Sie sind auf Seite 1von 53

1

METHODES ET OUTILS DE GESTION DES RISQUES


DENTREPRISE CONFORMES LISO 31000
Sbastien Delmotte
MAD-Environnement
delmotte@mad-environnement.com

Vincent Desroches,
Ingeliance Technologies
vincent.desroches@ingeliance.com
2
Risques Entreprise
Garantir latteinte des objectifs de rsultats et la
prennit de lentreprise
Risques Projet
Garantir latteinte des objectifs des
projets avant et pendant leur excution
Risques Produits
Garantir la scurit et performance des
produits et des processus tous niveaux
AIDE LA DCISION
3
Typologie des risques
Fluides
Gnie civil
Climatisation
Mcaniques
Energie
Contrle
commande
Courants faibles
Lanceur
Charge Utile
CDL3
Expression des
besoins et
spcif ication
Stratgie de
dveloppement
Organisation de
projet
Interf aces
contractuelles
Conduite de projet
Gestion f inancire
Gestion calendaire
Perf ormances
techniques et
oprationnelles
Utilisateurs et sites
d'exploitation
Produit
Stratgie et
dcision
Organisation
Contrle
Communication
Amlioration de
la qualit
R & T
Veille
technologique
Etudes
Projet
Production
Essais
Installation
Exploitation Maintenance
Exportation
Achats
Marketing et
ventes
Systme
d'information
Gestion des
stocks
Ressources
humaines
Finances
Service aprs
vente
Communication
Juridique
Transports
Cartographie des risques Entreprise
Cartographie des risques Projet
Objectifs de performance et de scurit du produit
en cours de dveloppement, ainsi que les objectifs
de cots et de dlais de ralisation du projet
Objectifs de performance, de
disponibilit et de scurit
Objectifs de rsultats et de prennit de lentreprise
CU
La
CF
CC
NRJ
MECA
CLIM
GEN CIV
FLU
Cartographie des risques Produit
4
DMARCHE DU RISQUE
qGuide ISO/CEI 73
qGuide ISO/CEI 51
qNorme ISO 31000:2009
qNorme ISO 17666:2003
5
Rappel sur l'ISO 31000 : principes de
management du risque
a) Cre de la valeur et la prserve
b) Fait partie intgrante des processus organisationnels
c) lment de la prise de dcision
d) Traite explicitement de lincertitude
e) Systmatique, structur et en temps utile
f) Sappuie sur la meilleure information disponible
g) Adapt
h) Tient compte des facteurs humains et culturels
i) Transparent et participatif
j) Dynamique, itratif et ractif au changement
k) Facilite lamlioration continue et le dveloppement permanents de lorganisme
6
Etablissement du contexte

Identification du risque

Analyse du risque

Evaluation du risque
Traitement du risque

C
o
m
m
u
n
i
c
a
t
i
o
n

e
t

c
o
n
c
e
r
t
a
t
i
o
n
S
u
r
v
e
i
l
l
a
n
c
e

e
t

r
e
v
u
e

Rappel sur l'ISO 31000 : processus de
management du risque
7
1
2
5
3
4
Dfinir les risques acceptables de lactivit
en termes dobjectifs et
dexigences
Identifier les incertitudes et analyser les risques associs
pour connatre les scnarios dvnements
redouts et leurs consquences
Evaluer et hirarchiser leurs impacts
pour hirarchiser les risques et en dduire les
priorits
Dfinir et consolider les actions rsultantes
pour rendre les niveaux des risques
conformes aux objectifs spcifis
Suivre et contrler leur application
pour maintenir dans le temps un niveau de risque
conforme aux objectifs spcifis
Processus de management du risque
8
Scnario daccident
Vraisemblance du risque
Gravit du risque
ou
Evnement Indsir
ou
Evnement Redout
9
Evnement dangereux: Evnement associ loccurrence dun danger

Elment dangereux: Elment dun systme ou de son environnement prsentant un danger
DANGER / MENACE: Potentiel de dommage ou de prjudice portant
atteintes aux personnes, aux biens, ou lenvironnement
SITUATION DANGEREUSE: Etat dun systme en prsence de
danger ou de menace
DANGER
EVENEMENT
CONTACT
Situation dangereuse
EVENEMENT REDOUTE
(ou accident ou situation
accidentelle)
10
Risque associ loccurrence dun vnement indsir ou redout

