Speaker #0Est-ce que tu savais, toi, ce que c'était une capacité de risque ? Non ? Eh bien c'est normal. Moi non plus. Je n'en avais jamais entendu parler, ni dans l'ISO 31000, ni dans l'ISO 27005. Ces deux-là parlent d'appétit du risque, de tolérance et d'acceptation, mais jamais de capacité. Et pourtant cette notion change tout. Parce qu'aujourd'hui, on va parler de ce qu'est vraiment la capacité de risque, de deux exemples concrets pour bien la comprendre, la crypto-monnaie et... le licenciement, abusif ou non, de 100 personnes, et d'une anecdote vécue entre un CISO et un CRO qui ne parlaient pas le même langage. Et tu verras pourquoi la certification CRISC de l'ISACA a eu raison d'intégrer ce concept, là où les ISO se sont un peu endormis. D'ailleurs, c'est en alignant nos slides avec la nouvelle version de la certification que j'ai eu l'idée de ce podcast. Bonjour à toi, et bienvenue dans Compliance Without Coma, le podcast qui parle de cybersécurité, de gouvernance et de normes ISO, mais sans jargon, sans anesthésie et surtout sans coma. Je suis Fabrice De Paepe, et aujourd'hui, je vais t'aider à comprendre ce qu'il y a au-delà du risque acceptable, et comment parler le langage des décideurs. Alors boucle ta ceinture, c'est parti ! En alignant mes slides sur la dernière mise à jour du cours CRISC de l'ISACA, je suis tombé sur cette phrase. La capacité du risque, c'est la perte totale qu'une entreprise peut tolérer avant que son existence soit menacée. Et là je me suis dit, mais oui c'est évident, parce qu'en fait, dans toute les normes ISO, on te parle de gérer le risque, déterminer l'appétit, accepter ou non un scénario, mais personne ne te dit où se trouve la ligne rouge, le point où ton organisation ne se relève plus. C'est ça, la capacité du risque. Prenons un exemple simple. Tu as 1000 euros d'économie, c'est ta risk capacity, ta limite absolue. Tu investis 700 euros dans les cryptos, c'est ton appétit du risque. Tu te laisses une marge de manœuvre de, disons, 200 euros de tolérance. Si le marché s'envole et que tu veux en profiter, tu l'utilises. Les 100 euros restants, c'est ta survie. Si tu touches à ça, tu as dépassé ta capacité ou tu l'as égalée. Et crois-moi, beaucoup d'entreprises vivent dans cette zone-là sans le savoir. Elles pensent qu'elles acceptent leurs risques alors qu'elles s'enfoncent lentement au-delà du supportable. Et le deuxième exemple m'est venu en regardant bêtement une émission d'investigation sur une chaîne française. Une entreprise décide de licencier 100 personnes. Elle sait qu'elle peut tenir financièrement jusqu'à 7% de plainte pour licenciement abusif aux prud'homme avant d'être en difficulté. C'est pas du tout éthique ce que je te dis, mais c'est pour démontrer que l'entreprise... a pris un risque et que son risque est estimé à 7%. Elle a une capacité de 7% derrière ça. Et son appétit est de 5%. Et sa tolérance est donc de 2%. C'est-à-dire qu'elle a mis un premier buffer à 5%, mais elle ne peut en aucun cas dépasser les 2% restants, ce qui ferait 7%. C'est la limite. Au-delà de ça, elle n'a pas le budget, elle dépasse le seuil et elle peut s'écrouler ou relocaliser. Et là, on comprend que la capacité, c'est pas juste un indicateur. C'est la frontière entre la gestion et la survie. Et c'est justement là qu'on transcende mon anecdote avec un CISO. Un gars brillant, technique, rigoureux, il remontait plein de risques à son chief risk officer. Des scénarios crédibles, documentés, conformes à l'ISO, conformes à leur politique interne. Mais le CRO, lui, il restait dans son coin, il ne réagissait pas. Rien ne bougeait, silence radio. Et lui, le CISO, il ne comprenait pas. Parce que du point de vue cyber, les risques étaient bien réels. Mais du point de vue business, ils n'étaient pas prioritaires. En clair, chacun pensait que l'autre savait. Mais ils ne parlaient pas la même langue. Alors je lui ai dit, il te manque une brique dans ton analyse. La capacité de risque. Tu dois savoir, pour chaque gros scénario, quelle est la vraie limite de ton organisation. Pas juste si ça fait un peu mal. mal, ou voire très mal sur ton tableau ISO d'impact, mais va chercher le point de rupture, le vrai. Et ça a tout changé. Parce que dès qu'il a intégré cette logique, le CRO a commencé à l'écouter différemment. Il ne voyait plus un cyber-alarmiste, mais un partenaire stratégique qui pensait en termes de résilience globale, et il était passé du mode « je signale les risques » à Je protège les actifs critiques dans les limites de notre capacité réelle. Et là, tu gagnes ta place à la table des grands. Et franchement, c'est là qu'on voit la limite des ISO. Elles parlent de tolérance, d'appétit, de traitement, mais jamais de capacité. Comme si on pouvait empiler les risques à l'infini tant qu'on les avait acceptés. Le CRISC, lui, est beaucoup plus lucide. Il te force à poser la question que personne n'aime poser. Jusqu'où on tient ? Mais vraiment. Parce que tant qu'on n'a pas défini cette ligne, on pilote dans le brouillard avec un faux sentiment de contrôle. Alors la prochaine fois qu'on te parle d'appétit du risque, pose la question qui tue. Et notre capacité, elle est où ? Je te promets, ça crée toujours un silence dans la salle. Allez, à méditer pendant ton café. Et si t'aimes ce genre d'épisode, celui où on relit les normes, la vraie vie et les conversations qu'on n'a jamais, abonne-toi à Compliance Without Coma. Ici, on parle de risque, entre autres, mais sans anesthésie. A vendredi prochain mes petits coma breakers.
