Qu'est-ce que la gestion des risques numériques ?

La gestion des risques est un thème récurrent dans toutes les disciplines de management. Les cadres traditionnels — de la gestion de projet et gestion de services, à la gouvernance informatique et architecture d'entreprise — soulignent constamment son importance. Même les cadres Agile reconnaissent sa valeur.

Essentiellement, la gestion des risques est (ou plutôt devrait être) une façon de traiter l'incertitude. Cependant, en pratique, elle est souvent appliquée comme un exercice bureaucratique, suivant rituellement des procédures sans une compréhension appropriée de leur objectif ou impact.

Une raison à cela est la pensée magique (ou ce que nous appelons le « culte du cargo » de la gestion des risques) : la conviction que le risque sera géré correctement simplement en appliquant un ensemble prédéterminé de procédures.

Une autre raison est un changement d'objectif, passant de la gestion effective des risques à la démonstration que les activités prescrites de gestion des risques ont été réalisées. Dans ce cas, l'accent réel devient la conformité : prouver que des contrôles appropriés sont en place pour satisfaire aux exigences réglementaires et aux politiques internes.

En conséquence, la gestion des risques tend à présenter un biais fort vers l'atténuation des menaces (et particulièrement vers les menaces liées à la sécurité), tout en négligeant complètement la gestion des opportunités. Cependant, dans les affaires comme dans le sport, une équipe qui se concentre uniquement sur la défense et néglige l'attaque finira par devenir inefficace dans les deux domaines.

Le défi le plus pressant auquel les entreprises font face aujourd'hui est comment naviguer dans les vagues continues de disruption alimentées par les technologies de pointe, telles que l'intelligence artificielle, l'Internet des objets, la blockchain, la robotique et l'informatique en nuage. L'accélération technologique a rendu le monde numérique VUCA : Volatil, Incertain, Complexe et Ambigu. Par conséquent, il est crucial de faire évoluer l'approche du développement des affaires d'une vision déterministe « si-alors-sinon » vers une vision probabiliste « si-alors-peut-être », s'alignant plus étroitement avec l'état d'esprit Agile qui met l'accent sur l'adaptabilité, l'expérimentation et l'apprentissage continu.

La « Gestion des Risques Numériques » est le processus continu d'identification, d'évaluation, de priorisation et de traitement des risques positifs et négatifs, pour optimiser leur impact sur les objectifs de l'entreprise. Une Gestion des Risques Numériques efficace aide les entreprises à prospérer dans un paysage numérique de plus en plus hypercompétitif.

Il est important de souligner que la Gestion des Risques Numériques n'est pas une rupture avec la gestion traditionnelle des risques, mais plutôt son évolution naturelle dans un contexte où, comme souligné dans The DevOps Handbook, chaque organisation peut être considérée comme une entreprise technologique, quel que soit le secteur dans lequel elle opère[i].

De nombreuses innovations technologiques ne proviennent pas d'inventions nouvelles, mais de la recombinaison d'idées et de technologies préexistantes. Par exemple, la technologie blockchain trouve ses racines dans l'intégration des réseaux pair-à-pair, de la cryptographie et d'une forme révisée de comptabilité en partie double.

De même, l'intelligence artificielle a progressé grâce à la convergence d'une capacité de calcul améliorée, de jeux de données à grande échelle et de décennies de recherche algorithmique ; tandis que l'informatique en nuage a émergé de la combinaison de la virtualisation, des systèmes distribués et de la connectivité internet haut débit.

Les disciplines de gestion devraient suivre la même approche, en contextualisant leurs principes établis de longue date à la lumière des nouvelles conditions. La Gestion des Risques Numériques (GRN) illustre cette approche en reconfigurant les pratiques traditionnelles de gestion des risques pour répondre à la réalité numérique contemporaine. Dans le contexte des transformations numériques en cours, la GRN peut être repensée comme comprenant les composants suivants.

Une définition rigoureuse des concepts fondamentaux du risque est essentielle à une gestion efficace des risques. Dans un environnement VUCA, il existe une nouvelle pertinence pour les concepts du 20e siècle tels que la probabilité épistémique (qui a été développée par l'épistémologie et la théorie bayésienne).