Mesure de la situation dangereuse ou accidentelle

Grandeur deux dimensions note (p,g) associe loccurrence dun
vnement indsir ou redout not E

o

g est la valeur de la gravit G des consquences de lvnement E
en terme de dommage ou de prjudice ou dcart un rsultat attendu

p est la probabilit qui mesure lincertitude (sur le dpassement) de g

tel que p= Pr(G!g)
Selon la norme ISO31000, le risque est dfini comme leffet de lincertitude sur latteinte
des objectifs
11
Typologie des dangers/menaces
dans lEntreprise
Externes Internes lis la
gouvernance
Internes lis aux moyens
techniques
Internes lis la
production
Environnements
Commercial
Infrastructures et locaux Etudes et projets
Politique
Communication et crises
Matriels et quipement Oprationnel
Inscurit
Economique
Systme dinformation Fonctionnel
Image
Entreprise
Facteur humain
Client
Ethique
Professionnel
Financier
Produit
Juridique
Physico-chimique
Management
Programmatique
Social
Stratgique
Technologique
12
Elments dvaluation du risque
Classe de
gravit
Intitul de la
classe
Intitul des consquences
Donnes
quantitatives
G1 Mineure
Aucun impact sur les performances et la scurit de
l'activit
G2 Significative
Dgradation des performances du systme sans impact
sur la scurit
g1
G3 Grave
Forte dgradation ou chec des performances du systme
sans impact sur la scurit
g2
G4 Critique
Dgradation de la scurit ou de l'intgrit du systme
g3
G5 Catastrophique
Forte dgradation ou chec de la scurit ou perte du
systme
Echelle de gravit gnrique
13
Echelle de gravit gnrique Entreprise
Classe de
Gravit
Intitul de la
classe
Intituls des consquences
G1 Mineure
Aucun impact significatif sur les performances et lintgrit de
l'entreprise
G2 Significative
Dgradation des performances de lentreprise sans impact sur
son bilan et son intgrit
G3 Grave
Forte dgradation des performances de l'entreprise avec impact
sur son bilan mais sans impact sur son intgrit
G4 Critique
Dgradation de l'intgrit de l'entreprise sans impact sur sa
prennit
G5 Catastrophique Perte d'intgrit de l'entreprise avec impact sur sa prennit
Echelle de gravit gnrique Projet
Classe de
Gravit
Intitul de la
classe
Intituls des consquences
G1 Mineure Aucun impact sur le droulement et les objectifs du projet
G2 Significative Impact sur le droulement du projet sans impact sur les objectifs
G3 Grave
Fort impact sur le droulement du projet sans impact sur les
objectifs de performances et de scurit
G4 Critique Trs fort impact sur lensemble des objectifs du projet
G5 Catastrophique Arrt du projet et avec impact possible sur lentit qui lhberge
Elments dvaluation du risque
14
Exemple d'chelle de gravit SSI
Elments dvaluation du risque
Index
Classes Sous index Intituls
10 Aucun impact sur les performances et la scurit de l'activit
11
Systme apte poursuivre sa mission en mode nominal : non atteint ou reconfigur dans des dlais
compatibles avec la mission
12 Aucun retard
13 Aucune victime
14 Pas de compromission de donnes
20 Dgradation des performances du systme sans impact sur la scurit
21
Systme apte poursuivre sa mission en mode faiblement dgrad (pas de fonctions primordiales
dgrades)
22 Retard trs faible n'empchant pas le droulement de la mission
23 Pas de mort, blesss trs lgers
24 Compromission de donnes sensibles non classifies de dfense
30 Forte dgradation ou chec des performances du systme sans impact sur la scurit
31
Systme apte poursuivre sa mission en mode dgrad (certaines fonctions primordiales dgrades)
32 Retard assez important perturbant le droulement de la mission
33 Pas de mort, nombre assez lev de blesss
34 Compromission de donnes classifies RESTRICTED
40 Dgradation de la scurit ou de l'intgrit du systme
41
Systme apte poursuivre sa mission en mode fortement dgrad (certaines fonctions primordiales
42 Retard important remettant en cause le droulement de la mission
43 Blesss graves, invalidit
44 Compromission de donnes classifies CONFIDENTIEL
50 Forte dgradation ou chec de la scurit ou perte du systme
51 Systme inapte poursuivre sa mission
52 Retard trs important entranant un chec ou abandon de la mission
53 Morts
54 Compromission de donnes classifies SECRET
G4 Critique
G5 Catastrophique
G1 Mineure
G2 Significative
G3 Grave
15
Classe de
Vraisemblance
Intitul de la classe
V1 Impossible improbable
V2 Trs peu probable
V3 Peu probable
V4 probable
V5 Trs probable certain
Probabilit Valeur Frquence Intitul
<p1
10
-6
/unit
<t1 < 1 fois par 10 ans
<p2
10
-4
/unit
<t2 <1 fois par an
<p3
10
-3
/unit
<t3 <1 fois par mois
<p4
10
-1
/unit
<t4 <1 fois par semaine
Objectifs systme
(bornes des
classes)
Evaluation des
scnarios
Unit= de temps, nombre
dopration, dure de la
mission.
Echelle de vraisemblance
Elments dvaluation du risque
16
Classe de
criticit
Intitul de la
classe
Intituls des dcisions et des actions
C1 Acceptable Aucune action nest entreprendre
C2
Tolrable sous
contrle
On doit organiser un suivi en termes de gestion
du risque
C3 Inacceptable
On doit refuser la situation et prendre des
mesures en rduction des risques
sinon on doit refuser toute ou partie de lactivit
Gravit
1 2 3 4 5
V
r
a
i
s
e
m
b
l
a
n
c
e
5
4
3 C2
2
1
G2
C(G5,V2)<C3
Echelle de criticit
Rfrentiel dacceptabilit
Prise de dcision
Elments de dcision
17
Financement du risque
Rapport cot / risque K
18
Diagramme des risques / criticits
(KIVIAT)
Diagramme des risques /
gravits-vraisemblances
(FARMER)
Exemple de cartographie des risques
19
MTHODES
q A, Desroches, Marle F., Raimondo E. et Valle F., 2010. Le management des risques des entreprises
et de gestion de projet, Ed Herms Science Lavoisier, 392 p.

