Professional Documents
Culture Documents
18 novembre 2008
Statut
Approuv
Nombre de pages
37
Nicolas MAYER
Validation
Approbation
Cercle stratgique
Club EBIOS
18 novembre 2008
Les commentaires et suggestions sont encourags et peuvent tre adresss l'adresse suivante
(voir formulaire de recueil de commentaires en fin de document) :
Club EBIOS
72 avenue Gaston Boissier
78220 VIROFLAY
contact[at]club-ebios.org
contact[at]club-ebios.org
Approuv
Page 2 sur 37
Club EBIOS
18 novembre 2008
1.2
1.3
LENVIRONNEMENT ................................................................................................................. 13
1.4
1.5
1.6
1.7
2.2
CONCLUSION ......................................................................................................... 30
ANNEXES ................................................................................................................ 31
ACRONYMES ....................................................................................................................................... 31
BIBLIOGRAPHIE .................................................................................................................................... 32
contact[at]club-ebios.org
Approuv
Page 3 sur 37
Club EBIOS
18 novembre 2008
Introduction
La notion de gestion des risques
Le concept de gestion des risques (ou risk management) a fait son apparition la fin des annes 50
aux tats-Unis dans le secteur financier, en relation avec des questions d'assurance [Dubois 1996].
La gestion des risques a donc longtemps t considre comme la dimension probabiliste dune perte
financire au regard de la question dassurance. Par la suite, la notion de gestion des risques a t
tendue d'autres secteurs, citons notamment l'environnement, la gestion de projet, le marketing,
ainsi que la scurit informatique (ou plus gnralement des systmes d'information) dans lequel se
cadre [EBIOS]. L'objectif de ce document est de prsenter des secteurs autres que celui de la scurit
des systmes d'information dans lesquels on pratique la gestion des risques, afin d'en obtenir une
vision plus gnrale.
L'organisation internationale de normalisation (ISO) s'est attache dfinir la gestion des risques de
manire gnrale et applicable tous les secteurs, en particulier au sein de l'[ISO Guide 73]. Le
risque y est dfini comme la "combinaison de la probabilit d'un vnement et de ses consquences".
La gestion du risque est quant elle identifie comme l'ensemble des "activits coordonnes visant
diriger et piloter un organisme vis--vis du risque".
Dans la suite de ce document nous allons nous attacher dpasser ces dfinitions trs gnrales et
investiguer dans plusieurs secteurs pratiquant la gestion des risques, afin de rechercher les points de
convergence et de divergence entre les diffrentes pratiques et plus particulirement les
caractristiques propres de la gestion des risques de scurit des systmes d'information (SSI) vis-vis des autres secteurs.
contact[at]club-ebios.org
Approuv
Page 4 sur 37
Club EBIOS
18 novembre 2008
On identifie un secteur cohrent comme un champ dactivits remplissant une ou plusieurs des
caractristiques suivantes :
Certains secteurs, tels que celui des risques oprationnels (notamment dans le cadre de Ble II),
constituent une agrgation dautres secteurs.
Ce document retient donc une approche dissociative entre les secteurs cohrents et les cas
dagrgations de secteurs.
Prenons lexemple des accords rglementaires Ble II. Ce rglement vise la gestion des risques
oprationnels. Or la gestion des risques oprationnels ne se cantonne pas un secteur particulier mais
regroupe un ensemble de secteurs : informatique, finance, gestion de projet qui sont regroups au
sein dun mme concept. Ble 2 hrite donc dune part des concepts lis chacun de ces secteurs,
ainsi quun certain nombre, plus limit, qui lui sont spcifiques.
En agissant ainsi, il est inutile de rinventer des outils dj prsents dans dautres sphres. Il faut
cependant bien comprendre que la frontire entre plusieurs secteurs de risques peut tre tenue et ne
constitue quune vue de lesprit. Finalement les risques des uns ne sarrtent pas prcisment l o
commencent ceux des autres !
