1

METHODES ET OUTILS DE GESTION DES RISQUES

DENTREPRISE CONFORMES LISO 31000

Sbastien Delmotte MAD-Environnement

delmotte@mad-environnement.com

Vincent Desroches, Ingeliance Technologies

vincent.desroches@ingeliance.com

2

Risques Entreprise Garantir latteinte des objectifs de rsultats et la

prennit de lentreprise

Risques Projet Garantir latteinte des objectifs des

projets avant et pendant leur excution

Risques Produits

Garantir la scurit et performance des produits et des processus tous niveaux

AIDE LA DCISION

3

Typologie des risques

Fluides

Gnie civil

Climatisation

Mcaniques

Energie

Contrle commande

Courants faibles

Lanceur

Charge Utile

CDL3

Expression des besoins et

spcif ication

Stratgie de dveloppement

Organisation de projet

Interfaces contractuelles

Conduite de projet

Gestion f inancire

Gestion calendaire

Performances techniques et

oprationnelles

Utilisateurs et sites d'exploitation

Produit

Stratgie et dcision

OrganisationContrle

Communication

Amlioration de la qualit

R & T

Veille technologique

Etudes

Projet

Production

Essais

InstallationExploitationMaintenance

Exportation

Achats

Marketing et ventes

Systme d'information

Gestion des stocks

Ressources humaines

Finances

Service aprs vente

Communication

JuridiqueTransports

Cartographie des risques Entreprise Cartographie des risques Projet

Objectifs de performance et de scurit du produit

en cours de dveloppement, ainsi que les objectifs

de cots et de dlais de ralisation du projet

Objectifs de performance, de

disponibilit et de scurit

Objectifs de rsultats et de prennit de lentreprise

CU

La

CF

CC

NRJ

MECA

CLIM

GEN CIV

FLU

Cartographie des risques Produit

4

DMARCHE DU RISQUE

q Guide ISO/CEI 73

q Guide ISO/CEI 51

q Norme ISO 31000:2009

q Norme ISO 17666:2003

5

Rappel sur l'ISO 31000 : principes de management du risque

a) Cre de la valeur et la prserve

b) Fait partie intgrante des processus organisationnels

c) lment de la prise de dcision

d) Traite explicitement de lincertitude

e) Systmatique, structur et en temps utile

f) Sappuie sur la meilleure information disponible

g) Adapt

h) Tient compte des facteurs humains et culturels

i) Transparent et participatif

j) Dynamique, itratif et ractif au changement

k) Facilite lamlioration continue et le dveloppement permanents de lorganisme

6

Etablissement du contexte

Identification du risque

Analyse du risque

Evaluation du risque

Traitement du risque

Com

munic

atio

n e

t co

nce

rtat

ion

Surv

eill

an

ce e

t re

vue

Rappel sur l'ISO 31000 : processus de management du risque

7

1

2

5

3

4

Dfinir les risques acceptables de lactivit

en termes dobjectifs et

dexigences

Identifier les incertitudes et analyser les risques associs

pour connatre les scnarios dvnements

redouts et leurs consquences

Evaluer et hirarchiser leurs impacts

pour hirarchiser les risques et en dduire les

priorits

Dfinir et consolider les actions rsultantes

pour rendre les niveaux des risques

conformes aux objectifs spcifis

Suivre et contrler leur application

pour maintenir dans le temps un niveau de risque

conforme aux objectifs spcifis

Processus de management du risque

8

Scnario daccident

Vraisemblance du risque

Gravit du risque

ou Evnement Indsir

ou Evnement Redout

9

Evnement dangereux: Evnement associ loccurrence dun danger Elment dangereux: Elment dun systme ou de son environnement prsentant un danger

DANGER / MENACE: Potentiel de dommage ou de prjudice portant atteintes aux personnes, aux biens, ou lenvironnement

