Administrations et collectivités territoriales / Assurance / BTP / BUP / ERP/IGH / Gestion des risques / Industrie/ICPE

Comment le risque opérationnel est devenu incontournable

19 novembre 20246 min

Le risque est-il singulier, pluriel ou les deux ? Plusieurs approches existent pour évaluer les risques, les quantifier et les maîtriser. Et si le risque opérationnel, en se centrant sur l’activité, permettait de faire apparaître tous les autres ?

Ceci est une légende Alt

Tous les risques ne se manifestent pas de la même manière. Certains éclatent soudainement, captant immédiatement l’attention du public et des décideurs. D’autres se développent plus lentement et échappent aux radars.

Complexes par nature, les risques défient les cadres traditionnels. Ce fut le cas, le 19 juillet 2024, lorsque 8,5 millions d’ordinateurs Windows ont affiché « l’écran bleu de la mort ». La mise à jour défectueuse d’un logiciel a touché moins de 1 % des ordinateurs mondiaux, mais a paralysé des banques, des compagnies aériennes et des services publics. L’erreur, extérieure à chacune des organisations, a impacté des secteurs d’activités entiers. Défaillance d’un fournisseur ? Anomalie d’un système d’information ? Risque systémique ?

Comme pour une pandémie, les catégories traditionnelles pèchent à rendre compte et préparer à ce risque.

Les polices d’assurance définissent des sinistres incendie, malveillance, catastrophes naturelles, informatiques ou technologiques qui sont aussi des catégories de risques. L’interruption d’activité peut être couverte par des pertes d’exploitation, mais lorsqu’il s’agit d’un service public, il n’y a pas de couverture en cas d’arrêt.

La naissance du risque opérationnel

Retour cinquante ans en arrière. Le 26 juin 1974, un communiqué des autorités bancaires d’Allemagne fédérale met fin aux activités de la banque Herstatt. Fondé 19 ans plus tôt à Cologne, l’établissement financier a misé sur le marché des devises jusqu’à être criblé de dettes et à manquer d’entraîner une dizaine de banques américaines dans sa chute. C’est alors que, quelques mois seulement après le premier choc pétrolier, le Comité de Bâle se constitue pour publier les leçons de cet incident et favoriser la stabilité du système financier.

Le risque se réactualise régulièrement. La chute des marchés asiatiques à la fin des années 1990, puis l’éclatement de la bulle Internet au début des années 2000, invitent à une révision. 20 ans après les premiers accords, Bâle II établit le concept de risque opérationnel. Jusqu’à cette date, c’était un risque résiduel, c’est-à-dire une catégorie fourre-tout où échouait ce qui n’était pas couvert par les garanties classiques. Le concept inspire d’autres secteurs, comme l’assurance qui le reprend à son compte dans la directive Solvabilité II dès 2009.

La défaillance appelle la résilience

Le risque opérationnel est défini comme étant la possibilité de pertes financières ou de dommages dus à des défaillances ou des erreurs dans les processus (lire l’encadré ci-dessous). Il comprend donc tout ce qui peut enrayer la bonne marche de l’organisation. La liste est longue et amenée à être complétée. Cette approche, plus holistique, casse les traditionnels silos. L’intérêt est de se concentrer sur l’opération et sa résistance aux événements impactants, d’où qu’ils proviennent.

« La notion de défaillance appelle évidemment celle de résilience, plaide Benoît Grunemwald, expert Cybersécurité chez Eset France. En tant que fournisseur de services et produits de sécurité, elle nous oblige à démontrer notre contribution aux opérations de nos clients. C’est très positif. » Et il poursuit : « Les directives européennes sur la sécurité des réseaux et de l’information [NIS 1 et NIS 2, Network and Information System Security] ont une approche similaire notamment avec la notion d’opérateur d’importance vitale (OIV). Avec l’augmentation à la fois de la surface d’attaque et des menaces, le maintien en condition opérationnel (MCO) est devenu un challenge. Cela permet aussi aux entreprises de gagner en maturité sur ces sujets et de s’intéresser à l’ensemble de la chaîne de valeur. »

Pour Michel Josset, vice-président de l’Amrae, le moyen de réconcilier l’approche « classique » des risques et le risque opérationnel est de passer par des outils d’analyse de risques : « L’incontournable pour toute organisation est la cartographie des risques. » Une cartographie de plus en plus vaste qui englobe de multiples acteurs et met à jour la complexité et la multiplication des systèmes d’information.

La taille des entreprises impacte l’équation. Pour Michel Josset, elle permet aussi des moyens, notamment pour la veille et le renseignement.

La fin du concept de risque

Et de s’inquiéter de la définition même de risque qui, par essence, est aléatoire. « Avec le changement climatique, en Floride par exemple, on observe tous les ans des inondations ou des tornades. Ce n’est plus incertain, c’est régulier. Il y a donc un décalage entre l’univers des risques et son transfert vers le marché de l’assurance. Ce sont des situations dangereuses, amenées à se multiplier. L’entreprise est exposée, mais ne peut plus réduire son exposition, à moins de se désengager complètement du territoire. »

En 50 ans, le risque opérationnel est passé de l’ombre à la lumière. D’un concept fourre-tout à un outil stratégique, il bouleverse l’entreprise. Mais attention : dans un monde où les pannes informatiques côtoient les catastrophes climatiques, le retour d’expérience montre que la résilience n’est plus une option, mais une nécessité.

Dans Bâle II, le risque opérationnel est défini par sept composants ou événements :

  • la fraude interne ;
  • la fraude externe ;
  • les pratiques sociales et la sécurité au travail ;
  • les clients, les produits et les pratiques commerciales ;
  • les dommages aux actifs physiques (dont catastrophes naturelles, terrorisme, vandalisme) ;
  • l’interruption des activités et les défaillances des systèmes ;
  • l’exécution, la livraison et la gestion des processus.

Les tendances plus que les événements sont à l’origine de la création des standards internationaux. Des réunions d’experts aboutissent au développement rigoureux de normes. La mondialisation a nécessité la mise en place de normes de qualité comme l’ISO 9001, tandis que la complexité grandissante des organisations a donné naissance à l’ISO 45001 pour la sécurité au travail et l’ISO 31000 pour gérer les risques. L’omniprésence des systèmes d’information dans les opérations a produit l’ISO 27000.

Le standard ISO 22301:2019 (Sécurité et résilience – Systèmes de management de la continuité d’activité – Exigences), a suivi un parcours atypique. Le 12 août 2000, le sous-marin Koursk sombre dans la mer de Barents. Les tentatives de sauvetage mettent en exergue la difficulté de coordination internationale. Le comité ISO/TC 223 sur la sécurité sociétale est créé. Pendant près d’un an, il ne se passe rien. Jusqu’au 11 septembre 2001, où la question de la résilience se pose avec acuité. Il faut encore attendre 11 ans et une réorientation pour que la première norme paraisse en 2012. Cette fois-ci, plus question de société mais d’organisations. La norme s’intègre ainsi aux autres normes sur les systèmes de management.

Partagez cet article !

Article extrait du n° 604 de Face au Risque : « Notre-Dame : la sécurité incendie renforcée » (novembre-décembre 2024).

David Kapp, journaliste

David Kapp – Journaliste

Les plus lus…

Inscrivez-vous
à notre
newsletter

Recevez toutes les actualités et informations sûreté, incendie et sécurité toutes les semaines.

Je m’inscris

À lire également