q A, Desroches, Baudrin D. et Dadoun M, 2009. LAnalyse Prliminaire des Risques Principes et
Pratiques, Ed Herms Science Lavoisier, 311 p.
20
Identification des activits et
fonctions sensibles
Macro-cartographie des
risques par audits internes

Evaluer les risques globaux perus par
les diffrentes entits de lentreprise sur
la base daudits internes afin den
dgager des orientations stratgiques
Analyse Globale des Risques (AGR)

En prsence de dangers ou de menaces, identifier
les scnarios conduisant un vnement redout
impactant les objectifs et la prennit de lentreprise,
ou les performances et la scurit des produits, pour
laborer le plan daction de matrise des risques
Mthode dapplication rapide pour obtenir
un instantan des risques perus tous
les niveaux de lentreprise
Mthode analytique dapplication simple pour
valuer de manire fine les risques majeurs
(processus, fonctions, tous les niveaux)
Rfrences: CNES, EFS, SHAM
Rfrences : Spatial, Dfense,
Sanitaire, Environnement
21
RISQUES DENTREPRISE :
MACRO-CARTOGRAPHIE PAR AUDITS
INTERNES
22
Processus dvaluation des risques
23 23
Cartographie des processus dEntreprise
24
Arborescence des processus et
logique dvaluation
Avant audits: Pondration de limportance
de chaque niveau pour le niveau suprieur
(gouvernance, vision top-down )
Audits: Recueil de la perception de la
gravit et de la vraisemblance du
risque au niveau des activits
Audits: Perception de limportance des
risques de lactivit sur le processus ou
le systme (base, vision bottom-up)
de chaque niveau p
(((gggooouuuvvveeerrrnnnaaaance,
AAAudits: Reeeeeeeeeeeeeeeeeeeeeeeeeeeeeccccccccccccccccccccccccccccccccccccccccccccccccccccccccuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuueeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiillllllllllllllllllllllllll dddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddde la perccc
gravit et de la vraisemmm
25
Echelles dvaluation
Acceptabilit du risque au niveau de la
gouvernance de lentreprise
Echelle de
vraisemblance
Echelle de gravit
Echelle dimportance
perue des dangers
de lactivit sur le
processus
Matrice de passage du
risque activit au
risque systme
1 2 3 4 5
5 1 2 3 3 3
4 1 2 2 3 3
3 1 1 2 2 3
2 1 1 1 2 2
1 1 1 1 1 1
Gravit
V
r
a
i
s
e
m
b
l
a
n
c
e
1 2 3 4 5
5 2 2 3 3 3
4 1 2 2 3 3
3 1 1 2 2 3
2 1 1 1 2 2
1 1 1 1 1 2
Gravit
V
r
a
i
s
e
m
b
l
a
n
c
e
Acceptabilit du risque au niveau de
lactivit ou du processus
Evaluation au niveau de
lactivit de base
Evaluation au niveau de la gouvernance
26
Construction des audits
Poids des
processus sur
le systme
Poids des sous-
processus sur
les processus
Poids des activits sur les
sous-processus
+ dfinition des chelles dvaluation et de dcision
27
Supports des audits
Questionnaire ouvert

