club iso27001 ingeliance made 22nov2012 .pdf
TRANSCRIPT
-
1
METHODES ET OUTILS DE GESTION DES RISQUES
DENTREPRISE CONFORMES LISO 31000
Sbastien Delmotte MAD-Environnement
Vincent Desroches, Ingeliance Technologies
-
2
Risques Entreprise Garantir latteinte des objectifs de rsultats et la
prennit de lentreprise
Risques Projet Garantir latteinte des objectifs des
projets avant et pendant leur excution
Risques Produits
Garantir la scurit et performance des produits et des processus tous niveaux
AIDE LA DCISION
-
3
Typologie des risques
Fluides
Gnie civil
Climatisation
Mcaniques
Energie
Contrle commande
Courants faibles
Lanceur
Charge Utile
CDL3
Expression des besoins et
spcif ication
Stratgie de dveloppement
Organisation de projet
Interfaces contractuelles
Conduite de projet
Gestion f inancire
Gestion calendaire
Performances techniques et
oprationnelles
Utilisateurs et sites d'exploitation
Produit
Stratgie et dcision
OrganisationContrle
Communication
Amlioration de la qualit
R & T
Veille technologique
Etudes
Projet
Production
Essais
InstallationExploitationMaintenance
Exportation
Achats
Marketing et ventes
Systme d'information
Gestion des stocks
Ressources humaines
Finances
Service aprs vente
Communication
JuridiqueTransports
Cartographie des risques Entreprise Cartographie des risques Projet
Objectifs de performance et de scurit du produit
en cours de dveloppement, ainsi que les objectifs
de cots et de dlais de ralisation du projet
Objectifs de performance, de
disponibilit et de scurit
Objectifs de rsultats et de prennit de lentreprise
CU
La
CF
CC
NRJ
MECA
CLIM
GEN CIV
FLU
Cartographie des risques Produit
-
4
DMARCHE DU RISQUE
q Guide ISO/CEI 73
q Guide ISO/CEI 51
q Norme ISO 31000:2009
q Norme ISO 17666:2003
-
5
Rappel sur l'ISO 31000 : principes de management du risque
a) Cre de la valeur et la prserve
b) Fait partie intgrante des processus organisationnels
c) lment de la prise de dcision
d) Traite explicitement de lincertitude
e) Systmatique, structur et en temps utile
f) Sappuie sur la meilleure information disponible
g) Adapt
h) Tient compte des facteurs humains et culturels
i) Transparent et participatif
j) Dynamique, itratif et ractif au changement
k) Facilite lamlioration continue et le dveloppement permanents de lorganisme
-
6
Etablissement du contexte
Identification du risque
Analyse du risque
Evaluation du risque
Traitement du risque
Com
munic
atio
n e
t co
nce
rtat
ion
Surv
eill
an
ce e
t re
vue
Rappel sur l'ISO 31000 : processus de management du risque
-
7
1
2
5
3
4
Dfinir les risques acceptables de lactivit
en termes dobjectifs et
dexigences
Identifier les incertitudes et analyser les risques associs
pour connatre les scnarios dvnements
redouts et leurs consquences
Evaluer et hirarchiser leurs impacts
pour hirarchiser les risques et en dduire les
priorits
Dfinir et consolider les actions rsultantes
pour rendre les niveaux des risques
conformes aux objectifs spcifis
Suivre et contrler leur application
pour maintenir dans le temps un niveau de risque
conforme aux objectifs spcifis
Processus de management du risque
-
8
Scnario daccident
Vraisemblance du risque
Gravit du risque
ou Evnement Indsir
ou Evnement Redout
-
9
Evnement dangereux: Evnement associ loccurrence dun danger Elment dangereux: Elment dun systme ou de son environnement prsentant un danger
DANGER / MENACE: Potentiel de dommage ou de prjudice portant atteintes aux personnes, aux biens, ou lenvironnement
SITUATION DANGEREUSE: Etat dun systme en prsence de danger ou de menace
