1

METHODES ET OUTILS DE GESTION DES RISQUES

D’ENTREPRISE CONFORMES À L’ISO 31000

Sébastien Delmotte

MAD-Environnement delmotte@mad-environnement.com

Vincent Desroches,

Ingeliance Technologies vincent.desroches@ingeliance.com

2

Risques Entreprise Garantir l’atteinte des objectifs de résultats et la

pérennité de l’entreprise

Risques Projet Garantir l’atteinte des objectifs des

projets avant et pendant leur exécution

Risques Produits

Garantir la sécurité et performance des produits et des processus à tous niveaux

AIDE À LA DÉCISION

3

Typologie des risques

Fluides

Génie civil

Climatisation

Mécaniques

Energie

Contrôle commande

Courants faibles

Lanceur

Charge Utile

CDL3

Expression des besoins et

spécif ication

Stratégie de développement

Organisation de projet

Interfaces contractuelles

Conduite de projet

Gestion f inancière

Gestion calendaire

Performances techniques et

opérationnelles

Utilisateurs et sites d'exploitation

Produit

Stratégie et décision

OrganisationContrôle

Communication

Amélioration de la qualité

R & T

Veille technologique

Etudes

Projet

Production

Essais

InstallationExploitationMaintenance

Exportation

Achats

Marketing et ventes

Système d'information

Gestion des stocks

Ressources humaines

Finances

Service après vente

Communication

JuridiqueTransports

Cartographie des risques Entreprise Cartographie des risques Projet

Objectifs de performance et de sécurité du produit

en cours de développement, ainsi que les objectifs

de coûts et de délais de réalisation du projet

Objectifs de performance, de

disponibilité et de sécurité

Objectifs de résultats et de pérennité de l’entreprise

CU

La

CF

CC

NRJ

MECA

CLIM

GEN CIV

FLU

Cartographie des risques Produit

4

DÉMARCHE DU RISQUE

q Guide ISO/CEI 73

q Guide ISO/CEI 51

q Norme ISO 31000:2009

q Norme ISO 17666:2003

5

Rappel sur l'ISO 31000 : principes de management du risque

a) Crée de la valeur et la préserve

b) Fait partie intégrante des processus organisationnels

c) Élément de la prise de décision

d) Traite explicitement de l’incertitude

e) Systématique, structuré et en temps utile

f) S’appuie sur la meilleure information disponible

g) Adapté

h) Tient compte des facteurs humains et culturels

i) Transparent et participatif

j) Dynamique, itératif et réactif au changement

k) Facilite l’amélioration continue et le développement permanents de l’organisme

6

Etablissement du contexte

Identification du risque

Analyse du risque

Evaluation du risque

Traitement du risque

Com

munic

atio

n e

t co

nce

rtat

ion

Surv

eill

an

ce e

t re

vue

Rappel sur l'ISO 31000 : processus de management du risque

7

1

2

5

3

4

Définir les risques acceptables de l’activité

…en termes d’objectifs et

d’exigences…

Identifier les incertitudes et analyser les risques associés

…pour connaître les scénarios d’événements

redoutés et leurs conséquences…

Evaluer et hiérarchiser leurs impacts

…pour hiérarchiser les risques et en déduire les

priorités…

Définir et consolider les actions résultantes

…pour rendre les niveaux des risques

conformes aux objectifs spécifiés…

Suivre et contrôler leur application

…pour maintenir dans le temps un niveau de risque

conforme aux objectifs spécifiés…

Processus de management du risque

8

Scénario d’accident

Vraisemblance du risque

Gravité du risque

ou Evénement Indésiré

ou Evénement Redouté

9

Evénement dangereux: Evénement associé à l’occurrence d’un danger

Elément dangereux: Elément d’un système ou de son environnement présentant un danger

DANGER / MENACE: Potentiel de dommage ou de préjudice portant atteintes aux personnes, aux biens, ou à l’environnement

SITUATION DANGEREUSE: Etat d’un système en présence de danger ou de menace

DANGER

EVENEMENT CONTACT

Situation dangereuse

EVENEMENT REDOUTE (ou accident ou situation

accidentelle)

