MANAGEMENT DU RISQUE

Chapitre I. Introduction au risque

1.Définition : Le terme « risque » Selon la norme ISO 31000: 2009 – Management
du risque-Principes et lignes directrices, le risque est nouvellement défini comme «
l’effet de l’incertitude sur les objectifs » et s'ajoute en note que « Un risque est
souvent caractérisé en référence à des événements et des conséquences
potentiels ou à une combinaison des deux. »
Le risque est l’association de quatre facteurs : un danger, une probabilité
d'occurrence, sa gravité et de son acceptabilité. Le danger étant un événement
redouté (par lui-même et par ses conséquences), le « risque » ne se confond donc
pas avec le danger, mais résulte de ce que ce danger a une certaine probabilité de se
manifester et entraînerait des conséquences d'une certaine gravité. La criticité d'un
risque résulte de la combinaison de l'impact (ou effet ou gravité) et de la probabilité
d'un risque.
1.1 Part d’incertitude : Un jour de grand départ, l'embouteillage n'est pas un
«risque» : c'est une quasi-certitude.
La part d'incertitude qui représente réellement un risque est normalement faible,
c'est-à-dire que le déroulement « normal » d'une activité raisonnable est celui où
l'objectif visé est atteint (sauf accident). Cela ne signifie pas qu'il n'y a que peu
d'incertitude dans un projet raisonnable, mais plutôt que le niveau d'incertitude
habituellement rencontré est normalement maîtrisé, et n'est pas de nature à
compromettre l'atteinte de l'objectif. Si par exemple je me propose de traverser une
ville en voiture, je n'aurai clairement aucune certitude sur l'état des feux rouges,
mais l'un compensant l'autre je peux espérer faire en général cette traversée dans un
délai assez prévisible, tout en acceptant un certain risque résiduel (faible) de « me
prendre tous les feux rouges » et d'arriver en retard, malgré la marge que j'avais
prise.
1.2 Facteur de risque :
Les substances psychotropes sont un facteur de risque pour la conduite automobile.
Le facteur de risque (quelquefois appelé péril ou danger) est un élément présent
susceptible de causer un risque, c'est-à-dire la survenance de l'accident.
Les facteurs de risque se qualifient par leur domaine (humain, culturel, matériel,
technique (risque toxique, thermique, d’explosion., juridique, etc.) ou leur point

1
Conçu par: Issa M Coulibaly
Chargé de cours d’audit
 MANAGEMENT DU RISQUE

d'application (le projet lui-même, et l'organisation au sein de laquelle il va

s'insérer). Ils se quantifient en niveau d'incertitude et/ou de complexité.
Un accident de voiture pourra par exemple se produire pour un conducteur qui a bu
de l'alcool, en présence d'un camion, sur une route dangereuse, alors qu'il pleut
(quatre facteurs de risque), la probabilité et l'impact de l'accident étant d'autant plus
importants que la dose d'alcool absorbée par le conducteur était importante, le
camion puissant et lourd, la route sinueuse et sans visibilité, et la pluie battante
(criticités).
1.3 Impact et gravité :
La pluie n'est pas nécessairement un « risque » pour une promenade à deux.
Un événement n'est perçu comme un risque que dans la mesure où il peut avoir un
impact (en principe négatif) sur l'atteinte d'un objectif que l'on cherche à réaliser,
ou sur une valeur à laquelle on adhère et que l'on veut respecter dans son activité.
Ainsi, si je veux organiser une promenade familiale, une mauvaise météo peut être
un « risque », soit parce qu'elle m'obligerait à annuler la sortie (objectif
abandonné), soit parce qu'elle transformerait la sortie en mauvaise expérience
(valeur de confort compromise) ; inversement, si la pluie n'est pas jugée
inconfortable, elle ne constitue pas un « risque » à proprement parler, mais une
simple éventualité.
Contrairement à la probabilité, l'appréciation d'un tel impact est nécessairement
subjective. Elle dépend de l'entité qui formule cette appréciation, des valeurs qu'elle
respecte et de l'importance qu'elle accorde au projet potentiellement compromis.
Dans l'analyse et la gestion des risques, le « risque » est, par principe, un
événement aux conséquences négatives. C'est par abus de langage que l'on entend
parfois parler d'un « risque de gagner au loto » (la formulation correcte dans ce cas
est que l'on a «une chance de gagner »). Pour parler des événements imprévus aux
conséquences positives, on parlera plutôt d'une « opportunité ». La gestion des
opportunités est tout à fait symétrique de celle des risques sur le plan des méthodes.
Tout ce qui est dit des risques se transpose directement sur les opportunités.
Cependant ces deux aspects se différencient radicalement, la plupart du temps, en
termes de plus-value attendue et de fonctions d'entreprises : en règle générale, une
entreprise responsable doit avant tout gérer ses risques à un niveau le plus souvent
assez détaillé ; rares sont les entreprises (placement boursier, conduite d'une bataille

