methodes et outils de gestion des risques … · rappel sur l'iso 31000 : principes de...
TRANSCRIPT
1
METHODES ET OUTILS DE GESTION DES RISQUES
D’ENTREPRISE CONFORMES À L’ISO 31000
Sébastien Delmotte
MAD-Environnement [email protected]
Vincent Desroches,
Ingeliance Technologies [email protected]
2
Risques Entreprise Garantir l’atteinte des objectifs de résultats et la
pérennité de l’entreprise
Risques Projet Garantir l’atteinte des objectifs des
projets avant et pendant leur exécution
Risques Produits
Garantir la sécurité et performance des produits et des processus à tous niveaux
AIDE À LA DÉCISION
3
Typologie des risques
Fluides
Génie civil
Climatisation
Mécaniques
Energie
Contrôle commande
Courants faibles
Lanceur
Charge Utile
CDL3
Expression des besoins et
spécif ication
Stratégie de développement
Organisation de projet
Interfaces contractuelles
Conduite de projet
Gestion f inancière
Gestion calendaire
Performances techniques et
opérationnelles
Utilisateurs et sites d'exploitation
Produit
Stratégie et décision
OrganisationContrôle
Communication
Amélioration de la qualité
R & T
Veille technologique
Etudes
Projet
Production
Essais
InstallationExploitationMaintenance
Exportation
Achats
Marketing et ventes
Système d'information
Gestion des stocks
Ressources humaines
Finances
Service après vente
Communication
JuridiqueTransports
Cartographie des risques Entreprise Cartographie des risques Projet
Objectifs de performance et de sécurité du produit
en cours de développement, ainsi que les objectifs
de coûts et de délais de réalisation du projet
Objectifs de performance, de
disponibilité et de sécurité
Objectifs de résultats et de pérennité de l’entreprise
CU
La
CF
CC
NRJ
MECA
CLIM
GEN CIV
FLU
Cartographie des risques Produit
4
DÉMARCHE DU RISQUE
q Guide ISO/CEI 73
q Guide ISO/CEI 51
q Norme ISO 31000:2009
q Norme ISO 17666:2003
5
Rappel sur l'ISO 31000 : principes de management du risque
a) Crée de la valeur et la préserve
b) Fait partie intégrante des processus organisationnels
c) Élément de la prise de décision
d) Traite explicitement de l’incertitude
e) Systématique, structuré et en temps utile
f) S’appuie sur la meilleure information disponible
g) Adapté
h) Tient compte des facteurs humains et culturels
i) Transparent et participatif
j) Dynamique, itératif et réactif au changement
k) Facilite l’amélioration continue et le développement permanents de l’organisme
6
Etablissement du contexte
Identification du risque
Analyse du risque
Evaluation du risque
Traitement du risque
Com
munic
atio
n e
t co
nce
rtat
ion
Surv
eill
an
ce e
t re
vue
Rappel sur l'ISO 31000 : processus de management du risque
7
1
2
5
3
4
Définir les risques acceptables de l’activité
…en termes d’objectifs et
d’exigences…
Identifier les incertitudes et analyser les risques associés
…pour connaître les scénarios d’événements
redoutés et leurs conséquences…
Evaluer et hiérarchiser leurs impacts
…pour hiérarchiser les risques et en déduire les
priorités…
Définir et consolider les actions résultantes
…pour rendre les niveaux des risques
conformes aux objectifs spécifiés…
Suivre et contrôler leur application
…pour maintenir dans le temps un niveau de risque
conforme aux objectifs spécifiés…
Processus de management du risque
8
Scénario d’accident
Vraisemblance du risque
Gravité du risque
ou Evénement Indésiré
ou Evénement Redouté
9
Evénement dangereux: Evénement associé à l’occurrence d’un danger
Elément dangereux: Elément d’un système ou de son environnement présentant un danger
DANGER / MENACE: Potentiel de dommage ou de préjudice portant atteintes aux personnes, aux biens, ou à l’environnement
SITUATION DANGEREUSE: Etat d’un système en présence de danger ou de menace
DANGER
EVENEMENT CONTACT
Situation dangereuse
