Vulnérabilité (sécurité)
En étude et gestion des risques, la vulnérabilité d'un groupe, d'une organisation, d'un élément bâti ou d'une zone géographique est le point faible de cette entité, pouvant être défini par :
- un objet de risque : ressource qui est en risque, pouvant appartenir à cinq classes : humaine, technique, informations, partenaires et financières (H, T, I, P, F).
Un exemple d'objet de risque est une Installation classée pour la protection de l'environnement (ICPE). - des causes : facteurs de risque ou périls, événements aléatoires dont la survenance prive l'organisation ou l'entité de son intégrité, ou d'une ressource partiellement ou totalement, de façon provisoire ou définitive.
- des conséquences : impacts potentiels ; Il s'agit de façon générale de l'impact (plus ou moins grave, durable ou irréversible) sur l'état et les fonctions de l'entité, l'atteinte des objectifs fondamentaux de l'organisation.
Tous ne sont pas facilement traduisibles en termes financiers, comme le maintien de la compétence de l'entreprise (même s'il existe des tentatives d'évaluation du capital intellectuel des entreprises :Return on Knowledge Employed). La notion de réversibilité est importante, impliquant celle d'un éventuel "point de non-retour", dans un contexte donné.
Cet article concerne la vulnérabilité d'un groupe, d'une organisation, d'un élément bâti ou d'une zone géographique. Pour les autres significations, voir Vulnérabilité.
Il ne faut pas confondre deux termes proches : la vulnérabilité et la fragilité. Leur proximité ne crée pas leur homonymie. Il existe dans certaines disciplines (philosophie, médecine, assistance sociale…) une confusion qu'il est important de relever . La fragilité est souvent une circonstance aggravante de la vulnérabilité. Précisons :
- Le fer et le cuivre sont tout autant vulnérables vis-à-vis d'un effort de traction : il existe un niveau de traction qui entrainera leur rupture. Par contre leurs réponses à cet effort ne sont pas identiques : le fer est fragile à basse température car il casse par une processus de rupture franche (la rupture fragile et son faciès caractéristique), le cuivre est ductile car il passe par un mode élastique puis plastique avant de se rompre (la rupture ductile et son faciès caractéristique). Rester dans le domaine élastique d'un matériau augmente sa résilience.
- Le verre et la fonte sont deux matériaux fragiles. Les différentes pièces d'une chaudière, créées avec ces 2 matériaux, ont la vulnérabilité de leur localisation, de leur fonction, de leur usage, etc.
- Le chêne et le roseau n'ont pas du tout la même fragilité (voir la différence entre matériau fragile et matériau ductile).
- Les vulnérabilités d'Achille et de Samson se situent respectivement au talon (le fameux talon d'Achille) et à la chevelure. Cela ne dit rien de leurs fragilités respectives.
- Deux soldats placés dans une même situation sont identiquement vulnérables au regard des risques du combat, mais le soldat blessé est plus fragile que le combattant gaillard.
Classes de vulnérabilités
De manière générale, la notion de vulnérabilité est liée à celle d'insécurité, de danger réel ou potentiel dont il faudrait pouvoir se préserver (Alwang et al., 2001), dans le domaine de l'économie, ce danger étant souvent la tombée ou la retombée dans une situation de pauvreté qui peut elle-même limiter les capacités de résilience[1] de l'entité concernée. Dercon la définit comme suit : « the existence and the extent of a threat of poverty and destitution; the danger that a socially unacceptable level of well-being may materialise »[2]. On peut s'intéresser à un facteur particulier, par exemple le climat dans le cadre des études de vulnérabilité au dérèglement climatique[3]. Rousseau a en 2003 insisté sur l'importance du rapport entre risques et capacités (la vulnérabilité diminue quand les capacités de l'entité concernée s'accroissent, pour un même contexte de risques. Inversement, elle augmente quand les risques augmentent (pour des dotations et opportunités restant identiques)[4].
Les classes de vulnérabilité (selon l'AFNOR en France) correspondent aux cinq catégories de ressources :
- Atteintes de personne H
- Dommage aux biens physiques et techniques T
- Pertes d'informations I
- Dommages aux partenariats P (ressources amont, latérales, aval)
- Pertes de revenus F
À ces catégories de ressources, il convient d'ajouter des ressources « gratuites » :
- l'environnement physique et naturel (ressources naturelles, et gratuites (aménités) ou non… dont eau, air, sol, biodiversité) contribuant à la résilience en cas de crise ;
- l'environnement politique, légal et social,
- l'environnement concurrentiel.
Place dans la gestion des risques
L'identification de l'objet du risque et du péril (facteur de risque) permet de clore la phase d'identification des risques.
La suite de l'analyse des risques prend en compte les conséquences :
- Conséquences primaires : les dommages sur l'organisation elle-même.
- Conséquences sur les tiers : les dommages subis par les tiers et l'environnement, lesquels peuvent se traduire par la responsabilité civile ou pénale et la mise en cause d'employés ou de dirigeants.