SITUATION DANGEREUSE: Etat dun systme en prsence de danger ou de menace

DANGER

EVENEMENT CONTACT

Situation dangereuse

EVENEMENT REDOUTE (ou accident ou situation

accidentelle)

10

Risque associ loccurrence dun vnement indsir ou redout Mesure de la situation dangereuse ou accidentelle Grandeur deux dimensions note (p,g) associe loccurrence dun vnement indsir ou redout not E o g est la valeur de la gravit G des consquences de lvnement E

en terme de dommage ou de prjudice ou dcart un rsultat attendu

p est la probabilit qui mesure lincertitude (sur le dpassement) de g

tel que p= Pr(Gg)

Selon la norme ISO31000, le risque est dfini comme leffet de lincertitude sur latteinte

des objectifs

11

Typologie des dangers/menaces dans lEntreprise

Externes Internes lis la gouvernance

Internes lis aux moyens techniques

Internes lis la production

Environnements Commercial Infrastructures et locaux Etudes et projets

Politique Communication et crises Matriels et quipement Oprationnel

Inscurit Economique Systme dinformation Fonctionnel

Image Entreprise Facteur humain

Client Ethique Professionnel

Financier Produit

Juridique Physico-chimique

Management

Programmatique

Social

Stratgique

Technologique

12

Elments dvaluation du risque

Classe de gravit

Intitul de la classe

Intitul des consquencesDonnes

quantitatives

G1 MineureAucun impact sur les performances et la scurit de l'activit

G2 SignificativeDgradation des performances du systme sans impact sur la scurit

g1

G3 GraveForte dgradation ou chec des performances du systme sans impact sur la scurit g2

G4 Critique Dgradation de la scurit ou de l'intgrit du systme g3

G5 CatastrophiqueForte dgradation ou chec de la scurit ou perte du systme

Echelle de gravit gnrique

13

Echelle de gravit gnrique Entreprise Classe de

GravitIntitul de la

classeIntituls des consquences

G1 MineureAucun impact significatif sur les performances et lintgrit de

l'entreprise

G2 SignificativeDgradation des performances de lentreprise sans impact sur

son bilan et son intgrit

G3 GraveForte dgradation des performances de l'entreprise avec impact sur son bilan mais sans impact sur son intgrit

G4 CritiqueDgradation de l'intgrit de l'entreprise sans impact sur sa prennit

G5 Catastrophique Perte d'intgrit de l'entreprise avec impact sur sa prennit

Echelle de gravit gnrique Projet

Classe de Gravit

Intitul de la classe

Intituls des consquences

G1 Mineure Aucun impact sur le droulement et les objectifs du projet

G2 Significative Impact sur le droulement du projet sans impact sur les objectifs

G3 GraveFort impact sur le droulement du projet sans impact sur les objectifs de performances et de scurit

G4 Critique Trs fort impact sur lensemble des objectifs du projetG5 Catastrophique Arrt du projet et avec impact possible sur lentit qui lhberge

Elments dvaluation du risque

14

Exemple d'chelle de gravit SSI

Elments dvaluation du risque

IndexClasses Sous index Intituls

10 Aucun impact sur les performances et la scurit de l'activit11 Systme apte poursuivre sa mission en mode nominal : non atteint ou reconfigur dans des dlais

compatibles avec la mission12 Aucun retard13 Aucune victime14 Pas de compromission de donnes20 Dgradation des performances du systme sans impact sur la scurit21 Systme apte poursuivre sa mission en mode faiblement dgrad (pas de fonctions primordiales

