Le risque est inhérent à toute entreprise. Le facteur différenciateur entre les entreprises est la façon de le comprendre et de le gérer.

Défis opérationnels, volatilité des marchés, évolutions réglementaires ou bouleversements technologiques, les entreprises naviguent dans un environnement marqué par des incertitudes constantes, susceptibles d’engendrer des opportunités ou des pertes significatives.

Pour faire face à cette réalité, les entreprises doivent établir un cadre permettant de déterminer le niveau de risque qu'elles sont prêtes à assumer pour atteindre leurs objectifs stratégiques. C’est ici qu’entre en jeu le concept d'« appétence au risque ».

Mais pour bien définir cette appétence, l'entreprise doit identifier et comprendre tous les risques qui la menacent. De plus, pour les équipes Sécurité, la définition de l'appétence au risque de l'entreprise est une étape essentielle pour bien gérer l'exposition.

Qu'est-ce que l'appétence au risque ?

L’appétence au risque désigne le niveau de risque qu’une entreprise accepte de prendre pour atteindre ses objectifs. Elle agit comme une boussole, définissant les limites entre un risque calculé et un risque excessif. Une appétence au risque élevée implique une ouverture à prendre des risques importants avec l’espoir de bénéfices conséquents, tandis qu'une faible appétence privilégie une approche prudente, en minimisant les risques pour maintenir la stabilité.

Prenons l'exemple d'une startup technologique qui veut investir dans la recherche et le développement. Elle peut adopter une appétence au risque plus élevée pour favoriser une innovation disruptive malgré les incertitudes associées. À l’inverse, un grand groupe établi visera une croissance progressive, en évitant des projets trop risqués qui pourraient nuire à sa réputation ou son positionnement sur le marché.

Une approche quantitative et qualitative

L’appétence au risque ne se réduit pas à un chiffre. C’est une mesure dynamique, influencée par des facteurs tels que le secteur d’activité, la taille de l’entreprise, sa santé financière et l’environnement économique.

Elle combine à la fois des aspects quantitatifs et qualitatifs.

D'un côté, l'entreprise peut disposer d'éléments mesurables, comme le montant des pertes qu'elle est prête à tolérer, son taux d'endettement et le type de ROI (Retour sur investissement) qu'elle espère. Elle peut aussi tenir compte d'aspects subjectifs, comme l'effet potentiel sur sa réputation, des considérations éthiques et la façon dont ses décisions s'alignent sur ses valeurs.

Les 5 bénéfices clés de l'appétence au risque

Pour réussir, toute entreprise doit pouvoir prendre des risques calculés. Cependant, si l'appétence au risque n'est pas clairement définie, des prises de décision incohérentes, trop conservatrices ou excessivement risquées peuvent s'en suivre. La conséquence ? Des pertes d'opportunités ou de marchés. Voici pourquoi il est indispensable de définir l'appétence au risque :

Aligner stratégie et gestion des risques

Définir clairement l'appétence au risque crée un cadre stratégique qui aligne les pratiques de gestion des risques et les objectifs globaux de l'entreprise. Si l'entreprise sait quel niveau de risque elle est prête à accepter, elle peut cibler les opportunités qui correspondent à son appétence au risque tout en évitant celles trop dangereuses.

Faciliter la prise de décision

Définir l'appétence au risque permet aux managers et aux dirigeants de prendre des décisions éclairées, car ils comprennent mieux ce qui constitue un risque acceptable. Cela permet aussi de déterminer les attentes à la fois concernant la prise de risque et les comportements d'évitement du risque, dans toute l'entreprise. Les managers peuvent ainsi évaluer le rapport risques/bénéfices dans différents scénarios.

Renforcer la confiance des parties prenantes

Une appétence au risque bien définie rassure les investisseurs, les régulateurs, les collaborateurs et autres parties prenantes, car ils voient que l'entreprise priorise la gestion des risques. Cela prouve également une approche méthodique et fiable, qui vise l'équilibre entre risques et bénéfices, ce qui renforce la confiance des parties prenantes.

Assurer la cohérence

Lorsque tout le monde partage la même compréhension du risque acceptable, les efforts convergent. Ainsi, ils ont moins de risque de travailler à contre-courant ou même les uns contre les autres. Par exemple, le département juridique peut refuser la « Grande idée » de l'équipe Marketing si les deux services ne partagent pas la même notion du risque acceptable.

