En bref (TL;DR)

Un Diagramme Bowtie (diagramme en nœud papillon) est avant tout un outil qualitatif permettant de visualiser la gestion des risques quantitative. Une approche simplifiée de la notation est plus proche des techniques classiques de gestion des risques. Une fois adoptée, une approche numérique permet de visualiser le risque relatif lié à des déclencheurs spécifiques et de mettre en évidence l’importance de certains contrôles.

L’objectif d’un Diagramme Bowtie

Les Diagrammes Bowtie sont généralement utilisés comme modèle qualitatif de gestion des risques. Ils illustrent les causes et les effets potentiels d’un événement unique à fort impact (l’événement majeur, généralement la perte de contrôle d’un danger majeur). C’est l’objectif principal de notre outil de création de diagrammes SharePoint, Bowtie Designer.

Plus précisément, ils illustrent également les contrôles mis en place pour prévenir la survenue ou atténuer les conséquences potentiellement néfastes de ce scénario de perte de contrôle.

Un Diagramme Bowtie est donc avant tout un outil graphique. Il exprime la relation entre les menaces et les conséquences potentielles d’un incident grave, si ces menaces se matérialisent. Comme son nom l’indique, son aspect graphique ressemble à un papillon, reliant de nombreuses menaces et conséquences à une seule perte de contrôle.

Point focal 1 : En premier lieu, la méthode du Bowtie (Diagrammes Bowtie) vise à répertorier les mécanismes de gestion des risques plutôt qu’à les mesurer.

Quelle est l’utilité d’un modèle qualitatif ?

Dans un processus complexe, que ce soit dans un contexte industriel ou organisationnel, toute analyse des risques doit commencer par répertorier les points sensibles. C’est un préalable à un affinement et une compréhension plus approfondis. Une analyse détaillée bénéficie d’une réflexion structurée. Le premier avantage de la méthode du Bowtie réside dans la clarté de l’approche, et son intérêt est doublé si l’on définit clairement les objectifs du processus de réflexion.

Point focal 2 : L’analyse du Bowtie permet d’organiser ses pensées avant une analyse plus détaillée.

Après avoir identifié un scénario de perte de contrôle grave, il s’agit de déterminer s’il convient de poursuivre en examinant les causes ou les effets. Entrer dans les détails de l’un ou l’autre risque de remettre en question votre compréhension initiale ou la définition de l’événement majeur du Diagramme Bowtie.

Par exemple, une fuite de gaz naturel (et son inflammation ultérieure) devrait avoir des conséquences différentes selon qu’elle se produit sur un site isolé à faible densité de population, à proximité d’une agglomération ou dans une installation industrielle très fréquentée. Même si les aspects technologiques peuvent être similaires, voire identiques, les conséquences pourraient être totalement différentes.

Analyse quantitative en Bowtie

Dès que nous reconnaissons ce principe, une mesure quantitative s’impose. Une menace pour une population importante doit être pire que la même menace pour un nombre plus restreint de personnes. Jusqu’à un certain point, les individus perçoivent intuitivement la différence d’échelle (ou de fréquence) des menaces. C’est une bonne chose, car elles peuvent être très difficiles à mesurer avec certitude. L’incertitude est, après tout, la définition même du risque.

Cependant, à mesure que votre Diagramme Bowtie gagne en taille et en précision, il devient essentiel d’identifier les éléments à haut risque et à fréquence élevée afin de prioriser les points à surveiller. Toute approche de gestion des risques nécessite tôt ou tard une telle priorisation. Même en l’absence de statistiques précises, il est indispensable d’estimer au minimum l’ampleur du risque. Les Diagrammes Bowtie ne font pas exception.

Point focal 3 : Tôt ou tard, vous souhaiterez quantifier le risque, même approximativement.

Que quantifier ?

En comparant les entrées et les sorties de base d’un diagramme en nœud papillon avec une matrice d’analyse des risques classique, la question de savoir ce qu’il faut quantifier est relativement simple.

Dans une matrice de risque, la probabilité d’un événement est l’axe des ordonnées et la gravité l’axe des abscisses. Les mesures équivalentes dans le Diagramme Bowtie sont : pour les causes à gauche (événements déclencheurs) : la probabilité ; pour les conséquences à droite (conséquences) : la gravité.

Considérer la probabilité relative des différents déclencheurs est un bon point de départ. Ainsi, vous pouvez prioriser le traitement des contrôles qui réduisent la probabilité que les événements déclencheurs les plus courants entraînent une perte de contrôle.

Si un événement déclencheur devait se produire une fois tous les trois mois, et que notre cadence était quotidienne, cela correspondrait à environ une fois tous les 90 jours, soit environ 10-2 si l’on considère la fréquence quotidienne ou 1 % la probabilité quotidienne.

Point focal 4 : Les évaluations numériques permettent de hiérarchiser les priorités, mais suggèrent également la probabilité globale de survenance de l’événement principal.

Au niveau suivant, un peu plus mathématique, la probabilité de survenance de l’événement principal selon la méthode du Bowtie est la combinaison de tous les déclencheurs possibles. La probabilité de survenance de l’un ou l’autre déclencheur est la simple somme des probabilités, si elles s’excluent mutuellement. Si elles ne s’excluent pas mutuellement, la probabilité combinée pourrait être légèrement surestimée, à vrai dire.

