Analyse de risques et

opportunités

CNRS | ANF PRO-QUAL ARCACHON – 28 au 30 novembre 2018

 Historique (1/2)
●
L’analyse des risques est une démarche qui
a été créée dans les années cinquante par
la NASA.
●
L’outil est arrivé en France dans les années
quatre-vingt, recommandé par l’industrie
chimique, puis par le secteur
agroalimentaire.

2/31, H. Valeins CNRS | ANF PRO-QUAL ARCACHON – 28 au 30 novembre 2018

 Historique (2/2)
●
Cette démarche est utilisée dans des cas
très divers et des secteurs très différents :
– risque sur les processus,
– conception d’un projet,
– fabrication de produits,
– risques pour la sécurité du personnel,
– risque sanitaire, etc.

3/31, H. Valeins CNRS | ANF PRO-QUAL ARCACHON – 28 au 30 novembre 2018

 Approches (1/2)
●
Mathématiques :
– Blaise Pascal et Pierre de Fermat en 1654
– Loi des grands nombres
– Bernoulli en 1738
– Théorie des Jeux en 1944

4/31, H. Valeins CNRS | ANF PRO-QUAL ARCACHON – 28 au 30 novembre 2018

 Approche (2/2)

●
par le management des risques
– Apparue en fin des années 1950 aux États-Unis
– Gouvernement d’entreprise et obligation de contrôle
des risques

5/31, H. Valeins CNRS | ANF PRO-QUAL ARCACHON – 28 au 30 novembre 2018

 Définition Mathématique
●
Le risque est l'espérance mathématique d'une
fonction de probabilité d'événements

il s'agit de la valeur moyenne des conséquences

d'événements affectés de leur probabilité
d'occurrence. Ainsi, un événement e1 a une
probabilité d'occurrence p1 avec une conséquence
probable C1 ; de même un événement en aura une
probabilité pn et une conséquence Cn, alors le risque
vaudra
R = p1.C1 + p2.C2 + ... + pn.Cn.
●
Un produit pi.Ci est appelé valeur de l'aléa i.
6/31, H. Valeins CNRS | ANF PRO-QUAL ARCACHON – 28 au 30 novembre 2018
 Définitions : Risque
●
Un risque est un événement indésirable
potentiel pouvant, s'il n’est pas anticipé et
maîtrisé, empêcher ou entraver de manière
significative la marche d'un projet ou le
déroulement d'une activité vers ses objectifs.
●
risque : possibilité que se produise un
événement qui aura un impact sur la
réalisation des objectifs. Le risque se mesure
en termes de conséquences et de probabilité.
●
Un risque est une éventualité qu'un
événement provoque un sinistre sur un projet.
7/31, H. Valeins CNRS | ANF PRO-QUAL ARCACHON – 28 au 30 novembre 2018
 Risques et Difficultés

Il convient de ne pas confondre difficulté et

risque, la difficulté étant déjà présente,
contrairement au risque qui appartient
encore au domaine de la probabilité.
Risques et difficultés doivent être identifiés
et maîtrisés

8/31, H. Valeins CNRS | ANF PRO-QUAL ARCACHON – 28 au 30 novembre 2018

 Définition : Menace
●
Une Menace : est un danger qui existe
dans l’environnement d’un système
indépendamment de celui-ci : accident,
erreur, malveillance passive si elle porte
sur la confidentialité, malveillance active
si elle modifie le contenu de l’information
ou le comportement des systèmes de
traitement.

9/31, H. Valeins CNRS | ANF PRO-QUAL ARCACHON – 28 au 30 novembre 2018

 Vulnérabilité
●
La Vulnérabilité est une faiblesse du
système qui le rend sensible à une
menace :
– Bogues dans les logiciels
– Mauvaises configurations
– Erreurs humaines
– Services permis et non utilisés
– Virus et chevaux de Troie
– Saturation de la liaison d’accès à l’Internet
– Logiciels en mode debug

10/31, H. Valeins CNRS | ANF PRO-QUAL ARCACHON – 28 au 30 novembre 2018

 Impact et gravité
●
Un événement n'est perçu comme un risque
que dans la mesure où il peut avoir un
impact (en principe négatif) sur l'atteinte
d'un objectif que l'on cherche à réaliser
●
Impact : Effet produit par la menace
●
Le concept de gravité est à rapprocher de
celui de l'impact : à l'impact est associé une
quantification, le niveau de gravité, qui est
calculé en fonction de l'empêchement ou de
l'entrave à l'atteinte des objectifs.

11/31, H. Valeins CNRS | ANF PRO-QUAL ARCACHON – 28 au 30 novembre 2018

 Indétectabilité
●
L'indétectabilité est l'absence de signes
précurseurs de l'apparition du risque.