DANGER
EVENEMENT CONTACT
Situation dangereuse
EVENEMENT REDOUTE (ou accident ou situation
accidentelle)
-
10
Risque associ loccurrence dun vnement indsir ou redout Mesure de la situation dangereuse ou accidentelle Grandeur deux dimensions note (p,g) associe loccurrence dun vnement indsir ou redout not E o g est la valeur de la gravit G des consquences de lvnement E
en terme de dommage ou de prjudice ou dcart un rsultat attendu
p est la probabilit qui mesure lincertitude (sur le dpassement) de g
tel que p= Pr(Gg)
Selon la norme ISO31000, le risque est dfini comme leffet de lincertitude sur latteinte
des objectifs
-
11
Typologie des dangers/menaces dans lEntreprise
Externes Internes lis la gouvernance
Internes lis aux moyens techniques
Internes lis la production
Environnements Commercial Infrastructures et locaux Etudes et projets
Politique Communication et crises Matriels et quipement Oprationnel
Inscurit Economique Systme dinformation Fonctionnel
Image Entreprise Facteur humain
Client Ethique Professionnel
Financier Produit
Juridique Physico-chimique
Management
Programmatique
Social
Stratgique
Technologique
-
12
Elments dvaluation du risque
Classe de gravit
Intitul de la classe
Intitul des consquencesDonnes
quantitatives
G1 MineureAucun impact sur les performances et la scurit de l'activit
G2 SignificativeDgradation des performances du systme sans impact sur la scurit
g1
G3 GraveForte dgradation ou chec des performances du systme sans impact sur la scurit g2
G4 Critique Dgradation de la scurit ou de l'intgrit du systme g3
G5 CatastrophiqueForte dgradation ou chec de la scurit ou perte du systme
Echelle de gravit gnrique
-
13
Echelle de gravit gnrique Entreprise Classe de
GravitIntitul de la
classeIntituls des consquences
G1 MineureAucun impact significatif sur les performances et lintgrit de
l'entreprise
G2 SignificativeDgradation des performances de lentreprise sans impact sur
son bilan et son intgrit
G3 GraveForte dgradation des performances de l'entreprise avec impact sur son bilan mais sans impact sur son intgrit
G4 CritiqueDgradation de l'intgrit de l'entreprise sans impact sur sa prennit
G5 Catastrophique Perte d'intgrit de l'entreprise avec impact sur sa prennit
Echelle de gravit gnrique Projet
Classe de Gravit
Intitul de la classe
Intituls des consquences
G1 Mineure Aucun impact sur le droulement et les objectifs du projet
G2 Significative Impact sur le droulement du projet sans impact sur les objectifs
G3 GraveFort impact sur le droulement du projet sans impact sur les objectifs de performances et de scurit
G4 Critique Trs fort impact sur lensemble des objectifs du projetG5 Catastrophique Arrt du projet et avec impact possible sur lentit qui lhberge
Elments dvaluation du risque
-
14
Exemple d'chelle de gravit SSI
Elments dvaluation du risque
IndexClasses Sous index Intituls
10 Aucun impact sur les performances et la scurit de l'activit11 Systme apte poursuivre sa mission en mode nominal : non atteint ou reconfigur dans des dlais
compatibles avec la mission12 Aucun retard13 Aucune victime14 Pas de compromission de donnes20 Dgradation des performances du systme sans impact sur la scurit21 Systme apte poursuivre sa mission en mode faiblement dgrad (pas de fonctions primordiales