contact[at]club-ebios.org
Approuv
Page 5 sur 37
Club EBIOS
18 novembre 2008
la dlimitation du secteur ;
la description du concept de risque dans le secteur, avec une dcomposition base sur
l'[ISO Guide 73] en vnement, incertitude et consquences ;
la manire dont est mis en uvre le processus de gestion des risques dans le secteur, avec
une dcomposition base sur l'[ISO Guide 73] :
o l'tablissement du contexte : les lments recueillis pour dcrire le sujet d'tude ;
o l'apprciation des risques : la mise en vidence des risques et l'estimation de leur
importance ;
o le traitement des risques : la slection et la mise en uvre de mesures visant un refus
(vitement de la situation risque), une optimisation (rduction ou augmentation), un
transfert (vers des tiers) ou une prise de risque ;
o l'acceptation des risques : la dcision d'accepter formellement les choix effectus lors
du traitement des risques ;
o la communication relative aux risques : l'change ou le partage d'informations
concernant les risques ;
o le contrle et le suivi : la vrification de la mise en uvre des mesures et la collecte
des lments utiles l'amlioration ;
o l'amlioration : la prise en compte des lments collects pour tenir jour et amliorer
le processus.
contact[at]club-ebios.org
Approuv
Page 6 sur 37
Club EBIOS
18 novembre 2008
La scurit des systmes d'information (SSI) vise protger les lments essentiels (biens du
patrimoine informationnel : les informations et les processus les utilisant) contre toute atteinte de leurs
besoins de scurit (disponibilit, intgrit, confidentialit), qu'elle soit accidentelle ou dlibre. De
ce fait, la SSI est bien distincte voire assujettie aux autres risques relatifs aux SI, que lon pourrait
qualifier de stratgiques, tels que la politique de maintenance, linstallation dun nouveau logiciel,
lorganisation du workflow
Ces lments essentiels reposent sur des systmes d'information (SI), organiss pour accomplir des
fonctions de traitement d'information (processus mtiers), et composs d'entits techniques (logiciels,
matriels, supports, rseaux, tlphonie) et d'entits non techniques (organisations, lieux,
personnes).
1.1.2
La terminologie et le niveau de dtail des descriptions de risques SSI varient selon la mthode
employe. Mais les concepts restent globalement les mmes.
1.1.2.1
L'vnement
L'vnement considr en SSI est un scnario (souvent appel menace) dcrivant si possible :
l'lment menaant, l'origine de la menace, gnralement humain ou naturel, agissant de
manire fortuite ou dlibre, comme un pirate informatique, un employ, un concurrent, une
fort inflammable, une rivire proximit ; son potentiel peut tre estim (selon par
exemple sa motivation, ses comptences et ses ressources) ;
l'incident ou le sinistre (souvent appel mthode d'attaque) comme un incendie, une crue, un
vol de matriel, une divulgation, un pigeage de logiciels ; sa plausibilit ou sa frquence
est parfois estime ;
les vulnrabilits des entits, exploitables par l'lment menaant pour raliser l'incident ou le
sinistre ; leur importance peut tre estime.
1.1.2.2
L'incertitude
Les consquences
Les consquences dans le secteur de la SSI n'voquent que les aspects ngatifs.
Ces pertes (ou impacts) dcrivent gnralement :
l'atteinte des besoins de scurit (disponibilit, intgrit, confidentialit) des lments
essentiels ; ils sont exprims selon des chelles de besoins ;
les impacts sur l'organisme (interruptions de service, pertes d'image de marque, infractions
aux lois, pertes financires ) ; ils peuvent tre quantifis ou valus selon une chelle.
1.1.3
La gestion des risques SSI peut tre considre comme un support la gestion globale de la SSI. Elle
est employe pour des SI en conception et pour des SI existants, ponctuellement, rgulirement ou
systmatiquement selon le niveau de maturit des organismes.
De plus en plus d'organismes du secteur public et du secteur priv imposent la ralisation d'tudes de
risques SSI la cration de nouveaux SI.
En France, la rglementation ([IGI 1300]) oblige tudier les risques de tout systme traitant des
informations classifies de dfense.
Par ailleurs, quatre des neuf principes des lignes directrices de l'OCDE relatives la SSI ([OCDE])
concernent la gestion des risques SSI.
contact[at]club-ebios.org
Approuv
Page 7 sur 37
Club EBIOS
1.1.4
1.1.4.1
18 novembre 2008
Dans le secteur de la SSI, L'tablissement du contexte a pour but de dlimiter et dcrire le primtre
sur lequel la gestion des risques va porter, de garantir une approche systmique (mtier - SSI) et de
recueillir les lments qui permettront d'adapter le traitement des risques au contexte particulier.
