Approche hétérodoxe du concept de risque résiduel

Alors vous allez faire tout comme il dit, le Lead Implementer : une appréciation des risques bien proprette (bon, elle ne sert quasiment à rien, mais c’est un point que je développerai dans un autre filet ; là, je n’ai pas la place), avec les assets, les menaces, les échelles de cotation et tout le blablabla habituel. Et vous voilà tout content, sauf que l’essentiel n’est pas là : l’essentiel c’est d’acter des risques résiduels que vous ne traiterez pas (on s’en fiche des trains qui arrivent à l’heure, clairement) auprès de leurs propriétaires. On le fait au moment de l’appréciation des risques, mais aussi et surtout pendant la revue de direction. Le chapitre 9.3 stipule en effet qu’il faut aborder « les résultats de l’appréciation des risques et l’état d’avancement du plan de traitement des risques », ce qui inclut à la fois ce qui a été fait et ce qu’il reste à faire.

À quelques jours d’intervalle, je tombe sur deux news pour lesquelles il semble juste que les intéressés n’ont pas tout compris à la vie, les amis, les amours et les emmerdes.

Première news : certains ont l’air de découvrir que le protocole de chiffrement du bitcoin (BTC) sera cassé un jour, ce n’est qu’une histoire de mois ou, au mieux, d’années. Je passe sur le fait que les experts en chiffrement le savent depuis des lustres – j’ai échangé, lors du Congrès Apssis 2023 avec l’un d’eux, pour qui cela ne faisait pas débat. Je passe aussi sur le fait que la communauté BTC est pour partie consciente du souci, qu’il existe des solutions techniques pour le régler, mais que ce n’est pas de la tarte.

Seconde news : certains responsables politiques tentent de pousser la fin du cash (les pièces, les billets) argumentant que c’est un des vecteurs des trafics illégaux en tout genre et que la non-traçabilité de ce cash rend à la fois facile le trafic et difficile le pistage des bad guys[1].

Il y a un point commun à ces deux news, et on aurait presque tendance à avoir un peu de pitié pour ceux qui s’étonnent de la première ou semblent nourrir des espoirs concernant la seconde : on n’élimine jamais un risque, on le transfère. Ou, dit autrement, chaque changement de situation ne fait au final que déplacer la matrice des risques.

Pour ce qui concerne le BTC, d’abord, on est passé du troc à la monnaie fiduciaire pas juste pour se faire plaisir, mais parce que c’était plus facile de transporter un lingot d’or en trois journées à dos de chameau plutôt que le troupeau de moutons qu’on voulait échanger arrivé à destination. On a réduit le risque que la moitié du troupeau de moutons ne trépasse de soif/faim/maladie pendant le trajet, mais on l’a échangé contre celui de se faire détrousser en chemin (pour les bandits aussi, c’est plus facile de vous chouraver un lingot que tous les moutons, et aussi de prendre la fuite). Idem pour l’apparition des chèques, de la carte bancaire et des néobanques. Forcément que le BTC réduit des risques, mais il en fait apparaître d’autres. J’ai en stock une étude personnelle sur les risques inhérents au BTC : j’en dénombre au moins huit dont aucun n’existe dans le système monétaire précédent (ou qui a été réglé).

Pour ce qui concerne la disparition du cash pour pister les vendeurs de beuh, qu’il me soit permis de me tordre ostensiblement les zygomatiques : c’est n’importe quoi, et il n’est pas nécessaire d’être un expert en circuit monétaire ou en tabac qui fait rire pour en être convaincu, car c’est tout pareil que dans l’exemple d’avant. La disparition des billets va juste générer une nouvelle situation (un nouvel écosystème de la beuh) qui va être autoporteuse de ses propres caractéristiques, limites, possibilités et risques. Nul doute, par exemple, que très rapidement les vendeurs vont vous permettre de payer en BTC ou dans une monnaie équivalente, quasi intraçable. Et surtout, la disparition du cash engendre d’autres risques : allez en causer quelques minutes aux Espagnols qui pendant toute la panne électrique ne pouvaient plus rien acheter nulle part, ou aux Finlandais (qui ont dématérialisé les billets depuis plus de dix ans) dont une bonne partie de l’électricité est produite… avec du gaz russe (ça va être sympa dans les pays nordiques les retraits au DAB quand Poutine va faire sa crise sur Nord Stream). Et allez en parler aussi avec les victimes de la fraude au faux conseiller bancaire à distance ou aux Fovi…

Curieusement, la 27001 est peu diserte à ce sujet : elle mentionne bien la nécessaire acceptation des risques résiduels par les propriétaires, mais le concept selon lequel tout dispositif engendre de nouveaux risques, dont ceux supposés réduire les risques précédents, n’y est pas. Et la distinction entre conjoncturel et structurel du chapitre 10 n’y aide pas.

Bon, après, les fous furieux de l’appréciation des risques vont vous dire que c’est à l’itération suivante que l’on est censé « découvrir » les nouveaux risques induits par les dispositifs précédents.

Mouais, on va dire ça comme ça pour aujourd’hui.