dgrades)22 Retard trs faible n'empchant pas le droulement de la mission23 Pas de mort, blesss trs lgers24 Compromission de donnes sensibles non classifies de dfense30 Forte dgradation ou chec des performances du systme sans impact sur la scurit31 Systme apte poursuivre sa mission en mode dgrad (certaines fonctions primordiales dgrades)32 Retard assez important perturbant le droulement de la mission33 Pas de mort, nombre assez lev de blesss 34 Compromission de donnes classifies RESTRICTED40 Dgradation de la scurit ou de l'intgrit du systme41 Systme apte poursuivre sa mission en mode fortement dgrad (certaines fonctions primordiales 42 Retard important remettant en cause le droulement de la mission43 Blesss graves, invalidit 44 Compromission de donnes classifies CONFIDENTIEL50 Forte dgradation ou chec de la scurit ou perte du systme51 Systme inapte poursuivre sa mission52 Retard trs important entranant un chec ou abandon de la mission53 Morts54 Compromission de donnes classifies SECRET

G4 Critique

G5 Catastrophique

G1 Mineure

G2 Significative

G3 Grave

15

Classe de Vraisemblance

Intitul de la classe

V1 Impossible improbable

V2 Trs peu probable

V3 Peu probable

V4 probable

V5 Trs probable certain

Probabilit Valeur Frquence Intitul

16

Classe de criticit

Intitul de la classe

Intituls des dcisions et des actions

C1 Acceptable Aucune action nest entreprendre

C2Tolrable sous

contrleOn doit organiser un suivi en termes de gestion du risque

C3 InacceptableOn doit refuser la situation et prendre des mesures en rduction des risquessinon on doit refuser toute ou partie de lactivit

Gravit

1 2 3 4 5

Vra

isem

bla

nce

5

4

3 C2

2

1

G2 C(G5,V2)

17

Financement du risque

Rapport cot / risque K

18

Diagramme des risques / criticits (KIVIAT)

Diagramme des risques / gravits-vraisemblances

(FARMER)

Exemple de cartographie des risques

19

MTHODES

q A, Desroches, Marle F., Raimondo E. et Valle F., 2010. Le management des risques des entreprises et de gestion de projet, Ed Herms Science Lavoisier, 392 p.

q A, Desroches, Baudrin D. et Dadoun M, 2009. LAnalyse Prliminaire des Risques Principes et

Pratiques, Ed Herms Science Lavoisier, 311 p.

20

Identification des activits et

fonctions sensibles

Macro-cartographie des risques par audits internes

Evaluer les risques globaux perus par

les diffrentes entits de lentreprise sur

la base daudits internes afin den

dgager des orientations stratgiques

Analyse Globale des Risques (AGR) En prsence de dangers ou de menaces, identifier

les scnarios conduisant un vnement redout

impactant les objectifs et la prennit de lentreprise,

ou les performances et la scurit des produits, pour

laborer le plan daction de matrise des risques

Mthode dapplication rapide pour obtenir

un instantan des risques perus tous les niveaux de lentreprise

Mthode analytique dapplication simple pour

valuer de manire fine les risques majeurs (processus, fonctions, tous les niveaux)

Rfrences: CNES, EFS, SHAM

Rfrences : Spatial, Dfense, Sanitaire, Environnement

21

RISQUES DENTREPRISE : MACRO-CARTOGRAPHIE PAR AUDITS

INTERNES

22

Processus dvaluation des risques

23 23

Cartographie des processus dEntreprise

24

Arborescence des processus et logique dvaluation

Avant audits: Pondration de limportance de chaque niveau pour le niveau suprieur

(gouvernance, vision top-down )

Audits: Recueil de la perception de la gravit et de la vraisemblance du

risque au niveau des activits

Audits: Perception de limportance des risques de lactivit sur le processus ou

le systme (base, vision bottom-up)

de chaque niveau p(((gggooouuuvvveeerrrnnnaaaance,

AAAudits: Reeeeeeeeeeeeeeeeeeeeeeeeeeeeeccccccccccccccccccccccccccccccccccccccccccccccccccccccccuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuueeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiillllllllllllllllllllllllll dddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddde la percccgravit et de la vraisemmm