EVENEMENT REDOUTE (ou accident ou situation
accidentelle)
10
Risque associé à l’occurrence d’un événement indésiré ou redouté Mesure de la situation dangereuse ou accidentelle Grandeur à deux dimensions notée (p,g) associée à l’occurrence d’un événement indésiré ou redouté noté E où g est la valeur de la gravité G des conséquences de l’événement E
en terme de dommage ou de préjudice ou d’écart à un résultat attendu
p est la probabilité qui mesure l’incertitude (sur le dépassement) de g
tel que p= Pr(G≥g)
Selon la norme ISO31000, le risque est défini comme l’effet de l’incertitude sur l’atteinte
des objectifs
11
Typologie des dangers/menaces dans l’Entreprise
Externes Internes liés à la gouvernance
Internes liés aux moyens techniques
Internes liés à la production
Environnements Commercial Infrastructures et locaux Etudes et projets
Politique Communication et crises Matériels et équipement Opérationnel
Insécurité Economique Système d’information Fonctionnel
Image Entreprise Facteur humain
Client Ethique Professionnel
Financier Produit
Juridique Physico-chimique
Management
Programmatique
Social
Stratégique
Technologique
12
Eléments d’évaluation du risque
Classe de gravité
Intitulé de la classe
Intitulé des conséquencesDonnées
quantitatives
G1 MineureAucun impact sur les performances et la sécurité de l'activité
G2 SignificativeDégradation des performances du système sans impact sur la sécurité
g1
G3 GraveForte dégradation ou échec des performances du système sans impact sur la sécurité g2
G4 Critique Dégradation de la sécurité ou de l'intégrité du système g3
G5 CatastrophiqueForte dégradation ou échec de la sécurité ou perte du système
Echelle de gravité générique
13
Echelle de gravité générique Entreprise Classe de
GravitéIntitulé de la
classeIntitulés des conséquences
G1 MineureAucun impact significatif sur les performances et l’intégrité de
l'entreprise
G2 SignificativeDégradation des performances de l’entreprise sans impact sur
son bilan et son intégrité
G3 GraveForte dégradation des performances de l'entreprise avec impact sur son bilan mais sans impact sur son intégrité
G4 CritiqueDégradation de l'intégrité de l'entreprise sans impact sur sa pérennité
G5 Catastrophique Perte d'intégrité de l'entreprise avec impact sur sa pérennité
Echelle de gravité générique Projet
Classe de Gravité
Intitulé de la classe
Intitulés des conséquences
G1 Mineure Aucun impact sur le déroulement et les objectifs du projet
G2 Significative Impact sur le déroulement du projet sans impact sur les objectifs
G3 GraveFort impact sur le déroulement du projet sans impact sur les objectifs de performances et de sécurité
G4 Critique Très fort impact sur l’ensemble des objectifs du projet
G5 Catastrophique Arrêt du projet et avec impact possible sur l’entité qui l’héberge
Eléments d’évaluation du risque
14
Exemple d'échelle de gravité SSI
Eléments d’évaluation du risque
IndexClasses Sous index Intitulés
10 Aucun impact sur les performances et la sécurité de l'activité11 Système apte à poursuivre sa mission en mode nominal : non atteint ou reconfiguré dans des délais
compatibles avec la mission12 Aucun retard13 Aucune victime14 Pas de compromission de données20 Dégradation des performances du système sans impact sur la sécurité21 Système apte à poursuivre sa mission en mode faiblement dégradé (pas de fonctions primordiales