12/31, H. Valeins CNRS | ANF PRO-QUAL ARCACHON – 28 au 30 novembre 2018

 Niveau de risque
●
Le niveau du risque (ou le niveau de
criticité du risque) est la combinaison des
deux facteurs Probabilité et Gravité.
●
Certaines « écoles » préconisent d'y
ajouter le facteur d'indétectabilité.

13/31, H. Valeins CNRS | ANF PRO-QUAL ARCACHON – 28 au 30 novembre 2018

 Exemple de matrice de calcul de la criticité

Criticité = Probabilité x Gravité x Indétectabilité

Poid
Poids Critère Poids Critère Critère
s

Mineure,
dégâts nombreux
1 Faible < 20 % 1 1
superficiels symptômes
Correspond
ance entre
le poids et
le critère Majeure,
quelques
2 Forte < 20 % -80 % 2 dégâts à 2
terme symptômes

5 Quasi-certaine ≥ 80 % 4 bloquante 5 aucun symptôme

14/31, H. Valeins CNRS | ANF PRO-QUAL ARCACHON – 28 au 30 novembre 2018

 représentations
cube COSO :
Le référentiel COSO1, rédigé sur la
base de recommandations a pour but
de prévenir les risques de fraude dans
le reporting financier.
●
Le management des risques est un
processus qui se veut multidirectionnel
et itératif. En effet, une cause peut
avoir des conséquences sur n’importe
quel élément du système sans qu’ils
soient directement reliés.
●
Le cube se découpe donc en 3
catégories d’objectifs x 5 composants
x n processus.

15/31, H. Valeins CNRS | ANF PRO-QUAL ARCACHON – 28 au 30 novembre 2018

 représentations
Tendance ISO 2700x
Empru
n te une
Menace

e
un
à
sé
Vulnérabilité
po
ex

gr a de un
Dé

de
t
Es

au
ve
ni

a
el
le
ue

inu
in
m

Dim
Di
Actif /Bien
Protège un
Protection

16/31, H. Valeins CNRS | ANF PRO-QUAL ARCACHON – 28 au 30 novembre 2018

 Cartographie
La cartographie des risques (ou « cartographie de l'aléa »)
permet d'analyser et interroger les risques dans leurs
caractéristiques spatiales. Elle intervient à plusieurs
échelles et peut représenter soit la répartition spatiale
des aléas, soit celle des enjeux (ce qui est susceptible
d'être endommagé), soit celle des vulnérabilités, soit
une combinaison des trois facteurs.
●
Contexte
●
Objectifs
●
Acteurs concernés
●
Démarche
●
Représentations
17/31, H. Valeins CNRS | ANF PRO-QUAL ARCACHON – 28 au 30 novembre 2018
 Processus de gestion du risque
Établissement du contexte
• Appréciation du risque
• Élaboration du plan de
traitement du risque
• Acceptation du risque
Implémenter les actions
pour réduire les risques
• Sensibiliser la direction
et le personnel sur les
risques et les actions
prises pour les atténuer

Rectifier le traitement du
risque à la lumière des Surveiller et réexaminer les
évènements et des résultats, l'efficacité, la
changements de conformité et l'efficience du
circonstances processus
• Améliorer le processus
de gestion du risque

18/31, H. Valeins CNRS | ANF PRO-QUAL ARCACHON – 28 au 30 novembre 2018

 Difficultés
●
Difficulté de compréhension par les
métiers de certains critères de
l’information, notamment Efficacité et
Fiabilité
●
Pas d’évaluation scientifique
●
Subjectivité dans l’identification et
l’évaluation des risques
●
Hétérogénéité et granularité des risques

19/31, H. Valeins CNRS | ANF PRO-QUAL ARCACHON – 28 au 30 novembre 2018

 Mise en œuvre
●
Identifier les risques
●
Détecter les risques
●
Partir de la typologie
●
Être le plus exhaustif (pessimiste)

20/31, H. Valeins CNRS | ANF PRO-QUAL ARCACHON – 28 au 30 novembre 2018

 Analyse des risques
●
Déterminer la probabilité
●
Déterminer les impacts et leur gravité
●
En déduire le niveau de risque
●
Détermination des actions préventives
– Identifier les actions préventives
– Étudier leur coût et leur mise en œuvre
●
Décider

21/31, H. Valeins CNRS | ANF PRO-QUAL ARCACHON – 28 au 30 novembre 2018

 Suivi des risques
●
Suivre la survenance
●
Mesurer les actions préventives
●
Étudier l'évolution dans le temps

22/31, H. Valeins CNRS | ANF PRO-QUAL ARCACHON – 28 au 30 novembre 2018

 Étapes et Cycle
Définir de mise en œuvre du management
des risques
– Identifier et évaluer les risques
– Décider et Agir
– Surveiller communiquer et accepter les risques

23/31, H. Valeins CNRS | ANF PRO-QUAL ARCACHON – 28 au 30 novembre 2018

 Risques et opportunités : comment bien les identifier ?