25

Echelles dvaluation

Acceptabilit du risque au niveau de la gouvernance de lentreprise

Echelle de vraisemblance

Echelle de gravit

Echelle dimportance

perue des dangers de lactivit sur le

processus

Matrice de passage du

risque activit au

risque systme

1 2 3 4 55 1 2 3 3 34 1 2 2 3 3

3 1 1 2 2 32 1 1 1 2 2

1 1 1 1 1 1

Gravit

Vra

isem

blan

ce

1 2 3 4 55 2 2 3 3 34 1 2 2 3 33 1 1 2 2 32 1 1 1 2 2

1 1 1 1 1 2

Gravit

Vra

isem

blan

ce

Acceptabilit du risque au niveau de lactivit ou du processus

Evaluation au niveau de lactivit de base

Evaluation au niveau de la gouvernance

26

Construction des audits

Poids des processus sur

le systme

Poids des sous-processus sur les processus

Poids des activits sur les sous-processus

+ dfinition des chelles dvaluation et de dcision

27

Supports des audits

Questionnaire ouvert Grille dvaluation des risques perus

28

Exemple de rsultats: cartographie des risques de lactivit A1

0

1

2

3

4

5Politique

EnvironnementsInscurit

Image

Management

Stratgique

Programmatiq

Technologique

Communicati

SocialJuridique

FinancierCommercial

Infrastuctures

Systme

Etudes et

Oprationnel

Facteur humain

ProfessionnelProduits

POLENVINS

IMA

MAN

STR

PROGTECH

COM

SOC

JUR

FIN

COMR

INFRASIPROJ PROD

0 1 2 3 4 50

1

2

3

4

5

Inde

x de

vrais

em

bla

nce

Index de gravit

POLENVINS

IMA

MAN

STR

PROGTECH COM

SOC

JUR

FIN COMR

INFRASIPROJ

0 1 2 3 4 50

1

2

3

4

5

Index

de v

rais

em

bla

nce

Index de gravit

Importance perue des risques de lactivit A1 sur

le sous-processus

Cartographie des risques initiaux de A1

Cartographie des risques rsiduels de A1

29

Exemple de rsultats: cartographie des risques au niveau du systme

0

1

2

3

4

5Politique

Environnements

Inscurit

Image

Management

Stratgique

Programmatique

Technologique

Communication etcrises

SocialJuridique

Financier

Commercial

Infrastuctures

Systmed'information

Etudes et projets

Oprationnel

Facteur humain

Professionnel

Produits

CARTOGRAPHIE DES FACTEURS D'IMPORTANCE DES RISQUES GENERIQUES PERCUS PAR DANGER GENERIQUE

Max

Moy

Min

PolitiqueEnvironnements

Inscurit

Image

Management

Stratgique

Programmatique

Technologique

Communication et

SocialJuridique

Financier

Commercial

Infrastuctures

Systme

Etudes et projets

Oprationnel

Facteur humain

Professionnel

Produits

CARTOGRAPHIE DES RISQUES INITIAUX GLOBAUX PAR DANGER GENERIQUE D'ENTREPRISE

MaxMoyMin

30

Exemple de rsultats: cartographie des risques du systme par sous-processus

Stratgie etOrganisation et

Contrle M3

Communication

Amlioration de

R & T R1

Veille

Etudes R3

Projet R4

Production R5

Essais R6

Installation R7Exploitation R8Maintenance R9

Exportation R10

Achats S1

Marketing et

Systme

Gestion des

Ressources

Finances S6

Service aprs

Communication

Juridique S9Transports S10

CARTOGRAPHIE DES RISQUES INITIAUX DES PROCESSUS D'ENTREPRISE

MaxMoyMin

Management

RalisationSoutien

CARTOGRAPHIE SYNTHESE DES RISQUES INITIAUX GLOBAUXPAR PROCESSUS D'ENTREPRISE

Max

Moy

Min

31

Exemple de rsultats: cartographie des efforts de rduction des risques

0

1

2

3M1

M2

M3

M4

M5

R1

R2

R3

R4

R5

R6

R7R8R9

R10

S1

S2

S3

S4

S5

S6

S7

S8

S9

S10

CARTOGRAPHIE DES EFFORTS DE REDUCTION DES RISQUES PERCUS PAR SOUS-PROCESSUS

Max

Moy

Min

0

1

2

3Politique

Environnements

Inscurit

Image

Management

Stratgique

Programmatique

Technologique

Communication etcrises

SocialJuridique

Financier

Commercial

Infrastuctures

Systmed'information

Etudes et projets

Oprationnel