10

Risque associé à l’occurrence d’un événement indésiré ou redouté Mesure de la situation dangereuse ou accidentelle Grandeur à deux dimensions notée (p,g) associée à l’occurrence d’un événement indésiré ou redouté noté E où g est la valeur de la gravité G des conséquences de l’événement E

en terme de dommage ou de préjudice ou d’écart à un résultat attendu

p est la probabilité qui mesure l’incertitude (sur le dépassement) de g

tel que p= Pr(G≥g)

Selon la norme ISO31000, le risque est défini comme l’effet de l’incertitude sur l’atteinte

des objectifs

11

Typologie des dangers/menaces dans l’Entreprise

Externes Internes liés à la gouvernance

Internes liés aux moyens techniques

Internes liés à la production

Environnements Commercial Infrastructures et locaux Etudes et projets

Politique Communication et crises Matériels et équipement Opérationnel

Insécurité Economique Système d’information Fonctionnel

Image Entreprise Facteur humain

Client Ethique Professionnel

Financier Produit

Juridique Physico-chimique

Management

Programmatique

Social

Stratégique

Technologique

12

Eléments d’évaluation du risque

Classe de gravité

Intitulé de la classe

Intitulé des conséquencesDonnées

quantitatives

G1 MineureAucun impact sur les performances et la sécurité de l'activité

G2 SignificativeDégradation des performances du système sans impact sur la sécurité

g1

G3 GraveForte dégradation ou échec des performances du système sans impact sur la sécurité g2

G4 Critique Dégradation de la sécurité ou de l'intégrité du système g3

G5 CatastrophiqueForte dégradation ou échec de la sécurité ou perte du système

Echelle de gravité générique

13

Echelle de gravité générique Entreprise Classe de

GravitéIntitulé de la

classeIntitulés des conséquences

G1 MineureAucun impact significatif sur les performances et l’intégrité de

l'entreprise

G2 SignificativeDégradation des performances de l’entreprise sans impact sur

son bilan et son intégrité

G3 GraveForte dégradation des performances de l'entreprise avec impact sur son bilan mais sans impact sur son intégrité

G4 CritiqueDégradation de l'intégrité de l'entreprise sans impact sur sa pérennité

G5 Catastrophique Perte d'intégrité de l'entreprise avec impact sur sa pérennité

Echelle de gravité générique Projet

Classe de Gravité

Intitulé de la classe

Intitulés des conséquences

G1 Mineure Aucun impact sur le déroulement et les objectifs du projet

G2 Significative Impact sur le déroulement du projet sans impact sur les objectifs

G3 GraveFort impact sur le déroulement du projet sans impact sur les objectifs de performances et de sécurité

G4 Critique Très fort impact sur l’ensemble des objectifs du projet

G5 Catastrophique Arrêt du projet et avec impact possible sur l’entité qui l’héberge

Eléments d’évaluation du risque

14

Exemple d'échelle de gravité SSI

Eléments d’évaluation du risque

IndexClasses Sous index Intitulés

10 Aucun impact sur les performances et la sécurité de l'activité11 Système apte à poursuivre sa mission en mode nominal : non atteint ou reconfiguré dans des délais

compatibles avec la mission12 Aucun retard13 Aucune victime14 Pas de compromission de données20 Dégradation des performances du système sans impact sur la sécurité21 Système apte à poursuivre sa mission en mode faiblement dégradé (pas de fonctions primordiales

dégradées)22 Retard très faible n'empêchant pas le déroulement de la mission23 Pas de mort, blessés très légers24 Compromission de données sensibles non classifiées de défense30 Forte dégradation ou échec des performances du système sans impact sur la sécurité31 Système apte à poursuivre sa mission en mode dégradé (certaines fonctions primordiales dégradées)32 Retard assez important perturbant le déroulement de la mission33 Pas de mort, nombre assez élevé de blessés 34 Compromission de données classifiées RESTRICTED40 Dégradation de la sécurité ou de l'intégrité du système41 Système apte à poursuivre sa mission en mode fortement dégradé (certaines fonctions primordiales 42 Retard important remettant en cause le déroulement de la mission43 Blessés graves, invalidité 44 Compromission de données classifiées CONFIDENTIEL50 Forte dégradation ou échec de la sécurité ou perte du système51 Système inapte à poursuivre sa mission52 Retard très important entraînant un échec ou abandon de la mission53 Morts54 Compromission de données classifiées SECRET

