ARCACHON – 28 au 30 novembre 2018CNRS | ANF PRO-QUAL2/31, H. Valeins
Historique (1/2)● L’analyse des risques est une démarche qui
a été créée dans les années cinquante par la NASA.
● L’outil est arrivé en France dans les années quatre-vingt, recommandé par l’industrie chimique, puis par le secteur agroalimentaire.
ARCACHON – 28 au 30 novembre 2018CNRS | ANF PRO-QUAL3/31, H. Valeins
Historique (2/2)● Cette démarche est utilisée dans des cas
très divers et des secteurs très différents :– risque sur les processus,
– conception d’un projet,
– fabrication de produits,
– risques pour la sécurité du personnel,
– risque sanitaire, etc.
ARCACHON – 28 au 30 novembre 2018CNRS | ANF PRO-QUAL4/31, H. Valeins
Approches (1/2)● Mathématiques :
– Blaise Pascal et Pierre de Fermat en 1654
– Loi des grands nombres
– Bernoulli en 1738
– Théorie des Jeux en 1944
ARCACHON – 28 au 30 novembre 2018CNRS | ANF PRO-QUAL5/31, H. Valeins
Approche (2/2)
● par le management des risques – Apparue en fin des années 1950 aux États-Unis
– Gouvernement d’entreprise et obligation de contrôle des risques
ARCACHON – 28 au 30 novembre 2018CNRS | ANF PRO-QUAL6/31, H. Valeins
Définition Mathématique● Le risque est l'espérance mathématique d'une
fonction de probabilité d'événements
il s'agit de la valeur moyenne des conséquences d'événements affectés de leur probabilité d'occurrence. Ainsi, un événement e1 a une probabilité d'occurrence p1 avec une conséquence probable C1 ; de même un événement en aura une probabilité pn et une conséquence Cn, alors le risque vaudra
R = p1.C1 + p2.C2 + ... + pn.Cn. ● Un produit pi.Ci est appelé valeur de l'aléa i.
ARCACHON – 28 au 30 novembre 2018CNRS | ANF PRO-QUAL7/31, H. Valeins
Définitions : Risque● Un risque est un événement indésirable
potentiel pouvant, s'il n’est pas anticipé et maîtrisé, empêcher ou entraver de manière significative la marche d'un projet ou le déroulement d'une activité vers ses objectifs.
● risque : possibilité que se produise un événement qui aura un impact sur la réalisation des objectifs. Le risque se mesure en termes de conséquences et de probabilité.
● Un risque est une éventualité qu'un événement provoque un sinistre sur un projet.
ARCACHON – 28 au 30 novembre 2018CNRS | ANF PRO-QUAL8/31, H. Valeins
Risques et Difficultés
Il convient de ne pas confondre difficulté et risque, la difficulté étant déjà présente, contrairement au risque qui appartient encore au domaine de la probabilité.
Risques et difficultés doivent être identifiés et maîtrisés
ARCACHON – 28 au 30 novembre 2018CNRS | ANF PRO-QUAL9/31, H. Valeins
Définition : Menace● Une Menace : est un danger qui existe
dans l’environnement d’un système indépendamment de celui-ci : accident, erreur, malveillance passive si elle porte sur la confidentialité, malveillance active si elle modifie le contenu de l’information ou le comportement des systèmes de traitement.
ARCACHON – 28 au 30 novembre 2018CNRS | ANF PRO-QUAL10/31, H. Valeins
Vulnérabilité● La Vulnérabilité est une faiblesse du
système qui le rend sensible à une menace :– Bogues dans les logiciels
– Mauvaises configurations
– Erreurs humaines
– Services permis et non utilisés
– Virus et chevaux de Troie
– Saturation de la liaison d’accès à l’Internet
– Logiciels en mode debug
ARCACHON – 28 au 30 novembre 2018CNRS | ANF PRO-QUAL11/31, H. Valeins
Impact et gravité● Un événement n'est perçu comme un risque
que dans la mesure où il peut avoir un impact (en principe négatif) sur l'atteinte d'un objectif que l'on cherche à réaliser
● Impact : Effet produit par la menace● Le concept de gravité est à rapprocher de
celui de l'impact : à l'impact est associé une quantification, le niveau de gravité, qui est calculé en fonction de l'empêchement ou de l'entrave à l'atteinte des objectifs.