Facteur humain

Professionnel

Produits

CARTOGRAPHIE DES EFFORTS DE REDUCTION DES RISQUES PERCUS PAR DANGER GENERIQUE

Max

Moy

Min

32

Etablissement du contexte Cartographie des processus dentreprise et de leurs environnements

Dfinition de limportance des processus par la gouvernance

Explicitation de la gouvernance des risques de lentreprise

Identification des responsables cls des activits et des sous-processus

Identification du risque Etablissement de la liste des dangers (internes et externes lactivit) Audit des responsables cls des activits sur la base dun questionnaire ouvert

Analyse du risque Recueil des donnes brutes sur la perception de la gravit, de la vraisemblance du risque lis aux dangers identifis

Recueil de leffort peru comme ncessaire pour rduire ces risques et des actions ncessaires

Recueil de la perception de limportance des dangers des activits de base pour les processus

de lentreprise

Evaluation du risque Construction des cartographie des risques initiaux et rsiduels par dangers, par activits et par

processus, vues aux diffrents niveaux de lentreprise

Construction des cartographies des efforts de rduction des risques

Identification des activits, sous-processus, processus, et tablissements prsentant les risques

les plus critiques

Evaluation de la cohrence des risques perus par domaines dactivits

Traitement du risque Mise en uvre des actions prioritaires de rduction des risques

Mise en uvre danalyse de risques plus fines (type APR/AGR) au niveau des secteurs critiques

Com

munic

atio

n e

t co

nce

rtatio

n

Surv

eill

ance

et

revu

e

33

RISQUES SSI ET RISQUE DENTREPRISE: ANALYSE GLOBALE DES RISQUES

34

Processus de lAGR

Processus

AGR

Vulnrabilits

AGR

Scnarios

Rsultats

Cartographie des

situations

dangereuses

Cartographie des

risques (initiaux et

rsiduels)

Valorisation

Hirarchisation des risques et identifications des risques

majeurs

Identification et programmation des actions

de matrise des risques initiaux

Etablissement des bases pour les activits de

scurisation ultrieures

Allocations prliminaires des objectifs de scurit

Pertes et Cots/Risques

35

Environnement naturel

Environnement technologique

Environnement organisationnel

Environnement commercial

Environnement financier

Environnement social

Environnement sanitaire

Modes de dfaillance et d'erreur

Environnements AMI / ENI

AGR Vulnrabilits : cartographie des dangers et menaces

36

AGR Vulnrabilits : cartographie des situations dangereuses

Cartographie

des dangers et

menaces auxquels le

systme est expos

Dfinition du systme (fonctions,

phases, sous-systmes, structures

organisationnelles)

Evaluation des interactions dangers

/ systme

Vulnrabilits des lments du

systme aux menaces et dangers

Intgration REX

Vulnrabilits juges faibles Vulnrabilits

juges fortes et traiter en priorit

Vulnrabilits juges fortes mais hors

primtre du projet ou relevant d'une autre

autorit

37

AGR Vulnrabilits : cartographie des situations dangereuses

Vulnrabilits juges faibles

p1=71

Vulnrabilits juges fortes et traiter en priorit

p2=74 p10=13

Vulnrabilits juges fortes mais hors

primtre du projet ou relevant d'une autre

autorit

38

AGR Scnarios : mtrique de cotation de la gravit

39

AGR Scnarios : mtrique de dcision

Acceptation du risque

Matrice de criticit

Echelle d'effort

40

AGR Scnarios : description des scnarios de risques

Administration

Non unification des donnes

Absence de localisation dun dossier

existant

Donnes manquantes lors de ladmission dun

patient dj hospitalis prcdemment au CH

!