Le plus utile est de pouvoir combiner la probabilité de tous les déclencheurs en un seul chiffre, ce qui peut ensuite être représenté sur une matrice des risques.

Une approche différente est pertinente pour les résultats figurant à droite du Diagramme Bowtie, en raison du problème de la comparaison des pommes avec des poires. De nombreuses organisations trouvent plus productif de séparer les différentes catégories de résultats. Par exemple, cartographier les risques de sécurité sur une échelle distincte, par exemple, des impacts financiers.

Point focal 5 : Les résultats sont plus difficiles à assimiler en raison de leurs différences de nature, mais ils peuvent être comparés entre différentes analyses en Bowtie.

Si l’on admet que les différentes catégories de résultats doivent être séparées, quel est l’intérêt de les quantifier ? Pour répondre à cette question, il faut examiner le niveau de détail suivant : les contrôles.

Quantification de l’efficacité des contrôles

L’élément central de la méthode du Bowtie est l’illustration des contrôles qui réduisent la probabilité qu’un événement se produise. Tous les contrôles n’ont pas la même efficacité. Par exemple, une alarme signalant un problème peut être moins efficace qu’un verrouillage empêchant l’apparition du problème. Cependant, la mise en place des deux types de contrôles garantit leur défaillance.

Si l’efficacité des contrôles est exprimée par « défaillance une fois sur cent » ou « une fois sur mille », alors non seulement leur efficacité relative peut être comprise, mais elle peut être résumée en un chiffre unique indiquant la probabilité qu’un événement déclencheur se transforme en perte de contrôle. Ou, de la même manière, qu’une perte de contrôle entraîne un résultat néfaste. Bowtie Designer utilise ce type d’approche, dont vous pouvez avoir un aperçu dans cette vidéo sous-titrée de 3 minutes :

Un autre exemple d’évaluation des risques de sécurité sur une échelle logarithmique a été utilisé dans l’outil Excel ARMS SIRA, qui appliquait un seul nombre cumulé pour exprimer la valeur de tous les contrôles à gauche et à droite du Diagramme Bowtie.

De plus, comme les mêmes contrôles peuvent souvent être appliqués à plusieurs déclencheurs ou résultats, le tableau de risque global peut être influencé non seulement par l’efficacité du contrôle, mais aussi par le nombre d’endroits où il est utilisé et la fréquence relative des déclencheurs (ou la gravité des résultats) qu’il affecte.

Point focal 6 : Une fois l’efficacité des contrôles évaluée, l’utilité (ou la criticité) de chaque contrôle peut être exprimée sur l’ensemble du modèle en Bowtie.

Nous pouvons étendre cette idée sous forme de « modèle de sensibilité » en considérant l’effet sur le modèle en Bowtie dans son ensemble, si chaque contrôle est rendu plus ou moins efficace.

Comment quantifier l’efficacité ?

Comme indiqué précédemment, un modèle numérique doit être traité avec prudence en raison de la grande incertitude qui entoure de nombreux scénarios de type « nœud papillon ». Notamment, le manque de données et la sensibilité aux conditions réelles peuvent ajouter d’importantes marges d’erreur à tout modèle statistique. Par conséquent, nous évitons de surinvestir dans des chiffres exacts.

L’approche que nous privilégions, similaire à celle utilisée dans l’outil Excel ARMS SIRA, est une échelle logarithmique pour la fréquence des événements et l’efficacité des contrôles. Autrement dit, nous utilisons des puissances de 10 pour indiquer la fréquence à laquelle un événement peut se produire ou la fréquence à laquelle un contrôle peut échouer. Affirmer qu’un contrôle fonctionne dans 10 %, 1 % ou 0,1 % des cas (ou presque jamais) suffit à tirer profit de son évaluation, sans se perdre dans un jeu de chiffres.

Quels sont les principaux points à retenir ?

1. Dans un premier temps, les Diagrammes Bowtie servent à répertorier les mécanismes de gestion des risques.
2. L’analyse en Bowtie permet d’organiser ses réflexions avant une analyse plus détaillée.
3. Tôt ou tard, il sera nécessaire de quantifier le risque, même approximativement.
4. Les notations numériques permettent de hiérarchiser les priorités, mais suggèrent également la probabilité globale de survenance de l’événement majeur.
5. Les résultats sont plus difficiles à évaluer en raison de leurs différences de nature, mais ils peuvent être comparés entre différentes analyses en Bowtie.
6. Une fois l’efficacité des contrôles évaluée, l’utilité (ou la criticité) de chaque contrôle peut être exprimée à travers l’ensemble du modèle en Bowtie.

Une approche quantitative est-elle vraiment justifiée ?

Tout au long de cet article, nous avons souligné l’importance du Diagramme Bowtie comme représentation visuelle des dispositifs de gestion des risques. Adopter une approche purement qualitative dès le départ permettra de se concentrer sur une vision globale. Cependant, lorsqu’il s’agit de déterminer comment et où allouer les ressources pour réduire le risque effectif, une approche numérique est non seulement justifiée, mais aussi prévisible, conformément aux approches classiques de gestion des risques.

Bowtie Designer permet non seulement ce niveau d’analyse numérique, mais fournit également des rapports qui étayent des investigations plus approfondies.