« assemblée générale - clusir-est.org · normes, modèles & outils l’iso 31000 propose...
TRANSCRIPT
1
« Assemblée Générale »
Phalsbourg – 22/02/11
2
Déroulement de la journée
10h00 – 10h30 : Introduction de la journée par FM LOGISTIC
10h30 – 11h30 : Intervention de Thierry RAMARD sur le thème « Panorama des normes et méthodes
d’analyse des risques »
11h30 – 12h00 : Intervention de Jean Marc MISERT sur le thème « Schéma directeur sécurité
opérationnelle »
12h00 – 14h00 : Repas offert par le CLUSIR-EST
14h00 – 16h00 : Intervention de Jean Philippe JOUAS sur le thème « MEHARI 2010 »
16h00 – 17h00 : Assemblée Générale
3
« Panarama des normes et méthodes d’analyse
des risques »
T.RAMARD – AGERIS GROUP
4
40 ans d’histoire
© Copyright Ageris Group SAS – Tous droits réservés
ISO/CEI GUIDE 73 (2002) FEDERATION OF EUROPEAN RISKMANAGEMENT ASSOCIATIONS (FERMA)(2002)The Institute of Risk Management (IRM), Theassociation of Insurance and Risk Managers(AIRMIC) et The National Forum for RiskManagement in the Public Sector (ALARM)
Normes, Modèles & Outils
NIST 800 – 30 (2002)agence fédérale américaine
OCTAVE © (2003)
Normes, Modèles & Outils
COSO 2 (Committee of Sponsoring Organizations of the Treadway Commission). ) Enterprise Risk Management Framework (2004)
The Orange BookManagement of Risk -Principles and Concepts (2004)
Normes, Modèles & Outils
AS/NZS 4360:2004©(Australian/New ZealandStandard).
OGRCM3 - Open Governance, Risk and Compliance Maturity Management Methodology SOMAP.ORG – Suisse (2006)
Normes, Modèles & Outils
Identification du risque
Estimation du risque
Evaluation du risque
Analyse du risque
Appréciation du risque
Définition des options
Traitement du risque
Appréciation suffisante ? Oui
Non
Validation des choix
Acceptation du risqueOui
Non
Définition du contexte
Com
mun
icat
ion
du ri
sque
Surveillance et audit du risque
Définition suffisante ?
Identification du risque
Estimation du risque
Evaluation du risque
Analyse du risque
Appréciation du risque
Définition des options
Traitement du risque
Appréciation suffisante ? Oui
Non
Validation des choix
Acceptation du risqueOui
Non
Définition du contexte
Com
mun
icat
ion
du ri
sque
Surveillance et audit du risque
Définition suffisante ?
ISO/CEI 27005 : 2008
Normes, Modèles & Outils
ISO / IEC 31000 : 2009
Normes, Modèles & Outils
L’ISO 31000 propose une approche générique du Management des risques mais ne préconise pas de moyens opérationnels de mise enoeuvre. Cette norme suggère de bonnes questions pour aborder le sujet complexe de la gestion des risques et non de bonnes pratiquespour y répondre. Les moyens de mise en oeuvre du Management des risques sont développés dans les documents métiers sectoriels qui ne sont donc pas rendus obsolètes par cette norme. Ils y trouvent au contraire un vocabulaire et un cadre global pour les situer.
FEDERATION OF EUROPEAN RISK MANAGEMENT ASSOCIATIONS (FERMA) (2009)The Institute of Risk Management (IRM), The association of Insurance and Risk Managers (AIRMIC)et The National Forum for Risk Management in the Public Sector (ALARM)
Normes, Modèles & Outils
RISK IT - ISACA (2009)
Normes, Modèles & Outils
CRAMM 5.4 - SIEMENS (2009)
EBIOS 2010 - ANSSI MEHARI 2010 - CLUSIF
Normes, Modèles & Outils
Définitions du vocabulaire relatifs aux RisquesGuide 73 : 2008
Le risque est la prise en compte d'une exposition à un danger, unpréjudice ou autre événement dommageable, inhérent à une situationou une activité.
La norme ISO/IEC Guide 73 définit le risque comme la combinaison de laprobabilité d’un événement et des conséquences de celui-ci.
Une difficulté dans la gestion du risque est le fait que l'événementconcerné, le dommage, se situe dans l’avenir. De cette notion d’avenirdérivent les notions de possible, de probable, de potentiel et parfois derisque émergent.
Le risque est traditionnellement formalisé à partir de trois concepts : lefacteur de risque (péril, danger, menace, ...), la criticité (impact (ou effetou gravité) et probabilité), la vulnérabilité.