dégradées)22 Retard très faible n'empêchant pas le déroulement de la mission23 Pas de mort, blessés très légers24 Compromission de données sensibles non classifiées de défense30 Forte dégradation ou échec des performances du système sans impact sur la sécurité31 Système apte à poursuivre sa mission en mode dégradé (certaines fonctions primordiales dégradées)32 Retard assez important perturbant le déroulement de la mission33 Pas de mort, nombre assez élevé de blessés 34 Compromission de données classifiées RESTRICTED40 Dégradation de la sécurité ou de l'intégrité du système41 Système apte à poursuivre sa mission en mode fortement dégradé (certaines fonctions primordiales 42 Retard important remettant en cause le déroulement de la mission43 Blessés graves, invalidité 44 Compromission de données classifiées CONFIDENTIEL50 Forte dégradation ou échec de la sécurité ou perte du système51 Système inapte à poursuivre sa mission52 Retard très important entraînant un échec ou abandon de la mission53 Morts54 Compromission de données classifiées SECRET
G4 Critique
G5 Catastrophique
G1 Mineure
G2 Significative
G3 Grave
15
Classe de Vraisemblance
Intitulé de la classe
V1 Impossible à improbable
V2 Très peu probable
V3 Peu probable
V4 probable
V5 Très probable à certain
Probabilité Valeur Fréquence Intitulé
<p1 10-6/unité <t1 < 1 fois par 10 ans
<p2 10-4/unité <t2 <1 fois par an
<p3 10-3/unité <t3 <1 fois par mois
<p4 10-1/unité <t4 <1 fois par semaine
Objectifs système (bornes des
classes)
Evaluation des scénarios
Unité= de temps, nombre d’opération, durée de la
mission….
Echelle de vraisemblance
Eléments d’évaluation du risque
16
Classe de criticité
Intitulé de la classe
Intitulés des décisions et des actions
C1 Acceptable Aucune action n’est à entreprendre
C2Tolérable sous
contrôleOn doit organiser un suivi en termes de gestion du risque
C3 InacceptableOn doit refuser la situation et prendre des mesures en réduction des risquessinon … on doit refuser toute ou partie de l’activité
Gravité
1 2 3 4 5
Vra
isem
bla
nce
5
4
3 C2
2
1
G2 C(G5,V2)<C3
Echelle de criticité
Référentiel d’acceptabilité
Prise de décision
Eléments de décision
17
Financement du risque
Rapport coût / risque K
18
Diagramme des risques / criticités (KIVIAT)
Diagramme des risques / gravités-vraisemblances
(FARMER)
Exemple de cartographie des risques
19
MÉTHODES
q A, Desroches, Marle F., Raimondo E. et Vallée F., 2010. Le management des risques des entreprises et de gestion de projet, Ed Hermès Science – Lavoisier, 392 p.
q A, Desroches, Baudrin D. et Dadoun M, 2009. L’Analyse Préliminaire des Risques – Principes et
Pratiques, Ed Hermès Science – Lavoisier, 311 p.
20
Identification des activités et
fonctions sensibles
Macro-cartographie des risques par audits internes
Evaluer les risques globaux perçus par
les différentes entités de l’entreprise sur
la base d’audits internes afin d’en
dégager des orientations stratégiques
Analyse Globale des Risques (AGR) En présence de dangers ou de menaces, identifier
les scénarios conduisant à un événement redouté
impactant les objectifs et la pérennité de l’entreprise,
ou les performances et la sécurité des produits, pour
élaborer le plan d’action de maîtrise des risques
Méthode d’application rapide pour obtenir
un instantané des risques perçus à tous les niveaux de l’entreprise
Méthode analytique d’application simple pour
évaluer de manière fine les risques majeurs (processus, fonctions, à tous les niveaux)
Références: CNES, EFS, SHAM
Références : Spatial, Défense, Sanitaire, Environnement
21
RISQUES D’ENTREPRISE : MACRO-CARTOGRAPHIE PAR AUDITS
INTERNES
22
Processus d’évaluation des risques
23 23
Cartographie des processus d’Entreprise
24
Arborescence des processus et logique d’évaluation
Avant audits: Pondération de l’importance
de chaque niveau pour le niveau supérieur (gouvernance, vision top-down )
Audits: Recueil de la perception de la gravité et de la vraisemblance du
risque au niveau des activités
Audits: Perception de l’importance des
risques de l’activité sur le processus ou
le système (base, vision bottom-up)