dgrades)22 Retard trs faible n'empchant pas le droulement de la mission23 Pas de mort, blesss trs lgers24 Compromission de donnes sensibles non classifies de dfense30 Forte dgradation ou chec des performances du systme sans impact sur la scurit31 Systme apte poursuivre sa mission en mode dgrad (certaines fonctions primordiales dgrades)32 Retard assez important perturbant le droulement de la mission33 Pas de mort, nombre assez lev de blesss 34 Compromission de donnes classifies RESTRICTED40 Dgradation de la scurit ou de l'intgrit du systme41 Systme apte poursuivre sa mission en mode fortement dgrad (certaines fonctions primordiales 42 Retard important remettant en cause le droulement de la mission43 Blesss graves, invalidit 44 Compromission de donnes classifies CONFIDENTIEL50 Forte dgradation ou chec de la scurit ou perte du systme51 Systme inapte poursuivre sa mission52 Retard trs important entranant un chec ou abandon de la mission53 Morts54 Compromission de donnes classifies SECRET
G4 Critique
G5 Catastrophique
G1 Mineure
G2 Significative
G3 Grave
-
15
Classe de Vraisemblance
Intitul de la classe
V1 Impossible improbable
V2 Trs peu probable
V3 Peu probable
V4 probable
V5 Trs probable certain
Probabilit Valeur Frquence Intitul
-
16
Classe de criticit
Intitul de la classe
Intituls des dcisions et des actions
C1 Acceptable Aucune action nest entreprendre
C2Tolrable sous
contrleOn doit organiser un suivi en termes de gestion du risque
C3 InacceptableOn doit refuser la situation et prendre des mesures en rduction des risquessinon on doit refuser toute ou partie de lactivit
Gravit
1 2 3 4 5
Vra
isem
bla
nce
5
4
3 C2
2
1
G2 C(G5,V2)
-
17
Financement du risque
Rapport cot / risque K
-
18
Diagramme des risques / criticits (KIVIAT)
Diagramme des risques / gravits-vraisemblances
(FARMER)
Exemple de cartographie des risques
-
19
MTHODES
q A, Desroches, Marle F., Raimondo E. et Valle F., 2010. Le management des risques des entreprises et de gestion de projet, Ed Herms Science Lavoisier, 392 p.
q A, Desroches, Baudrin D. et Dadoun M, 2009. LAnalyse Prliminaire des Risques Principes et
Pratiques, Ed Herms Science Lavoisier, 311 p.
-
20
Identification des activits et
fonctions sensibles
Macro-cartographie des risques par audits internes
Evaluer les risques globaux perus par
les diffrentes entits de lentreprise sur
la base daudits internes afin den
dgager des orientations stratgiques
Analyse Globale des Risques (AGR) En prsence de dangers ou de menaces, identifier
les scnarios conduisant un vnement redout
impactant les objectifs et la prennit de lentreprise,
ou les performances et la scurit des produits, pour
laborer le plan daction de matrise des risques
Mthode dapplication rapide pour obtenir
un instantan des risques perus tous les niveaux de lentreprise
Mthode analytique dapplication simple pour
valuer de manire fine les risques majeurs (processus, fonctions, tous les niveaux)
Rfrences: CNES, EFS, SHAM
Rfrences : Spatial, Dfense, Sanitaire, Environnement
-
21
RISQUES DENTREPRISE : MACRO-CARTOGRAPHIE PAR AUDITS
INTERNES
-
22
Processus dvaluation des risques
-
23 23
Cartographie des processus dEntreprise
-
24
Arborescence des processus et logique dvaluation
Avant audits: Pondration de limportance de chaque niveau pour le niveau suprieur
(gouvernance, vision top-down )
Audits: Recueil de la perception de la gravit et de la vraisemblance du
risque au niveau des activits
Audits: Perception de limportance des risques de lactivit sur le processus ou
le systme (base, vision bottom-up)
de chaque niveau p(((gggooouuuvvveeerrrnnnaaaance,
AAAudits: Reeeeeeeeeeeeeeeeeeeeeeeeeeeeeccccccccccccccccccccccccccccccccccccccccccccccccccccccccuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuueeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiillllllllllllllllllllllllll dddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddde la percccgravit et de la vraisemmm
