2.3 Risque
Le risque apparait souvent de manière implicite dans nos actions de tous les jours. Quand nous entreprenons une action dans une situation incertaine, notre décision est toujours prise en sachant qu’il existe un risque.
En général, le risque est compris comme une perte potentielle, identifiée et quantifiable, inhérente à une situation ou une activité, associée à la probabilité de l’occurrence d’un événement ou d’une série d’événements.
Le risque représente ce qui peut arriver lorsqu’un acteur (ou un système) décide d’accorder à tort sa confiance à une entité. Cela peut être vu comme l’évaluation des conséquences de l’action entreprise lorsque la transaction s’est déroulée au détriment de son bénéficiaire.
2.3.1 Définitions
Le notion de risque est présente dans de nombreux domaines et on trouve des définitions du risque souvent différentes dans chacun de ces domaines.
Dans la norme ISO [46] sur la gestion de risque, il est dit que « le risque est la combinaison de la probabilité d’occurence d’un événement et de ses conséquences » . Pour les sciences, on considère que « le risque est l’espérance mathématique d’une fonction de probabilité d’événements » . En économie et en finance, le risque porte sur les actifs financiers et on considère que le risque est « une possibilité de perte monétaire due à une incertitude que l’on peut quantifier » .
Dans le domaine de l’informatique, on parle plus facilement du risque en termes de menaces et de vulnérabilités liées au système informatique. Et bien sur, l’informatique peut être utilisée pour tenter d’identifier et d’évaluer des risques. Le projet SECURE [15] en est un bel exemple.
2.3.2 Évaluation du risque
Pour évaluer le risque, nous devons considérer l’incertitude qui est attachée aux conséquences de chaque action entreprise. Il s’agit d’un travail difficile à réaliser mais pourtant indispensable si l’on veut construire une application ou un système qui prend en compte ce facteur.
Le risque sera évalué avec l’aide d’un modèle de risque adapté à chaque système. Avec ce modèle, nous pourrons déterminer les conséquences et leurs probabilités d’occurrence pour pouvoir l’évaluer par la suite. Les modèles de risques seront abordés au chapitre 3.
Nous voyons donc que les notions de risque et de confiance sont étroitement liées. Pour une situation ou une action à entreprendre, s’il n’ y a pas de risque il n’est donc pas nécessaire de faire confiance. Autrement dit, la question de confiance ne s’est pas posée.
Par contre, dans la situation où le risque est identifié, on se sert souvent de l’évaluation des risques pour définir le niveau de confiance que l’on peut accorder lorsque l’on doit entreprendre une action.
La confiance est difficile à évaluer objectivement par un processus de décision. Pourtant, risque et confiance entretiennent des liens étroits, nous pouvons utiliser la notion de risque comme le dual de la confiance. Le risque peut être évalué au travers du coût des conséquences de l’action entreprise.
2.4 Réputation
En général, la réputation est l’opinion d’une communauté envers une personne, un groupe, ou une organisation. C’est un facteur important dans de nombreux domaines, tels que l’éducation, le commerce ou le statut social. Cette notion fait toujours référence à une communauté.
Dans [54], Josang et al. envisagent que « la réputation est ce que l’on dit ou croit d’une personne ou des propriétés d’un objet ». Ils pensent également que la réputation est un moyen pour renforcer la confiance. Dans une communauté, on peut faire confiance à quelqu’un s’il a bonne réputation.
Selon Abdul-Rahman et Hailes [2], la réputation est une estimation du comportement d’une entité dans la communauté, basée sur ses comportements passés. Cette définition prend en compte deux sources d’informations principales pour estimer la réputation : les expériences passées avec le sujet et les recommandations des autres entités de la communauté.
Dans les systèmes de réputation mis en œuvre par les sites de vente et d’enchères en ligne tels que Amazone [37] ou eBay[38], la réputation d’un acteur est interprétée implicitement comme l’évaluation de ses comportements passés. La réputation des produits et des acteurs peut être calculée de la manière suivante :
-pour un produit : chaque fois qu’un produit est vendu, l’acheteur peut évaluer sa qualité sur une échelle de 1 à 5 étoiles. La réputation du produit dans le système sera déterminée par une valeur moyenne de toutes ces évalutations.
-pour un utilisateur : après avoir achevé une transaction il peut évaluer la manière dont la transaction s’est déroulée en spécifiant un degré de satisfaction; par exemple positif, neutre, négatif. Ces évaluations sont associées au profil du correspondant de cet utilisateur. Le nombre de ces évaluations nous donnera une image de la réputation de cet utilisateur dans le système.
2.5 Recommandation
Abdul-Rahman et Hailes [2] précisent que « la recommandation est un avis échangé sur la fiabilité d’une entité tierce ». Cette valeur de recommandation pourrait être qualitative (« positive » ou « négative » ) ou quantitative (une valeur mesurée par une échelle numérique, par exemple les valeurs +1, +2,. . . , +5). Le choix de la représentation de la valeur de la recommandation est dépendant de chaque système.
Considérons un système distribué constitué de plusieurs entités qui collaborent entre elles. Chacun peut évaluer la qualité et la fiabilité d’une collaboration avec une entité tierce et fournir cette information à une troisième entité.
A l’échelle du système, l’ensemble de ces actions permet de construire un mécanisme d’échange et de propagation des informations de réputation entre les différentes entités du système. Cela a permis de construire un système de recommandation.
Une recommendation peut être directe ou indirecte. Une recommandation directe est une recommandation que fait une entité A à une entité C au sujet d’une entité B (A recommande B à C ). Une recommandation indirecte est à interpréter comme étant l’avis que donne publiquemnt A au sujet de B. Dans ce second cas, toutes les entités du système peuvent prendre connaissance de l’avis de A sur B.
Les sites Amazon [37] ou eBay[38] sont de bons exemples de recommandations indirectes : les utilisateurs donnent leur avis publiquement sur les autres utilisateurs (ou produits) concernant leurs transactions, tout le monde peut utiliser ces informations si nécessaire.
Recommandation et réputation sont étroitement liées et comme nous l’avons vu dans la section précédente, la recommandation est la base des calculs de nombreux mécanismes de réputation.