Vous êtes sur la page 1sur 31

Analyse de risques et

opportunités

CNRS | ANF PRO-QUAL ARCACHON – 28 au 30 novembre 2018


Historique (1/2)

L’analyse des risques est une démarche qui
a été créée dans les années cinquante par
la NASA.

L’outil est arrivé en France dans les années
quatre-vingt, recommandé par l’industrie
chimique, puis par le secteur
agroalimentaire.

2/31, H. Valeins CNRS | ANF PRO-QUAL ARCACHON – 28 au 30 novembre 2018


Historique (2/2)

Cette démarche est utilisée dans des cas
très divers et des secteurs très différents :
– risque sur les processus,
– conception d’un projet,
– fabrication de produits,
– risques pour la sécurité du personnel,
– risque sanitaire, etc.

3/31, H. Valeins CNRS | ANF PRO-QUAL ARCACHON – 28 au 30 novembre 2018


Approches (1/2)

Mathématiques :
– Blaise Pascal et Pierre de Fermat en 1654
– Loi des grands nombres
– Bernoulli en 1738
– Théorie des Jeux en 1944

4/31, H. Valeins CNRS | ANF PRO-QUAL ARCACHON – 28 au 30 novembre 2018


Approche (2/2)


par le management des risques
– Apparue en fin des années 1950 aux États-Unis
– Gouvernement d’entreprise et obligation de contrôle
des risques

5/31, H. Valeins CNRS | ANF PRO-QUAL ARCACHON – 28 au 30 novembre 2018


Définition Mathématique

Le risque est l'espérance mathématique d'une
fonction de probabilité d'événements

il s'agit de la valeur moyenne des conséquences


d'événements affectés de leur probabilité
d'occurrence. Ainsi, un événement e1 a une
probabilité d'occurrence p1 avec une conséquence
probable C1 ; de même un événement en aura une
probabilité pn et une conséquence Cn, alors le risque
vaudra
R = p1.C1 + p2.C2 + ... + pn.Cn.

Un produit pi.Ci est appelé valeur de l'aléa i.
6/31, H. Valeins CNRS | ANF PRO-QUAL ARCACHON – 28 au 30 novembre 2018
Définitions : Risque

Un risque est un événement indésirable
potentiel pouvant, s'il n’est pas anticipé et
maîtrisé, empêcher ou entraver de manière
significative la marche d'un projet ou le
déroulement d'une activité vers ses objectifs.

risque : possibilité que se produise un
événement qui aura un impact sur la
réalisation des objectifs. Le risque se mesure
en termes de conséquences et de probabilité.

Un risque est une éventualité qu'un
événement provoque un sinistre sur un projet.
7/31, H. Valeins CNRS | ANF PRO-QUAL ARCACHON – 28 au 30 novembre 2018
Risques et Difficultés

Il convient de ne pas confondre difficulté et


risque, la difficulté étant déjà présente,
contrairement au risque qui appartient
encore au domaine de la probabilité.
Risques et difficultés doivent être identifiés
et maîtrisés

8/31, H. Valeins CNRS | ANF PRO-QUAL ARCACHON – 28 au 30 novembre 2018


Définition : Menace

Une Menace : est un danger qui existe
dans l’environnement d’un système
indépendamment de celui-ci : accident,
erreur, malveillance passive si elle porte
sur la confidentialité, malveillance active
si elle modifie le contenu de l’information
ou le comportement des systèmes de
traitement.

9/31, H. Valeins CNRS | ANF PRO-QUAL ARCACHON – 28 au 30 novembre 2018


Vulnérabilité

La Vulnérabilité est une faiblesse du
système qui le rend sensible à une
menace :
– Bogues dans les logiciels
– Mauvaises configurations
– Erreurs humaines
– Services permis et non utilisés
– Virus et chevaux de Troie
– Saturation de la liaison d’accès à l’Internet
– Logiciels en mode debug

10/31, H. Valeins CNRS | ANF PRO-QUAL ARCACHON – 28 au 30 novembre 2018


Impact et gravité

Un événement n'est perçu comme un risque
que dans la mesure où il peut avoir un
impact (en principe négatif) sur l'atteinte
d'un objectif que l'on cherche à réaliser

Impact : Effet produit par la menace

Le concept de gravité est à rapprocher de
celui de l'impact : à l'impact est associé une
quantification, le niveau de gravité, qui est
calculé en fonction de l'empêchement ou de
l'entrave à l'atteinte des objectifs.

11/31, H. Valeins CNRS | ANF PRO-QUAL ARCACHON – 28 au 30 novembre 2018


Indétectabilité

L'indétectabilité est l'absence de signes
précurseurs de l'apparition du risque.