- Atteintes à la réputation : voir le risque de réputation.
Quelques exemples
Par rapport au risque industriel
Voir : Installation classée pour la protection de l'environnement
La vulnérabilité d’une zone ou d’un point donné est l’appréciation de la sensibilité des cibles présentes dans la zone à un type d’effet donné (surpression de x mbar, gaz toxique à la concentration y pendant un temps t…). Par exemple, on distinguera des zones d’habitat, de zones de terres agricoles, les premières étant plus sensibles que les secondes à un aléa d’explosion en raison de la présence de constructions et de personnes. (Circulaire du 02/10/03 du MEDD sur les mesures d'application immédiate introduites par la loi 2003-699 en matière de prévention des risques technologiques dans les installations classées).
Par rapport au risque pays
Le FMI publie des indicateurs de vulnérabilité par rapport au risque pays[5].
Par rapport aux informations sensibles
Les données informatiques sont de plus en plus constituées par des informations éparpillées et des documents répartis sur différents sites et postes de travail, qui contiennent le patrimoine de connaissances (explicites) de personnes et d'organismes qui travaillent en communautés de pratique. Ce patrimoine, quelquefois appelé capital immatériel (ou capital intellectuel), doit être protégé contre les risques de perte de compétence.
D'autre part, les documents contractuels de l'entreprise, signés avec des partenaires (clients, fournisseurs, banques, assurances) engagent l'entreprise, par la signature électronique. Les impacts économiques, environnementaux et sociaux des activités de l'entreprise sur diverses parties prenantes, peuvent engager la responsabilité des dirigeants ou des employés de l'entreprise sur le plan juridique. Il est donc nécessaire de pouvoir fournir la preuve de la bonne exécution des termes d'un contrat (gestion de la preuve), et de s'assurer que différents types de risques ont été pris en compte, afin de se prémunir contre le risque juridique, responsabilités civile et pénale, pouvant entraîner des amendes lourdes en cas de non-respect de dispositions légales.
Tout cela nécessite d'analyser la vulnérabilité de l'organisation dans son ensemble, et du système d'information, qui commence par l'identification des éléments sensibles :
- Actifs,
- Informations de toutes nature, données, etc.
Voir :
Par rapport aux processus de décision
Certains processus de décision peuvent également présenter des vulnérabilités par rapport aux actions d'influence, car ils véhiculent des connaissances sensibles pour les communautés qui partagent ces connaissances (gouvernements, pôles de compétitivité…).
En l'absence d'une gestion rigoureuse des données partagées, des informations même relativement peu sensibles (grises), disponibles en sources ouvertes, peuvent être captées par des réseaux d'influence internationaux pouvant avoir des intérêts différents de l'organisation.
Si l'on dispose d'une organisation (registres de métadonnées) permettant de décrypter, avec des moteurs de recherche, des ressources informatiques indexées avec des métadonnées structurées de façon cohérente, on dispose d'une puissance d'influence très importante.
Par rapport au dérèglement climatique
Selon le GIEC, en termes de vulnérabilité et de risque il existe de profondes inégalités face au risque climatique, et plus encore face aux risques d'évènements climatiques extrêmes[6].
Par rapport au risque épidémiologique
L'ONU, et plus précisément l'OMS, avec la FAO et l'OIE ont mis en place des outils de veille et alerte pour mieux gérer le risque pandémique.
Des plans nationaux et régionaux existent également, récemment mis en œuvre à échelle mondiale pour la grippe aviaire ou le H1N1 par exemple.
Notes et références
- Lallau B. (2008a) La résilience, moyen et fin d’un développement durable ? Conférence internationale, La problématique du développement durable vingt ans après : nouvelles lectures théoriques, innovations méthodologiques, et domaines d'extension, Lille, novembre
- Dercon S. (2005) Vulnerability: a micro perspective, QEH Working Paper, Oxford ; University, April. voir pages 2-3).
- Moss R.H., Brenkert A.L. and Malone E.L. (2001) Vulnerability to climate change: Aquantitative approach, US Department of Energy/Battelle, Oak Ridge, TN.
- Rousseau S. (2003) Capabilités, risques et vulnérabilité, in : Pauvreté et développement socialement durable, Dubois J.-L., Lachaud J.-P., Montaud J.-M. et Pouille A. (dir.), Bordeaux, Presses Universitaires de Bordeaux, pages 11 à 22.
- Indicateurs de vulnérabilité - FMI, avril 2003
- IPCC, The IPCC Special Report on Managing the Risks of Extreme Events and Disasters to Advance Climate Change Adaptation, présentation
Voir aussi
Bibliographie
Articles connexes
Liens externes
- (en) NIMS Information Security Threat Methodology - The MITRE Corporation, [PDF]
- Portail de la sécurité de l’information
- Portail du management
- Portail de la médecine
- Portail des risques majeurs