G4 Critique

G5 Catastrophique

G1 Mineure

G2 Significative

G3 Grave

15

Classe de Vraisemblance

Intitulé de la classe

V1 Impossible à improbable

V2 Très peu probable

V3 Peu probable

V4 probable

V5 Très probable à certain

Probabilité Valeur Fréquence Intitulé

<p1 10-6/unité <t1 < 1 fois par 10 ans

<p2 10-4/unité <t2 <1 fois par an

<p3 10-3/unité <t3 <1 fois par mois

<p4 10-1/unité <t4 <1 fois par semaine

Objectifs système (bornes des

classes)

Evaluation des scénarios

Unité= de temps, nombre d’opération, durée de la

mission….

Echelle de vraisemblance

Eléments d’évaluation du risque

16

Classe de criticité

Intitulé de la classe

Intitulés des décisions et des actions

C1 Acceptable Aucune action n’est à entreprendre

C2Tolérable sous

contrôleOn doit organiser un suivi en termes de gestion du risque

C3 InacceptableOn doit refuser la situation et prendre des mesures en réduction des risquessinon … on doit refuser toute ou partie de l’activité

Gravité

1 2 3 4 5

Vra

isem

bla

nce

5

4

3 C2

2

1

G2 C(G5,V2)<C3

Echelle de criticité

Référentiel d’acceptabilité

Prise de décision

Eléments de décision

17

Financement du risque

Rapport coût / risque K

18

Diagramme des risques / criticités (KIVIAT)

Diagramme des risques / gravités-vraisemblances

(FARMER)

Exemple de cartographie des risques

19

MÉTHODES

q A, Desroches, Marle F., Raimondo E. et Vallée F., 2010. Le management des risques des entreprises et de gestion de projet, Ed Hermès Science – Lavoisier, 392 p.

q A, Desroches, Baudrin D. et Dadoun M, 2009. L’Analyse Préliminaire des Risques – Principes et

Pratiques, Ed Hermès Science – Lavoisier, 311 p.

20

Identification des activités et

fonctions sensibles

Macro-cartographie des risques par audits internes

Evaluer les risques globaux perçus par

les différentes entités de l’entreprise sur

la base d’audits internes afin d’en

dégager des orientations stratégiques

Analyse Globale des Risques (AGR) En présence de dangers ou de menaces, identifier

les scénarios conduisant à un événement redouté

impactant les objectifs et la pérennité de l’entreprise,

ou les performances et la sécurité des produits, pour

élaborer le plan d’action de maîtrise des risques

Méthode d’application rapide pour obtenir

un instantané des risques perçus à tous les niveaux de l’entreprise

Méthode analytique d’application simple pour

évaluer de manière fine les risques majeurs (processus, fonctions, à tous les niveaux)

Références: CNES, EFS, SHAM

Références : Spatial, Défense, Sanitaire, Environnement

21

RISQUES D’ENTREPRISE : MACRO-CARTOGRAPHIE PAR AUDITS

INTERNES

22

Processus d’évaluation des risques

23 23

Cartographie des processus d’Entreprise

24

Arborescence des processus et logique d’évaluation

Avant audits: Pondération de l’importance

de chaque niveau pour le niveau supérieur (gouvernance, vision top-down )

Audits: Recueil de la perception de la gravité et de la vraisemblance du

risque au niveau des activités

Audits: Perception de l’importance des

risques de l’activité sur le processus ou

le système (base, vision bottom-up)

de chaque niveau p(((gggooouuuvvveeerrrnnnaaaance,

AAAudits: Reeeeeeeeeeeeeeeeeeeeeeeeeeeeeccccccccccccccccccccccccccccccccccccccccccccccccccccccccuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuueeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiillllllllllllllllllllllllll dddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddde la percccgravité et de la vraisemmm