-
25
Echelles dvaluation
Acceptabilit du risque au niveau de la gouvernance de lentreprise
Echelle de vraisemblance
Echelle de gravit
Echelle dimportance
perue des dangers de lactivit sur le
processus
Matrice de passage du
risque activit au
risque systme
1 2 3 4 55 1 2 3 3 34 1 2 2 3 3
3 1 1 2 2 32 1 1 1 2 2
1 1 1 1 1 1
Gravit
Vra
isem
blan
ce
1 2 3 4 55 2 2 3 3 34 1 2 2 3 33 1 1 2 2 32 1 1 1 2 2
1 1 1 1 1 2
Gravit
Vra
isem
blan
ce
Acceptabilit du risque au niveau de lactivit ou du processus
Evaluation au niveau de lactivit de base
Evaluation au niveau de la gouvernance
-
26
Construction des audits
Poids des processus sur
le systme
Poids des sous-processus sur les processus
Poids des activits sur les sous-processus
+ dfinition des chelles dvaluation et de dcision
-
27
Supports des audits
Questionnaire ouvert Grille dvaluation des risques perus
-
28
Exemple de rsultats: cartographie des risques de lactivit A1
0
1
2
3
4
5Politique
EnvironnementsInscurit
Image
Management
Stratgique
Programmatiq
Technologique
Communicati
SocialJuridique
FinancierCommercial
Infrastuctures
Systme
Etudes et
Oprationnel
Facteur humain
ProfessionnelProduits
POLENVINS
IMA
MAN
STR
PROGTECH
COM
SOC
JUR
FIN
COMR
INFRASIPROJ PROD
0 1 2 3 4 50
1
2
3
4
5
Inde
x de
vrais
em
bla
nce
Index de gravit
POLENVINS
IMA
MAN
STR
PROGTECH COM
SOC
JUR
FIN COMR
INFRASIPROJ
0 1 2 3 4 50
1
2
3
4
5
Index
de v
rais
em
bla
nce
Index de gravit
Importance perue des risques de lactivit A1 sur
le sous-processus
Cartographie des risques initiaux de A1
Cartographie des risques rsiduels de A1
-
29
Exemple de rsultats: cartographie des risques au niveau du systme
0
1
2
3
4
5Politique
Environnements
Inscurit
Image
Management
Stratgique
Programmatique
Technologique
Communication etcrises
SocialJuridique
Financier
Commercial
Infrastuctures
Systmed'information
Etudes et projets
Oprationnel
Facteur humain
Professionnel
Produits
CARTOGRAPHIE DES FACTEURS D'IMPORTANCE DES RISQUES GENERIQUES PERCUS PAR DANGER GENERIQUE
Max
Moy
Min
PolitiqueEnvironnements
Inscurit
Image
Management
Stratgique
Programmatique
Technologique
Communication et
SocialJuridique
Financier
Commercial
Infrastuctures
Systme
Etudes et projets
Oprationnel
Facteur humain
Professionnel
Produits
CARTOGRAPHIE DES RISQUES INITIAUX GLOBAUX PAR DANGER GENERIQUE D'ENTREPRISE
MaxMoyMin
-
30
Exemple de rsultats: cartographie des risques du systme par sous-processus
Stratgie etOrganisation et
Contrle M3
Communication
Amlioration de
R & T R1
Veille
Etudes R3
Projet R4
Production R5
Essais R6
Installation R7Exploitation R8Maintenance R9
Exportation R10
Achats S1
Marketing et
Systme
Gestion des
Ressources
Finances S6
Service aprs
Communication
Juridique S9Transports S10
CARTOGRAPHIE DES RISQUES INITIAUX DES PROCESSUS D'ENTREPRISE
MaxMoyMin
Management
RalisationSoutien
CARTOGRAPHIE SYNTHESE DES RISQUES INITIAUX GLOBAUXPAR PROCESSUS D'ENTREPRISE
Max
Moy
Min
-
31
Exemple de rsultats: cartographie des efforts de rduction des risques
0
1
2
3M1
M2
M3
M4
M5
R1
R2
R3
R4
R5
R6
R7R8R9
R10
S1
S2
S3
S4
S5
S6
S7
S8
S9
S10
CARTOGRAPHIE DES EFFORTS DE REDUCTION DES RISQUES PERCUS PAR SOUS-PROCESSUS
Max
Moy
Min
0
1
2
3Politique
Environnements
Inscurit
Image
Management
Stratgique
Programmatique
Technologique
Communication etcrises
SocialJuridique
Financier
Commercial
Infrastuctures
Systmed'information
Etudes et projets