Recherche des antcdents impossible ou difficile Modification de la PEC du

patient avec augmentation

de la DMS sans squelle

Activation !

DISPENSATION DUN

TRAITEMENT INADQUAT AU VU DES ANTCDENTS

DU PATIENT

Chane de causalit : cintique, porte

41

AGR Scnarios : traitement d'un risque (dfense en profondeur)

Niveaux de dfense

Quelle stratgie face

un risque ?

o dfensif / offensif

o prvention / protection

o court / long terme

o communication de crise

Prvention Dtection Confinement Recouvrement

Apprentissage

Risque

42

AGR Scnarios : support d'analyse

APR Scnarios

Globale

Par dangers gnriques

Par lments du systme

Cotation du cot/effort

des actions prconises Risque initial Risque rsiduel

Identification et analyse Evaluation et dcision

Evaluation et dcision

Traitement Gestion

43

Synthse : cartographie des risques

Rpartition des criticits

INITIALES

RSIDUELLES

43

44

MED

CS

IDE

AS0

10

20

30

40

50

0 10 20 30 40 50

Co

t du

ris

qu

e s

an

s tr

aite

men

tM

illie

rs

Cot du traitement du risqueMilliers

SYSTEME - Diagramme Cots (E) / risques (P)

15.5 15.5

4.0

0.4

0.0

2.0

4.0

6.0

8.0

10.0

12.0

14.0

16.0

18.0

Ra

pp

ort

Co

ts

tra

ite

me

nt

/ R

isq

ue

s

Dangers gnriques

DANGERS - Bilan des cots (E) / RISQUES (P)

Financement du risque

45

Fiches dactions de rduction des risques

PROGRAMME

XX

PLAN DACTIONS DE

REDUCTION DES RISQUES

DATE :

FICHE N

REF ETUDE :

RESPONSABLE :

AUTORITE : SOUS-SYSTEME : ELEMENT :

DESCRIPTION DES ACTIONS DE REDUCTION DES RISQUES

Si actions de prvention mettre 1

Si actions de protection mettre 2

Si actions mixtes mettre 3

Taux de couverture estim des actions dcrites par rapport aux actions ncessaires pour rduire le risque initial

0% 25% 50% 75% 100% Autres

EFFETS SECONDAIRES (immdiat, futurs, potenitels) DES ACTIONS

Description des effets secondaires identifis

Actions de matrise des effets secondaires

Taux de matrise des risques des effets secondaires

0% 25% 50% 75% 100% Autres

DISPOSITIONS DE REALISATION, DE VALIDATION ET DE CONTRLE DES ACTIONS DE REDUCTION DES RISQUES

Taux estim des actions consolides dj ralises par rapport aux actions dcrites

0% 25% 50% 75% 100% Autres

OBSERVATIONS

Causes de non application des actions de rduction des risques :

dont identification des causes dchec partiel ou total des actions

Dcisions prises et actions proposes :

46

Tableau de gestion des fiches dactions

de rduction des risques

47

Vraisemblance du risque

Gravit du risque

ou Evnement Indsir

ou Evnement Redout

ne

nem

Cartographie des dangers/menaces

DANGERSGENERIQUES

Dangers spcifiques

Elments ou vnements dangereux

Cartographie des situations dangereuses

Cartographie des risques

GGGGGGG

ou ment Indsir

ou ment Redout

Conclusion

48

Etablissement du contexte Dfinition du systme et de son environnement par groupes de travail Dfinition des objectifs de performance et de scurit du systme avec la gouvernance