Le primtre peut tre physique (locaux, btiments) ou fonctionnel (applications particulires,
domaines de responsabilits) du fait de la nature impalpable de linformation.
Elle consiste, quand elle est ralise, dcrire au minimum l'organisme, les enjeux lis au SI tudi,
les informations ou processus protger, les entits sur lesquelles elles reposent et les contraintes
prendre en compte (notamment les rfrences lgales et rglementaires applicables).
Cette phase est principalement ralise avec des dcideurs et des acteurs mtiers (matrises
d'ouvrage quand le SI est concevoir ou responsables mtiers quand le SI existe dj).
1.1.4.2
L'analyse des risques SSI consiste mettre en vidence les risques SSI. Gnralement, elle se fait
soit par construction des risques (approches exhaustives), soit par ajustement de scnarios de
risques (approche gnriques), soit de manire informelle (approches par l'exprience).
Les mesures de scurit existantes peuvent tre prises en compte dans l'tude des vulnrabilits.
En ce qui concerne l'valuation des risques, les lments quantitatifs (valus prcisment ou via des
chelles) permettent de hirarchiser les risques (gnralement en fonction de l'opportunit des
menaces et des pertes). Des calculs sont parfois effectus pour les positionner les uns par rapport
aux autres (sachant que ces calculs n'ont aucune valeur scientifique).
Bien qu'elles puissent tre quantitatives, l'valuation est plus souvent ralise qualitativement ou
l'aide d'chelles permettant de positionner les lments les uns par rapport aux autres.
Cette phase est principalement ralise en interaction avec des acteurs mtiers (matrises d'ouvrage,
utilisateurs, responsables d'activits ou quivalents) et des acteurs supports (matrises d'uvre ou
quivalents).
1.1.4.3
Le traitement des risques SSI dbute par une phase de planification, qui consiste choisir entre :
refuser les risques (viter la situation risque) ;
rduire les risques et spcifier ( l'aide d'objectifs et/ou d'exigences de scurit) les mesures
de scurit mettre en uvre ; ces mesures peuvent :
o porter sur :
les lments menaants,
les vulnrabilits,
les besoins de scurit,
l'impact ;
o et concerner :
la dissuasion,
la prvention,
la dtection,
la raction,
la rcupration
transfrer les risques (vers des tiers) ;
prendre les risques.
Cette planification est faite en tenant compte des caractristiques du contexte et en confrontant
l'impact (financier, organisationnel) des mesures au bnfice attendu (effet sur les risques).
Elle peut galement intgrer les mesures de scurit existantes.
Le traitement des risques SSI se poursuit par une phase de mise en uvre des mesures spcifies.
Les risques rsiduels, subsistant aprs le traitement des risques SSI, sont mis en vidence.
contact[at]club-ebios.org
Approuv
Page 8 sur 37
Club EBIOS
18 novembre 2008
Cette phase est principalement ralise en interaction avec des acteurs mtiers (matrises d'ouvrage,
utilisateurs, responsables d'activits ou quivalents), des acteurs supports (matrises d'uvre ou
quivalents) et des acteurs reprsentatifs des secteurs impacts par les mesures de scurit
(ressources humaines, finances, juridique).
1.1.4.4
L'acceptation des risques SSI est appele homologation de scurit. Elle reprsente la dcision
d'accepter formellement les choix effectus lors du traitement des risques SSI et les risques rsiduels.
Elle est prononce au vu d'un dossier dfinir et peut tre refuse, provisoire ou dfinitive.
L'homologation de scurit est prononce par une autorit dsigne, qui peut s'appuyer sur une
commission d'homologation, qui lui fournit les lments ncessaires la prise de dcision.
1.1.4.5
Le contrle et le suivi
Leffectivit et lefficacit des mesures de scurit sont values (vrifications de conformit, audits,
inspections, contrles hirarchiques, auto-valuations).
Par ailleurs, les volutions du contexte ou du SI sont releves (lments essentiels, entits, besoins
de scurit, lments menaants) car elles sont susceptibles de faire voluer les risques.
Cette phase est principalement ralise par les personnes en charge de la SSI.
1.1.4.7
L'amlioration
Cette ultime phase vise lamlioration de la dmarche (adaptation du budget et des ressources
humaines par exemple) et des mesures par lidentification des problmes/solutions amens au cours
de la phase prcdente.
Cette phase est principalement ralise par les personnes en charge de la SSI.