2
Conçu par: Issa M Coulibaly
Chargé de cours d’audit
 MANAGEMENT DU RISQUE

militaire…) où les opportunités sont effectivement gérées par le responsable au

même titre que les risques.

II. La norme ISO 31000 :

La norme ISO 31000 est la référence en matière de management des risques depuis
sa publication en 2009. Cette norme volontaire internationale a été révisée en 2018
pour mieux « coller » aux attentes des utilisateurs, en particulier les risk managers
en entreprise. Elle définit le risque comme « effet de l’incertitude sur des objectifs
», mettant ainsi l’accent sur les effets d’une connaissance incomplète des
événements ou des circonstances sur le processus de prise de décision au sein d’un
organisme.
Pour une entreprise, les risques peuvent être multiples : atteinte à la marque, risques
d’accident industriel, risque de pollution, risque éthique, risque lié à la santé et la
sécurité au travail, risque de non-conformité ou de non-qualité, etc. Chacun d’entre
eux, seul ou combinés, pose la question du risque économique : une entreprise qui
néglige les risques de pollution voit sa réputation se ternir, ses clients se détourner
d’elle, et en définitive ses ventes s’étioler.
En ce sens, le management des risques est stratégique. Le département achats doit
l’avoir à l’esprit. L’ISO 31000 est ici d’une aide précieuse. Elle donne des lignes
directrices pour s’organiser en interne et se poser les bonnes questions.
III. La norme et le cadre règlementaire:
Les règlements sont l’expression de lois que l’on se doit d’appliquer, en revanche
une norme n’est aucunement obligatoire et ce sont les organismes qui choisissent
de la suivre, ou non. Dans ce chapitre, nous reviendrons sur l’origine des normes
ISO, nous détaillerons quelques-unes, et ferons un arrêt tout particulier sur deux
d’entre elles (ISO 27001 et ISO 31000) ainsi que sur le règlement général sur la
protection des données (RGPD) qui sera largement cité dans cet ouvrage.
3.1Les normes ISO :
L’ISO (Organisation internationale de normalisation) est composée de 165
membres représentant 165 pays différents.

3
Conçu par: Issa M Coulibaly
Chargé de cours d’audit
 MANAGEMENT DU RISQUE

Le nom « ISO » vient du grec « isos », qui signifie « égal ». Les fondateurs de cette
organisation ont ainsi choisi un nom court, et unique dans toutes les langues.
L’histoire de l’ISO débute en 1946 à Londres, par la réunion d’un groupe composé
de 65 délégués provenant de 25 pays visant à échanger et envisager l’avenir de la
normalisation internationale.
Elle est le résultat de l’union entre deux organisations : l’ISA (la Fédération
internationale des associations nationales de normalisation) basée à New-York et
gérée en Suisse, et l’UNSCC (le Comité de coordination de la normalisation des
Nations Unies).
Malgré le fait que la fédération ISA soit née sur le continent américain, celle-ci
ciblait ses activités principalement en Europe continentale. Cela avait pour
conséquence l’utilisation majoritaire du système métrique. Les États-Unis et la
Grande-Bretagne, utilisant le système de mesure anglais, n’y ont jamais participé.
L’ISO reprend majoritairement les règles de procédures et les statuts déjà existants
au sein de l’ISA. Plus tard, l’ISA sera décrite comme le « prototype » ou encore le
« brouillon » de l’ISO. M. Heiberg (membre de la fondation en Norvège) reconnaît
que l’ISA n’avait jamais répondu aux réelles attentes de la fondation.
1. ISO 31000 :
La norme ISO 31000 a été élaborée dans le but d’accompagner les organisations
dans leur croissance en faisant face aux risques. Sa mise à jour, toujours constante,
la rend optimale dans la lutte contre tous les imprévus. Elle est fortement
recommandée pour toute société qui nécessite un schéma clair en matière de
management du risque. Elle a pour objectif d’être commune à tous les domaines et
toutes les problématiques de gestion des risques. Cette norme garantit que le risque
est géré de manière cohérente et efficace en tenant compte du contexte et des
objectifs de l’organisation. Elle est également transverse à toutes les fonctions de
l’entreprise et doit être intégrée au processus de gestion de l’organisation qui est
porté par la direction. Dans un souci de maintien en conformité, la gestion des
risques doit également être intégrée aux processus de changements et de projets et
ainsi devenir un outil permettant un gain de maturité en matière de sécurité de
l’information.
En plus des trois activités classiques de la gestion du risque (identification, analyse
et évaluation), le processus de management des risques proposé par ISO 31000 est
complété par d’autres activités notamment l’établissement du contexte, qui permet
4
Conçu par: Issa M Coulibaly
Chargé de cours d’audit
 MANAGEMENT DU RISQUE