de chaque niveau p(((gggooouuuvvveeerrrnnnaaaance,
AAAudits: Reeeeeeeeeeeeeeeeeeeeeeeeeeeeeccccccccccccccccccccccccccccccccccccccccccccccccccccccccuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuueeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiillllllllllllllllllllllllll dddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddde la percccgravité et de la vraisemmm
25
Echelles d’évaluation
Acceptabilité du risque au niveau de la gouvernance de l’entreprise
Echelle de vraisemblance
Echelle de gravité
Echelle d’importance
perçue des dangers de l’activité sur le
processus
Matrice de passage du
risque activité au
risque système
1 2 3 4 55 1 2 3 3 34 1 2 2 3 3
3 1 1 2 2 32 1 1 1 2 2
1 1 1 1 1 1
Gravité
Vra
isem
blan
ce
1 2 3 4 55 2 2 3 3 34 1 2 2 3 33 1 1 2 2 32 1 1 1 2 2
1 1 1 1 1 2
Gravité
Vra
isem
blan
ce
Acceptabilité du risque au niveau de l’activité ou du processus
Evaluation au niveau de l’activité de base
Evaluation au niveau de la gouvernance
26
Construction des audits
Poids des processus sur
le système
Poids des sous-processus sur les processus
Poids des activités sur les sous-processus
+ définition des échelles d’évaluation et de décision
27
Supports des audits
Ø Questionnaire ouvert Ø Grille d’évaluation des risques perçus
28
Exemple de résultats: cartographie des risques de l’activité A1
0
1
2
3
4
5Politique
EnvironnementsInsécurité
Image
Management
Stratégique
Programmatiq…
Technologique
Communicati…
SocialJuridique
FinancierCommercial
Infrastuctures
Système…
Etudes et…
Opérationnel
Facteur humain
ProfessionnelProduits
POLENVINS
IMA
MAN
STR
PROGTECH
COM
SOC
JUR
FIN
COMR
INFRASIPROJ PROD
0 1 2 3 4 50
1
2
3
4
5
Inde
x de
vrais
em
bla
nce
Index de gravité
POLENVINS
IMA
MAN
STR
PROGTECH COM
SOC
JUR
FIN COMR
INFRASIPROJ
0 1 2 3 4 50
1
2
3
4
5
Index
de v
rais
em
bla
nce
Index de gravité
Importance perçue des risques de l’activité A1 sur
le sous-processus
Cartographie des risques initiaux de A1
Cartographie des risques résiduels de A1
29
Exemple de résultats: cartographie des risques au niveau du système
0
1
2
3
4
5Politique
Environnements
Insécurité
Image
Management
Stratégique
Programmatique
Technologique
Communication etcrises
SocialJuridique
Financier
Commercial
Infrastuctures
Systèmed'information
Etudes et projets
Opérationnel
Facteur humain
Professionnel
Produits
CARTOGRAPHIE DES FACTEURS D'IMPORTANCE DES RISQUES GENERIQUES PERCUS PAR DANGER GENERIQUE
Max
Moy
Min
PolitiqueEnvironnements
Insécurité
Image
Management
Stratégique
Programmatique
Technologique
Communication et…
SocialJuridique
Financier
Commercial
Infrastuctures
Système…
Etudes et projets
Opérationnel
Facteur humain
Professionnel
Produits
CARTOGRAPHIE DES RISQUES INITIAUX GLOBAUX PAR DANGER GENERIQUE D'ENTREPRISE
MaxMoyMin
30
Exemple de résultats: cartographie des risques du système par sous-processus
Stratégie et…Organisation et…
Contrôle M3
Communication…
Amélioration de…
R & T R1
Veille…
Etudes R3
Projet R4
Production R5
Essais R6
Installation R7Exploitation R8Maintenance R9
Exportation R10
Achats S1
Marketing et…
Système…
Gestion des…
Ressources…
Finances S6
Service après…
Communication…
Juridique S9Transports S10
CARTOGRAPHIE DES RISQUES INITIAUX DES PROCESSUS D'ENTREPRISE
MaxMoyMin
Management
RéalisationSoutien
CARTOGRAPHIE SYNTHESE DES RISQUES INITIAUX GLOBAUXPAR PROCESSUS D'ENTREPRISE
Max
Moy
Min
31
Exemple de résultats: cartographie des efforts de réduction des risques
0
1
2
3M1
M2
M3
M4
M5
R1
R2
R3
R4
R5
R6
R7R8R9
R10
S1
S2
S3
S4
S5
S6
S7
S8
S9
S10
CARTOGRAPHIE DES EFFORTS DE REDUCTION DES RISQUES PERCUS PAR SOUS-PROCESSUS
Max
Moy
Min
0
1
2
3Politique
Environnements
Insécurité
Image
Management
Stratégique
Programmatique
Technologique
Communication etcrises
SocialJuridique
Financier
Commercial