Grille dvaluation des risques perus
28
Exemple de rsultats: cartographie
des risques de lactivit A1
0
1
2
3
4
5
Politique
Environnements
Inscurit
Image
Management
Stratgique
Programmatiq
Technologique
Communicati
Social
Juridique
Financier
Commercial
Infrastuctures
Systme
Etudes et
Oprationnel
Facteur humain
Professionnel
Produits
POL ENV INS
IMA
MAN
STR
PROG
TECH
COM
SOC
JUR
FIN
COMR
INFRA SI PROJ PROD
0 1 2 3 4 5
0
1
2
3
4
5
I
n
d
e
x

d
e

v
r
a
i
s
e
m
b
l
a
n
c
e
Index de gravit
POL ENV INS
IMA
MAN
STR
PROG TECH COM
SOC
JUR
FIN COMR
INFRA SI PROJ
0 1 2 3 4 5
0
1
2
3
4
5
I
n
d
e
x

d
e

v
r
a
i
s
e
m
b
l
a
n
c
e
Index de gravit
Importance perue des
risques de lactivit A1 sur
le sous-processus
Cartographie des risques
initiaux de A1
Cartographie des risques
rsiduels de A1
29
Exemple de rsultats: cartographie
des risques au niveau du systme
0
1
2
3
4
5
Politique
Environnements
Inscurit
Image
Management
Stratgique
Programmatique
Technologique
Communication et
crises
Social
Juridique
Financier
Commercial
Infrastuctures
Systme
d'information
Etudes et projets
Oprationnel
Facteur humain
Professionnel
Produits
CARTOGRAPHIE DES FACTEURS D'IMPORTANCE DES
RISQUES GENERIQUES PERCUS PAR DANGER GENERIQUE
Max
Moy
Min
Politique
Environnements
Inscurit
Image
Management
Stratgique
Programmatique
Technologique
Communication et
Social
Juridique
Financier
Commercial
Infrastuctures
Systme
Etudes et projets
Oprationnel
Facteur humain
Professionnel
Produits
CARTOGRAPHIE DES RISQUES INITIAUX GLOBAUX
PAR DANGER GENERIQUE D'ENTREPRISE
Max
Moy
Min
30
Exemple de rsultats: cartographie des
risques du systme par sous-processus
Stratgie et
Organisation et
Contrle M3
Communication
Amlioration de
R & T R1
Veille
Etudes R3
Projet R4
Production R5
Essais R6
Installation R7
Exploitation R8 Maintenance R9
Exportation R10
Achats S1
Marketing et
Systme
Gestion des
Ressources
Finances S6
Service aprs
Communication
Juridique S9
Transports S10
CARTOGRAPHIE DES RISQUES INITIAUX
DES PROCESSUS D'ENTREPRISE
Max
Moy
Min
Management
Ralisation Soutien
CARTOGRAPHIE SYNTHESE
DES RISQUES INITIAUX GLOBAUX
PAR PROCESSUS D'ENTREPRISE
Max
Moy
Min
31
Exemple de rsultats: cartographie des
efforts de rduction des risques
0
1
2
3
M1
M2
M3
M4
M5
R1
R2
R3
R4
R5
R6
R7
R8 R9
R10
S1
S2
S3
S4
S5
S6
S7
S8
S9
S10
CARTOGRAPHIE DES EFFORTS DE REDUCTION DES
RISQUES PERCUS PAR SOUS-PROCESSUS
Max
Moy
Min
0
1
2
3
Politique
Environnements
Inscurit
Image
Management
Stratgique
Programmatique
Technologique
Communication et
crises
Social
Juridique
Financier
Commercial
Infrastuctures
Systme
d'information
Etudes et projets
Oprationnel
Facteur humain
Professionnel
Produits
CARTOGRAPHIE DES EFFORTS DE REDUCTION DES RISQUES
PERCUS PAR DANGER GENERIQUE
Max
Moy
Min
32
Etablissement du contexte
Cartographie des processus dentreprise et de leurs environnements
Dfinition de limportance des processus par la gouvernance
Explicitation de la gouvernance des risques de lentreprise
Identification des responsables cls des activits et des sous-processus
Identification du risque
Etablissement de la liste des dangers (internes et externes lactivit)
Audit des responsables cls des activits sur la base dun questionnaire ouvert
Analyse du risque
Recueil des donnes brutes sur la perception de la gravit, de la vraisemblance du risque lis
aux dangers identifis
Recueil de leffort peru comme ncessaire pour rduire ces risques et des actions ncessaires
Recueil de la perception de limportance des dangers des activits de base pour les processus
de lentreprise
Evaluation du risque
Construction des cartographie des risques initiaux et rsiduels par dangers, par activits et par
processus, vues aux diffrents niveaux de lentreprise
Construction des cartographies des efforts de rduction des risques
Identification des activits, sous-processus, processus, et tablissements prsentant les risques
les plus critiques
Evaluation de la cohrence des risques perus par domaines dactivits
Traitement du risque
Mise en uvre des actions prioritaires de rduction des risques
Mise en uvre danalyse de risques plus fines (type APR/AGR) au niveau des secteurs critiques
C
o
m
m
u
n
i
c
a
t
i
o
n

