La vision de Cyber Academy
L'appétit pour le risque est la quantité et le type de risque que l'organisation est disposée à accepter pour atteindre ses objectifs. Il est défini par la direction générale ou le conseil d'administration, par écrit. Sans lui, chaque décision de traitement du risque repose sur le jugement personnel de l'équipe risque, et l'audit ne manquera pas de le relever. À associer avec la tolérance au risque (l'écart accepté autour de l'appétit).
À quoi sert l'appétit au risque
L'appétit au risque existe pour trancher un débat avant qu'il ne survienne. Chaque décision de traitement, chaque « faut-il corriger cela ou vivre avec », est en réalité une question sur la quantité de risque que l'organisation est prête à porter face au bénéfice de la poursuite de ses objectifs.
Si cette frontière ne réside que dans la tête des personnes qui pilotent le programme, alors chaque décision devient un jugement privé que personne d'autre n'a validé, et c'est précisément ce qu'un auditeur ou une remise en question du conseil viendra démonter. Un appétit écrit, porté au niveau de la direction ou du conseil, transforme ces jugements dispersés en une position organisationnelle affirmée.
C'est un instrument de pilotage, pas de la paperasse : il indique à l'équipe risque où elle peut avancer de sa propre autorité et où un risque doit être escaladé.
Point essentiel, l'appétit se définit dans le langage des objectifs, et non comme un chiffre unique. Une organisation qui poursuit une croissance agressive sur un nouveau marché acceptera rationnellement plus de risque stratégique et opérationnel qu'une autre dont le mandat est de protéger un service réglementé et critique pour la vie. Le conseil décide de l'exposition qu'il est prêt à consentir pour atteindre ce qu'il cherche à accomplir. C'est pourquoi l'appétit ne peut être délégué à la fonction sécurité ou risque pour qu'elle l'invente seule : c'est une déclaration d'intention que seules les personnes responsables des objectifs peuvent légitimement formuler.
Appétit, tolérance et capacité
Ces trois notions sont constamment confondues, et cette confusion coûte cher. L'appétit, c'est la quantité de risque que vous voulez prendre pour poursuivre vos objectifs. La tolérance, c'est l'écart que vous êtes prêt à accepter autour de cet appétit avant d'agir, la bande pratique de part et d'autre de la cible. La capacité, c'est le maximum absolu que l'organisation pourrait absorber avant que sa viabilité ne soit menacée, indépendamment de ce qu'elle veut. Vous fixez délibérément l'appétit en dessous de la capacité, en laissant une marge, et vous exprimez la tolérance afin que les variations quotidiennes ne déclenchent pas une réunion de crise à chaque fois.
| Notion | Question à laquelle elle répond | Qui en est responsable |
|---|---|---|
| Appétit au risque | Combien de risque voulons-nous prendre pour atteindre nos objectifs ? | Conseil / direction |
| Tolérance au risque | Quel écart autour de cet appétit accepterons-nous avant d'agir ? | Direction / propriétaires de risques |
| Capacité de risque | Quel est le maximum que nous pourrions absorber avant que la viabilité ne soit en jeu ? | Conseil (une limite stricte) |
Comment cela se traduit dans les normes
Dans ISO 31000, l'appétit au risque fait partie du cadre que la direction établit lorsqu'elle s'engage à gérer le risque : la direction générale et les organes de surveillance sont censés définir et communiquer la quantité de risque que l'organisation est prête à prendre. ISO 27005 et le système de management de la sécurité de l'information ISO 27001 reposent sur la même idée à travers les critères de risque : avant de pouvoir évaluer un risque, vous avez besoin de critères convenus sur ce qui est acceptable, et ces critères sont l'appétit rendu opérationnel. L'appétit est en amont de l'évaluation, et les critères sont la manière dont il s'applique de façon cohérente à chaque risque.
L'appétit n'est pas une affiche sur un mur. Il ne gagne sa place que lorsqu'il est connecté au reste du cycle. L'étape d'évaluation du risque compare chaque risque analysé aux critères dérivés de l'appétit pour décider si une action est nécessaire.
La décision de traitement du risque, éviter, réduire, transférer ou accepter, se justifie par référence à lui : un risque accepté dans les limites de l'appétit ne nécessite qu'une acceptation documentée et autorisée, tandis qu'un risque au-dessus de l'appétit exige un traitement ou une validation formelle et escaladée. Le registre des risques consigne où chaque entrée se situe par rapport à l'appétit et qui a accepté quoi.
Lorsque les auditeurs trouvent des décisions de traitement que personne ne peut rattacher à un appétit affirmé, c'est l'écart qui fait s'effondrer toute l'évaluation.
En pratique, l'appétit se révise, il n'est pas gravé dans le marbre. Il est réexaminé à mesure que les objectifs changent, après des incidents majeurs, et lors de la revue de direction, car un appétit défini pour la stratégie de l'an dernier oriente discrètement de travers les décisions de cette année. La discipline consiste à le garder explicite, à le maintenir porté au plus haut niveau, et à le garder connecté aux critères que l'équipe utilise réellement.
Frequently asked questions
01Quelle est la différence entre l'appétit au risque et la tolérance au risque ?
L'appétit est la quantité et le type de risque que l'organisation veut prendre pour atteindre ses objectifs. La tolérance est l'écart qu'elle accepte autour de cet appétit avant d'agir. L'appétit est la cible ; la tolérance est la bande acceptable autour de celle-ci.
02Qui doit définir l'appétit au risque ?
Le conseil ou la direction exécutive, car l'appétit est une déclaration sur l'exposition que l'organisation acceptera pour poursuivre ses objectifs. L'équipe risque ou sécurité l'applique, mais ne peut pas légitimement l'inventer seule.
03Doit-il être consigné par écrit ?
Oui. Un appétit non écrit signifie que chaque décision de traitement est un jugement personnel que personne n'a formellement autorisé, ce que les auditeurs et les conseils contesteront. Une déclaration d'appétit documentée et portée est ce qui rend ces décisions défendables.
04Quel est le lien entre l'appétit au risque et les critères de risque dans ISO 27005 ?
Les critères de risque sont l'appétit rendu opérationnel. L'appétit définit la quantité de risque acceptable ; les critères sont les seuils convenus que l'équipe utilise pour évaluer chaque risque de façon cohérente par rapport à cet appétit.
05À quelle fréquence l'appétit au risque doit-il être révisé ?
Chaque fois que les objectifs ou le contexte changent significativement, après des incidents majeurs, et dans le cadre de la revue de direction. Un appétit défini pour une ancienne stratégie orientera discrètement les décisions actuelles dans la mauvaise direction.