Infrastuctures
Systèmed'information
Etudes et projets
Opérationnel
Facteur humain
Professionnel
Produits
CARTOGRAPHIE DES EFFORTS DE REDUCTION DES RISQUES PERCUS PAR DANGER GENERIQUE
Max
Moy
Min
32
Etablissement du contexte • Cartographie des processus d’entreprise et de leurs environnements
• Définition de l’importance des processus par la gouvernance
• Explicitation de la gouvernance des risques de l’entreprise
• Identification des responsables clés des activités et des sous-processus
Identification du risque • Etablissement de la liste des dangers (internes et externes à l’activité)
• Audit des responsables clés des activités sur la base d’un questionnaire ouvert
Analyse du risque • Recueil des données brutes sur la perception de la gravité, de la vraisemblance du risque liés
aux dangers identifiés
• Recueil de l’effort perçu comme nécessaire pour réduire ces risques et des actions nécessaires
• Recueil de la perception de l’importance des dangers des activités de base pour les processus
de l’entreprise
Evaluation du risque • Construction des cartographie des risques initiaux et résiduels par dangers, par activités et par
processus, vues aux différents niveaux de l’entreprise
• Construction des cartographies des efforts de réduction des risques
• Identification des activités, sous-processus, processus, et établissements présentant les risques
les plus critiques
• Evaluation de la cohérence des risques perçus par domaines d’activités
Traitement du risque • Mise en œuvre des actions prioritaires de réduction des risques
• Mise en œuvre d’analyse de risques plus fines (type APR/AGR) au niveau des secteurs critiques
Com
munic
atio
n e
t co
nce
rtatio
n
Surv
eill
ance
et
revu
e
33
RISQUES SSI ET RISQUE D’ENTREPRISE: ANALYSE GLOBALE DES RISQUES
34
Processus de l’AGR
Processus
AGR
Vulnérabilités
AGR
Scénarios
Résultats
Cartographie des
situations
dangereuses
Cartographie des
risques (initiaux et
résiduels)
Valorisation
Hiérarchisation des risques et identifications des risques
majeurs
Identification et programmation des actions
de maîtrise des risques initiaux
Etablissement des bases pour les activités de
sécurisation ultérieures
Allocations préliminaires des objectifs de sécurité
Pertes et Coûts/Risques
35
• Environnement naturel…
• Environnement technologique…
• Environnement organisationnel…
• Environnement commercial…
• Environnement financier…
• Environnement social…
• Environnement sanitaire…
• Modes de défaillance et d'erreur…
• Environnements AMI / ENI…
AGR Vulnérabilités : cartographie des dangers et menaces
36
AGR Vulnérabilités : cartographie des situations dangereuses
Cartographie
des dangers et
menaces auxquels le
système est exposé
Définition du système (fonctions,
phases, sous-systèmes, structures
organisationnelles)
Evaluation des interactions dangers
/ système
è Vulnérabilités des éléments du
système aux menaces et dangers
Intégration REX
Vulnérabilités jugées faibles Vulnérabilités
jugées fortes et à traiter en priorité
Vulnérabilités jugées fortes mais hors
périmètre du projet ou relevant d'une autre
autorité
37
AGR Vulnérabilités : cartographie des situations dangereuses
Vulnérabilités jugées faibles
p1=71
Vulnérabilités jugées fortes et à traiter en priorité
p2=74 p10=13
Vulnérabilités jugées fortes mais hors
périmètre du projet ou relevant d'une autre
autorité
38
AGR Scénarios : métrique de cotation de la gravité
39
AGR Scénarios : métrique de décision
Acceptation du risque
Matrice de criticité
Echelle d'effort
40
AGR Scénarios : description des scénarios de risques
Administration
Non unification des données
Absence de localisation d’un dossier
existant
Données manquantes lors de l’admission d’un
patient déjà hospitalisé précédemment au CH
!
