Analyse de risques et opportunités - qualite-en-recherche ...qualite-en-recherche.cnrs.fr/IMG/pdf/Analyse_de_risques_arcachon... · cube COSO : Le référentiel COSO1, rédigé sur

ARCACHON – 28 au 30 novembre 2018CNRS | ANF PRO-QUAL

Analyse de risques et opportunités

ARCACHON – 28 au 30 novembre 2018CNRS | ANF PRO-QUAL2/31, H. Valeins

Historique (1/2)● L’analyse des risques est une démarche qui

a été créée dans les années cinquante par la NASA.

● L’outil est arrivé en France dans les années quatre-vingt, recommandé par l’industrie chimique, puis par le secteur agroalimentaire.


Historique (2/2)● Cette démarche est utilisée dans des cas

très divers et des secteurs très différents :– risque sur les processus,

– conception d’un projet,

– fabrication de produits,

– risques pour la sécurité du personnel,

– risque sanitaire, etc.


Approches (1/2)● Mathématiques :

– Blaise Pascal et Pierre de Fermat en 1654

– Loi des grands nombres

– Bernoulli en 1738

– Théorie des Jeux en 1944


Approche (2/2)

● par le management des risques – Apparue en fin des années 1950 aux États-Unis

– Gouvernement d’entreprise et obligation de contrôle des risques


Définition Mathématique● Le risque est l'espérance mathématique d'une

fonction de probabilité d'événements

il s'agit de la valeur moyenne des conséquences d'événements affectés de leur probabilité d'occurrence. Ainsi, un événement e1 a une probabilité d'occurrence p1 avec une conséquence probable C1 ; de même un événement en aura une probabilité pn et une conséquence Cn, alors le risque vaudra

R = p1.C1 + p2.C2 + ... + pn.Cn. ● Un produit pi.Ci est appelé valeur de l'aléa i.


Définitions : Risque● Un risque est un événement indésirable

potentiel pouvant, s'il n’est pas anticipé et maîtrisé, empêcher ou entraver de manière significative la marche d'un projet ou le déroulement d'une activité vers ses objectifs.

● risque : possibilité que se produise un événement qui aura un impact sur la réalisation des objectifs. Le risque se mesure en termes de conséquences et de probabilité.

● Un risque est une éventualité qu'un événement provoque un sinistre sur un projet.


Risques et Difficultés

Il convient de ne pas confondre difficulté et risque, la difficulté étant déjà présente, contrairement au risque qui appartient encore au domaine de la probabilité.

Risques et difficultés doivent être identifiés et maîtrisés


Définition : Menace● Une Menace : est un danger qui existe

dans l’environnement d’un système indépendamment de celui-ci : accident, erreur, malveillance passive si elle porte sur la confidentialité, malveillance active si elle modifie le contenu de l’information ou le comportement des systèmes de traitement.


Vulnérabilité● La Vulnérabilité est une faiblesse du

système qui le rend sensible à une menace :– Bogues dans les logiciels

– Mauvaises configurations

– Erreurs humaines

– Services permis et non utilisés

– Virus et chevaux de Troie

– Saturation de la liaison d’accès à l’Internet

– Logiciels en mode debug


Impact et gravité● Un événement n'est perçu comme un risque

que dans la mesure où il peut avoir un impact (en principe négatif) sur l'atteinte d'un objectif que l'on cherche à réaliser

● Impact : Effet produit par la menace● Le concept de gravité est à rapprocher de

celui de l'impact : à l'impact est associé une quantification, le niveau de gravité, qui est calculé en fonction de l'empêchement ou de l'entrave à l'atteinte des objectifs.


Indétectabilité● L'indétectabilité est l'absence de signes

précurseurs de l'apparition du risque.


Niveau de risque● Le niveau du risque (ou le niveau de

criticité du risque) est la combinaison des deux facteurs Probabilité et Gravité.

● Certaines « écoles » préconisent d'y ajouter le facteur d'indétectabilité.


Exemple de matrice de calcul de la criticité

Criticité = Probabilité x Gravité x Indétectabilité

Correspondance entre le poids et le critère

Poids Critère Poids Critère Poids Critère

1 Faible < 20 % 1

Mineure, dégâts

superficiels 1 nombreux symptômes

2 Forte < 20 % -80 % 2Majeure, dégâts à

terme2

quelques symptômes

5 Quasi-certaine ≥ 80 % 4 bloquante 5 aucun symptôme


représentationscube COSO :

Le référentiel COSO1, rédigé sur la base de recommandations a pour but de prévenir les risques de fraude dans le reporting financier.

● Le management des risques est un processus qui se veut multidirectionnel et itératif. En effet, une cause peut avoir des conséquences sur n’importe quel élément du système sans qu’ils soient directement reliés.

● Le cube se découpe donc en 3 catégories d’objectifs x 5 composants x n processus.


représentations

Tendance ISO 2700x

Menace

Actif /Bien

Vulnérabilité

Protection

Est e

xpos

é à

une

Emprunte une

Dimin

ue le

nive

au d

e

Protège un

Dim

inue

la

Dégrade un


Cartographie

La cartographie des risques (ou « cartographie de l'aléa ») permet d'analyser et interroger les risques dans leurs caractéristiques spatiales. Elle intervient à plusieurs échelles et peut représenter soit la répartition spatiale des aléas, soit celle des enjeux (ce qui est susceptible d'être endommagé), soit celle des vulnérabilités, soit une combinaison des trois facteurs.