L’ISO 9001 version 2015 introduit une nouvelle notion aux paragraphes §4.4.1. et §6.1. Ils
induisent une obligation pour l’organisme de définir les risques et opportunités (ISO 9001:2015).

Il s’agit en effet de les prendre en compte pour :

●
S’assurer de l’atteinte des résultats attendus (objectifs fixés),
●
Accroître les effets souhaitables (effets positifs),
●
Prévenir ou réduire les effets indésirables,
●
S’améliorer.

Pour rappel, les opportunités peuvent être définies comme :

Toute occasion favorable qui peut aboutir à l’amélioration des résultats ou des performances
du système.

Par exemple, une opportunité peu naître dans une conjoncture défavorable ou un contexte
difficile (crise). Il peut s’agir d’un opportunité de changements importants (modèle économique,
organisation, …).

24/31, H. Valeins CNRS | ANF PRO-QUAL ARCACHON – 28 au 30 novembre 2018

 Analyse des risques : SWOT / AFOM

Lorsque l’on décide de définir les risques et les opportunités, la méthode SWOT /
AFOM est un bon outil pour réaliser cette identification :
●
SWOT : Strengths Weakness Opportunities Threats
●
AFOM : Atouts (forces) Faiblesses Opportunités Menaces

25/31, H. Valeins CNRS | ANF PRO-QUAL ARCACHON – 28 au 30 novembre 2018

 Analyse des risques : SWOT / AFOM

La double lecture de la grille : horizontale et verticale, permet d’identifier les atouts /

faiblesses / Opportunité / menaces en analysant le processus, le SMQ ou l’organisme via
deux angles :
●
Via les facteurs positifs et négatifs
●
Via les éléments externes et internes

Les schémas ci-dessous indiquent comment lire la grille pour les éléments positifs et
négatifs. Ensuite les deux aspects positifs et négatifs sont scindés en deux niveaux :
facteurs internes et externes à l’entreprise.

26/31, H. Valeins CNRS | ANF PRO-QUAL ARCACHON – 28 au 30 novembre 2018

 Méthodes
●
AMDE
« Analyse des Modes de Défaillances »
●
AMDE (Analyse des modes de défaillance
et de leurs effets, traduction de l'anglais
FMEA ou Failure Modes and Effects
Analysis) par une quantification portée par
la notion de criticité C.

27/31, H. Valeins CNRS | ANF PRO-QUAL ARCACHON – 28 au 30 novembre 2018

 Méthodes
AMDEC
« Analyse des modes de défaillances et de leur
criticité »

●
L'Analyse des modes de défaillance, de leurs effets
et de leur criticité (AMDEC) est un outil de sûreté
de fonctionnement (SdF) et de gestion de la qualité.
AMDEC est la traduction de l'anglais FMECA
(Failure Modes, Effects and Criticality Analysis, litt.
« analyse des modes, des effets et de la criticité des
défaillances »), désignation d'une méthode élaborée
par l'armée américaine dans les années 1940.

28/31, H. Valeins CNRS | ANF PRO-QUAL ARCACHON – 28 au 30 novembre 2018

 Méthodes
EBIOS :
« Expression des Besoins et Identification
des Objectifs de Sécurité »
●
La méthode EBIOS (Expression des
Besoins et Identification des Objectifs de
Sécurité) est un outil complet de gestion
des risques SSI conforme au RGS et aux
dernières normes ISO 27001, 27005 et
31000.

29/31, H. Valeins CNRS | ANF PRO-QUAL ARCACHON – 28 au 30 novembre 2018

 Références
●
Norme ISO 31010 CEI:2009 :
– Gestion des risques -- Techniques d'évaluation des risques
●
AFAI 20100408 :
– Cartographie des risques informatiques : exemples,
méthodes et outil
●
Norme ISO 31000 :
– Management du risque
●
Norme ISO 2700x :
– S.M.S.I. : Système de Management de la Sécurité de
l'Information (en anglais : Information security
management system, ou ISMS)

30/31, H. Valeins CNRS | ANF PRO-QUAL ARCACHON – 28 au 30 novembre 2018

 Licence
Cette présentation est sous licence :

CC BY-NC-SA : Attribution - Pas

d’Utilisation Commerciale - Partage dans les
Mêmes Conditions

Voir : https://creativecommons.org/licenses/?lang=fr-FR

31/31, H. Valeins CNRS | ANF PRO-QUAL ARCACHON – 28 au 30 novembre 2018