A5 3.

Gérer les risques résiduels

Exemple : société de biotechnologie

Cartographie du risque initial (avant traitement) Cartographie du risque résiduel (après application du PACS)

GRAVITÉ GRAVITÉ

4 R5 R4 4
R4
R5

3 R2 R1 R3 3 R2 R1 R3

2 2

1 1

1 2 3 4 1 2 3 4 VRAISEMBLANCE
VRAISEMBLANCE

Au terme de l’analyse, les risques résiduels sont acceptés formellement par la direction

EBIOS Risk Manager – Formation – Jamal SAAD 1

 A5
Epilogue : société de biotechnologie

La direction a décidé de maintenir le risque R3 à un niveau résiduel élevé, malgré

l’application des mesures de remédiation prévues. Ce risque est en effet considéré comme
particulièrement problématique, le prestataire informatique étant relativement opposé à
la mise en place des mesures de sécurité. Celles-ci impliquent en effet un changement
assez profond dans ses méthodes de travail. La piste envisagée pour maîtriser ce risque
consisterait à entrer dans le capital de ce prestataire afin de modifier sa gouvernance en
matière de sécurité numérique ou de changer de prestataire.

D’autre part, la direction souhaite mettre sous surveillance la menace bioterroriste jugée
actuellement peu pertinente, mais qui représente pour elle une préoccupation forte.

R3 : Un concurrent vole des informations de R&D grâce à un canal d’exfiltration via le prestataire informatique

EBIOS Risk Manager – Formation – Jamal SAAD 2

 A5
4. Mettre en place le cadre de suivi des risques

Mettre en place un comité de pilotage pour assurer le suivi des risques

Suivi des mises à jour de l’étude

Suivi des indicateurs de maintien
Suivi de l’avancement du PACS des risques selon les cycles
en condition de sécurité
stratégique et opérationnel

EBIOS Risk Manager – Formation – Jamal SAAD 3