Modèle du risque risque et le système de gestion de la confiance

By 1 March 2013

7.2 Modèle du risque

Nous appliquons les principes du risque tel que défini en économie, le risque lié à une transaction est la perte potentielle qu’elle peut provoquer. Lorsqu’une entité prend une décision concernant une action, il en découle un ensemble de conséquences potentielles et à chacune de ces conséquences peut être associée une probabilité d’occurence.

Notre modèle du risque est une interprétation du modèle théorique de calcul quantitatif du risque basé sur la notion de coût/bénéfice, que appliquons dans le domaine des applications de e-commerce. Dans notre cas, le bénéfice (ou le coût) d’une transaction est la valeur de gain (ou de perte) de la transaction évaluée par chacune des parties engagée dans la transaction. Le bénéfice indique une transaction réussie, par contre le coût indique une transaction échouée. La transaction peut être réussie pour l’une des parties, mais échouée pour l’autre.

Nous nous intéressons plutôt à l’aspect d’analyse du coût des conséquences. Dans la pratique, nous trouvons que réaliser une action ou ne pas la réaliser implique toujours un coût, et cela peut expliquer le coût lié à des choix différents. Nous donnons un exemple pour concrétiser :

Nous nous intéressons à une action d’adjudication sur un appel d’offre de projet. Si nous ne participons pas, nous perdons le bénéfice que nous pouvons faire dans cette opération. Si nous participons, nous avons des coûts (coût financier, temps de préparation d’une ébauche de solution) et nous perdons cette somme, que nous obtenions ou pas le projet.

Pour les transactions e-commerce, le coût de chaque occurence sera estimé sur la base de la somme et des frais de la transaction. La probabilité d’occurence est déterminée en utilisant l’historique des transactions passées.

Notre modèle de risque utilise la structure d’événements que nous décrivons dans la modélisation du système, et il sera appliqué à notre infrastructure de confiance.

7.2.1 Modèle de calcul coût/bénéfice

Le modèle considère le risque associé à l’action d’une entité dans le système. Supposons qu’une entité veuille effectuer une action; cette action peut avoir un ensemble de conséquences différentes o1 , o2 , . . . on . Chaque conséquence oi peut se réaliser avec une probabilité pi. Le coût ou le bénéfice de chaque conséquence sera estimé par l’entité en se basant sur la nature de la conséquence. La probabilité de chaque conséquence pi sera estimée en utilisant les informations de l’historique des actions passées et du contexte dans lequel se déroule l’action actuelle.

La fonction qui estime le coût ou le bénéfice de l’action sera appliquée à l’ensemble des conséquences et à leurs probabilités. Elle est calculée de la manière suivante :
Modèle de calcul coût/bénéfice

Dans cette formule, p(oi ) est la probabilité d’occurence de la conséquence oi lorsque l’on entreprend l’action et cb(oi ) est le coût ou le bénéfice de cette conséquence.

7.2.2 Modèle de risque appliqué à notre infrastructure de gestion de la confiance

Nous avons présenté notre système de gestion de la confiance aux chapitres 5 et 6. Comme nous l’avons alors indiqué, ce système utilise toutes les sources d’informations disponibles pour prendre ses décisions sur la confiance, et le risque est une des informations que notre système peut utiliser. Nous présentons dans cette section une approche qui permet de déterminer le niveau de risque d’une transaction et de l’intégrer dans ce système de gestion de la confiance.

Chaque l’entité du système gère un historique qui se compose de plusieurs sessions h = x1.x2 . . . xn , où chaque xi est l’ensemble des événements observés pour cette session. Lorsque l’entité doit prendre une décision concernant l’avancement de la transaction avec son partenaire, le choix qui est fait parmi ceux qui sont possibles s’exprime par un événement ou par un ensemble d’événements particuliers. Le coût ou le bénéfice sera déterminé en se basant sur la nature des conséquences liées au choix qui vient d’être fait. Par contre, la probabilité d’occurence de chaque conséquence est estimée grâce aux actions passées que contient l’historique.

7.2.2.1 Coût de la conséquence

La détermination du coût (ou du bénéfice) de chaque conséquence de l’action dépend de la nature de l’action et du contexte spécifique de la transaction.

Dans le contexte d’une transaction du commerce électronique pour un paiement d’un client à un marchand, le coût peut être déterminé avec des paramètres tels que le montant de la transaction, les frais de la transaction et le choix de la méthode de paiement. Nous précisons ces détails dans le scénario d’application de la section 2.