Oprationnel
Facteur humain
Professionnel
Produits
CARTOGRAPHIE DES EFFORTS DE REDUCTION DES RISQUES PERCUS PAR DANGER GENERIQUE
Max
Moy
Min
-
32
Etablissement du contexte Cartographie des processus dentreprise et de leurs environnements
Dfinition de limportance des processus par la gouvernance
Explicitation de la gouvernance des risques de lentreprise
Identification des responsables cls des activits et des sous-processus
Identification du risque Etablissement de la liste des dangers (internes et externes lactivit) Audit des responsables cls des activits sur la base dun questionnaire ouvert
Analyse du risque Recueil des donnes brutes sur la perception de la gravit, de la vraisemblance du risque lis aux dangers identifis
Recueil de leffort peru comme ncessaire pour rduire ces risques et des actions ncessaires
Recueil de la perception de limportance des dangers des activits de base pour les processus
de lentreprise
Evaluation du risque Construction des cartographie des risques initiaux et rsiduels par dangers, par activits et par
processus, vues aux diffrents niveaux de lentreprise
Construction des cartographies des efforts de rduction des risques
Identification des activits, sous-processus, processus, et tablissements prsentant les risques
les plus critiques
Evaluation de la cohrence des risques perus par domaines dactivits
Traitement du risque Mise en uvre des actions prioritaires de rduction des risques
Mise en uvre danalyse de risques plus fines (type APR/AGR) au niveau des secteurs critiques
Com
munic
atio
n e
t co
nce
rtatio
n
Surv
eill
ance
et
revu
e
-
33
RISQUES SSI ET RISQUE DENTREPRISE: ANALYSE GLOBALE DES RISQUES
-
34
Processus de lAGR
Processus
AGR
Vulnrabilits
AGR
Scnarios
Rsultats
Cartographie des
situations
dangereuses
Cartographie des
risques (initiaux et
rsiduels)
Valorisation
Hirarchisation des risques et identifications des risques
majeurs
Identification et programmation des actions
de matrise des risques initiaux
Etablissement des bases pour les activits de
scurisation ultrieures
Allocations prliminaires des objectifs de scurit
Pertes et Cots/Risques
-
35
Environnement naturel
Environnement technologique
Environnement organisationnel
Environnement commercial
Environnement financier
Environnement social
Environnement sanitaire
Modes de dfaillance et d'erreur
Environnements AMI / ENI
AGR Vulnrabilits : cartographie des dangers et menaces
-
36
AGR Vulnrabilits : cartographie des situations dangereuses
Cartographie
des dangers et
menaces auxquels le
systme est expos
Dfinition du systme (fonctions,
phases, sous-systmes, structures
organisationnelles)
Evaluation des interactions dangers
/ systme
Vulnrabilits des lments du
systme aux menaces et dangers
Intgration REX
Vulnrabilits juges faibles Vulnrabilits
juges fortes et traiter en priorit
Vulnrabilits juges fortes mais hors
primtre du projet ou relevant d'une autre
autorit
-
37
AGR Vulnrabilits : cartographie des situations dangereuses
Vulnrabilits juges faibles
p1=71
Vulnrabilits juges fortes et traiter en priorit
p2=74 p10=13
Vulnrabilits juges fortes mais hors
primtre du projet ou relevant d'une autre
autorit
-
38
AGR Scnarios : mtrique de cotation de la gravit
-
39
AGR Scnarios : mtrique de dcision
Acceptation du risque
Matrice de criticit
Echelle d'effort
-
40
AGR Scnarios : description des scnarios de risques
Administration
Non unification des donnes
Absence de localisation dun dossier
existant
Donnes manquantes lors de ladmission dun
patient dj hospitalis prcdemment au CH
!