de décrire avec précision les paramètres dans lesquels s’effectue le management

des risques. Il permet d’identifier le contexte externe (l’environnement politique,
économique, environnemental dans lequel évolue l’organisation) et interne (les
missions, les valeurs et les objectifs de l’organisation).
2. ISO 27001 :ISO/IEC 27001 est la norme la plus connue au monde en matière de
systèmes de management de la sécurité de l’information (SMSI). Elle définit les
exigences auxquelles un SMSI doit répondre.
La norme ISO/IEC 27001 fournit aux entreprises de toutes tailles, quel que soit leur
secteur d’activité, des lignes directrices pour l’établissement, la mise en œuvre, la
tenue à jour et l’amélioration continue d’un système de management de la sécurité
de l’information.
La conformité à ISO/IEC 27001 signifie qu’une organisation ou une entreprise a
mis en place un système pour gérer les risques liés à la sécurité de ses données ou
des données qu’elle est amenée à traiter, et que ce système est conforme aux bonnes
pratiques et principes énoncés dans cette Norme internationale.
2.1 les 3 principes de la sécurité de l’information ISO/IEC 27001 :
- Confidentialité
Signification : Seules les bonnes personnes ont accès aux informations
détenues par l’organisation.
Exemple de risque : Des criminels s’emparent des identifiants de connexion de
vos clients et les revendent sur le Darknet.
- Intégrité de l’information :
Signification : Les données utilisées par l’organisation dans le cadre de ses
activités ou celles dont elle assure la sécurité pour d’autres sont stockées de
manière fiable et ne sont ni effacées, ni endommagées.
Exemple de risque : Un employé supprime accidentellement une ligne lors du
traitement d’un fichier.
- Disponibilité des données :
Signification : L’organisation et ses clients ont accès aux informations à tout
moment afin de répondre aux objectifs opérationnels et aux attentes des clients.

5
Conçu par: Issa M Coulibaly
Chargé de cours d’audit
 MANAGEMENT DU RISQUE

Exemple de risque : La base de données de votre entreprise est indisponible en

ligne en raison de problèmes liés aux serveurs et de lacunes en termes de
sauvegarde.
Un système de management de la sécurité de l’information conforme aux exigences
d’ISO/IEC 27001 garantit la confidentialité, l’intégrité et la disponibilité de
l’information au travers d’un processus de management du risque et donne aux
parties intéressées l’assurance que les risques sont gérés de manière adéquate.
2.2 Le règlement général sur la protection des données : RGPD
Le règlement général sur la protection des données concerne les données
personnelles et leur traitement sur le territoire de l’Union européenne.
La notion de données personnelles englobe toutes les informations se rapportant à
une personne physique ou identifiable, que ce soit directement (nom, prénom) ou
indirectement (numéro de téléphone, adresse, données biométriques, des éléments
spécifiques liés à son identité culturelle, religieuse, sociale, etc.). Ainsi,
l’identification d’une personne peut se faire soit via une donnée unique, par
exemple un numéro de sécurité sociale, une trace d’ADN, ou via plusieurs données.
Par exemple, un homme né dans telle ville, allant dans tel cinéma et travaillant dans
telle entreprise.
La notion de traitement est très large et concerne toutes opérations faites sur une
donnée. On peut citer la collecte, l’enregistrement, l’organisation, la conservation,
l’adaptation, la modification, l’extraction, la consultation, l’utilisation, etc. Nous ne
parlons pas ici uniquement d’informatisation des traitements. Les fichiers papier
sont également concernés par le RGPD.

6
Conçu par: Issa M Coulibaly
Chargé de cours d’audit