7.2.2.2 Probabilité de la conséquence

Déterminer la probabilité de chaque conséquence peut se faire de manière simple en utilisant l’historique des événements. Chaque action a est représentée par un événement e, qui peut donner un ensemble de conséquences o1, . . . , ok . Chaque conséquence directe oi de l’action a représente également un événement ei. Pour calculer la probabilité de la conséquence oi, nous distinguons deux cas :

-L’historique des transactions est vide

Dans ce cas, l’acteur peut proposer un arbre des probabilités représentant sa perception du risque. Pour chaque branche de l’arbre, il peut mettre une valeur appropriée. Nous proposons parfois une distribution d’égalité pour toutes les conséquences pour simplifier les calculs des premières transactions. Pour la distribution équiprobable, supposons qu’il y a k conséquences directes possibles à partir d’une action initiale, la probabilité de chacune sera 1/k. Pour les conséquences indirectes, il faut appliquer la loi de dépendance des probabilités expliquée ci-dessous.

-L’historique de transactions contient des événements

Pour ce cas, nous pouvons calculer la probabilité basée sur cet historique. Supposons que la conséquence oi soit représentée par l’événement ei. Nous déterminons le nombre de sessions de l’historique où nous trouvons cet événement. La probabilité d’occurence de cette conséquence peut être calculée comme le nombre de sessions où nous rencontrons cet événement (nboccur ) sur le nombre total de sessions (Nsession) :

po = nboccur /Nsession

7.2.2.3 Conséquences indirectes et dépendance des probabilités

Nous avons considéré le cas où l’action a, représentée par l’événement e, donne des conséquences directes o1 , . . . , ok , représentées par les événements e1 , . . . , ek . Il nous faut aussi considérer les conséquences indirectes d’une telle action. Supposons que l’action a entraîne une conséquence oi, puis que la conséquence oi (représentée par l’événement ei), provoque la conséquence oij; nous considérons que oij est la conséquence indirecte de l’action a. La probabilité de la conséquence oij depuis l’action a dépend de la probabilité de la conséquence intermédiaire oi.

Supposons que la probabilité de la conséquence oi de l’action a est pi, et que la probabilité de la conséquence oij en oi est pij . Selon la loi de la dépendance des probabilités, la probabilité de la conséquence oij depuis l’action a sera pi ∗ pij .

En appliquant cette règle de dépendance des probabilités et la méthode de calcul des probabilités pour les conséquences directes ci-dessus, nous pouvons calculer la probabilité de toutes les conséquences indirectes d’une telle action.

7.2.2.4 Arbre des probabilités

Pour une transaction, il y a plusieurs conséquences. Nous faisons appel à une structure spécifique pour modéliser ces conséquences et leurs probabilités, un arbre, qui utilise des événements comme sommets. Les arcs spécifient les conséquences directes entre les événements et ils sont pondérés par la probabilité de ces conséquences. La racine de l’arbre est l’événement correspondant à l’action intiale de l’interaction. Les feuilles de l’arbre sont les événénements décrivant les conséquences finales de l’action initiale. La figure 7.1 illustre un tel exemple d’arbre.

7.2.3 Complexité du calcul de risque

Nous utilisons l’arbre de probabilité pour modéliser les conséquences et leurs probabilités. Le calcul de probabilité des conséquences nous demande un parcours de tout l’arbre. La complexité de ce problème est très élevée, c’est au moins en O(2n ) en terme de taille de mémoire pour stocker l’arbre et de temps pour le parcourir. Le paramètre n est le nombre d’événements spécifiés dans le système.

Si le système a un grand nombre d’événements, la complexité de calcul du risque avec cet algorithme devient très important.

Un arbre des probabilités
Fig. 7.1 Un arbre des probabilités

7.2.4 Calcul de la valeur du risque

Pour un risque identifié, nous pouvons calculer la valeur de ce risque grâce au modèle coût/bénéfice que nous venons de présenter. La valeur ainsi obtenue sera utilisée pour échantillonner les différents niveaux de risque.

7.2.5 Échantillonnage du risque

Notre historique ne manipulant que des informations logiques, nous devons répartir les valeurs de risque calculées sur une échelle qui dépendra de l’application et de la nature des risques. Les risques peuvent être par exemple répartis sur une échelle avec trois niveaux différents : high_risk, medium_risk et low_risk, qui indiquent que le risque est respectivement élevé, moyen ou faible.

7.2.6 Discussion

La détermination du coût (ou du bénéfice) des conséquences d’une action est importante, car elle donnnera une évaluation approximative du risque. Pour chaque application spécifique, il nous faut proposer une estimation efficace.

Ce modèle de risque est construit en utilisant les approches quantitatives présentées dans la littérature. D’autres approches, qualitatives ou mixtes, pourraient être utilisées pour des applications spécifiques.

Lire le mémoire complet ==> (Infrastructure de gestion de la confiance sur Internet )
Thèse pour obtenir le grade de Docteur – Spécialité : Informatique
École Nationale Supérieure des Mines de Saint-Étienne