Dfinition des objectifs dacceptabilit du risque

Identification du risque Etablissement de la liste des dangers (internes et externes lactivit) Cartographie des situations dangereuses comme interactions dangers/systme

Analyse du risque Analyse de chaque situation dangereuse (un ou plusieurs scnarios) Analyse des causes contact, causes amorce et vnements redouts

Evaluation de la vraisemblance et de la gravit initiales de chaque scnario

Evaluation de la vraisemblance et de la gravit rsiduelles de chaque scnario

Evaluation du risque Cartographie des situations dangereuses et des risques (Kiviat, Farmer, statistiques)

Hirarchisation des risques et identification des risques majeurs

Traitement du risque Plan daction de rduction des risques initiaux

Catalogue des paramtres de scurit (gestion des risques rsiduels)

Com

munic

atio

n e

t co

nce

rtatio

n

Surv

eill

anc

e e

t re

vue

49

EXEMPLES

50

CONCLUSION

51

Conclusion

- Approches globales complmentaires permettant dvaluer et de hirarchiser des risques de nature diffrente dans une mme analyse

- Processus invariant et sans discontinuit, de ltablissement du contexte jusqu la gestion des risques rsiduels

- Reprsentation explicite des composantes du risque et de son acceptabilit (gouvernance du risque)

- Pas dinterfrence entre la caractrisation du risque moyen et la prise de dcision

- Mthodes nintroduisant pas de complexit supplmentaire par rapport au systme analys

- Facilit de lecture des cartographies des risques favorisant la diffusion de linformation et son appropriation par tous les acteurs du systme

52

Conclusion

- Outillage lger permettant de travailler rapidement, itrativement et en groupe de travail

- Supports logiciels :

q StatCart APR V1.06 pour lAnalyse Globale des Risques, dition commerciale ( www.statcart.com )

q StatCart CRAI pour la macro-cartographie des risques par audits internes (logiciel interne, dveloppement dune version commerciale en cours)

- Bases de donnes mtiers (base de dangers standard Entreprise, base de dangers Sanitaire, base de dangers/menaces EBIOS)

53

Evolutions en cours

Cartographie des risques par situations dangereuses Possibilit dune approche probabilise

pour l'AGRp

Performances(P)

Cots (C)

Dlais (D)

Scurit (S)

CARTOGRAPHIE DES RISQUES MOYENS RESIDUELS

Cartographie des risques par cibles dimpact dans lEntreprise

21 37 23

Dangers gnriques

Dangers spcifiques Evnements dangereux Id

entif

ier

les

prof

essi

onne

ls

form

er

Sl

ectio

nner

les

prof

essi

onne

ls

con

tact

er

Con

tact

er le

s pr

ofes

sion

nels

For

mer

la

pha

rmac

odp

enda

nce

For

mer

la

not

ifica

tion

Val

ider

la fo

rmat

ion

Con

serv

er le

con

tact

ave

c le

s pr

ofes

sion

nels

Dt

erm

iner

les

nouv

elle

s co

nnai

ssan

ces

ap

port

er

Diff

user

les

conn

aiss

ance

s

Rec

ueilli

r le

s si

gnal

emen

ts

Com

mun

ique

r au

per

sonn

el c

omp

tent

Acc

user

rc

eptio

n

Cap

ter

les

donn

es

com

plm

enta

ires

Int

grer

les

donn

es

com

plm

enta

ires

Valid

er

le n

iveau d

info

rmatio

n d

u s

ignale

ment

Rp

erto

rier

les

lm

ents

dis

poni

bles

du

doss

ier

Typ

er le

sig

nale

men

t ; N

OT

S o

u O

UT

NO

TS

Enr

egis

trer

le s

igna

lem

ent s

ur le

reg

istr

e de

no

tific

atio

n

Ana

lyse

r le

s do

nne

s de

la n

otifi

catio

n

Ret

rans

cire

les

iinfo

rmat

ions

Val

ider

le d

ossi

er d

e no

tific

atio

n (q

ualit

et

pe

rtin

ence

)