Recherche des antécédents impossible ou difficile Modification de la PEC du
patient avec augmentation
de la DMS sans séquelle
Activation !
DISPENSATION D’UN
TRAITEMENT INADÉQUAT AU VU DES ANTÉCÉDENTS
DU PATIENT
Chaîne de causalité : cinétique, portée
41
AGR Scénarios : traitement d'un risque (défense en profondeur)
Niveaux de défense
à Quelle stratégie face à
un risque ?
o défensif / offensif
o prévention / protection
o court / long terme
o communication de crise
Prévention Détection Confinement Recouvrement
Apprentissage
Risque
42
AGR Scénarios : support d'analyse
APR Scénarios
• Globale
• Par dangers génériques
• Par éléments du système
Cotation du coût/effort
des actions préconisées Risque initial Risque résiduel
Identification et analyse Evaluation et décision
Evaluation et décision
Traitement Gestion
43
Synthèse : cartographie des risques
Répartition des criticités
INITIALES
RÉSIDUELLES
43
44
MED
CS
IDE
AS0
10
20
30
40
50
0 10 20 30 40 50
Coû
t du
ris
qu
e s
an
s tr
aite
men
tM
illie
rs
Coût du traitement du risqueMilliers
SYSTEME - Diagramme Coûts (E) / risques (P)
15.5 15.5
4.0
0.4
0.0
2.0
4.0
6.0
8.0
10.0
12.0
14.0
16.0
18.0
Ra
pp
ort
Co
ûts
tra
ite
me
nt
/ R
isq
ue
s
Dangers génériques
DANGERS - Bilan des coûts (E) / RISQUES (P)
Financement du risque
45
Fiches d’actions de réduction des risques
PROGRAMME
XX
PLAN D’ACTIONS DE
REDUCTION DES RISQUES
DATE :
FICHE N°
REF ETUDE :
RESPONSABLE :
AUTORITE : SOUS-SYSTEME : ELEMENT :
DESCRIPTION DES ACTIONS DE REDUCTION DES RISQUES
Si actions de prévention à mettre 1
Si actions de protection à mettre 2
Si actions mixtes à mettre 3
Taux de couverture estimé des actions décrites par rapport aux actions nécessaires pour réduire le risque initial
0% 25% 50% 75% 100% Autres
EFFETS SECONDAIRES (immédiat, futurs, potenitels) DES ACTIONS
Description des effets secondaires identifiés
Actions de maîtrise des effets secondaires
Taux de maîtrise des risques des effets secondaires
0% 25% 50% 75% 100% Autres
DISPOSITIONS DE REALISATION, DE VALIDATION ET DE CONTRÔLE DES ACTIONS DE REDUCTION DES RISQUES
Taux estimé des actions consolidées déjà réalisées par rapport aux actions décrites
0% 25% 50% 75% 100% Autres
OBSERVATIONS
Causes de non application des actions de réduction des risques :
dont identification des causes d’échec partiel ou total des actions
Décisions prises et actions proposées :
46
Tableau de gestion des fiches d’actions
de réduction des risques
47
Vraisemblance du risque
Gravité du risque
ou Evénement Indésiré
ou Evénement Redouté
éne
nem
Cartographie des dangers/menaces
DANGERSGENERIQUES
Dangers spécifiques
Eléments ou événements dangereux
Cartographie des situations dangereuses
Cartographie des risques
GGGGGGG
ou ment Indésiré
ou ment Redouté
Conclusion
48
Etablissement du contexte• Définition du système et de son environnement par groupes de travail
• Définition des objectifs de performance et de sécurité du système avec la gouvernance
• Définition des objectifs d’acceptabilité du risque
Identification du risque • Etablissement de la liste des dangers (internes et externes à l’activité)
