L’impact global créé aujourd’hui au niveau mondial par la crise du coronavirus doit nous interroger sur la maîtrise de la gestion des risques et la pertinence des méthodes utilisées.

Concernant les risques créés par l’homme, les exemples guerriers ne manquent pas : attaque de Pearl Harbour le 7 décembre 1941, destruction du Word Trade Center et d’autres bâtiments symboliques à New-York le 11 septembre 2001. Cependant, les attaques dues à l’imagination de l’adversaire ne permettaient guère de faire une analyse de risque en tenant compte de la probabilité de l’évènement puisque, par nature, l’ennemi jouait sur l’effet de surprise.

Dans un contexte d’évènements naturels ou d’accidents relevant d’infrastructures critiques (pandémies, inondations, tremblements de terre, accidents liés aux centrales nucléaires, …), la situation est différente puisqu’il existe des cas précédents. Dans cas, on peut bien sûr élaborer une gestion de risques qui tienne compte de ces expériences passées. Pourtant, il faut constater que certaines mesures qui ont été élaborées pour répondre à certaines menaces n’ont pas été très appropriées. Si l’on prend acte des diverses pandémies dans l’histoire de l’humanité, les exemples ne manquent pas concernant le nombre de décès (François-Guillaume Lorrain, 2020)[1] : peste antonine, 3.5 à 7 millions de décès (empire romain – années 165-180), peste justinienne, 25 à 100 millions (années 541-542), grippe espagnole, 20 à 50 millions (années 1918-1919). Plus récemment, le VIH, 32 millions depuis 1981. Dans une moindre mesure, on note également le Stras (2002), la grippe A (H1N1), le Mers depuis 2012 et Ebola (années 2013-2016).  Pourtant, si l’on prend le cas de la France aujourd’hui concernant le Covid-19, une polémique fait débat sur le stock de masques disponibles qui étaient de 1,4 milliards en 2010 et de 117 millions en 2019. Une enquête du Monde (Davet et Lhomme, 2020)[2] montre une dilution des responsabilités, des lacunes de gouvernance avec l’argumentaire d’une logique économique au détriment de la santé de la population. Ces choix structurels ont eu un impact important sur le nombre de décès à ce jour en regard avec la pandémie actuelle. Dans ce cas précis, il n’y a pas qu’une probabilité faible de survenance de la menace qu’il faut considérer mais également le choix des décisions étatiques, lien entre la microéconomie et macroéconomie.

Voici quelques pistes de réflexion en tenant compte des questions suivantes :

  1. Est-ce que les évènements improbables (probabilités hors courbe de Gauss) ne doivent-ils pas être reconsidérés ?
  2. Est-ce qu’il serait possible de modéliser des scénarios de manière plus robuste ?
  3. Est-ce que les méthodologies existantes de gestion de risques sont fiables ?
  4. Comment considérer le rôle de l’Etat et les liens micro-économiques ?

Le hasard et les probabilités

Imaginons une personne qui marche dans la rue. Cette personne sait évidement si elle tournera ou pas au prochain croisement. Il n’y a de hasard que pour l’observateur extérieur qui ne peut prédire la loi qui régit les intentions de cette personne. Si on lance des dés, ils « savent » où ils vont aller selon un parcours optimal mais les approximations faites lors de cette mesure sont amplifiées par des effets non linéaires (Philippe Pagot, 2019)[3]. Lorsque l’on répète ces gestes, la loi des grands nombres[4] permet d’élaborer une moyenne qui se stabiliserait autour d’une valeur limite. Par exemple, le lancer d’une pièce pour obtenir pile serait de 0.5 après un nombre conséquent de lancers. Cette loi des grands nombres et le théorème de la limite centrale décrivent le comportement de la moyenne d’un grand nombre de petites contributions indépendantes mais ne tiennent pas assez compte d’évènements rares. Cette courbe en cloche est mise pourtant à contribution dans beaucoup de domaines tels que les sciences sociales, la physique, l’économie, la biologie et plus récemment la sécurité de l’information. Cependant, certains projets d’infrastructures critiques ont tenu compte de cette probabilité rare de la survenance d’une menace pondérée par l’impact. Ainsi, le barrage d’Oosterschelde, aux Pays-Bas, a été conçu pour que la probabilité qu’une marée le dépasse soit inférieure à 1/10’000. La théorie des valeurs extrêmes indiqua que la hauteur des digues devait être de 5 mètres au moins (Cont, 2018)[5].

