Le risque numérique est partout. Tout le monde en parle, chacun aimerait s’en protéger. Mais ces risques sont nombreux et les ressources dont nous disposons pour les contrer sont limitées, quelque soit l’entreprise. Le bon sens nous dit qu’on devrait commencer par s’attaquer aux risques les plus importants. Mais avant de nous pencher sur son évaluation, voyons d’abord ce qu’est un risque.
Un risque traduit notre exposition à une perte en fonction de la probabilité qu’un événement se produise.
A travers cette définition, on s’aperçoit qu’il y a deux facteurs à prendre en compte pour évaluer l’importance d’un risque:
- Le premier facteur est la probabilité que l’évènement se produise, et donc la probabilité que le risque se matérialise
- Le deuxième facteur est l’impact négatif et donc la perte qui résulterait de la matérialisation du risque
Il en découle qu’objectivement, les risques dont on doit se protéger en priorité sont ceux qui maximisent le couple (probabilité, perte). Mais un obstacle majeur se dresse sur notre chemin: notre tendance à catastrophiser.
La tendance à catastrophiser
En général, un événement à impact catastrophique mais qui arrive très rarement à tendance à susciter en nous un crainte supérieur à un événement à impact modéré mais qui arrive fréquemment. Les événements à impact catastrophique sont ceux qui frappent le plus notre imagination, et donc on a tendance à craindre ces évènements plus que de raison.
Pour illustrer ce biais, prenons l’exemple du risque associé à chacun de ces deux moyens de transport: la voiture et l’avion.
D’un côté, les accidents d’avion sont assurément des évènements à impact catastrophique, avec une change de survie nulle ou presque. Mais fort heureusement, ce genre d’évènement se produit très rarement. De l’autre côté, les accidents de voiture font partie du quotidien. L’impact peut être grave, voire catastrophique, mais la grande majorité des accidents de voitures sont sans blessure corporelle. Il en découle qu’en générale, on est plus effrayé par l’idée d’un crash d’avion que par celle d’un accident de voiture. Or chaque année, statistiquement, le nombre de morts par accident de voiture est de loin supérieur au nombre de mort pas crash d’avion….
Les risques: une affaire de gaussienne
Dans les faits, le spectre des risques à tendance à suivre une distribution gaussienne. A une extrémité, il y a les risques à forte probabilité d’occurrence, mais à impact faible. A l’autre extrémité, il y’a les risques à impact élevé, mais avec une probabilité d’occurrence très faible.
Une approche pragmatique et rationnelle de la gestion de risque doit nous emmener à nous focaliser en premier sur les risques du milieu de la courbe. Dans la pratique, ce sont ces risques qui sont susceptibles de nous toucher et entraîner des pertes. Traiter en priorité les risques du milieu de la gaussienne est la meilleure utilisation de nos ressources. Mais comment isoler ces risques là parmi les innombrables risques auxquels nous sommes exposé?
Le Threat Modeling pour ne pas perdre sa boussole
L’identification des risques du centre de la gaussienne est une question cruciale. En effet, quand il s’agit de la sécurité numérique, le biais à catastrophiser peut nous jouer un mauvais tour et nous conduire à une mauvaise allocation de nos ressources, pourtant limitées.
C’est pourquoi il est important d’adopter un framework de Threat Modeling pour nous aider à identifier les menaces qui nous posent de réels risques, ceux qui se cachent derrière ces fameux risques du centre de la gaussienne. On pourra alors allouer nos ressources à bon escient pour concentrer sur ces menaces.