25

Echelles d’évaluation

Acceptabilité du risque au niveau de la gouvernance de l’entreprise

Echelle de vraisemblance

Echelle de gravité

Echelle d’importance

perçue des dangers de l’activité sur le

processus

Matrice de passage du

risque activité au

risque système

1 2 3 4 55 1 2 3 3 34 1 2 2 3 3

3 1 1 2 2 32 1 1 1 2 2

1 1 1 1 1 1

Gravité

Vra

isem

blan

ce

1 2 3 4 55 2 2 3 3 34 1 2 2 3 33 1 1 2 2 32 1 1 1 2 2

1 1 1 1 1 2

Gravité

Vra

isem

blan

ce

Acceptabilité du risque au niveau de l’activité ou du processus

Evaluation au niveau de l’activité de base

Evaluation au niveau de la gouvernance

26

Construction des audits

Poids des processus sur

le système

Poids des sous-processus sur les processus

Poids des activités sur les sous-processus

+ définition des échelles d’évaluation et de décision

27

Supports des audits

Ø Questionnaire ouvert Ø Grille d’évaluation des risques perçus

28

Exemple de résultats: cartographie des risques de l’activité A1

0

1

2

3

4

5Politique

EnvironnementsInsécurité

Image

Management

Stratégique

Programmatiq…

Technologique

Communicati…

SocialJuridique

FinancierCommercial

Infrastuctures

Système…

Etudes et…

Opérationnel

Facteur humain

ProfessionnelProduits

POLENVINS

IMA

MAN

STR

PROGTECH

COM

SOC

JUR

FIN

COMR

INFRASIPROJ PROD

0 1 2 3 4 50

1

2

3

4

5

Inde

x de

vrais

em

bla

nce

Index de gravité

POLENVINS

IMA

MAN

STR

PROGTECH COM

SOC

JUR

FIN COMR

INFRASIPROJ

0 1 2 3 4 50

1

2

3

4

5

Index

de v

rais

em

bla

nce

Index de gravité

Importance perçue des risques de l’activité A1 sur

le sous-processus

Cartographie des risques initiaux de A1

Cartographie des risques résiduels de A1

29

Exemple de résultats: cartographie des risques au niveau du système

0

1

2

3

4

5Politique

Environnements

Insécurité

Image

Management

Stratégique

Programmatique

Technologique

Communication etcrises

SocialJuridique

Financier

Commercial

Infrastuctures

Systèmed'information

Etudes et projets

Opérationnel

Facteur humain

Professionnel

Produits

CARTOGRAPHIE DES FACTEURS D'IMPORTANCE DES RISQUES GENERIQUES PERCUS PAR DANGER GENERIQUE

Max

Moy

Min

PolitiqueEnvironnements

Insécurité

Image

Management

Stratégique

Programmatique

Technologique

Communication et…

SocialJuridique

Financier

Commercial

Infrastuctures

Système…

Etudes et projets

Opérationnel

Facteur humain

Professionnel

Produits

CARTOGRAPHIE DES RISQUES INITIAUX GLOBAUX PAR DANGER GENERIQUE D'ENTREPRISE

MaxMoyMin

30

Exemple de résultats: cartographie des risques du système par sous-processus

Stratégie et…Organisation et…

Contrôle M3

Communication…

Amélioration de…

R & T R1

Veille…

Etudes R3

Projet R4

Production R5

Essais R6

Installation R7Exploitation R8Maintenance R9

Exportation R10

Achats S1

Marketing et…

Système…

Gestion des…

Ressources…

Finances S6

Service après…

Communication…

Juridique S9Transports S10

CARTOGRAPHIE DES RISQUES INITIAUX DES PROCESSUS D'ENTREPRISE

MaxMoyMin

Management

RéalisationSoutien

CARTOGRAPHIE SYNTHESE DES RISQUES INITIAUX GLOBAUXPAR PROCESSUS D'ENTREPRISE

Max

Moy

Min

31

Exemple de résultats: cartographie des efforts de réduction des risques

0