ARCACHON – 28 au 30 novembre 2018CNRS | ANF PRO-QUAL12/31, H. Valeins
Indétectabilité● L'indétectabilité est l'absence de signes
précurseurs de l'apparition du risque.
ARCACHON – 28 au 30 novembre 2018CNRS | ANF PRO-QUAL13/31, H. Valeins
Niveau de risque● Le niveau du risque (ou le niveau de
criticité du risque) est la combinaison des deux facteurs Probabilité et Gravité.
● Certaines « écoles » préconisent d'y ajouter le facteur d'indétectabilité.
ARCACHON – 28 au 30 novembre 2018CNRS | ANF PRO-QUAL14/31, H. Valeins
Exemple de matrice de calcul de la criticité
Criticité = Probabilité x Gravité x Indétectabilité
Correspondance entre le poids et le critère
Poids Critère Poids Critère Poids Critère
1 Faible < 20 % 1
Mineure, dégâts
superficiels 1 nombreux symptômes
2 Forte < 20 % -80 % 2Majeure, dégâts à
terme2
quelques symptômes
5 Quasi-certaine ≥ 80 % 4 bloquante 5 aucun symptôme
ARCACHON – 28 au 30 novembre 2018CNRS | ANF PRO-QUAL15/31, H. Valeins
représentationscube COSO :
Le référentiel COSO1, rédigé sur la base de recommandations a pour but de prévenir les risques de fraude dans le reporting financier.
● Le management des risques est un processus qui se veut multidirectionnel et itératif. En effet, une cause peut avoir des conséquences sur n’importe quel élément du système sans qu’ils soient directement reliés.
● Le cube se découpe donc en 3 catégories d’objectifs x 5 composants x n processus.
ARCACHON – 28 au 30 novembre 2018CNRS | ANF PRO-QUAL16/31, H. Valeins
représentations
Tendance ISO 2700x
Menace
Actif /Bien
Vulnérabilité
Protection
Est e
xpos
é à
une
Emprunte une
Dimin
ue le
nive
au d
e
Protège un
Dim
inue
la
Dégrade un
ARCACHON – 28 au 30 novembre 2018CNRS | ANF PRO-QUAL17/31, H. Valeins
Cartographie
La cartographie des risques (ou « cartographie de l'aléa ») permet d'analyser et interroger les risques dans leurs caractéristiques spatiales. Elle intervient à plusieurs échelles et peut représenter soit la répartition spatiale des aléas, soit celle des enjeux (ce qui est susceptible d'être endommagé), soit celle des vulnérabilités, soit une combinaison des trois facteurs.
● Contexte● Objectifs● Acteurs concernés● Démarche● Représentations
ARCACHON – 28 au 30 novembre 2018CNRS | ANF PRO-QUAL18/31, H. Valeins
Processus de gestion du risque
Établissement du contexte• Appréciation du risque• Élaboration du plan detraitement du risque• Acceptation du risque
Implémenter les actionspour réduire les risques• Sensibiliser la directionet le personnel sur lesrisques et les actionsprises pour les atténuer
Surveiller et réexaminer lesrésultats, l'efficacité, laconformité et l'efficience duprocessus
Rectifier le traitement du risque à la lumière des évènements et des changements de circonstances• Améliorer le processus de gestion du risque
ARCACHON – 28 au 30 novembre 2018CNRS | ANF PRO-QUAL19/31, H. Valeins
Difficultés● Difficulté de compréhension par les
métiers de certains critères de l’information, notamment Efficacité et Fiabilité
● Pas d’évaluation scientifique● Subjectivité dans l’identification et
l’évaluation des risques● Hétérogénéité et granularité des risques
ARCACHON – 28 au 30 novembre 2018CNRS | ANF PRO-QUAL20/31, H. Valeins
Mise en œuvre● Identifier les risques● Détecter les risques● Partir de la typologie● Être le plus exhaustif (pessimiste)
ARCACHON – 28 au 30 novembre 2018CNRS | ANF PRO-QUAL21/31, H. Valeins
Analyse des risques● Déterminer la probabilité● Déterminer les impacts et leur gravité● En déduire le niveau de risque● Détermination des actions préventives
– Identifier les actions préventives
– Étudier leur coût et leur mise en œuvre
● Décider
ARCACHON – 28 au 30 novembre 2018CNRS | ANF PRO-QUAL22/31, H. Valeins
Suivi des risques● Suivre la survenance● Mesurer les actions préventives● Étudier l'évolution dans le temps
ARCACHON – 28 au 30 novembre 2018CNRS | ANF PRO-QUAL23/31, H. Valeins
Étapes et Cycle
Définir de mise en œuvre du management des risques– Identifier et évaluer les risques
– Décider et Agir
– Surveiller communiquer et accepter les risques
ARCACHON – 28 au 30 novembre 2018CNRS | ANF PRO-QUAL24/31, H. Valeins
Risques et opportunités : comment bien les identifier ?