Recherche des antcdents impossible ou difficile Modification de la PEC du
patient avec augmentation
de la DMS sans squelle
Activation !
DISPENSATION DUN
TRAITEMENT INADQUAT AU VU DES ANTCDENTS
DU PATIENT
Chane de causalit : cintique, porte
-
41
AGR Scnarios : traitement d'un risque (dfense en profondeur)
Niveaux de dfense
Quelle stratgie face
un risque ?
o dfensif / offensif
o prvention / protection
o court / long terme
o communication de crise
Prvention Dtection Confinement Recouvrement
Apprentissage
Risque
-
42
AGR Scnarios : support d'analyse
APR Scnarios
Globale
Par dangers gnriques
Par lments du systme
Cotation du cot/effort
des actions prconises Risque initial Risque rsiduel
Identification et analyse Evaluation et dcision
Evaluation et dcision
Traitement Gestion
-
43
Synthse : cartographie des risques
Rpartition des criticits
INITIALES
RSIDUELLES
43
-
44
MED
CS
IDE
AS0
10
20
30
40
50
0 10 20 30 40 50
Co
t du
ris
qu
e s
an
s tr
aite
men
tM
illie
rs
Cot du traitement du risqueMilliers
SYSTEME - Diagramme Cots (E) / risques (P)
15.5 15.5
4.0
0.4
0.0
2.0
4.0
6.0
8.0
10.0
12.0
14.0
16.0
18.0
Ra
pp
ort
Co
ts
tra
ite
me
nt
/ R
isq
ue
s
Dangers gnriques
DANGERS - Bilan des cots (E) / RISQUES (P)
Financement du risque
-
45
Fiches dactions de rduction des risques
PROGRAMME
XX
PLAN DACTIONS DE
REDUCTION DES RISQUES
DATE :
FICHE N
REF ETUDE :
RESPONSABLE :
AUTORITE : SOUS-SYSTEME : ELEMENT :
DESCRIPTION DES ACTIONS DE REDUCTION DES RISQUES
Si actions de prvention mettre 1
Si actions de protection mettre 2
Si actions mixtes mettre 3
Taux de couverture estim des actions dcrites par rapport aux actions ncessaires pour rduire le risque initial
0% 25% 50% 75% 100% Autres
EFFETS SECONDAIRES (immdiat, futurs, potenitels) DES ACTIONS
Description des effets secondaires identifis
Actions de matrise des effets secondaires
Taux de matrise des risques des effets secondaires
0% 25% 50% 75% 100% Autres
DISPOSITIONS DE REALISATION, DE VALIDATION ET DE CONTRLE DES ACTIONS DE REDUCTION DES RISQUES
Taux estim des actions consolides dj ralises par rapport aux actions dcrites
0% 25% 50% 75% 100% Autres
OBSERVATIONS
Causes de non application des actions de rduction des risques :
dont identification des causes dchec partiel ou total des actions
Dcisions prises et actions proposes :
-
46
Tableau de gestion des fiches dactions
de rduction des risques
-
47
Vraisemblance du risque
Gravit du risque
ou Evnement Indsir
ou Evnement Redout
ne
nem
Cartographie des dangers/menaces
DANGERSGENERIQUES
Dangers spcifiques
Elments ou vnements dangereux
Cartographie des situations dangereuses
Cartographie des risques
GGGGGGG
ou ment Indsir
ou ment Redout
Conclusion
-
48
Etablissement du contexte Dfinition du systme et de son environnement par groupes de travail Dfinition des objectifs de performance et de scurit du systme avec la gouvernance
Dfinition des objectifs dacceptabilit du risque