La prise en compte d’une approche systémique

D’autres exemples sont malheureusement moins heureux. Si l’on prend l’exemple de Fukushima en 2011, des mesures de protection avaient été prises mais avec une mauvaise évaluation de l’impact cumulé d’un séisme de magnitude 9 qui déclencha un tsunami. Autre exemple en 2011, une gigantesque panne de courant dans le sud de la Californie a impacté 1.4 millions de clients avec pour effets : embouteillages sur les autoroutes du sud de la Californie, perturbation de l’approvisionnement en eau dans les comtés de San Diego et de Tijuana, fermetures d’écoles à San Diego, annulation de vols à l’aéroport international de San Diego. En Suisse, une simulation d’un tremblement de terre à Bâle en 2008 a montré que les impacts directs concernaient des blessés et des bâtiments détruits mais également les secteurs suivants : l’énergie, la finance, les télécommunications, le traitement des eaux et les systèmes de transport. La difficulté réside donc dans l’appréciation des impacts en considérant les facteurs de dépendances. Les liens de causes à effets sont multidimensionnels. Les mathématiques et les statistiques permettent de répondre à des scénarios complexes. Ainsi, la modélisation du climat tient de plus en plus compte de l’impact de la végétation et des sols pour établir des scénarios d’évolution (Delbecq, 2019)[6]. Ceci nécessite cependant une très grande puissance informatique. Dans le cas d’une pandémie, des chercheurs ont analysé les facteurs tels que le comportement des microbes, celui des personnes, les liens entre les populations, l’organisation des transports (Poletto, 2019)[7].

Sécurité de l’information : la fiabilité des méthodes de gestion des risques

Dans le cas plus précis du domaine de la sécurité de l’information, il est possible d’être confronté à plusieurs types de situation : des évènements répétitifs qui vont pouvoir ajuster votre probabilité en tenant compte du vécu de l’entreprise. Par exemple, des attaques périodiques passées qui vont permettre de valider la valeur de votre indicateur. Dans le cas contraire, la probabilité de survenance d’un évènement est donc faible. Le nombre proposé est de nature plus subjective et certainement difficilement quantifiable. Nous sommes dans le cas du hasard sauvage. Cependant, de nombreuses méthodes de gestion de risques (Octave Allegro, Mehari, …) utilisent le ratio probabilité x impact. On peut donc légitimement se poser la question sur la véracité des modèles proposés. De plus, les menaces sont souvent considérées selon une approche silo. Ainsi, la norme ISO 27001 vous indique quelles sont les procédures à suivre pour permettre une future certification. Les contrôles sont répertoriés selon une liste exhaustive par chapitres. Par exemple dans la partie annexe : A.8 la gestion des actifs, A.11 la sécurité physique et environnementale, A12 la sécurité liée à l’exploitation. Imaginons cependant le cas d’une inondation dans une salle informatique, qui va affecter un serveur puis les données stockées sur ce serveur. Est-ce que chaque élément doit être traité de manière indépendante ? Dans un domaine très voisin concernant le management des systèmes d’information, de nombreuses publications utilisent des modèles statistiques pour expliquer des dépendances possibles (Frantz Rowe, 2002)[8] depuis de nombreuses années. Aujourd’hui, des auteurs utilisent des méthodes statistiques pour valider leur recherche, y compris dans le domaine spécifique de la sécurité de l’information (Barlette & Jaouen, 2019)[9].

Conclusion

Il semble donc que ce domaine de la prévision soit peut-être plus complexe qu’il n’y paraît, en tout cas, qu’il dépasse les approches classiques que l’on peut répertorier dans des analyses classiques, y compris dans le domaine spécifique de la sécurité de l’information. Il y a lieu d’élaborer des scénarios plus élaborés de gestion de risques en tenant compte de cette approximation concernant la qualité des indicateurs, mais également de considérer des systèmes avec toutes leurs complexités et leurs liens de dépendances. Ceci devrait permettre d’ouvrir de nouvelles pistes de recherche.  

Jean-Luc Pillet, Université de Genève
Membre du comité Clusis



[1] François-Guillaume Lorrain, 2020, « Et les puces précipitèrent la chute de l’empire romain … », Le point, N°2486, p. 58.

[2] Gérard Davet et Fabrice Lhomme, 2020, « Masques : comment la France a détruit ses stocks », Le Monde, 9 mai 2020, p. 22.

[3] Philippe Pagot (2019), « Le hasard fait bien les choses », Le hasard et ses lois, La recherche, juillet-août 2019, p. 38

[4] Cette loi des grands nombres, établies au XVIIIe siècle par Jacques Bernoulli, assure que, lorsque la taille de l’échantillon est assez grande, la moyenne empirique de l’échantillon tend vers la moyenne théorique de la variable aléatoire qu’il représente

[5] Rama Cont, « Prévoir l’improbable », Pour la science, février-mars 2018, p. 14

[6] Denis Delbecq, 2019, « La modélisation du climat, gourmande en calcul », La recherche, N°31, p. 78

[7] Chiara Poletto, « Nous modélisons la propagation des virus », Les Maths et le réel, La recherche, N°31, p. 81

[8] Frantz Rowe, 2002, Faire de la recherche en systèmes d’information, Vuibert Fnege

[9] Yves Barlette & Annabelle Jaouen, 2019, « Information security in SMEs : determinants of CEOs’, prospective and supportive behaviors », Systèmes d’information et Management, ed. Eska, N°3, vol. 24 – 2019

X
X