Ren

seig

ner

les

item

s du

sco

rer

Sco

rer

Val

ider

le s

core

Sai

sir

la N

OT

S v

alid

e d

ans

une

base

de

donn

es

Ver

roui

ller

la s

aisi

e

Arc

hive

r le

dos

sier

de

notif

icat

ion

Iden

tifie

r le

s si

gnal

emen

ts n

ces

sita

nt u

ne

info

rmat

ion

Com

plt

er le

s do

nne

s (r

equ

te, b

iblio

, etc

)

Valid

er

la d

cis

ion d

info

rmer

Syn

tht

iser

l'in

form

atio

n

Rd

iger

et m

ettr

e en

form

e l'in

form

atio

n

Valid

er

linfo

rmatio

n

tra

nsm

ettre

Cib

ler

le(s

) r

cept

eur(

s)

Sl

ectio

nner

les

mod

alit

s de

diff

usio

n (s

uppo

rt/c

anal

)

Effe

ctue

r la

tran

smis

sion

Non clarif ication des missions 12 20 6 2Absence ou dfaut d'attribution de 4Non participation la Commission

Inscurit Systme Intrusion malveillante dans le Absence ou dfaut de visibilit / 8Prjug vis--vis de la 6 6Mauvaise image des missions 4

Organisation Dfaut de continuit de service 10Turn-over des tudiantsDfaut de comptences des Dfaut de comptences de 6 6 10 4Absence ou dfaut de partenariat 8 6 12 8Absence ou dfaut de partenariat 10Absence ou dfaut de partenariat 9 12Dcision inadapte de l'Afssaps 20 16Dcision inadapte de l'Afssaps Dcision inadapte de l'Afssaps 6 8

Communication Dfaut de communication externe 4 8 4Dfaut de communication au sein 8 20Dfaut de communication au sein 4 10

Ethique Confidentialit Dfaut de confidentialit 8Juridique Rglementation Non respect de la rglementation 8 20

Budget prvisionel Mauvaise estimation du budget Subvention Retard de versement de la Ressources Ressources documentaires 6 12Ressources Matriel de communication Logiciel Systme d'information du CEIP non 8Rseau Absence de rseau entre le CEIP, 20Donnes Dfaut d'anonymisation des 8Matriel informatique Matriel informatique insuff isant 4 8 8

Absence ou dfaut de support de 4Absence ou dfaut de traabilit 3 3 3Absence ou dfaut de mthode 4Absence ou dfaut de mthode de 4 8 10Absence ou dfaut de procdure 15 15 10 12Absence ou dfaut d'audit 6 4 6 4 6Comportement inadapt 15Dfaillance humaine 3 6

Facteur humain Individu

Systme d'Information

88

Oprationnel Qualit 4

6

CommunicationCommunication interne

Financier

Matriels et quipements

Stratgie Partenariat/coopration 8

Conseil d'administration de l'Afssaps

166

8

6 4 6 6 3

4

ManagementRessources humaines

6 6

Diff

user

linfo

rmatio

n

Politique Agence Rgionale de Sant (ARS) 4

Image Professionnels4

Cat

gor

iser

le

sign

alem

ent

Pr

pare

r le

dos

sier

de

not

ifica

tion

Eva

luer

le s

core

de

grav

it

Enr

egis

trer

la N

OT

S

Tra

iter

les

sign

alem

ents

Pr

pare

r linfo

rmatio

n

CARTOGRAPHIE DES RISQUES DE LA GESTION DES SIGNALEMENTS PAR LE CEIP DE NANTES

Former Collecter Evaluer Informer

Pr

pare

r la

form

atio

n

Ass

urer

la fo

rmat

ion

initi

ale

Ass

urer

la fo

rmat

ion

cont

inue

Rc

eptio

nner

Com

plt

er le

s do

nne

s