Publicité en cours de chargement...

Publicité en cours de chargement...

Publicité en cours de chargement...

La nécessaire culture du risque

01 sept. 2020 - 09:12,
Tribune - Cédric Cartau
L’affaire du Covid n’est pas encore terminée – nous sommes à la veille de la rentrée scolaire, et tout le monde se demande bien comment le mois de septembre va tourner, en bien ou en mal –, mais il y a au moins un élément indiscutable : il est possible d’analyser la situation sanitaire exceptionnelle selon différents angles, qui ne sont d’ailleurs pas forcément incompatibles.

Par exemple, selon Olivier Sibony, le retard dans les prises de décision des pouvoirs publics – de tous les pays d’ailleurs – s’analyse sous l’angle des biais dans les prises de décision : lanceurs d’alertes inaudibles, pas de crise semblable en Europe du vivant de la plupart de ses dirigeants, etc. À ce sujet, voir les excellentes vidéos du la chaîne Xerfi Canal (1) . La position d’Olivier Sibony sur la question est d’ailleurs plutôt consensuelle.

À l’inverse, Alain Bauer est beaucoup plus dur dans son analyse envers les décideurs, affirmant que, comme le dispositif mis en place dans les mandatures précédentes (stocks de vaccins et de masques) n’avait (malheureusement ou heureusement, c’est selon) pas servi, les comptables ont pris le pouvoir sur les stratèges, affirmant que le coût du maintien était exorbitant au regard du risque couvert (nul selon eux puisqu’il ne s’était jamais produit). Voir à ce sujet son excellente intervention ici.

Mais on peut avoir à ce propos une autre analyse, un autre angle de vue, en l’occurrence celui de la culture du risque – ou plutôt, dans le cas présent, de l’absence de cette culture. Dans un monde parfait, toute organisation (État, entreprise, etc.) doit disposer d’une cartographie des risques encourus ainsi que d’un plan de traitement de ces derniers (réduction, transfert, évitement ou acceptation) chiffré, étalé dans le temps, etc. Avoir identifié un risque ne signifie d’ailleurs nullement qu’il faudra le réduire : le big boss en chef peut très bien décider, à l’aune des habituels paramètres, tels la probabilité et l’impact, ou tout simplement en fonction de considérations stratégiques qui ne regardent que lui, de le passer en risque accepté.

Une telle décision ne conduit d’ailleurs pas à effacer la ligne de ce risque dans le tableau général, mais à positionner la décision « Acceptation » horodatée et imputée à celui qui l’a prise. Mais la présence d’une « madame » ou d’un « monsieur » Risque (MMR) est alors nécessaire dans l’organisation : le fait que les comptables ou les financiers prennent le pouvoir sur les directions métiers est révélateur, justement, de l’absence d’un tel référent. A contrario, sa présence est un garde-fou efficace : faites l’expérience de mettre un nom dans la colonne « Propriétaire du risque » d’un risque passé en statut « Accepté » et communiquez très largement en interne ce tableau, vous verrez le résultat. Étonnamment, on trouve pas mal de gens qui se targuent d’avoir fait économiser des sous à la boutique, un peu moins qui acceptent de mettre leur tête sur un billot virtuel de ce genre.

Ce type de fonctionnement a d’ailleurs le mérite de dépassionner les débats : après tout, à madame ou monsieur Risque, peu lui chaut que le décideur (qui accepte de facto de devenir le propriétaire du risque, j’insiste) soit le DAF, le DRH, le directeur de la Business Unit ou autre : il lui faut juste un nom. Évidemment, MMR ne doit surtout pas rentrer dans le fond des risques identifiés : elle (il) est le seul à disposer de cette compétence d’analyse, et il n’est pas question d’effacer une ligne au prétexte que cela pique les yeux d’un décideur.

Du reste, cette incitation à établir son portefeuille de risques n’est rien d’autre que ce que demande le RGPD (pour les risques relatifs aux traitements de données personnelles), les commissaires aux comptes (pour les risques relatifs aux flux financiers), la LPM et la directive NIS (en partie pour les risques généraux SI, mais pas que), etc. Cette démarche n’est donc en rien novatrice ou révolutionnaire – elle est utilisée depuis des décennies dans l’aviation civile.