e
t

c
o
n
c
e
r
t
a
t
i
o
n

S
u
r
v
e
i
l
l
a
n
c
e

e
t

r
e
v
u
e

33
RISQUES SSI ET RISQUE DENTREPRISE:
ANALYSE GLOBALE DES RISQUES
34
Processus de lAGR
Processus
AGR
Vulnrabilits
AGR
Scnarios
Rsultats
Cartographie des
situations
dangereuses
Cartographie des
risques (initiaux et
rsiduels)
Valorisation
Hirarchisation des risques
et identifications des risques
majeurs
Identification et
programmation des actions
de matrise des risques
initiaux
Etablissement des bases
pour les activits de
scurisation ultrieures
Allocations prliminaires des
objectifs de scurit
Pertes et Cots/Risques
35
Environnement naturel
Environnement technologique
Environnement organisationnel
Environnement commercial
Environnement financier
Environnement social
Environnement sanitaire
Modes de dfaillance et d'erreur
Environnements AMI / ENI
AGR Vulnrabilits : cartographie
des dangers et menaces
36
AGR Vulnrabilits : cartographie
des situations dangereuses
Cartographie
des dangers et
menaces auxquels le
systme est expos
Dfinition du systme (fonctions,
phases, sous-systmes, structures
organisationnelles)
Evaluation des interactions dangers
/ systme
Vulnrabilits des lments du
systme aux menaces et dangers
Intgration REX
Vulnrabilits
juges faibles
Vulnrabilits
juges fortes
et traiter
en priorit
Vulnrabilits juges
fortes mais hors
primtre du projet ou
relevant d'une autre
autorit
37
AGR Vulnrabilits : cartographie
des situations dangereuses
Vulnrabilits
juges faibles
p1=71
Vulnrabilits
juges fortes
et traiter
en priorit
p2=74 p10=13
Vulnrabilits juges
fortes mais hors
primtre du projet ou
relevant d'une autre
autorit
38
AGR Scnarios : mtrique
de cotation de la gravit
39
AGR Scnarios : mtrique
de dcision
Acceptation du risque
Matrice de criticit
Echelle d'effort
40
AGR Scnarios : description
des scnarios de risques
Administration
Non unification
des donnes
Absence de
localisation
dun dossier
existant
Donnes manquantes
lors de ladmission dun
patient dj hospitalis
prcdemment au CH
!
Recherche des antcdents
impossible ou difficile Modification de la PEC du
patient avec augmentation
de la DMS sans squelle
Activation !
DISPENSATION DUN
TRAITEMENT INADQUAT
AU VU DES ANTCDENTS
DU PATIENT