1.1.5
contact[at]club-ebios.org
Approuv
Page 9 sur 37
Club EBIOS
18 novembre 2008
La norme [ISO 8402] dfinit un projet comme un "processus unique, qui consiste en un ensemble
d'activits coordonnes et matrises comportant des dates de dbut et de fin, entrepris dans le but
d'atteindre un objectif conforme des exigences spcifiques telles que les contraintes de dlais, de
cots et de ressources". Le management de projet comprend la planification, l'organisation, le suivi de
la progression et la matrise de tous les aspects du projet dans un processus continu, afin d'atteindre
ses objectifs.
1.2.2
La gestion des risques de projet est une dmarche faisant partie intgrante du secteur de la gestion
de projets. Elle traite des incertitudes tout au long du projet et est prsente au sein des principales
mthodes de gestion de projet. Les risques sont dfinis comme la possibilit qu'un projet ne s'excute
pas conformment aux prvisions de dates, de cot ou d'expression des besoins. Le risque en gestion
de projet est constitu de deux lments : la probabilit dapparition du risque (caractristique de la
cause du risque) et limpact du risque qui dtermine sa consquence.
1.2.3
Matriser les risques est une proccupation majeure en conduite de projet. Les finalits principales
que l'on retrouve dans la gestion des risques d'un projet [Courtot 1998] sont :
amliorer la pertinence de la dfinition des objectifs du projet (en termes de cots, de dlais et
de spcifications), grce laccroissement et lamlioration de la qualit des informations
recueillies ;
accrotre les chances de russite du projet grce une meilleure comprhension et
identification des risques encourus, une meilleure dfinition des actions entreprendre pour
sen prmunir, mais galement grce un pilotage plus ractif et sensible aux volutions de
son environnement ;
contribuer lamlioration de la communication entre les diffrents acteurs du projet sur les
diffrentes dcisions prendre.
noter que la gestion des risques de projet permet d'obtenir des informations utiles la fois pour la
matrise d'ouvrage et la matrise d'uvre d'un projet.
La gestion des risques de projet consiste :
recenser les risques qui pourraient faire quun projet ne sexcute pas conformment aux
prvisions de date dachvement, de cot ou de spcifications ;
prparer des actions correctives ou prventives ;
excuter et suivre les actions et les indicateurs de risques.
1.2.4
1.2.4.1
contact[at]club-ebios.org
Approuv
Page 10 sur 37
Club EBIOS
1.2.4.2
18 novembre 2008
La phase d'apprciation des risques est compose de 2 tapes de la dmarche classique de gestion
des risques de projet : l'identification des risques et l'valuation des risques.
L'identification des risques, qui est le pralable toute dmarche de gestion des risques de projet,
consiste rpertorier, de manire la plus exhaustive possible, tous les vnements gnrateurs de
risques (sources du risque) pour le projet et pouvant conduire au non respect de ses objectifs.
Une fois cette identification ralise, il convient danalyser, de manire plus ou moins dtaille, leurs
causes et leurs incidences potentielles, en prenant en compte les interactions et combinaisons
ventuelles. Une catgorisation des risques peut tre ralise, sur base de leur cause (causes
techniques, politiques, organisationnelles), afin de dfinir des traitements adapts chaque risque.
Lvaluation des risques va quant elle s'appuyer sur une analyse quantitative pour mieux
apprhender et estimer les impacts sur les cots, les dlais et/ou les spcifications techniques du
projet. Cette quantification permet en premier lieu de reprer parmi les risques identifis ceux qui sont
ngligeables et qui ne prsentent pas de risque rel vis--vis de l'organisation tudie.
Lors de cette tape va tre value, dans la mesure du possible, la probabilit dapparition de chaque
risque recens et estimer la gravit de leurs consquences directes et indirectes sur les objectifs du
projet. Il va ainsi tre possible de hirarchiser les risques, afin de se focaliser sur les risques
prpondrants, de prparer les parades les plus efficaces possibles et de dfinir les actions mener
en priorit pour les matriser.
1.2.4.3
Le traitement des risques est l'tape qui va dfinir et mettre en uvre des mesures appropries pour
diminuer les risques et les ramener un niveau acceptable au vu du projet. Cinq possibilits
classiques existent :
suppression de la cause du risque ;
transfert du risque (partage de la responsabilit ou du cot du risque) ;
rduction de sa criticit (en rduisant sa probabilit d'apparition ou la gravit de ses
consquences) ;
accepter le risque tout en le surveillant ;
planifier et organiser des actions qui seront lances en cas d'apparition du risque ou
contingence.