12/31, H. Valeins CNRS | ANF PRO-QUAL ARCACHON – 28 au 30 novembre 2018


Niveau de risque

Le niveau du risque (ou le niveau de
criticité du risque) est la combinaison des
deux facteurs Probabilité et Gravité.

Certaines « écoles » préconisent d'y
ajouter le facteur d'indétectabilité.

13/31, H. Valeins CNRS | ANF PRO-QUAL ARCACHON – 28 au 30 novembre 2018


Exemple de matrice de calcul de la criticité

Criticité = Probabilité x Gravité x Indétectabilité


Poid
Poids Critère Poids Critère Critère
s

Mineure,
dégâts nombreux
1 Faible < 20 % 1 1
superficiels symptômes
Correspond
ance entre
le poids et
le critère Majeure,
quelques
2 Forte < 20 % -80 % 2 dégâts à 2
terme symptômes

5 Quasi-certaine ≥ 80 % 4 bloquante 5 aucun symptôme

14/31, H. Valeins CNRS | ANF PRO-QUAL ARCACHON – 28 au 30 novembre 2018


représentations
cube COSO :
Le référentiel COSO1, rédigé sur la
base de recommandations a pour but
de prévenir les risques de fraude dans
le reporting financier.

Le management des risques est un
processus qui se veut multidirectionnel
et itératif. En effet, une cause peut
avoir des conséquences sur n’importe
quel élément du système sans qu’ils
soient directement reliés.

Le cube se découpe donc en 3
catégories d’objectifs x 5 composants
x n processus.

15/31, H. Valeins CNRS | ANF PRO-QUAL ARCACHON – 28 au 30 novembre 2018


représentations
Tendance ISO 2700x
Empru
n te une
Menace

e
un
à

Vulnérabilité
po
ex

gr a de un

de
t
Es

au
ve
ni

a
el
le
ue

inu
in
m

Dim
Di
Actif /Bien
Protège un
Protection

16/31, H. Valeins CNRS | ANF PRO-QUAL ARCACHON – 28 au 30 novembre 2018


Cartographie
La cartographie des risques (ou « cartographie de l'aléa »)
permet d'analyser et interroger les risques dans leurs
caractéristiques spatiales. Elle intervient à plusieurs
échelles et peut représenter soit la répartition spatiale
des aléas, soit celle des enjeux (ce qui est susceptible
d'être endommagé), soit celle des vulnérabilités, soit
une combinaison des trois facteurs.

Contexte

Objectifs

Acteurs concernés

Démarche

Représentations
17/31, H. Valeins CNRS | ANF PRO-QUAL ARCACHON – 28 au 30 novembre 2018
Processus de gestion du risque
Établissement du contexte Implémenter les actions
• Appréciation du risque pour réduire les risques
• Élaboration du plan de • Sensibiliser la direction
traitement du risque et le personnel sur les
• Acceptation du risque risques et les actions
prises pour les atténuer

Rectifier le traitement du
risque à la lumière des Surveiller et réexaminer les
évènements et des résultats, l'efficacité, la
changements de conformité et l'efficience du
circonstances processus
• Améliorer le processus
de gestion du risque

18/31, H. Valeins CNRS | ANF PRO-QUAL ARCACHON – 28 au 30 novembre 2018


Difficultés

Difficulté de compréhension par les
métiers de certains critères de
l’information, notamment Efficacité et
Fiabilité

Pas d’évaluation scientifique

Subjectivité dans l’identification et
l’évaluation des risques

Hétérogénéité et granularité des risques

19/31, H. Valeins CNRS | ANF PRO-QUAL ARCACHON – 28 au 30 novembre 2018


Mise en œuvre

Identifier les risques

Détecter les risques

Partir de la typologie

Être le plus exhaustif (pessimiste)

20/31, H. Valeins CNRS | ANF PRO-QUAL ARCACHON – 28 au 30 novembre 2018


Analyse des risques

Déterminer la probabilité

Déterminer les impacts et leur gravité

En déduire le niveau de risque

Détermination des actions préventives
– Identifier les actions préventives
– Étudier leur coût et leur mise en œuvre

Décider

21/31, H. Valeins CNRS | ANF PRO-QUAL ARCACHON – 28 au 30 novembre 2018


Suivi des risques

Suivre la survenance

Mesurer les actions préventives

Étudier l'évolution dans le temps

22/31, H. Valeins CNRS | ANF PRO-QUAL ARCACHON – 28 au 30 novembre 2018


Étapes et Cycle
Définir de mise en œuvre du management
des risques
– Identifier et évaluer les risques
– Décider et Agir
– Surveiller communiquer et accepter les risques

23/31, H. Valeins CNRS | ANF PRO-QUAL ARCACHON – 28 au 30 novembre 2018


Risques et opportunités : comment bien les identifier ?

