Chapitre 2 : Modélisation de la relation entre l'information et la gestion des risques

L'introduction d'une méthode de gestion des risques au sein des organisations suppose un véritable développement d'un système d'information comme outil, il permet de rassembler les données sur l'exposition aux risques, de l'organisation et de calculer les indicateurs statistiques, la question est donc de comprendre comment un système d'information améliore la mesure et le management des risques et sur quelles conditions ?

I : le système d'information pour la gestion des risques

Dans la mise en place de management globale des risques au sein des organisations, les systèmes d'information prennent une place considérable. La relation risque système d'information, en management est principalement, abordée d'une manière négative, ou les systèmes d'information sont perçus comme générateurs des risques soit en amont, lors de la phase projet de nouveau système d'information au sein de l'organisation en considérant les d'échec de ce projet, soit en aval, en posant la question de la sécurité d'informatique, mais peu a été dit sur l'importance des systèmes d'information pour gérer les risques comme outils et processus. Il s'agirait alors d'envisager cette relation sous un angle plus positif, sans négliger bien évidemment les risques induits par les systèmes d'information en place ou nouveaux^39(*).

1 : Fondements théoriques du système d'information pour la gestion des risques

Revenons aux fondamentaux du système d'information avec, tout d'abord, quelques définitions.

Tableau 3: Quelques définitions du système d'information

Comme l'écrit Meinadier ^42(*), « tout système d'information est le réseau informationnel d'un sur-système ». Il reprend en fait la notion de système d'information vue par Le Moigne dans le cadre de ses travaux sur la modélisation des systèmes complexes. Selon lui, tout système, toute organisation peut se concevoir comme composé de trois sous-systèmes^43(*):

· un système de décision/pilotage dont la fonction est de concevoir l'utilisation des moyens amenant la production et qui organise la coordination des actions ;

· un système d'information, constitué par l'ensemble d'informations, de connaissances permettant de (re)concevoir l'utilisation des moyens et d'assurer leur bonne utilisation pour produire ;

· un système opérant dont la fonction est d'utiliser des moyens permettant d'assurer la production.

Ce « sur-système » du système d'information pour la gestion des risques nous semble à deux niveaux : l'organisation elle-même dont la finalité est de produire et son système de management des risques. Pour tenir compte de la dualité, nous voulons étudier le système de management de la sécurité sans oublier qu'il s'inscrit dans une organisation particulière.

1 .1 : le Système de Management de la Sécurité

La mise en place d'un Système de Management de la Sécurité (SMS) regroupe l'élaboration d'une organisation spécifiquement vouée aux préoccupations de sécurité.

Les fonctions qu'il remplit sont les suivantes : définir des politiques de sécurité, mesurer les performances en matière de sécurité (mesure du niveau de sécurité), identifier les points faibles ou les dérives du système et mettre en place des plans d'action afin de les corriger. Sont des composants indispensables de ce SMS : l'analyse de risques, la formation, la définition des rôles et des responsabilités, la maintenance, la gestion des modifications, la maîtrise opérationnelle.

Hale dans sons ouvrage Safety Management Systems décompose le système de management de la sécurité et le processus de gestion en trois niveaux à intégrer et en huit tâches à réaliser.

Les trois niveaux de décomposition proposés sont : l'exécution, la planification et les procédures, la structure et la politique. L'enjeu sécurité est perçu différemment selon les niveaux.

Amalberti^44(*) explique que : «Il y a au moins trois objectifs de sécurité dans un système socio technique : l'un est l'objectif global au niveau de l'entreprise, ou du top management. A ce niveau, la sécurité touche la survie économique dans des conditions défavorables ; un second objectif est le management de la production et donne la priorité à la qualité. Le produit est le point focal. Le dernier objectif est de protéger les individus contre des agressions mentales ou physiques. Chaque niveau utilise les autres pour atteindre ses propres objectifs. Chaque niveau résiste à des pressions qui viennent des autres niveaux, dans le but d'optimiser et de garder sous contrôle sa propre logique de sécurité. Le macro système résultat est l'émergence de ces interactions ». Il met en évidence la possibilité de différentes représentations au regard des objectifs individuels.

Les huit sous tâches pour lesquelles chaque niveau participe sont les critères, les objectifs, les états désirés, la définition et l'identification des problèmes, l'analyse des problèmes, la génération de solutions, le choix de solution mise en place, le contrôle, l'évaluation, l'état réel.

La force de sa modélisation tient moins dans le découpage que dans la capacité à mettre en relation les actions des différents niveaux du système de management dans l'atteinte d'un objectif commun. Il pointe alors les interfaces délicates du management. Il entend ainsi couvrir l'ensemble des actions menées au titre de management et surtout, montrer comment elles sont théoriquement reliées dans le cadre du système de management de la sécurité formel.

* ³⁹ LEMETTRE Jean-François, Risque, information et organisation, paris, HARMATAN, 2008, P.60.

* ⁴⁰ Le MOIGNE, J. L. La modélisation des systèmes complexes, DUNOD/AFCET, 1999.

* ⁴¹ REIX, R. Système d'information et management des organisations. Paris, Librairie Vuibert. 2004. p.58.

* ⁴² MEINADIER, J. P, L'intégration des systèmes. Les systèmes d'information. Balantzian, Editions organisations, 2002, p. 87.

* ⁴³ Le MOIGNE, J. L, Op.cit.

* ⁴⁴ AMALBERTI, R. et BARRIQUAULT. C, " Fondements et limites du retour d'expérience." Annales des Ponts et Chaussées, 1999.p. 67 - 75.