• Cartographie des situations dangereuses comme interactions dangers/système
Analyse du risque • Analyse de chaque situation dangereuse (un ou plusieurs scénarios)
• Analyse des causes contact, causes amorce et événements redoutés
•Evaluation de la vraisemblance et de la gravité initiales de chaque scénario
• Evaluation de la vraisemblance et de la gravité résiduelles de chaque scénario
Evaluation du risque • Cartographie des situations dangereuses et des risques (Kiviat, Farmer, statistiques)
• Hiérarchisation des risques et identification des risques majeurs
Traitement du risque • Plan d’action de réduction des risques initiaux
• Catalogue des paramètres de sécurité (gestion des risques résiduels)
Com
munic
atio
n e
t co
nce
rtatio
n
Surv
eill
anc
e e
t re
vue
49
EXEMPLES
50
CONCLUSION
51
Conclusion
- Approches globales complémentaires permettant d’évaluer et de hiérarchiser des
risques de nature différente dans une même analyse
- Processus invariant et sans discontinuité, de l’établissement du contexte jusqu’à
la gestion des risques résiduels
- Représentation explicite des composantes du risque et de son acceptabilité (gouvernance du risque)
- Pas d’interférence entre la caractérisation du risque moyen et la prise de décision
- Méthodes n’introduisant pas de complexité supplémentaire par rapport au
système analysé
- Facilité de lecture des cartographies des risques favorisant la diffusion de l’information et son appropriation par tous les acteurs du système
52
Conclusion
- Outillage léger permettant de travailler rapidement, itérativement et en groupe de travail
- Supports logiciels :
q StatCart APR V1.06 pour l’Analyse Globale des Risques, édition
commerciale ( www.statcart.com )
q StatCart CRAI pour la macro-cartographie des risques par audits internes (logiciel interne, développement d’une version commerciale en cours)
- Bases de données métiers (base de dangers standard Entreprise, base de dangers Sanitaire, base de dangers/menaces EBIOS)
53
Evolutions en cours
Cartographie des risques par situations dangereuses Possibilité d’une approche probabilisée
pour l'AGRp
Performances(P)
Coûts (C)
Délais (D)
Sécurité (S)
CARTOGRAPHIE DES RISQUES MOYENS RESIDUELS
Cartographie des risques par cibles d’impact dans l’Entreprise
21 37 23
Dangers génériques
Dangers spécifiques Evènements dangereux Id
entif
ier
les
prof
essi
onne
ls à
form
er
Sél
ectio
nner
les
prof
essi
onne
ls à
con
tact
er
Con
tact
er le
s pr
ofes
sion
nels
For
mer
à la
pha
rmac
odép
enda
nce
For
mer
à la
not
ifica
tion
Val
ider
la fo
rmat
ion
Con
serv
er le
con
tact
ave
c le
s pr
ofes
sion
nels
Dét
erm
iner
les
nouv
elle
s co
nnai
ssan
ces
à ap
port
er
Diff
user
les
conn
aiss
ance
s
Rec
ueilli
r le
s si
gnal
emen
ts
Com
mun
ique
r au
per
sonn
el c
ompé
tent
Acc
user
réc
eptio
n
Cap
ter
les
donn
ées
com
plém
enta
ires
Inté
grer
les
donn
ées
com
plém
enta
ires
Valid
er
le n
iveau d
’info
rmatio
n d
u s
ignale
ment
Rép
erto
rier
les
élém
ents
dis
poni
bles
du
doss
ier
Typ
er le
sig
nale
men
t ; N
OT
S o
u O
UT
NO