L’ISO 9001 version 2015 introduit une nouvelle notion aux paragraphes §4.4.1. et §6.1. Ils induisent une obligation pour l’organisme de définir les risques et opportunités (ISO 9001:2015).
Il s’agit en effet de les prendre en compte pour :
● S’assurer de l’atteinte des résultats attendus (objectifs fixés),● Accroître les effets souhaitables (effets positifs),● Prévenir ou réduire les effets indésirables,● S’améliorer.
Pour rappel, les opportunités peuvent être définies comme :
Toute occasion favorable qui peut aboutir à l’amélioration des résultats ou des performances du système.
Par exemple, une opportunité peu naître dans une conjoncture défavorable ou un contexte difficile (crise). Il peut s’agir d’un opportunité de changements importants (modèle économique, organisation, …).
ARCACHON – 28 au 30 novembre 2018CNRS | ANF PRO-QUAL25/31, H. Valeins
Analyse des risques : SWOT / AFOM
Lorsque l’on décide de définir les risques et les opportunités, la méthode SWOT / AFOM est un bon outil pour réaliser cette identification :
● SWOT : Strengths Weakness Opportunities Threats● AFOM : Atouts (forces) Faiblesses Opportunités Menaces
ARCACHON – 28 au 30 novembre 2018CNRS | ANF PRO-QUAL26/31, H. Valeins
Analyse des risques : SWOT / AFOM
La double lecture de la grille : horizontale et verticale, permet d’identifier les atouts / faiblesses / Opportunité / menaces en analysant le processus, le SMQ ou l’organisme via deux angles :
● Via les facteurs positifs et négatifs● Via les éléments externes et internes
Les schémas ci-dessous indiquent comment lire la grille pour les éléments positifs et négatifs. Ensuite les deux aspects positifs et négatifs sont scindés en deux niveaux : facteurs internes et externes à l’entreprise.
ARCACHON – 28 au 30 novembre 2018CNRS | ANF PRO-QUAL27/31, H. Valeins
Méthodes● AMDE
« Analyse des Modes de Défaillances »● AMDE (Analyse des modes de défaillance
et de leurs effets, traduction de l'anglais FMEA ou Failure Modes and Effects Analysis) par une quantification portée par la notion de criticité C.
ARCACHON – 28 au 30 novembre 2018CNRS | ANF PRO-QUAL28/31, H. Valeins
Méthodes
AMDEC
« Analyse des modes de défaillances et de leur criticité »
● L'Analyse des modes de défaillance, de leurs effets et de leur criticité (AMDEC) est un outil de sûreté de fonctionnement (SdF) et de gestion de la qualité. AMDEC est la traduction de l'anglais FMECA (Failure Modes, Effects and Criticality Analysis, litt. « analyse des modes, des effets et de la criticité des défaillances »), désignation d'une méthode élaborée par l'armée américaine dans les années 1940.
ARCACHON – 28 au 30 novembre 2018CNRS | ANF PRO-QUAL29/31, H. Valeins
Méthodes
EBIOS :
« Expression des Besoins et Identification des Objectifs de Sécurité »
● La méthode EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité) est un outil complet de gestion des risques SSI conforme au RGS et aux dernières normes ISO 27001, 27005 et 31000.
ARCACHON – 28 au 30 novembre 2018CNRS | ANF PRO-QUAL30/31, H. Valeins
Références
● Norme ISO 31010 CEI:2009 : – Gestion des risques -- Techniques d'évaluation des risques
● AFAI 20100408 :– Cartographie des risques informatiques : exemples,
méthodes et outil
● Norme ISO 31000 : – Management du risque
● Norme ISO 2700x : – S.M.S.I. : Système de Management de la Sécurité de
l'Information (en anglais : Information security management system, ou ISMS)