Responsabilité

Entreprises : l’illusion du risque zéro

Transformation numérique, mondialisation, nouveaux canaux de communication : les changements qui bouleversent le fonctionnement des sociétés engendrent pour les entreprises d’innombrables défis, mais aussi de nouveaux risques. Ceux-ci sont plus diffus, et les parties prenantes des entreprises y sont plus attentives. Mais comment les quantifier, et quelle attitude adopter face à eux ?

Comment les individus réagissent-ils face à un risque donné ? Les économistes ont longtemps envisagé les décisions prises par les individus comme le fruit d’un calcul rationnel. Selon la « théorie de l’utilité espérée », formulée par le mathématicien suisse Daniel Bernoulli dès 1738 dans l’essai Théorie sur la mesure du risque, ces choix se fondent sur un calcul mathématique dans lequel interviennent plusieurs paramètres : fréquence, effectif exposé, gravité ou encore niveau de maîtrise du risque. 

La peur du risque : une « illusion cognitive »

Cette vision a été ébranlée à partir des années 1960, avec la prise de conscience du rôle déterminant de la psychologie dans les décisions prises face aux risques. Le psychologue et économiste américano-israélien Daniel Kahneman, lauréat du prix Nobel d’économie en 2002 pour ses travaux sur la théorie des perspectives, réfute ainsi la théorie économique standard selon laquelle les individus seraient des décideurs rationnels. Il va plus loin, en évoquant au sujet de la peur du risque une « illusion cognitive ». Pour lui, l’évaluation des chances de gains et des risques de pertes est inséparable d’un jugement subjectif (« heuristic judgement ») porté par l’agent concerné. Face au risque, les choix des individus seraient donc subjectifs. 

Pour les entreprises, il est pourtant nécessaire de quantifier les risques de la façon la plus rationnelle possible. Et ce, d’autant plus que leurs parties prenantes exigent une meilleure lisibilité dans un monde où la concurrence augmente constamment. La gestion des risques peut donc devenir un véritable avantage compétitif pour l’entreprise qui en affiche une appréhension accentuée et une plus grande maîtrise, et qui inspire ainsi davantage confiance. Dans ce contexte, certains dirigeants sont tentés par une approche visant à réduire au maximum les dangers auxquels leur société est exposée, voire à rechercher un hypothétique « risque zéro ». Mais cette quête illusoire peut in fine se révéler nuisible à la bonne marche de l’organisation, en supprimant toute marge de manœuvre, et en tétanisant les forces vives et le capital humain.

Systèmes informatiques : « La sécurité parfaite n’existe certainement pas »

Cette méthodologie est d’autant plus difficile à justifier que le risque zéro, dans nombre de domaines, n’existe pas. C’est le cas, par exemple, en matière de systèmes d’information. Comme l’explique David Naccache, cryptologue et expert en sécurité informatique : 
« La protection de l’entreprise reste par définition relative. […] La sécurité parfaite n’existe pas. Il est possible de se prémunir contre certains types d’attaques, mais il ne peut exister un programme S “scanner de sécurité” tel que, quel que soit le programme cible P qui lui est soumis, S puisse indiquer avec certitude si P est sûr ou pas. C’est pourquoi la sécurisation s’entend comme une absence d’attaques étant donné l’état de l’art connu, jusqu’à preuve du contraire. »

Cette impossibilité de construire un système parfaitement sécurisé ne doit toutefois pas être perçue comme une fatalité, au contraire. Pour Talel Abdessalem, titulaire de la chaire Big Data & Market Insights à Télécom ParisTech, « la sécurité parfaite n’existe certainement pas, mais ça ne veut pas dire qu’il ne faut rien faire pour améliorer notre savoir dans ce domaine et nos outils de protection ». Lui-même travaille sur la cybersécurité par les big data, et particulièrement sur la détection de fraudes et d’intrusions. Il essaie, grâce au machine learning, de détecter l’évolution du comportement des hackers et d’adapter automatiquement les modèles de prédiction. 

Ce type de solution illustre la direction vers laquelle tend la gestion des risques : une forme d’adaptation continue aux variations des facteurs externes. Dans un monde où il est de plus en plus difficile de prévoir l’émergence de chaque risque, l’augmentation de la force de résistance des organisations aux chocs peut apporter une réponse à la volatilité et à l’incertitude. Cet équilibre constitue une solution potentielle pour accompagner, et non subir, les transformations majeures auxquelles sont confrontées les entreprises : mondialisation, transition numérique, accélération des ruptures technologiques… 

Le risk manager : de gardien du temple à stratège

Cette stratégie s’accompagne d’une prise de risques maîtrisés et contrôlés, indissociable du développement de l’activité. C’est la notion du « risk appetite », ou niveau de risque accepté par l’organisation pour générer de la valeur et atteindre ses objectifs. Michel Elmaleh, associé, membre du comité exécutif de Deloitte France et responsable des activités de conseil en gestion des risques, développe : « L’appétit au risque est ce qui permet de fixer le point d’équilibre. Cette notion inclut à la fois la nécessité de se protéger et l’ouverture. C’est la posture d’un entrepreneur qui a le sens du développement et de l’innovation, tout en ayant conscience de l’exposition de son organisation à un certain nombre de risques en raison des optimisations qu’il met en place. » 

Le reflet de la montée en puissance de ce goût du risque s’illustre dans l’évolution du rôle du « risk manager » au cours des dernières années. Si celui-ci a parfois été vu de façon caricaturale comme un opposant systématique à l’innovation ou au changement, sa fonction ne se limite plus aujourd’hui à un rôle de gardien du temple, mais consiste désormais à intégrer systématiquement une évaluation holistique des risques dans les processus de décision. 
 

Ajouter un commentaire

Pour suivre la discussion

Retrouvez chaque semaine, les rencontres et les réflexions qui animent le débat de l’équation de la confiance.