L’ISO 9001 version 2015 introduit une nouvelle notion aux paragraphes §4.4.1. et §6.1. Ils
induisent une obligation pour l’organisme de définir les risques et opportunités (ISO 9001:2015).

Il s’agit en effet de les prendre en compte pour :


S’assurer de l’atteinte des résultats attendus (objectifs fixés),

Accroître les effets souhaitables (effets positifs),

Prévenir ou réduire les effets indésirables,

S’améliorer.

Pour rappel, les opportunités peuvent être définies comme :

Toute occasion favorable qui peut aboutir à l’amélioration des résultats ou des performances
du système.

Par exemple, une opportunité peu naître dans une conjoncture défavorable ou un contexte
difficile (crise). Il peut s’agir d’un opportunité de changements importants (modèle économique,
organisation, …).

24/31, H. Valeins CNRS | ANF PRO-QUAL ARCACHON – 28 au 30 novembre 2018


Analyse des risques : SWOT / AFOM

Lorsque l’on décide de définir les risques et les opportunités, la méthode SWOT /
AFOM est un bon outil pour réaliser cette identification :

SWOT : Strengths Weakness Opportunities Threats

AFOM : Atouts (forces) Faiblesses Opportunités Menaces

25/31, H. Valeins CNRS | ANF PRO-QUAL ARCACHON – 28 au 30 novembre 2018


Analyse des risques : SWOT / AFOM

La double lecture de la grille : horizontale et verticale, permet d’identifier les atouts /


faiblesses / Opportunité / menaces en analysant le processus, le SMQ ou l’organisme via
deux angles :

Via les facteurs positifs et négatifs

Via les éléments externes et internes

Les schémas ci-dessous indiquent comment lire la grille pour les éléments positifs et
négatifs. Ensuite les deux aspects positifs et négatifs sont scindés en deux niveaux :
facteurs internes et externes à l’entreprise.

26/31, H. Valeins CNRS | ANF PRO-QUAL ARCACHON – 28 au 30 novembre 2018


Méthodes

AMDE
« Analyse des Modes de Défaillances »

AMDE (Analyse des modes de défaillance
et de leurs effets, traduction de l'anglais
FMEA ou Failure Modes and Effects
Analysis) par une quantification portée par
la notion de criticité C.

27/31, H. Valeins CNRS | ANF PRO-QUAL ARCACHON – 28 au 30 novembre 2018


Méthodes
AMDEC
« Analyse des modes de défaillances et de leur
criticité »


L'Analyse des modes de défaillance, de leurs effets
et de leur criticité (AMDEC) est un outil de sûreté
de fonctionnement (SdF) et de gestion de la qualité.
AMDEC est la traduction de l'anglais FMECA
(Failure Modes, Effects and Criticality Analysis, litt.
« analyse des modes, des effets et de la criticité des
défaillances »), désignation d'une méthode élaborée
par l'armée américaine dans les années 1940.

28/31, H. Valeins CNRS | ANF PRO-QUAL ARCACHON – 28 au 30 novembre 2018


Méthodes
EBIOS :
« Expression des Besoins et Identification
des Objectifs de Sécurité »

La méthode EBIOS (Expression des
Besoins et Identification des Objectifs de
Sécurité) est un outil complet de gestion
des risques SSI conforme au RGS et aux
dernières normes ISO 27001, 27005 et
31000.

29/31, H. Valeins CNRS | ANF PRO-QUAL ARCACHON – 28 au 30 novembre 2018


Références

Norme ISO 31010 CEI:2009 :
– Gestion des risques -- Techniques d'évaluation des risques

AFAI 20100408 :
– Cartographie des risques informatiques : exemples,
méthodes et outil

Norme ISO 31000 :
– Management du risque

Norme ISO 2700x :
– S.M.S.I. : Système de Management de la Sécurité de
l'Information (en anglais : Information security
management system, ou ISMS)

30/31, H. Valeins CNRS | ANF PRO-QUAL ARCACHON – 28 au 30 novembre 2018


Licence
Cette présentation est sous licence :

CC BY-NC-SA : Attribution - Pas


d’Utilisation Commerciale - Partage dans les
Mêmes Conditions

Voir : https://creativecommons.org/licenses/?lang=fr-FR

31/31, H. Valeins CNRS | ANF PRO-QUAL ARCACHON – 28 au 30 novembre 2018