TS
Enr
egis
trer
le s
igna
lem
ent s
ur le
reg
istr
e de
no
tific
atio
n
Ana
lyse
r le
s do
nnée
s de
la n
otifi
catio
n
Ret
rans
cire
les
iinfo
rmat
ions
Val
ider
le d
ossi
er d
e no
tific
atio
n (q
ualit
é et
pe
rtin
ence
)
Ren
seig
ner
les
item
s du
sco
rer
Sco
rer
Val
ider
le s
core
Sai
sir
la N
OT
S v
alid
ée d
ans
une
base
de
donn
ées
Ver
roui
ller
la s
aisi
e
Arc
hive
r le
dos
sier
de
notif
icat
ion
Iden
tifie
r le
s si
gnal
emen
ts n
éces
sita
nt u
ne
info
rmat
ion
Com
plét
er le
s do
nnée
s (r
equê
te, b
iblio
, etc
)
Valid
er
la d
écis
ion d
’info
rmer
Syn
thét
iser
l'in
form
atio
n
Réd
iger
et m
ettr
e en
form
e l'in
form
atio
n
Valid
er
l’info
rmatio
n à
tra
nsm
ettre
Cib
ler
le(s
) ré
cept
eur(
s)
Sél
ectio
nner
les
mod
alité
s de
diff
usio
n (s
uppo
rt/c
anal
)
Effe
ctue
r la
tran
smis
sion
Non clarif ication des missions 12 20 6 2Absence ou défaut d'attribution de 4Non participation à la Commission
Insécurité Système Intrusion malveillante dans le Absence ou défaut de visibilité / 8Préjugé vis-à-vis de la 6 6Mauvaise image des missions 4
Organisation Défaut de continuité de service 10Turn-over des étudiantsDéfaut de compétences des Défaut de compétences de 6 6 10 4Absence ou défaut de partenariat 8 6 12 8Absence ou défaut de partenariat 10Absence ou défaut de partenariat 9 12Décision inadaptée de l'Afssaps 20 16Décision inadaptée de l'Afssaps Décision inadaptée de l'Afssaps 6 8
Communication Défaut de communication externe 4 8 4Défaut de communication au sein 8 20Défaut de communication au sein 4 10
Ethique Confidentialité Défaut de confidentialité 8Juridique Réglementation Non respect de la réglementation 8 20
Budget prévisionel Mauvaise estimation du budget Subvention Retard de versement de la Ressources Ressources documentaires 6 12Ressources Matériel de communication Logiciel Système d'information du CEIP non 8Réseau Absence de réseau entre le CEIP, 20Données Défaut d'anonymisation des 8Matériel informatique Matériel informatique insuff isant 4 8 8
Absence ou défaut de support de 4Absence ou défaut de traçabilité 3 3 3Absence ou défaut de méthode 4Absence ou défaut de méthode de 4 8 10Absence ou défaut de procédure 15 15 10 12Absence ou défaut d'audit 6 4 6 4 6Comportement inadapté 15Défaillance humaine 3 6
Facteur humain Individu
Système d'Information
88
Opérationnel Qualité 4
6
CommunicationCommunication interne
Financier
Matériels et équipements
Stratégie Partenariat/coopération 8
Conseil d'administration de l'Afssaps
166
8
6 4 6 6 3
4
ManagementRessources humaines
6 6
Diff
user
l’info
rmatio
n
Politique Agence Régionale de Santé (ARS) 4
Image Professionnels4
Cat
égor
iser
le
sign
alem
ent
Pré
pare
r le
dos
sier
de
not
ifica
tion
Eva
luer
le s
core
de
grav
ité
Enr
egis
trer
la N
OT
S
Tra
iter
les
sign
alem
ents
Pré
pare
r l’info
rmatio
n
CARTOGRAPHIE DES RISQUES DE LA GESTION DES SIGNALEMENTS PAR LE CEIP DE NANTES
Former Collecter Evaluer Informer
Pré
pare
r la
form
atio
n
Ass
urer
la fo
rmat
ion
initi
ale
Ass
urer
la fo
rmat
ion
cont
inue
Réc
eptio
nner
Com
plét
er le
s do
nnée
s
…
…
…