1

2

3M1

M2

M3

M4

M5

R1

R2

R3

R4

R5

R6

R7R8R9

R10

S1

S2

S3

S4

S5

S6

S7

S8

S9

S10

CARTOGRAPHIE DES EFFORTS DE REDUCTION DES RISQUES PERCUS PAR SOUS-PROCESSUS

Max

Moy

Min

0

1

2

3Politique

Environnements

Insécurité

Image

Management

Stratégique

Programmatique

Technologique

Communication etcrises

SocialJuridique

Financier

Commercial

Infrastuctures

Systèmed'information

Etudes et projets

Opérationnel

Facteur humain

Professionnel

Produits

CARTOGRAPHIE DES EFFORTS DE REDUCTION DES RISQUES PERCUS PAR DANGER GENERIQUE

Max

Moy

Min

32

Etablissement du contexte • Cartographie des processus d’entreprise et de leurs environnements

• Définition de l’importance des processus par la gouvernance

• Explicitation de la gouvernance des risques de l’entreprise

• Identification des responsables clés des activités et des sous-processus

Identification du risque • Etablissement de la liste des dangers (internes et externes à l’activité)

• Audit des responsables clés des activités sur la base d’un questionnaire ouvert

Analyse du risque • Recueil des données brutes sur la perception de la gravité, de la vraisemblance du risque liés

aux dangers identifiés

• Recueil de l’effort perçu comme nécessaire pour réduire ces risques et des actions nécessaires

• Recueil de la perception de l’importance des dangers des activités de base pour les processus

de l’entreprise

Evaluation du risque • Construction des cartographie des risques initiaux et résiduels par dangers, par activités et par

processus, vues aux différents niveaux de l’entreprise

• Construction des cartographies des efforts de réduction des risques

• Identification des activités, sous-processus, processus, et établissements présentant les risques

les plus critiques

• Evaluation de la cohérence des risques perçus par domaines d’activités

Traitement du risque • Mise en œuvre des actions prioritaires de réduction des risques

• Mise en œuvre d’analyse de risques plus fines (type APR/AGR) au niveau des secteurs critiques

Com

munic

atio

n e

t co

nce

rtatio

n

Surv

eill

ance

et

revu

e

33

RISQUES SSI ET RISQUE D’ENTREPRISE: ANALYSE GLOBALE DES RISQUES

34

Processus de l’AGR

Processus

AGR

Vulnérabilités

AGR

Scénarios

Résultats

Cartographie des

situations

dangereuses

Cartographie des

risques (initiaux et

résiduels)

Valorisation

Hiérarchisation des risques et identifications des risques

majeurs

Identification et programmation des actions

de maîtrise des risques initiaux

Etablissement des bases pour les activités de

sécurisation ultérieures

Allocations préliminaires des objectifs de sécurité

Pertes et Coûts/Risques

35

• Environnement naturel…

• Environnement technologique…

• Environnement organisationnel…

• Environnement commercial…

• Environnement financier…

• Environnement social…

• Environnement sanitaire…

• Modes de défaillance et d'erreur…

• Environnements AMI / ENI…

AGR Vulnérabilités : cartographie des dangers et menaces

36

AGR Vulnérabilités : cartographie des situations dangereuses

Cartographie

des dangers et

menaces auxquels le

système est exposé

Définition du système (fonctions,

phases, sous-systèmes, structures

organisationnelles)