Ce qui est différent avec le Covid, c’est qu’il ne s’agit pas de cartographier des risques mineurs ou affectés à une fonction support (SI, logistique, etc.), mais de risques majeurs de classe « cygne noir ». Un cygne noir est, selon Nassim Nicholas Taleb, un risque à probabilité d’occurrence epsilonesque, mais à impact quasi infini : ce sont, par définition, les risques que l’on a du mal à identifier, coter et tenir à jour – et ce n’est pas pour rien que c’est justement le dispositif de lutte contre les infections à l’échelle de la population mondiale qui est passé à la trappe, il s’agit bien d’un risque de classe « cygne noir ».

Or, ces typologies des risques, du fait de leur classe et surtout de leur capacité à affecter toute l’organisation, ne peuvent pas être évaluées à l’échelon hiérarchique d’une direction métier ou fonctionnelle, mais nécessairement par la DG. Les établissements de santé ont tous des directions Qualité, qui toutes maintiennent une cartographie des risques, voire une cartographie « top level » : mais là il s’agit d’une troisième famille, les risques top level de classe « cygne noir ». La LPM et la directive NIS engagent à mener ce type de réflexion, mais MMR doit faire face à la question de l’attention du board sur ces problématiques. On en revient donc à une question de culture du risque.
Un risque cyber majeur, une pandémie correspondent à des risques de classe « cygne noir », aussi bien pour une organisation privée (entreprise) que pour l’État. À ce sujet, voir d’ailleurs le dernier rapport annuel [2] du World Economic Forum, qui place le risque cyber largement devant celui du terrorisme ; les affectations des budgets dans les pays du G7 sont peut-être à réviser.

Culture du risque, démarche Qualité, culture de la check-list dépendent en grande partie de la maturité des organisations, qui peuvent avoir décollé grâce à différents leviers. Si vous n’avez pas un seul avion de ligne qui décolle sans que tous les éléments de la check-list de décollage aient été balayés, c’est certainement parce que le pilote est dans l’avion.


[1] https://www.youtube.com/channel/UClLFPD1pu0nVTR_Y8NCpXJQ 

[2] http://www3.weforum.org/docs/WEF_Global_Risk_Report_2020.pdf 

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Cybersécurité, simuler pour protéger : la force des formations immersives

Cybersécurité, simuler pour protéger : la force des formations immersives

19 mai 2025 - 23:41,

Tribune

-
Christine HEULIN

Dans un secteur aussi sensible que celui de la santé, la cybersécurité et la cyber résilience sont prioritaires. Les séquences immersives intégrées dans les formations à la cybersécurité jouent un rôle essentiel pour préparer les professionnels à faire face aux menaces. Ces approches pédagogiques re...

Illustration La cyber, les rillettes et les puces en 5 minutes

La cyber, les rillettes et les puces en 5 minutes

19 mai 2025 - 23:24,

Tribune

-
Cédric Cartau

C’est ce que je trouve bien dans la cyber : la discipline est au carrefour des possibles, et il ne faut pas bien longtemps pour tordre une nouvelle ou un article glanés çà ou là avant de les cyber-retourner, souvent avec la mauvaise foi qui me caractérise, j’en conviens. Exercice en live.

Illustration Cybersécurité hospitalière : le GHT Rhône Nord Beaujolais Dombes, premier lauréat du programme CaRE

Cybersécurité hospitalière : le GHT Rhône Nord Beaujolais Dombes, premier lauréat du programme CaRE

09 mai 2025 - 16:39,

Actualité

- DSIH

Le programme CaRE franchit une étape clé. Moins d’un an après le lancement de son premier appel à financement dédié à la sécurisation des annuaires techniques et de l’exposition sur Internet, la direction du programme annonce la validation du premier dossier ayant atteint l’ensemble des objectifs fi...

Illustration Ce que nous enseigne la mégapanne électrique dans la péninsule ibérique

Ce que nous enseigne la mégapanne électrique dans la péninsule ibérique

05 mai 2025 - 23:11,

Tribune

-
Cédric Cartau

Impossible de l’avoir ratée, la mégapanne électrique chez nos amis espagnols et portugais. Cet incident est riche d’enseignements, et force est de constater qu’il n’y a pas que des mauvaises nouvelles. D’abord, selon nos informations à ce jour, il n’y a eu aucune victime : c’est une bonne nouvelle.

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.