● Contexte● Objectifs● Acteurs concernés● Démarche● Représentations


Processus de gestion du risque

Établissement du contexte• Appréciation du risque• Élaboration du plan detraitement du risque• Acceptation du risque

Implémenter les actionspour réduire les risques• Sensibiliser la directionet le personnel sur lesrisques et les actionsprises pour les atténuer

Surveiller et réexaminer lesrésultats, l'efficacité, laconformité et l'efficience duprocessus

Rectifier le traitement du risque à la lumière des évènements et des changements de circonstances• Améliorer le processus de gestion du risque


Difficultés● Difficulté de compréhension par les

métiers de certains critères de l’information, notamment Efficacité et Fiabilité

● Pas d’évaluation scientifique● Subjectivité dans l’identification et

l’évaluation des risques● Hétérogénéité et granularité des risques


Mise en œuvre● Identifier les risques● Détecter les risques● Partir de la typologie● Être le plus exhaustif (pessimiste)


Analyse des risques● Déterminer la probabilité● Déterminer les impacts et leur gravité● En déduire le niveau de risque● Détermination des actions préventives

– Identifier les actions préventives

– Étudier leur coût et leur mise en œuvre

● Décider


Suivi des risques● Suivre la survenance● Mesurer les actions préventives● Étudier l'évolution dans le temps


Étapes et Cycle

Définir de mise en œuvre du management des risques– Identifier et évaluer les risques

– Décider et Agir

– Surveiller communiquer et accepter les risques


Risques et opportunités : comment bien les identifier ?

L’ISO 9001 version 2015 introduit une nouvelle notion aux paragraphes §4.4.1. et §6.1. Ils induisent une obligation pour l’organisme de définir les risques et opportunités (ISO 9001:2015).

Il s’agit en effet de les prendre en compte pour :

● S’assurer de l’atteinte des résultats attendus (objectifs fixés),● Accroître les effets souhaitables (effets positifs),● Prévenir ou réduire les effets indésirables,● S’améliorer.

Pour rappel, les opportunités peuvent être définies comme :

Toute occasion favorable qui peut aboutir à l’amélioration des résultats ou des performances du système.

Par exemple, une opportunité peu naître dans une conjoncture défavorable ou un contexte difficile (crise). Il peut s’agir d’un opportunité de changements importants (modèle économique, organisation, …).


Analyse des risques : SWOT / AFOM

Lorsque l’on décide de définir les risques et les opportunités, la méthode SWOT / AFOM est un bon outil pour réaliser cette identification :

● SWOT : Strengths Weakness Opportunities Threats● AFOM : Atouts (forces) Faiblesses Opportunités Menaces


Analyse des risques : SWOT / AFOM

La double lecture de la grille : horizontale et verticale, permet d’identifier les atouts / faiblesses / Opportunité / menaces en analysant le processus, le SMQ ou l’organisme via deux angles :

● Via les facteurs positifs et négatifs● Via les éléments externes et internes

Les schémas ci-dessous indiquent comment lire la grille pour les éléments positifs et négatifs. Ensuite les deux aspects positifs et négatifs sont scindés en deux niveaux : facteurs internes et externes à l’entreprise.


Méthodes● AMDE

« Analyse des Modes de Défaillances »● AMDE (Analyse des modes de défaillance

et de leurs effets, traduction de l'anglais FMEA ou Failure Modes and Effects Analysis) par une quantification portée par la notion de criticité C.


Méthodes

AMDEC

« Analyse des modes de défaillances et de leur criticité »

● L'Analyse des modes de défaillance, de leurs effets et de leur criticité (AMDEC) est un outil de sûreté de fonctionnement (SdF) et de gestion de la qualité. AMDEC est la traduction de l'anglais FMECA (Failure Modes, Effects and Criticality Analysis, litt. « analyse des modes, des effets et de la criticité des défaillances »), désignation d'une méthode élaborée par l'armée américaine dans les années 1940.


Méthodes

EBIOS :

« Expression des Besoins et Identification des Objectifs de Sécurité »

● La méthode EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité) est un outil complet de gestion des risques SSI conforme au RGS et aux dernières normes ISO 27001, 27005 et 31000.


Références

● Norme ISO 31010 CEI:2009 : – Gestion des risques -- Techniques d'évaluation des risques

● AFAI 20100408 :– Cartographie des risques informatiques : exemples,

méthodes et outil

● Norme ISO 31000 : – Management du risque

● Norme ISO 2700x : – S.M.S.I. : Système de Management de la Sécurité de

l'Information (en anglais : Information security management system, ou ISMS)


Licence

Cette présentation est sous licence :

CC BY-NC-SA : Attribution - Pas d’Utilisation Commerciale - Partage dans les Mêmes Conditions

Voir : https://creativecommons.org/licenses/?lang=fr-FR

Documents

Analyse de risques et opportunités - qualite-en-recherche ...qualite-en-recherche.cnrs.fr/IMG/pdf/Analyse_de_risques_arcachon... · cube COSO : Le référentiel COSO1, rédigé sur