Superviser efficacement les risques

Lorsque l'entreprise définit son appétence au risque, elle peut mettre en place des systèmes pour surveiller le niveau de risque dans toutes ses activités, du département Finances au département Opérations. Ainsi, elle détecte très tôt les problèmes potentiels et garantit que ses activités restent dans les limites de ce qu'elle considère comme sûr ou du moins, acceptable. Définir et surveiller les indicateurs clés de risque (KRI) permet d'alerter les personnes concernées avant que les limites fixées ne soient franchies.

Comment une entreprise définit-elle son appétence au risque ?

En général, l'entreprise passe par la rédaction d'une déclaration d'appétence au risque (RAS). Les premières sections de la RAS présentent les objectifs stratégiques de l'entreprise et les risques qu'ils impliquent.

Une entreprise peut, par exemple, souhaiter devenir leader des fournisseurs de logiciels dans son secteur. Elle doit répertorier les objectifs stratégiques qui lui permettront d'y parvenir, ainsi que les risques associés. Par exemple, Ivanti travaille dans le secteur de la fourniture de solutions Cloud de gestion des services IT et de la sécurité. Par conséquent, nous sommes tenus de rédiger une déclaration d'appétence au risque qui catalogue tous les risques qu'implique ce secteur d'activité, et qui explique comment nous allons les gérer.

Voici un exemple qui pourrait figurer dans la déclaration d'appétence au risque d'un fournisseur de logiciels :

Appétence générale au risque

[Nom d'entreprise] adopte une approche équilibrée du risque. Elle reconnaît que tous les risques ne sont pas égaux, et qu'il faut accepter un certain niveau de risque pour atteindre les objectifs stratégiques fixés.
Risque lié à l'innovation Notre appétence au risque est élevée lorsqu'il s'agit d'investir dans des technologies de pointe et des solutions innovantes susceptibles d'offrir un avantage concurrentiel à nos produits. Nous reconnaissons que cela implique d'accepter un certain degré d'incertitude, notamment en matière de R&D et de développement produit.
Risque opérationnel Dans ce domaine, notre appétence au risque est faible à modérée. Tout en visant l'excellence opérationnelle, nous priorisons des initiatives qui optimisent l'efficacité et la qualité de service sans jamais compromettre nos standards.
Risque lié à la sécurité Notre appétence au risque est très faible en matière de menaces et de failles de sécurité. La sécurité réseau et la protection des données sont notre priorité absolue. Nous investissons d'ailleurs massivement pour protéger nos systèmes et les données de nos clients.
Risque lié à la conformité Notre appétence au risque est faible en matière de non-conformité aux obligations légales et réglementaires. Nous considérons qu'il est primordial de garantir l'application des lois, normes et meilleures pratiques en vigueur pour toutes les opérations.

La RAS doit définir les risques qui auraient le plus d'impact sur l'entreprise, et non pas les risques quotidiens qui font simplement partie de ses activités. Il faut tenir compte de plusieurs scénarios de risque. Par exemple, une stratégie spécifique peut entraîner des risques pour la chaîne d'approvisionnement, notamment les conséquences de dépendre d'un seul fournisseur ou les dangers d'exposition réglementaire si un fournisseur ne gère pas correctement les données client.

La déclaration RAS doit aussi fixer le niveau de risque financier que l'entreprise est prête à courir. Si ses objectifs incluent la sortie d'un nouveau produit ou service, il existe toujours un risque d'échec sur le marché.

Composants de l'appétence au risque

Voici les facteurs clés à prendre en compte pour définir l'appétence au risque :

Capacité de risque

C'est le niveau maximal de risque que l'entreprise peut supporter. Il dépend des ressources financières, des capacités opérationnelles et des contraintes réglementaires. Mais attention : la capacité diffère de l’appétence si l’entreprise choisit volontairement de prendre moins de risques qu’elle ne le pourrait.

Tolérance au risque

Alors que la capacité de risque est le niveau de risque que l'entreprise peut supporter, la tolérance au risque correspond à l'écart acceptable par rapport à l'objectif. On peut même définir une tolérance distincte pour chaque domaine. Par exemple, une entreprise peut être flexible sur le lancement d’un produit mais stricte sur la sécurité des données client.