Evaluation des interactions dangers

/ système

è Vulnérabilités des éléments du

système aux menaces et dangers

Intégration REX

Vulnérabilités jugées faibles Vulnérabilités

jugées fortes et à traiter en priorité

Vulnérabilités jugées fortes mais hors

périmètre du projet ou relevant d'une autre

autorité

37

AGR Vulnérabilités : cartographie des situations dangereuses

Vulnérabilités jugées faibles

p1=71

Vulnérabilités jugées fortes et à traiter en priorité

p2=74 p10=13

Vulnérabilités jugées fortes mais hors

périmètre du projet ou relevant d'une autre

autorité

38

AGR Scénarios : métrique de cotation de la gravité

39

AGR Scénarios : métrique de décision

Acceptation du risque

Matrice de criticité

Echelle d'effort

40

AGR Scénarios : description des scénarios de risques

Administration

Non unification des données

Absence de localisation d’un dossier

existant

Données manquantes lors de l’admission d’un

patient déjà hospitalisé précédemment au CH

!

Recherche des antécédents impossible ou difficile Modification de la PEC du

patient avec augmentation

de la DMS sans séquelle

Activation !

DISPENSATION D’UN

TRAITEMENT INADÉQUAT AU VU DES ANTÉCÉDENTS

DU PATIENT

Chaîne de causalité : cinétique, portée

41

AGR Scénarios : traitement d'un risque (défense en profondeur)

Niveaux de défense

à Quelle stratégie face à

un risque ?

o défensif / offensif

o prévention / protection

o court / long terme

o communication de crise

Prévention Détection Confinement Recouvrement

Apprentissage

Risque

42

AGR Scénarios : support d'analyse

APR Scénarios

• Globale

• Par dangers génériques

• Par éléments du système

Cotation du coût/effort

des actions préconisées Risque initial Risque résiduel

Identification et analyse Evaluation et décision

Evaluation et décision

Traitement Gestion

43

Synthèse : cartographie des risques

Répartition des criticités

INITIALES

RÉSIDUELLES

43

44

MED

CS

IDE

AS0

10

20

30

40

50

0 10 20 30 40 50

Coû

t du

ris

qu

e s

an

s tr

aite

men

tM

illie

rs

Coût du traitement du risqueMilliers

SYSTEME - Diagramme Coûts (E) / risques (P)

15.5 15.5

4.0

0.4

0.0

2.0

4.0

6.0

8.0

10.0

12.0

14.0

16.0

18.0

Ra

pp

ort

Co

ûts

tra

ite

me

nt

/ R

isq

ue

s

Dangers génériques

DANGERS - Bilan des coûts (E) / RISQUES (P)

Financement du risque

45

Fiches d’actions de réduction des risques

PROGRAMME

XX

PLAN D’ACTIONS DE

REDUCTION DES RISQUES

DATE :

FICHE N°

REF ETUDE :

RESPONSABLE :

AUTORITE : SOUS-SYSTEME : ELEMENT :

DESCRIPTION DES ACTIONS DE REDUCTION DES RISQUES

Si actions de prévention à mettre 1

Si actions de protection à mettre 2

Si actions mixtes à mettre 3

Taux de couverture estimé des actions décrites par rapport aux actions nécessaires pour réduire le risque initial

0% 25% 50% 75% 100% Autres

EFFETS SECONDAIRES (immédiat, futurs, potenitels) DES ACTIONS

Description des effets secondaires identifiés

Actions de maîtrise des effets secondaires

Taux de maîtrise des risques des effets secondaires

0% 25% 50% 75% 100% Autres

DISPOSITIONS DE REALISATION, DE VALIDATION ET DE CONTRÔLE DES ACTIONS DE REDUCTION DES RISQUES

Taux estimé des actions consolidées déjà réalisées par rapport aux actions décrites

0% 25% 50% 75% 100% Autres

OBSERVATIONS

Causes de non application des actions de réduction des risques :

dont identification des causes d’échec partiel ou total des actions

Décisions prises et actions proposées :

46

Tableau de gestion des fiches d’actions

de réduction des risques

47

Vraisemblance du risque

Gravité du risque

ou Evénement Indésiré

ou Evénement Redouté

éne

nem

Cartographie des dangers/menaces

DANGERSGENERIQUES

Dangers spécifiques

Eléments ou événements dangereux

Cartographie des situations dangereuses

Cartographie des risques

GGGGGGG

ou ment Indésiré

ou ment Redouté

Conclusion

48

Etablissement du contexte• Définition du système et de son environnement par groupes de travail

