu détaillée a été réalisée, permettant d’étudier chaque entretien et de révéler les idées récurrentes et les thèmes émergents. La technique de codage ouvert et axial a été utilisé pour structurer l’analyse et faciliter l’identification des catégories thématiques. Les citations les plus significatives et pertinentes ont été extraites et utilisées pour illustrer les points clés et appuyer les interprétations développées.
Principaux résultats
Selon les répondants, distinguer le risque cyber du risque global présente de nombreux avantages pour les organisations. Cela permet de développer une posture agile et des mesures de sécurité adaptées aux menaces numériques qui évoluent rapidement et qui nécessitent des solutions techniques avancées. Cette distinction permet également une allocation plus efficace des ressources. Les personnels et outils requis par les risques cyber peuvent bénéficier de budgets dédiés. L’investissements en cybersécurité s’en trouve renforcé. En reconnaissant la particularité des cybermenaces, les organisations peuvent développer des stratégies d’intervention et de continuité sur mesure, incluant des plans de reprise après sinistre. De plus, une gestion distincte aide à se conformer aux réglementations particulières du domaine cyber, évitant ainsi des sanctions potentielles. Cependant, cette distinction comporte plusieurs inconvénients. Elle ajoute de la complexité à la gestion des risques, nécessitant le développement et le maintien de deux ensembles de politiques et procédures, ce qui peut augmenter la charge administrative et complexifier la coordination entre équipes. La gestion distincte peut également fragmenter les efforts en silos, limitant une vue holistique et imbriquée des risques. Elle peut entraîner des coûts supplémentaires, surtout pour les petites entreprises, et risque de négliger les interactions entre les différents services et leurs conséquences. Par exemple, une cyberattaque peut avoir des répercussions financières et opérationnelles, nécessitant d’adopter une approche intégrée de gestion des risques. Finalement, la décision d’opérer ou non une distinction entre le risque cyber et les autres risques a des conséquences importantes pour les organisations. Si une approche spécifique permet une autonomie, une réactivité et une expertise importante des équipes, une approche intégrée offre une vision holistique et plus simplifiée des risques.
Recommandations
L’analyse des résultats montre que les organisations qui opèrent une distinction entre le risque cyber et les autres risques bénéficient souvent d’une meilleure préparation et d’une réponse plus rapide aux incidents de sécurité. Cependant, elles doivent veiller à maintenir une communication fluide et une collaboration étroite entre les équipes de gestion des différents types de risques pour éviter des vulnérabilités systémiques. En revanche, les organisations qui choisissent de ne pas distinguer les risques bénéficient d’une vision holistique, simplifiant les processus de gestion de crise et optimisant l’utilisation des ressources. Cette approche intégrée permet de mieux comprendre les interactions entre les différents types de risques et de développer des stratégies de gestion plus cohérentes et efficaces. Néanmoins, elle peut entraîner une négligence des spécificités des risques cyber et compliquer la conformité réglementaire.
Impact et utilité
La gestion des risques cyber est particulièrement difficile en raison de l’évolution rapide et constante des menaces. Les cybercriminels développent continuellement de nouvelles techniques, rendant les méthodes de protection obsolètes rapidement. Les organisations doivent rester vigilantes et mettre à jour régulièrement leurs stratégies de sécurité. Cette évolution rapide complique également la formation et la sensibilisation des employés. Les organisations doivent non seulement investir dans des technologies de pointe, mais aussi s’assurer que le personnel est informé des nouvelles menaces et sensibilisé aux meilleures pratiques de sécurité. Maintenir un niveau de formation adéquat peut être coûteux et complexe ; notamment pour de petites structures. L’évolution rapide des menaces pose aussi des défis pour la collaboration et le partage d’informations entre les organisations, nécessitant une coordination et une confiance accrues. Comprendre les interactions entre les différents types de risques est crucial pour une gestion efficace. Les risques cyber, financiers, opérationnels, et autres sont souvent interconnectés. L’utilisation de modèles de simulation et de scénarios de risques peut aider à explorer ces interactions complexes, permettant aux organisations de tester différentes hypothèses et de prévoir les impacts potentiels des incidents de sécurité. Les études sectorielles offrent une compréhension approfondie des pratiques de gestion des risques dans des contextes spécifiques, révélant des défis uniques et des stratégies adaptées. Par exemple, le secteur de la santé doit gérer des défis liés à la protection des données sensibles et à la conformité réglementaire stricte.
