1

« Assemblée Générale »

Phalsbourg – 22/02/11

2

Déroulement de la journée

10h00 – 10h30 : Introduction de la journée par FM LOGISTIC

10h30 – 11h30 : Intervention de Thierry RAMARD sur le thème « Panorama des normes et méthodes

d’analyse des risques »

11h30 – 12h00 : Intervention de Jean Marc MISERT sur le thème « Schéma directeur sécurité

opérationnelle »

12h00 – 14h00 : Repas offert par le CLUSIR-EST

14h00 – 16h00 : Intervention de Jean Philippe JOUAS sur le thème « MEHARI 2010 »

16h00 – 17h00 : Assemblée Générale

3

« Panarama des normes et méthodes d’analyse

des risques »

T.RAMARD – AGERIS GROUP

4

40 ans d’histoire

© Copyright Ageris Group SAS – Tous droits réservés

ISO/CEI GUIDE 73 (2002) FEDERATION OF EUROPEAN RISKMANAGEMENT ASSOCIATIONS (FERMA)(2002)The Institute of Risk Management (IRM), Theassociation of Insurance and Risk Managers(AIRMIC) et The National Forum for RiskManagement in the Public Sector (ALARM)

Normes, Modèles & Outils

NIST 800 – 30 (2002)agence fédérale américaine

OCTAVE © (2003)

Normes, Modèles & Outils

COSO 2 (Committee of Sponsoring Organizations of the Treadway Commission). ) Enterprise Risk Management Framework (2004)

The Orange BookManagement of Risk -Principles and Concepts (2004)

Normes, Modèles & Outils

AS/NZS 4360:2004©(Australian/New ZealandStandard).

OGRCM3 - Open Governance, Risk and Compliance Maturity Management Methodology SOMAP.ORG – Suisse (2006)

Normes, Modèles & Outils

Identification du risque

Estimation du risque

Evaluation du risque

Analyse du risque

Appréciation du risque

Définition des options

Traitement du risque

Appréciation suffisante ? Oui

Non

Validation des choix

Acceptation du risqueOui

Non

Définition du contexte

Com

mun

icat

ion

du ri

sque

Surveillance et audit du risque

Définition suffisante ?

Identification du risque

Estimation du risque

Evaluation du risque

Analyse du risque

Appréciation du risque

Définition des options

Traitement du risque

Appréciation suffisante ? Oui

Non

Validation des choix

Acceptation du risqueOui

Non

Définition du contexte

Com

mun

icat

ion

du ri

sque

Surveillance et audit du risque

Définition suffisante ?

ISO/CEI 27005 : 2008

Normes, Modèles & Outils

ISO / IEC 31000 : 2009

Normes, Modèles & Outils

L’ISO 31000 propose une approche générique du Management des risques mais ne préconise pas de moyens opérationnels de mise enoeuvre. Cette norme suggère de bonnes questions pour aborder le sujet complexe de la gestion des risques et non de bonnes pratiquespour y répondre. Les moyens de mise en oeuvre du Management des risques sont développés dans les documents métiers sectoriels qui ne sont donc pas rendus obsolètes par cette norme. Ils y trouvent au contraire un vocabulaire et un cadre global pour les situer.

FEDERATION OF EUROPEAN RISK MANAGEMENT ASSOCIATIONS (FERMA) (2009)The Institute of Risk Management (IRM), The association of Insurance and Risk Managers (AIRMIC)et The National Forum for Risk Management in the Public Sector (ALARM)

Normes, Modèles & Outils

RISK IT - ISACA (2009)

Normes, Modèles & Outils

CRAMM 5.4 - SIEMENS (2009)

EBIOS 2010 - ANSSI MEHARI 2010 - CLUSIF

Normes, Modèles & Outils

Définitions du vocabulaire relatifs aux RisquesGuide 73 : 2008

Le risque est la prise en compte d'une exposition à un danger, unpréjudice ou autre événement dommageable, inhérent à une situationou une activité.

La norme ISO/IEC Guide 73 définit le risque comme la combinaison de laprobabilité d’un événement et des conséquences de celui-ci.

Une difficulté dans la gestion du risque est le fait que l'événementconcerné, le dommage, se situe dans l’avenir. De cette notion d’avenirdérivent les notions de possible, de probable, de potentiel et parfois derisque émergent.

Le risque est traditionnellement formalisé à partir de trois concepts : lefacteur de risque (péril, danger, menace, ...), la criticité (impact (ou effetou gravité) et probabilité), la vulnérabilité.