Ces concepts abordent le défi fondamental du raisonnement et de la prise de décision dans l'incertitude dans des contextes numériques, où chaque phénomène se déploie à partir d'une configuration unique et irréversible de conditions, de forces et de variables en jeu — dont les effets sont souvent non linéaires et complexes à isoler.

Décomposer un risque en ses composantes logiques constitutives, et comprendre leurs interdépendances, permet une meilleure observation, analyse et maîtrise de chacune d'elles, offrant ainsi davantage d'opportunités d'intervention efficace.

Tout risque peut être compris comme une combinaison de la probabilité d'un événement et de l'ampleur de son effet (s'il se produit). Par exemple, considérons une entreprise qui souhaite pénétrer un nouveau segment de marché et a l'opportunité de déplacer un concurrent déjà établi. Cette opportunité peut être conceptualisée comme le produit de la probabilité de succès et de l'ampleur de son effet (c'est-à-dire l'étendue de la part de marché capturée).

La probabilité d'atteindre l'objectif dépend cependant de plusieurs sous-facteurs. L'un d'eux est le degré d'accessibilité de la cible ou sa protection par des barrières à l'entrée : pour mieux comprendre cet aspect, l'entreprise peut chercher à acquérir une connaissance plus approfondie des clients ciblés. Un autre est la confiance de l'entreprise dans l'initiation de l'action, basée sur un dossier d'affaires qui pèse les bénéfices, les coûts et les risques (y compris les contre-attaques potentielles des concurrents).

D'autres facteurs incluent la possibilité de prendre les concurrents au dépourvu (empêchant ainsi les actions défensives) et les capacités et ressources relatives mobilisées tant par l'entreprise que par ses concurrents.

Enfin, notons que l'effet global de la capture réussie d'un actif peut dépasser sa valeur intrinsèque : par exemple, cela peut également renforcer la réputation de l'entreprise. Les réseaux sociaux, en particulier, peuvent servir de puissants amplificateurs tant des victoires que des défaites — comme c'est souvent le cas dans le sport, où les supporters, les médias et l'attention virale amplifient rapidement l'issue d'un match.

Les contrôles ciblés sont spécifiques à chaque élément de la décomposition conceptuelle du risque. Ils peuvent être exercés à la fois par les acteurs poursuivant une opportunité (c'est-à-dire cherchant à surmonter les obstacles et accéder à une certaine valeur) et par ceux qui se défendent contre une menace (c'est-à-dire tentant d'éviter une perte ou une perturbation).

Dans les deux cas, les contrôles aident à remodeler les probabilités et les effets potentiels des scénarios de risque en développement, transformant la gestion des risques en un processus dynamique et bidirectionnel qui ressemble davantage à un jeu qu'à un mécanisme purement défensif.

Le processus de gestion des risques englobe l'identification des risques, leur évaluation qualitative et quantitative, ainsi que la planification et l'exécution itératives des réponses aux risques, qui impliquent le déploiement d'un ensemble équilibré de contrôles basés sur le RCD. Tout au long du processus, la communication et la gestion des hypothèses et informations liées aux risques sont maintenues comme des activités continues, assurant transparence et adaptabilité.

La Gestion des Risques Numériques peut fonctionner comme un processus autonome au niveau de l'entreprise, dans les opérations commerciales, et dans des contextes où des approches non-Agile sont adoptées. En même temps, dans les environnements Agile, elle devrait fonctionner comme une technique complémentaire intégrée dans les cadres existants.

L'Agile peut être considéré comme intrinsèquement préoccupé par la gestion des risques, car il réduit progressivement l'incertitude itération par itération[i]. Par conséquent, les méthodologies itératives et incrémentales (telles que Scrum ou AgilePM3) peuvent incorporer la DRM comme une couche intégrative.

En suivant cette approche, les Product Owners Scrum devraient identifier les risques en spécifiant leurs agents et causes, les événements de risque, et leurs effets sur les actifs ; puis les estimer et évaluer leur valeur monétaire pour les prioriser aux côtés d'autres éléments du Product Backlog. Faut-il donner la priorité à un élément du backlog qui générera un profit garanti d'un million en un an, ou à une opportunité qui a 50% de chances de rapporter trois millions dans la même période ?