Conclusion
Notre travail a souhaité explorer la distinction entre le risque cyber et le risque global au sein des organisations en mettant en lumière les défis et les avantages de cette séparation. Une revue de la littérature, une étude empirique et une analyse approfondie des données ont permis de comprendre comment les organisations peuvent améliorer leur gestion des risques pour assurer leur résilience et leur performance. L’étude a révélé que distinguer les risques cyber et globaux présente des avantages significatifs, telles qu’une spécialisation accrue des équipes, une allocation plus efficace des ressources et une meilleure réactivité aux incidents de sécurité. De plus, les technologies avancées et les formations peuvent être déployées plus efficacement. Enfin, les réglementations en matière de cybersécurité peuvent être respectées plus rigoureusement. Cependant, cette approche comporte également des inconvénients, notamment une complexité organisationnelle accrue, des risques d’isolement et des coûts supplémentaires (ou redondants sur certains aspects). Ces résultats ne sont néanmoins qu’une étape dans ce projet de recherche longitudinal passionnant. Les limites intrinsèques à la production d’un mémoire de recherche appliquée nous invitent à nous engager dans un travail plus approfondi en impliquant notamment les structures fédératives des écosystèmes s’intéressant aux risques. Une autre piste envisageable touche à la culture organisationnelle de gestion des risques. À ce titre, il serait certainement intéressant de mobiliser d’autres cadres théoriques comme les organisations à haute fiabilité (Roberts, 1989) ou la conscience de la situation (Endsley, 1995). Enfin, la place de l’intelligence artificielle (IA) dans la gestion des risques peut nous apporter de nouvelles perspectives, notamment au travers de l’approche « Human-Autonomy Teaming » (Chen et al., 2018).
Bibliographie
- Chen, J. Y. C., Lakhmani, S. G., Stowers, K., Selkowitz, A. R., Wright, J. L., & Barnes, M. (2018). Situation awareness-based agent transparency and human-autonomy teaming effectiveness. Theoretical Issues In Ergonomics Science, 19(3), 259‑282. https://doi.org/10.1080/1463922x.2017.1315750
- Committee of Sponsoring Organizations of the Treadway Commission, PwC, Hirth, R. B., Jr., Chesley, D. L., Everson, M. E. A., Chesley, D. L., Martens, F. J., Bagin, M., Katz, H., Sylvis, K. T., Perraglia, S. J., Zelnik, K. C., & Grimshaw, M. (2017). Enterprise Risk Management Integrating with Strategy and Performance: Vol. Volume I. https://aaahq.org/portals/0/documents/coso/coso_erm_2017_main_v1_20230815.pdf
- Endsley, M. R. (1995). Toward a Theory of Situation Awareness in Dynamic Systems. Human Factors, 37(1), 32‑64. https://doi.org/10.1518/001872095779049543
- ENISA Threat Landscape 2020. (s. d.). ENISA. https://www.enisa.europa.eu/topics/cyber-threats/threats-and-trends/enisa-threat-landscape/enisa-threat-landscape-2020
- Hopkin, P. (2018). Fundamentals of Risk Management Understanding, Evaluating and Implementing Effective Risk Management. London Kogan Page Publishers. – References – Scientific Research Publishing. (s. d.). https://www.scirp.org/reference/referencespapers?referenceid=2779304
- Hubbard, D. W. (2009). The Failure of Risk Management : Why It’s Broken and How to Fix It.http://www.gbv.de/dms/zbw/588802611.pdf
- Hubbard, D. W., & Seiersen, R. (2016). How to Measure Anything in Cybersecurity Risk. https://doi.org/10.1002/9781119162315
- Roberts, K. H. (1989). New challenges in organizational research : high reliability organizations. Industrial Crisis Quarterly, 3(2), 111‑125. https://doi.org/10.1177/108602668900300202
- Zangmeister, J. (2021). 2018 National Institute of Standards and Technology Environmental Scan. NIST. https://www.nist.gov/publications/2018-national-institute-standards-and-technology-environmental-scan
il ne peut pas avoir d'altmétriques.)
Nb. de commentaires
0