• Définition des objectifs de performance et de sécurité du système avec la gouvernance

• Définition des objectifs d’acceptabilité du risque

Identification du risque • Etablissement de la liste des dangers (internes et externes à l’activité)

• Cartographie des situations dangereuses comme interactions dangers/système

Analyse du risque • Analyse de chaque situation dangereuse (un ou plusieurs scénarios)

• Analyse des causes contact, causes amorce et événements redoutés

•Evaluation de la vraisemblance et de la gravité initiales de chaque scénario

• Evaluation de la vraisemblance et de la gravité résiduelles de chaque scénario

Evaluation du risque • Cartographie des situations dangereuses et des risques (Kiviat, Farmer, statistiques)

• Hiérarchisation des risques et identification des risques majeurs

Traitement du risque • Plan d’action de réduction des risques initiaux

• Catalogue des paramètres de sécurité (gestion des risques résiduels)

Com

munic

atio

n e

t co

nce

rtatio

n

Surv

eill

anc

e e

t re

vue

49

EXEMPLES

50

CONCLUSION

51

Conclusion

- Approches globales complémentaires permettant d’évaluer et de hiérarchiser des

risques de nature différente dans une même analyse

- Processus invariant et sans discontinuité, de l’établissement du contexte jusqu’à

la gestion des risques résiduels

- Représentation explicite des composantes du risque et de son acceptabilité (gouvernance du risque)

- Pas d’interférence entre la caractérisation du risque moyen et la prise de décision

- Méthodes n’introduisant pas de complexité supplémentaire par rapport au

système analysé

- Facilité de lecture des cartographies des risques favorisant la diffusion de l’information et son appropriation par tous les acteurs du système

52

Conclusion

- Outillage léger permettant de travailler rapidement, itérativement et en groupe de travail

- Supports logiciels :

q StatCart APR V1.06 pour l’Analyse Globale des Risques, édition

commerciale ( www.statcart.com )

q StatCart CRAI pour la macro-cartographie des risques par audits internes (logiciel interne, développement d’une version commerciale en cours)

- Bases de données métiers (base de dangers standard Entreprise, base de dangers Sanitaire, base de dangers/menaces EBIOS)

53

Evolutions en cours

Cartographie des risques par situations dangereuses Possibilité d’une approche probabilisée

pour l'AGRp

Performances(P)

Coûts (C)

Délais (D)

Sécurité (S)

CARTOGRAPHIE DES RISQUES MOYENS RESIDUELS

Cartographie des risques par cibles d’impact dans l’Entreprise

21 37 23

Dangers génériques

Dangers spécifiques Evènements dangereux Id

entif

ier

les

prof

essi

onne

ls à

form

er

Sél

ectio

nner

les

prof

essi

onne

ls à

con

tact

er

Con

tact

er le

s pr

ofes

sion

nels

For

mer

à la

pha

rmac

odép

enda

nce

For

mer

à la

not

ifica

tion

Val

ider

la fo

rmat

ion

Con

serv

er le

con

tact

ave

c le

s pr

ofes

sion

nels

Dét

erm

iner

les

nouv

elle

s co

nnai

ssan

ces

à ap

port

er

Diff

user

les

conn

aiss

ance

s

Rec

ueilli

r le

s si

gnal

emen

ts

Com

mun

ique

r au

per

sonn

el c

ompé

tent

Acc

user

réc

eptio

n

Cap

ter

les

donn

ées

com

plém

enta

ires

Inté

grer

les

donn

ées

com

plém

enta

ires

Valid

er

le n

iveau d

’info

rmatio

n d

u s

ignale

ment

Rép

erto

rier

les

élém

ents

dis

poni

bles

du

doss

ier

Typ

er le

sig

nale

men

t ; N

OT

S o

u O

UT

NO

TS

Enr

egis

trer

le s

igna

lem

ent s

ur le

reg

istr

e de

no

tific

atio

n

Ana

lyse

r le

s do

nnée

s de

la n

otifi

catio

n

Ret

rans

cire

les

iinfo

rmat

ions

Val

ider

le d

ossi

er d

e no

tific

atio

n (q

ualit

é et

pe

rtin

ence

)