Identification du risque Etablissement de la liste des dangers (internes et externes lactivit) Cartographie des situations dangereuses comme interactions dangers/systme
Analyse du risque Analyse de chaque situation dangereuse (un ou plusieurs scnarios) Analyse des causes contact, causes amorce et vnements redouts
Evaluation de la vraisemblance et de la gravit initiales de chaque scnario
Evaluation de la vraisemblance et de la gravit rsiduelles de chaque scnario
Evaluation du risque Cartographie des situations dangereuses et des risques (Kiviat, Farmer, statistiques)
Hirarchisation des risques et identification des risques majeurs
Traitement du risque Plan daction de rduction des risques initiaux
Catalogue des paramtres de scurit (gestion des risques rsiduels)
Com
munic
atio
n e
t co
nce
rtatio
n
Surv
eill
anc
e e
t re
vue
-
49
EXEMPLES
-
50
CONCLUSION
-
51
Conclusion
- Approches globales complmentaires permettant dvaluer et de hirarchiser des risques de nature diffrente dans une mme analyse
- Processus invariant et sans discontinuit, de ltablissement du contexte jusqu la gestion des risques rsiduels
- Reprsentation explicite des composantes du risque et de son acceptabilit (gouvernance du risque)
- Pas dinterfrence entre la caractrisation du risque moyen et la prise de dcision
- Mthodes nintroduisant pas de complexit supplmentaire par rapport au systme analys
- Facilit de lecture des cartographies des risques favorisant la diffusion de linformation et son appropriation par tous les acteurs du systme
-
52
Conclusion
- Outillage lger permettant de travailler rapidement, itrativement et en groupe de travail
- Supports logiciels :
q StatCart APR V1.06 pour lAnalyse Globale des Risques, dition commerciale ( www.statcart.com )
q StatCart CRAI pour la macro-cartographie des risques par audits internes (logiciel interne, dveloppement dune version commerciale en cours)
- Bases de donnes mtiers (base de dangers standard Entreprise, base de dangers Sanitaire, base de dangers/menaces EBIOS)
-
53
Evolutions en cours
Cartographie des risques par situations dangereuses Possibilit dune approche probabilise
pour l'AGRp
Performances(P)
Cots (C)
Dlais (D)
Scurit (S)
CARTOGRAPHIE DES RISQUES MOYENS RESIDUELS
Cartographie des risques par cibles dimpact dans lEntreprise
21 37 23
Dangers gnriques
Dangers spcifiques Evnements dangereux Id
entif
ier
les
prof
essi
onne
ls
form
er
Sl
ectio
nner
les
prof
essi
onne
ls
con
tact
er
Con
tact
er le
s pr
ofes
sion
nels
For
mer
la
pha
rmac
odp
enda
nce
For
mer
la
not
ifica
tion
Val
ider
la fo
rmat
ion
Con
serv
er le
con
tact
ave
c le
s pr
ofes
sion
nels
Dt
erm
iner
les
nouv
elle
s co
nnai
ssan
ces
ap
port
er
Diff
user
les
conn
aiss
ance
s
Rec
ueilli
r le
s si
gnal
emen
ts
Com
mun
ique
r au
per
sonn
el c
omp
tent
Acc
user
rc
eptio
n
Cap
ter
les
donn
es
com
plm
enta
ires
Int
grer
les
donn
es
com
plm
enta
ires
Valid
er
le n
iveau d
info
rmatio
n d
u s
ignale
ment
Rp
erto
rier
les
lm
ents
dis
poni
bles
du
doss
ier
Typ
er le
sig
nale
men
t ; N
OT
S o
u O
UT
NO