Les techniques traditionnelles, telles que les simulations Monte Carlo, peuvent être utilisées pour fournir des estimations précises de la probabilité et de l'effet de chaque élément du RCD. Un Arbre de Décision peut aider le Product Owner à optimiser l'ordre des éléments dans le Product Backlog en tenant compte de la nature non-linéaire de la valeur.

De plus, tout comme l'affinement du backlog décompose les user stories grossières en plus fines, les risques peuvent être décomposés en leurs multiples causes à l'aide de Diagrammes en Arête de Poisson, permettant ainsi le renforcement ou l'atténuation ciblés de chacune. Si nous savons quel papillon au Brésil causera une tornade au Texas, nous pouvons facilement le prendre et le clouer au mur, évitant ainsi le risque avec de très faibles dépenses.

Durant chaque sprint, les développeurs peuvent planifier et mettre en œuvre les contrôles fournis par le RCD pour ses divers éléments. Plus important encore, ils peuvent tester la modélisation de chaque risque identifié et les contrôles qui lui sont appliqués, en suivant le cycle de Deming (Planifier, Faire, Étudier, Agir).

L'esprit humain veut fonder ses choix sur des certitudes ; cependant, dans un monde VUCA, les certitudes sont souvent des illusions. Ceux qui échouent à apprendre comment gérer les risques ne peuvent pas être compétitifs ; le remède réside dans un changement culturel. Encore une fois : imaginez qu'une entreprise investisse dans un élément de backlog qui générera un profit garanti d'un million dans l'année, tandis qu'une autre consacre ses ressources à une opportunité qui a 50% de chances de rapporter trois millions sur la même période. Laquelle est mieux positionnée pour survivre à la disruption numérique ?

Le principal avantage de la Gestion des Risques Numériques n'est pas l'efficacité accrue dans l'atténuation des menaces numériques ; c'est la capacité de restructurer l'entreprise afin d'augmenter son adaptabilité et sa survie à long terme.

La GRN cherche à transformer les entreprises en systèmes fractals, capables d'échanger continuellement des informations et des connaissances, et de répliquer des modèles opérationnels efficaces à travers plusieurs niveaux de l'organisation. Une entreprise pratiquant la GRN développe des structures adaptatives et auto-similaires qui renforcent la flexibilité, favorisent le partage des connaissances, et maintiennent la compétitivité à long terme, tout en établissant un cadre pour la modélisation des risques et la prise de décision assistées par l'IA.

Cette transformation structurelle améliore la capacité de l'organisation à apprendre continuellement, la positionnant pour capitaliser sur les opportunités numériques et atteindre un avantage concurrentiel durable.

Pour développer des capacités efficaces de gestion des risques, les entreprises peuvent réutiliser des méthodes éprouvées issues de domaines tels que les sciences militaires et la cybersécurité. Les exercices militaires basés sur des scénarios et les équipes violettes de la cybersécurité peuvent être adaptés aux contextes commerciaux.

Par exemple, une équipe interne peut simuler l'attaque d'un concurrent, tandis qu'une autre équipe répond en corrigeant les vulnérabilités exposées et en lançant des contre-mesures, et qu'une troisième équipe joue le rôle des clients, décidant de quel côté se ranger.

Ce type de simulation renforce non seulement le travail d'équipe et la pensée concurrentielle, mais accélère également le développement d'une culture de gestion des risques numériques — une culture où la résilience, l'adaptabilité et la prise de décision basée sur les données deviennent partie intégrante de l'entreprise.

La Gestion des Risques Numériques transforme les perturbations en élan, en faisant le moteur d'une croissance efficace et durable à l'ère numérique.

[i] Kim, G., Humble, J., Debois, P. & Willis, J. (2016). The DevOps Handbook: How to Create World-Class Agility, Reliability, & Security in Technology Organizations. Portland, OR: IT Revolution Press.

[ii]  « Correctement mise en œuvre, l'agilité dans les projets est un moyen efficace de gérer les risques de projet – il n'y a pas besoin, ni de valeur, d'un processus parallèle pour 'gérer les risques'. » Agile Project Management v3 Reference Book, Agile Business Consortium, 2024.