Ren

seig

ner

les

item

s du

sco

rer

Sco

rer

Val

ider

le s

core

Sai

sir

la N

OT

S v

alid

ée d

ans

une

base

de

donn

ées

Ver

roui

ller

la s

aisi

e

Arc

hive

r le

dos

sier

de

notif

icat

ion

Iden

tifie

r le

s si

gnal

emen

ts n

éces

sita

nt u

ne

info

rmat

ion

Com

plét

er le

s do

nnée

s (r

equê

te, b

iblio

, etc

)

Valid

er

la d

écis

ion d

’info

rmer

Syn

thét

iser

l'in

form

atio

n

Réd

iger

et m

ettr

e en

form

e l'in

form

atio

n

Valid

er

l’info

rmatio

n à

tra

nsm

ettre

Cib

ler

le(s

) ré

cept

eur(

s)

Sél

ectio

nner

les

mod

alité

s de

diff

usio

n (s

uppo

rt/c

anal

)

Effe

ctue

r la

tran

smis

sion

Non clarif ication des missions 12 20 6 2Absence ou défaut d'attribution de 4Non participation à la Commission

Insécurité Système Intrusion malveillante dans le Absence ou défaut de visibilité / 8Préjugé vis-à-vis de la 6 6Mauvaise image des missions 4

Organisation Défaut de continuité de service 10Turn-over des étudiantsDéfaut de compétences des Défaut de compétences de 6 6 10 4Absence ou défaut de partenariat 8 6 12 8Absence ou défaut de partenariat 10Absence ou défaut de partenariat 9 12Décision inadaptée de l'Afssaps 20 16Décision inadaptée de l'Afssaps Décision inadaptée de l'Afssaps 6 8

Communication Défaut de communication externe 4 8 4Défaut de communication au sein 8 20Défaut de communication au sein 4 10

Ethique Confidentialité Défaut de confidentialité 8Juridique Réglementation Non respect de la réglementation 8 20

Budget prévisionel Mauvaise estimation du budget Subvention Retard de versement de la Ressources Ressources documentaires 6 12Ressources Matériel de communication Logiciel Système d'information du CEIP non 8Réseau Absence de réseau entre le CEIP, 20Données Défaut d'anonymisation des 8Matériel informatique Matériel informatique insuff isant 4 8 8

Absence ou défaut de support de 4Absence ou défaut de traçabilité 3 3 3Absence ou défaut de méthode 4Absence ou défaut de méthode de 4 8 10Absence ou défaut de procédure 15 15 10 12Absence ou défaut d'audit 6 4 6 4 6Comportement inadapté 15Défaillance humaine 3 6

Facteur humain Individu

Système d'Information

88

Opérationnel Qualité 4

6

CommunicationCommunication interne

Financier

Matériels et équipements

Stratégie Partenariat/coopération 8

Conseil d'administration de l'Afssaps

166

8

6 4 6 6 3

4

ManagementRessources humaines

6 6

Diff

user

l’info

rmatio

n

Politique Agence Régionale de Santé (ARS) 4

Image Professionnels4

Cat

égor

iser

le

sign

alem

ent

Pré

pare

r le

dos

sier

de

not

ifica

tion

Eva

luer

le s

core

de

grav

ité

Enr

egis

trer

la N

OT

S

Tra

iter

les

sign

alem

ents

Pré

pare

r l’info

rmatio

n

CARTOGRAPHIE DES RISQUES DE LA GESTION DES SIGNALEMENTS PAR LE CEIP DE NANTES

Former Collecter Evaluer Informer

Pré

pare

r la

form

atio

n

Ass

urer

la fo

rmat

ion

initi

ale

Ass

urer

la fo

rmat

ion

cont

inue

Réc

eptio

nner

Com

plét

er le

s do

nnée

s

…

…

…