Gravité

La gravité est d’importance pour les risques. En général la gravité se détermine sur plusieurs niveaux au minimum 4 : Faible, modéré, majeur, critique. D’aucuns proposent de croiser la probabilité et l’impact d’un risque pour obtenir sa gravité. Un risque avec de faibles conséquences et qui n’arrive que très rarement n’est pas un risque. Un risque avec une forte probabilité d’apparition et avec de fortes conséquences est un risque critique, qui appelle une décision urgente de réaction. Entre ces deux niveaux, l’organisation doit réflechir à comment distinguer les différents risques pour apporter le bon niveau de réponse.

On établira une échelle d’impact et de probabilité, en ligne avec l’éco-système de l’organisation.

Etudions quelques exemples

Perte de Commande : 0 à 2% – 2,1% à 5% – 5% à 15% – plus de 15%
Indisponibilité des services : 4h – 48h – 72h – 1 semaine
Nombre de clients impactés : Moins de 100 – entre 100 et 500 – Entre 500 et 2000 – plus 2000
Perte irréversible de données : moins de 5% du stockage total – entre 5 et 10% – entre 10 et 20% – Plus de 20%
Fréquence : 1 fois tous les 2 ans – 1 fois par trimestre – 1 fois par semaine – 1 fois par jour
Bien qu’intéressantes, ces échelles ne sont pas suffisantes. En effet, perdre 1 client qui fait 30% du Chiffre d’Affaires n’est pas la meme chose que perdre 20 clients qui font moins de 3% de celui-ci. Il va falloir rendre objectif les critères au sein des différents niveaux. Un risque critique sera donc perdre plus de 20% des clients ou celui qui fait plus de 30% du Chiffre d’Affaires. L’introduction du OU logique devient essentiel et rend pertinent ces échelles. En toute rigueur ces niveaux d’échelle devraient être validés par le comité des risques ou comité équivalent de l’organisation.

Une fois ces critères stabilisés, on construit la table d’aversion au risque qui permet de qualifier les risques et de déterminer ceux qui semblent les plus graves, nécessitant une prise de décision rapide et un suivi de l’organisation approprié. Par exemple, un risque critique pourra bénéficier d’une revue mensuelle des moyens mis en place pour le réduire.

Risque
Evénement redouté