Chane de causalit : cintique, porte
41
AGR Scnarios : traitement d'un
risque (dfense en profondeur)
Niveaux de dfense
Quelle stratgie face
un risque ?
o dfensif / offensif
o prvention / protection
o court / long terme
o communication de crise
Prvention Dtection Confinement Recouvrement
Apprentissage
Risque
42
AGR Scnarios : support d'analyse
APR Scnarios
Globale
Par dangers gnriques
Par lments du systme
Cotation du cot/effort
des actions prconises
Risque initial
Risque rsiduel
Identification et analyse
Evaluation
et dcision
Evaluation
et dcision
Traitement Gestion
43
Synthse : cartographie des risques
Rpartition des criticits
INITIALES
RSIDUELLES
43
44
MED
CS
IDE
AS 0
10
20
30
40
50
0 10 20 30 40 50
C
o

t

d
u

r
i
s
q
u
e

s
a
n
s

t
r
a
i
t
e
m
e
n
t
M
i
l
l
i
e
r
s
Cot du traitement du risque
Milliers
SYSTEME - Diagramme Cots (E) / risques (P)
15.5 15.5
4.0
0.4
0.0
2.0
4.0
6.0
8.0
10.0
12.0
14.0
16.0
18.0
R
a
p
p
o
r
t

C
o

t
s

t
r
a
i
t
e
m
e
n
t

/

R
i
s
q
u
e
s
Dangers gnriques
DANGERS - Bilan des cots (E) / RISQUES (P)
Financement du risque
45
Fiches dactions de rduction des risques
PROGRAMME
XX
PLAN DACTIONS DE
REDUCTION DES
RISQUES
DATE :
FICHE N
REF ETUDE :
RESPONSABLE :
AUTORITE :
SOUS-SYSTEME :
ELEMENT :
DESCRIPTION DES ACTIONS DE REDUCTION DES RISQUES
Si actions de prvention mettre
1
Si actions de protection
mettre 2
Si actions mixtes mettre 3
Taux de couverture estim des actions
dcrites par rapport aux actions
ncessaires pour rduire le risque initial
0% 25% 50% 75% 100% Autres
EFFETS SECONDAIRES (immdiat, futurs, potenitels) DES ACTIONS
Description des effets secondaires identifis
Actions de matrise des effets secondaires
Taux de matrise des risques des effets
secondaires
0% 25% 50% 75% 100% Autres
DISPOSITIONS DE REALISATION, DE VALIDATION ET DE CONTRLE DES ACTIONS DE REDUCTION DES
RISQUES
Taux estim des actions consolides dj
ralises par rapport aux actions dcrites
0% 25% 50% 75% 100% Autres
OBSERVATIONS
Causes de non application des actions de rduction des risques :
dont identification des causes dchec partiel ou total des actions
Dcisions prises et actions proposes :

46
Tableau de gestion des fiches dactions
de rduction des risques
47
Vraisemblance du risque
Gravit du risque
ou
Evnement Indsir
ou
Evnement Redout
ne
nem
Cartographie des
dangers/menaces
DANGERS
GENERIQUES
Dangers
spcifiques
Elments ou
vnements
dangereux
Cartographie des
situations dangereuses
Cartographie
des risques
GGGGGGG
ou
ment Indsir
ou
ment Redout
Conclusion
48
Etablissement du contexte
Dfinition du systme et de son environnement par groupes de travail
Dfinition des objectifs de performance et de scurit du systme avec la gouvernance
Dfinition des objectifs dacceptabilit du risque
Identification du risque
Etablissement de la liste des dangers (internes et externes lactivit)
Cartographie des situations dangereuses comme interactions dangers/systme
Analyse du risque
Analyse de chaque situation dangereuse (un ou plusieurs scnarios)
Analyse des causes contact, causes amorce et vnements redouts
Evaluation de la vraisemblance et de la gravit initiales de chaque scnario
Evaluation de la vraisemblance et de la gravit rsiduelles de chaque scnario

Evaluation du risque
Cartographie des situations dangereuses et des risques (Kiviat, Farmer, statistiques)
Hirarchisation des risques et identification des risques majeurs
Traitement du risque
Plan daction de rduction des risques initiaux
Catalogue des paramtres de scurit (gestion des risques rsiduels)
C
o
m
m
u
n
i
c
a
t
i
o
n