Seuils de risque

Nous avons mentionné plus haut la surveillance des risques et les KRI, qui évitent à l'entreprise de franchir le seuil de risque, à savoir la « ligne rouge » qui représente trop de risque. Franchir un seuil de risque peut exiger un changement de plan, un renforcement des mesures de sécurité ou même un arrêt total des activités.

Pour aller plus loin : Rapport d'étude Ivanti Vers une vision commune : La gestion des cyber-risques par le ComEx

Pourquoi l'appétence au risque est-elle importante dans la gestion de l'exposition ?

Dans le passé, l'atténuation des risques numériques était une tâche bien plus simple qu'elle ne l'est aujourd'hui. En effet, la surface d'attaque des entreprises s'est énormément étendue au fil du temps. L'ajout de nouveaux périphériques et applications, utilisés par les collaborateurs dans une multitude de lieux, a transformé l'environnement de travail et élargi le paysage des menaces numériques.

C'est ce qui explique notamment pourquoi l'étude Ivanti conclut que plus de la moitié des professionnels IT doutent de leur capacité à stopper un incident de sécurité dommageable au cours des 12 prochains mois. Encore plus alarmant, 1/3 d'entre eux estiment qu'ils sont moins bien préparés à détecter les menaces et à répondre aux incidents qu'il y a un an.

Pendant longtemps, la gestion des vulnérabilités traditionnelle consistait à remédier aux vulnérabilités et autres CVE des logiciels et du matériel en effectuant des analyses ponctuelles. Mais ce modèle basé sur une approche réactive est dépassé face à l'évolution rapide des cybermenaces : c’est là qu’intervient la gestion moderne de l’exposition.

La gestion moderne de l'exposition consiste à détecter et éliminer en continu, proactivement, les risques et vulnérabilités sur l'ensemble de la surface d'attaque numérique, qu'ils soient dus à l'exposition des actifs IT, au manque de sécurité des postes client et des applications, aux ressources Cloud ou à d'autres facteurs. Pourquoi la gestion de l'exposition et l'appétence au risque sont-elles aussi étroitement liées ?

  • Évaluation de l'exposition en fonction des niveaux de risque acceptables : la gestion de l'exposition implique la quantification du niveau de risque associé à différentes expositions. En définissant le risque acceptable, l'entreprise peut comparer l'impact possible des différents risques avec son appétence au risque.
  • Déploiement de ressources basé sur les risques : les entreprises doivent prioriser les expositions qui représentent la plus grande menace pour leurs stratégies... une évaluation qui n'est possible que si elles connaissent précisément leur appétence au risque. Cette priorisation leur permet de concentrer leurs efforts sur l'atténuation des risques les plus critiques, souvent à l'aide d'un outil RBVM (Gestion des vulnérabilités basée sur les risques) avancé.
  • Ajustement de l'appétence au risque : face à l'évolution de l'environnement commercial ou l'émergence de nouveaux risques, il peut être nécessaire d'ajuster l'appétence au risque. Les données et insights que les entreprises obtiennent grâce à leurs pratiques de gestion de l'exposition les aident à prendre des décisions éclairées concernant ce type d'ajustement.
  • Garantie de conformité : des normes et réglementations précises imposent des exigences en matière de gestion des risques. Ces cadres réglementaires influencent directement l’appétence au risque d’une entreprise, qui doit s’assurer qu’elle reste conforme pour éviter sanctions ou pertes d’opportunités commerciales.

Pour aller plus loin : Rapport d'étude Ivanti Gestion de la surface d'attaque

La gestion de l'exposition, un changement de mentalité dans la gestion des risques

La gestion de l’exposition moderne ne se limite pas à éviter les risques à tout prix. Elle se concentre sur la création d’une tolérance calculée, adaptée aux objectifs stratégiques de l’organisation. Prenons un exemple simple : une entreprise de commerce en ligne pourrait être prête à courir un risque de cybersécurité légèrement accru pendant le Black Friday, car les bénéfices générés pendant cette période dépasseraient les impacts potentiels d’une attaque mineure.

Au lieu de considérer chaque risque comme une crise qu'il faut résoudre immédiatement, les entreprises doivent prioriser les risques en fonction de leurs besoins. Dans ce cadre, la plupart des risques ne sont pas graves : tout est une question de réaction à ces risques, de contrôle et d'atténuation pour les ramener à un niveau acceptable.