Comment le risque opérationnel est devenu incontournable

Tous les risques ne se manifestent pas de la même manière. Certains éclatent soudainement, captant immédiatement l’attention du public et des décideurs. D’autres se développent plus lentement et échappent aux radars.

Complexes par nature, les risques défient les cadres traditionnels. Ce fut le cas, le 19 juillet 2024, lorsque 8,5 millions d’ordinateurs Windows ont affiché « l’écran bleu de la mort ». La mise à jour défectueuse d’un logiciel a touché moins de 1 % des ordinateurs mondiaux, mais a paralysé des banques, des compagnies aériennes et des services publics. L’erreur, extérieure à chacune des organisations, a impacté des secteurs d’activités entiers. Défaillance d’un fournisseur ? Anomalie d’un système d’information ? Risque systémique ?

Comme pour une pandémie, les catégories traditionnelles pèchent à rendre compte et préparer à ce risque.

Les polices d’assurance définissent des sinistres incendie, malveillance, catastrophes naturelles, informatiques ou technologiques qui sont aussi des catégories de risques. L’interruption d’activité peut être couverte par des pertes d’exploitation, mais lorsqu’il s’agit d’un service public, il n’y a pas de couverture en cas d’arrêt.

Retour cinquante ans en arrière. Le 26 juin 1974, un communiqué des autorités bancaires d’Allemagne fédérale met fin aux activités de la banque Herstatt. Fondé 19 ans plus tôt à Cologne, l’établissement financier a misé sur le marché des devises jusqu’à être criblé de dettes et à manquer d’entraîner une dizaine de banques américaines dans sa chute. C’est alors que, quelques mois seulement après le premier choc pétrolier, le Comité de Bâle se constitue pour publier les leçons de cet incident et favoriser la stabilité du système financier.

Le risque se réactualise régulièrement. La chute des marchés asiatiques à la fin des années 1990, puis l’éclatement de la bulle Internet au début des années 2000, invitent à une révision. 20 ans après les premiers accords, Bâle II établit le concept de risque opérationnel. Jusqu’à cette date, c’était un risque résiduel, c’est-à-dire une catégorie fourre-tout où échouait ce qui n’était pas couvert par les garanties classiques. Le concept inspire d’autres secteurs, comme l’assurance qui le reprend à son compte dans la directive Solvabilité II dès 2009.

Le risque opérationnel est défini comme étant la possibilité de pertes financières ou de dommages dus à des défaillances ou des erreurs dans les processus (lire l’encadré ci-dessous). Il comprend donc tout ce qui peut enrayer la bonne marche de l’organisation. La liste est longue et amenée à être complétée. Cette approche, plus holistique, casse les traditionnels silos. L’intérêt est de se concentrer sur l’opération et sa résistance aux événements impactants, d’où qu’ils proviennent.

« La notion de défaillance appelle évidemment celle de résilience, plaide Benoît Grunemwald, expert Cybersécurité chez Eset France. En tant que fournisseur de services et produits de sécurité, elle nous oblige à démontrer notre contribution aux opérations de nos clients. C’est très positif. » Et il poursuit : « Les directives européennes sur la sécurité des réseaux et de l’information [NIS 1 et NIS 2, Network and Information System Security] ont une approche similaire notamment avec la notion d’opérateur d’importance vitale (OIV). Avec l’augmentation à la fois de la surface d’attaque et des menaces, le maintien en condition opérationnel (MCO) est devenu un challenge. Cela permet aussi aux entreprises de gagner en maturité sur ces sujets et de s’intéresser à l’ensemble de la chaîne de valeur. »

Pour Michel Josset, vice-président de l’Amrae, le moyen de réconcilier l’approche « classique » des risques et le risque opérationnel est de passer par des outils d’analyse de risques : « L’incontournable pour toute organisation est la cartographie des risques. » Une cartographie de plus en plus vaste qui englobe de multiples acteurs et met à jour la complexité et la multiplication des systèmes d’information.

La taille des entreprises impacte l’équation. Pour Michel Josset, elle permet aussi des moyens, notamment pour la veille et le renseignement.

Et de s’inquiéter de la définition même de risque qui, par essence, est aléatoire. « Avec le changement climatique, en Floride par exemple, on observe tous les ans des inondations ou des tornades. Ce n’est plus incertain, c’est régulier. Il y a donc un décalage entre l’univers des risques et son transfert vers le marché de l’assurance. Ce sont des situations dangereuses, amenées à se multiplier. L’entreprise est exposée, mais ne peut plus réduire son exposition, à moins de se désengager complètement du territoire. »

En 50 ans, le risque opérationnel est passé de l’ombre à la lumière. D’un concept fourre-tout à un outil stratégique, il bouleverse l’entreprise. Mais attention : dans un monde où les pannes informatiques côtoient les catastrophes climatiques, le retour d’expérience montre que la résilience n’est plus une option, mais une nécessité.

Article extrait du n° 604 de Face au Risque : « Notre-Dame : la sécurité incendie renforcée » (novembre-décembre 2024).