e
t

c
o
n
c
e
r
t
a
t
i
o
n

S
u
r
v
e
i
l
l
a
n
c
e

e
t

r
e
v
u
e

49
EXEMPLES
50
CONCLUSION
51
Conclusion
- Approches globales complmentaires permettant dvaluer et de hirarchiser des
risques de nature diffrente dans une mme analyse
- Processus invariant et sans discontinuit, de ltablissement du contexte jusqu
la gestion des risques rsiduels
- Reprsentation explicite des composantes du risque et de son acceptabilit
(gouvernance du risque)
- Pas dinterfrence entre la caractrisation du risque moyen et la prise de dcision
- Mthodes nintroduisant pas de complexit supplmentaire par rapport au
systme analys
- Facilit de lecture des cartographies des risques favorisant la diffusion de
linformation et son appropriation par tous les acteurs du systme
52
Conclusion
- Outillage lger permettant de travailler rapidement, itrativement et en groupe de
travail
- Supports logiciels :
q StatCart APR V1.06 pour lAnalyse Globale des Risques, dition
commerciale ( www.statcart.com )
q StatCart CRAI pour la macro-cartographie des risques par audits internes
(logiciel interne, dveloppement dune version commerciale en cours)

- Bases de donnes mtiers (base de dangers standard Entreprise, base de
dangers Sanitaire, base de dangers/menaces EBIOS)
53
Evolutions en cours
Cartographie des risques par situations dangereuses
Possibilit dune approche probabilise
pour l'AGRp
Performances
(P)
Cots (C)
Dlais (D)
Scurit (S)
CARTOGRAPHIE DES RISQUES MOYENS RESIDUELS
Cartographie des risques par cibles dimpact dans lEntreprise
21 37 23
Dangers
gnriques
Dangers
spcifiques Evnements dangereux Id
e
n
tifie
r le
s
p
ro
fe
s
s
io
n
n
e
ls

fo
rm
e
r
S

le
c
tio
n
n
e
r le
s
p
ro
fe
s
s
io
n
n
e
ls

c
o
n
ta
c
te
r
C
o
n
ta
c
te
r le
s
p
ro
fe
s
s
io
n
n
e
ls
F
o
rm
e
r
la
p
h
a
rm
a
c
o
d

p
e
n
d
a
n
c
e
F
o
rm
e
r
la
n
o
tific
a
tio
n
V
a
lid
e
r la
fo
rm
a
tio
n
C
o
n
s
e
rv
e
r le
c
o
n
ta
c
t a
v
e
c
le
s
p
ro
fe
s
s
io
n
n
e
ls
D

te
rm
in
e
r le
s
n
o
u
v
e
lle
s
c
o
n
n
a
is
s
a
n
c
e
s


a
p
p
o
rte
r
D
iffu
s
e
r le
s
c
o
n
n
a
is
s
a
n
c
e
s
R
e
c
u
e
illir le
s
s
ig
n
a
le
m
e
n
ts
C
o
m
m
u
n
iq
u
e
r a
u
p
e
rs
o
n
n
e
l c
o
m
p

te
n
t
A
c
c
u
s
e
r r
c
e
p
tio
n
C
a
p
te
r le
s
d
o
n
n

e
s
c
o
m
p
l
m
e
n
ta
ire
s
In
t
g
re
r le
s
d
o
n
n

e
s
c
o
m
p
l
m
e
n
ta
ire
s
V
a
lid
e
r le
n
iv
e
a
u
d
in
fo
rm
a
tio
n
d
u
s
ig
n
a
le
m
e
n
t
R

p
e
rto
rie
r le
s

l
m
e
n
ts
d
is
p
o
n
ib
le
s
d
u

d
o
s
s
ie
r
T
y
p
e
r le
s
ig
n
a
le
m
e
n
t ; N
O
T
S
o
u
O
U
T
N
O
T
S
E
n
re
g
is
tre
r le
s
ig
n
a
le
m
e
n
t s
u
r le
re
g
is
tre
d
e

n
o
tific
a
tio
n
A
n
a
ly
s
e
r le
s
d
o
n
n

e
s
d
e
la
n
o
tific
a
tio
n

R
e
tra
n
s
c
ire
le
s
iin
fo
rm
a
tio
n
s
V
a
lid
e
r le
d
o
s
s
ie
r d
e
n
o
tific
a
tio
n
(q
u
a
lit
e
t
p
e
rtin
e
n
c
e
)
R
e
n
s
e
ig
n
e
r le
s
ite
m
s
d
u
s
c
o
re
r
S
c
o
re
r
V
a
lid
e
r le
s
c
o
re