TS
Enr
egis
trer
le s
igna
lem
ent s
ur le
reg
istr
e de
no
tific
atio
n
Ana
lyse
r le
s do
nne
s de
la n
otifi
catio
n
Ret
rans
cire
les
iinfo
rmat
ions
Val
ider
le d
ossi
er d
e no
tific
atio
n (q
ualit
et
pe
rtin
ence
)
Ren
seig
ner
les
item
s du
sco
rer
Sco
rer
Val
ider
le s
core
Sai
sir
la N
OT
S v
alid
e d
ans
une
base
de
donn
es
Ver
roui
ller
la s
aisi
e
Arc
hive
r le
dos
sier
de
notif
icat
ion
Iden
tifie
r le
s si
gnal
emen
ts n
ces
sita
nt u
ne
info
rmat
ion
Com
plt
er le
s do
nne
s (r
equ
te, b
iblio
, etc
)
Valid
er
la d
cis
ion d
info
rmer
Syn
tht
iser
l'in
form
atio
n
Rd
iger
et m
ettr
e en
form
e l'in
form
atio
n
Valid
er
linfo
rmatio
n
tra
nsm
ettre
Cib
ler
le(s
) r
cept
eur(
s)
Sl
ectio
nner
les
mod
alit
s de
diff
usio
n (s
uppo
rt/c
anal
)
Effe
ctue
r la
tran
smis
sion
Non clarif ication des missions 12 20 6 2Absence ou dfaut d'attribution de 4Non participation la Commission
Inscurit Systme Intrusion malveillante dans le Absence ou dfaut de visibilit / 8Prjug vis--vis de la 6 6Mauvaise image des missions 4
Organisation Dfaut de continuit de service 10Turn-over des tudiantsDfaut de comptences des Dfaut de comptences de 6 6 10 4Absence ou dfaut de partenariat 8 6 12 8Absence ou dfaut de partenariat 10Absence ou dfaut de partenariat 9 12Dcision inadapte de l'Afssaps 20 16Dcision inadapte de l'Afssaps Dcision inadapte de l'Afssaps 6 8
Communication Dfaut de communication externe 4 8 4Dfaut de communication au sein 8 20Dfaut de communication au sein 4 10
Ethique Confidentialit Dfaut de confidentialit 8Juridique Rglementation Non respect de la rglementation 8 20
Budget prvisionel Mauvaise estimation du budget Subvention Retard de versement de la Ressources Ressources documentaires 6 12Ressources Matriel de communication Logiciel Systme d'information du CEIP non 8Rseau Absence de rseau entre le CEIP, 20Donnes Dfaut d'anonymisation des 8Matriel informatique Matriel informatique insuff isant 4 8 8
Absence ou dfaut de support de 4Absence ou dfaut de traabilit 3 3 3Absence ou dfaut de mthode 4Absence ou dfaut de mthode de 4 8 10Absence ou dfaut de procdure 15 15 10 12Absence ou dfaut d'audit 6 4 6 4 6Comportement inadapt 15Dfaillance humaine 3 6
Facteur humain Individu
Systme d'Information
88
Oprationnel Qualit 4
6
CommunicationCommunication interne
Financier
Matriels et quipements
Stratgie Partenariat/coopration 8
Conseil d'administration de l'Afssaps
166
8
6 4 6 6 3
4
ManagementRessources humaines
6 6
Diff
user
linfo
rmatio
n
Politique Agence Rgionale de Sant (ARS) 4
Image Professionnels4
Cat
gor
iser
le
sign
alem
ent
Pr
pare
r le
dos
sier
de
not
ifica
tion
Eva
luer
le s
core
de
grav
it
Enr
egis
trer
la N
OT
S
Tra
iter
les
sign
alem
ents
Pr
pare
r linfo
rmatio
n
CARTOGRAPHIE DES RISQUES DE LA GESTION DES SIGNALEMENTS PAR LE CEIP DE NANTES
Former Collecter Evaluer Informer
Pr
pare
r la
form
atio
n
Ass
urer
la fo
rmat
ion
initi
ale
Ass
urer
la fo
rmat
ion
cont
inue
Rc
eptio
nner
Com
plt
er le
s do
nne
s