Accueil Ton risque n'est pas mon risque

Ton risque n'est pas mon risque

Comme chaque année, le rendez-vous des Assises est accompagné de la publication d’un “livre bleu”, étude fouillée sur un sujet particulier. L’édition 2009 est intitulée “Développer la culture des risques informatiques et informationnels”. Son auteur, Pierre-Luc Réfalo (responsable d'Hapsis Education), fait remarquer que jamais l’on a autant parlé de “viser le risque zéro” alors que s’accroissent précisément les risques frappant le domaine informatique. Un peu comme le Toyotisme faisait du contrôle qualité continu. Ce n’est pas aussi simple, argumente Réfalo. Car la notion de risque dépend d’une foultitude de facteurs : culturels, tout d’abord, mais également sectoriels, géographiques, temporels ou conjoncturels. L’attention au risque dans le secteur bancaire, par exemple, se portera essentiellement sur des enjeux tels que la lutte contre la fraude informatique. Dans le secteur public, c’est surtout sur le patrimoine informationnel que l’on veillera. Sous un angle géographique, il est logique que l’attention d’une entreprise d’envergure européenne se focalise sur la fraude et la protection des données personnelles, tandis qu’une multinationale d’envergure mondiale se polarisera plutôt sur des questions de protection du patrimoine informationnel. L’aspect conjoncturel, quant à lui, ne nécessite que peu d’explications. On ne peut nier l’impact qu’ont eu les grandes affaires de “fuite d’informations” de ces dernières années, de TJX à Heartland et RBS Wordpay, en passant par les fichiers des retraités de l’Armée US qui s’évaporent ou les clefs USB de l’armée Britannique qui s’égarent sur les parkings d’un pub. Thème “préoccupant mais pas prioritaire” en 2008, “sujet brûlant” en 2009. Il n’y a pas de remède collectif, il ne peut exister une notion universelle et immuable du risque insiste Pierre-Luc Réfalo qui effectue tout d’abord un état des lieux de la culture des risques, dans les secteurs bancaires, administratifs et industriels. Un bilan qui fait ressortir notamment quelques freins à son développement. Ainsi, nous enseignent ces quelques 40 pages de statistiques, “Les risques “redoutés” s’adressent prioritairement aux individus (clients, usagers) montrant un souci moindre du collectif et de l’entreprise”. D’autre part, en matière de management de la culture du risque et des solutions envisagées, l’on remarque une nette différence entre les priorités du secteur privé et celles des organismes bancaires ou du secteur public.