S
a
is
ir la
N
O
T
S
v
a
lid

e
d
a
n
s
u
n
e
b
a
s
e
d
e

d
o
n
n

e
s
V
e
rro
u
ille
r la
s
a
is
ie
A
rc
h
iv
e
r le
d
o
s
s
ie
r d
e
n
o
tific
a
tio
n
Id
e
n
tifie
r le
s
s
ig
n
a
le
m
e
n
ts
n

c
e
s
s
ita
n
t u
n
e

in
fo
rm
a
tio
n
C
o
m
p
l
te
r le
s
d
o
n
n

e
s
(re
q
u

te
, b
ib
lio
, e
tc
)
V
a
lid
e
r la
d

c
is
io
n
d
in
fo
rm
e
r
S
y
n
th

tis
e
r l'in
fo
rm
a
tio
n
R

d
ig
e
r e
t m
e
ttre
e
n
fo
rm
e
l'in
fo
rm
a
tio
n
V
a
lid
e
r lin
fo
rm
a
tio
n

tra
n
s
m
e
ttre
C
ib
le
r le
(s
) r
c
e
p
te
u
r(s
)
S

le
c
tio
n
n
e
r le
s
m
o
d
a
lit
s
d
e
d
iffu
s
io
n

(s
u
p
p
o
rt/c
a
n
a
l)
E
ffe
c
tu
e
r la
tra
n
s
m
is
s
io
n
Non clarif ication des missions 12 20 6 2
Absence ou df aut d'attribution de 4
Non participation la Commission
Inscurit Systme Intrusion malveillante dans le
Absence ou df aut de visibilit / 8
Prjug vis--vis de la 6 6
Mauvaise image des missions 4
Organisation Df aut de continuit de service 10
Turn-over des tudiants
Df aut de comptences des
Df aut de comptences de 6 6 10 4
Absence ou df aut de partenariat 8 6 12 8
Absence ou df aut de partenariat 10
Absence ou df aut de partenariat 9 12
Dcision inadapte de l'Af ssaps 20 16
Dcision inadapte de l'Af ssaps
Dcision inadapte de l'Af ssaps 6 8
Communication Df aut de communication externe 4 8 4
Df aut de communication au sein 8 20
Df aut de communication au sein 4 10
Ethique Conf identialit Df aut de conf identialit 8
Juridique Rglementation Non respect de la rglementation 8 20
Budget prvisionel Mauvaise estimation du budget
Subvention Retard de versement de la
Ressources Ressources documentaires 6 12
Ressources Matriel de communication
Logiciel Systme d'inf ormation du CEIP non 8
Rseau Absence de rseau entre le CEIP, 20
Donnes Df aut d'anonymisation des 8
Matriel inf ormatique Matriel inf ormatique insuf f isant 4 8 8
Absence ou df aut de support de 4
Absence ou df aut de traabilit 3 3 3
Absence ou df aut de mthode 4
Absence ou df aut de mthode de 4 8 10
Absence ou df aut de procdure 15 15 10 12
Absence ou df aut d'audit 6 4 6 4 6
Comportement inadapt 15
Df aillance humaine 3 6
Facteur humain Individu
Systme
d'Inf ormation
8
8
Oprationnel Qualit 4
6
Communication
Communication
interne
Financier
Matriels et
quipements
Stratgie Partenariat/cooprati
on 8
Conseil
d'administration de
l'Af ssaps
16
6
8
6 4 6 6 3
4
Management
Ressources
humaines
6 6
D
iffu
s
e
r lin
fo
rm
a
tio
n
Politique Agence Rgionale de
Sant (ARS) 4
Image Prof essionnels
4
C
a
t
g
o
ris
e
r le

s
ig
n
a
le
m
e
n
t
P
r
p
a
re
r le
d
o
s
s
ie
r
d
e
n
o
tific
a
tio
n

E
v
a
lu
e
r le
s
c
o
re
d
e

g
ra
v
it
E
n
re
g
is
tre
r la
N
O
T
S

T
ra
ite
r le
s

s
ig
n
a
le
m
e
n
ts
P
r
p
a
re
r
lin
fo
rm
a
tio
n
CARTOGRAPHIE DES RISQUES DE LA GESTION DES SIGNALEMENTS
PAR LE CEIP DE NANTES
Former Collecter Evaluer Informer
P
r
p
a
re
r la
fo
rm
a
tio
n
A
s
s
u
re
r la
fo
rm
a
tio
n

in
itia
le
A
s
s
u
re
r la
fo
rm
a
tio
n

c
o
n
tin
u
e
R

c
e
p
tio
n
n
e
r
C
o
m
p
l
te
r le
s

d
o
n
n

e
s