1.2.4.4
Aucune phase spcifique d'acceptation des risques n'est gnralement droule lors d'une dmarche
de gestion des risques de projet, celle-ci tant ralise en fin de traitement des risques.
1.2.4.5
Le contrle et le suivi
Le suivi et le contrle des risques doivent tre effectus rgulirement afin de dtecter les
modifications au sein du panel de risques analyss, certains risques pouvant disparatre, dautres
apparatre ou dautres encore, considrs initialement comme faibles, pouvant devenir rapidement
inacceptables pour l'entreprise ds lors qu'ils n'ont pu tre matriss. Une mise jour de la liste de
risques et de leur caractristique est donc ralise.
1.2.4.7
L'amlioration
contact[at]club-ebios.org
Approuv
Page 11 sur 37
Club EBIOS
1.2.5
18 novembre 2008
Plusieurs techniques existent et peuvent tre combines pour identifier les risques projets : lanalyse
de la documentation existante, linterview dexperts, la ralisation de runions de brainstorming,
lutilisation dapproches mthodologiques (comme l[AMDEC], lanalyse prliminaire des risques
APR, les arbres de causes), la consultation de bases de donnes de risques rencontrs lors de
projets antrieurs ou encore lutilisation de check-lists ou de questionnaires prtablis et couvrant les
diffrents domaines du projet.
De nombreuses mthodes de gestion de projet, intgrant une partie de gestion des risques de projet,
sont disponibles. On peut citer [PMBOK], [PRINCE2] ou [HERMES] comme faisant partie des plus
utilises sur le march. On peut galement citer la norme [ISO 10006] qui a pour vocation de donner
des conseils sur le "management de la qualit dans les projets" et dont une section traite des
processus relatifs aux risques.
1.2.6
De mme, il est intressant de noter leffort important qui suit le traitement du risque : le suivi des
risques ainsi que la capitalisation du risque. Ce qui ressort de ce constat est, trs certainement, une
trs grande variabilit des risques, en termes de dclanchement et de niveau, pour un type de risque
donn, qui entrane un fort besoin de suivi et de contrle, ainsi quun gros effort bas sur la
rutilisabilit dune dmarche de gestion des risques pour dautres projets, li la capitalisation lors
de la clture du projet. Pour les tapes de 1 3, leur contenu est classique et comparable ce qui se
fait dans les autres secteurs. Les lments essentiels qu'on retrouve sont les deux types d'analyse
des risques (qualitative ou quantitative), la matrice des risques, ainsi que les quatre types de
traitement des risques (voir ci-dessous).
Dans le cadre de la gestion de projet, les objectifs atteindre lors dune dmarche de gestion des
risques se dclinent en termes de cot, de dlais et de qualit, en lien avec les objectifs gnraux du
projet qui caractrisent un produit ou un service.
Au niveau du traitement du risque, les quatre cas classiques de traitement du risque : acceptation,
contrle (prventifs ou sur la cause, correctifs ou sur la consquence [PMBOK]), transfert et vitement
sont envisageables. Ses traitements agissent sur les lments "tangibles" du projet que nous
appelons les ressources du projet et qui sont par exemple les ressources humaines, le budget ou le
produit du projet.
La norme [ISO 10006], relative la gestion de la qualit dans les projets, recommande, lors dune
dmarche de gestion des risques de projet, de tenir compte galement dautres risques sortant du
contexte propre de la gestion de projet, tels les risques relatifs la scurit, la sant ou la sret
de fonctionnement.
contact[at]club-ebios.org
Approuv
Page 12 sur 37
Club EBIOS
18 novembre 2008
1.3 Lenvironnement
1.3.1
1.3.2
Transport de
matires
dangereuses
Aspects
Impacts
1. Consommation dessence
1. puisement des
ressources naturelles
2. Nuisances sonores
3.Diminution du transport
par route => Diminution de
la pollution atmosphrique
=>
2. missions sonores
3. Utilisation du chemin de fer
1.3.3
Lusage de la gestion des risques dans lenvironnement est principalement utilise afin dafficher et de
prouver les valeurs thiques dune organisation. La certification l'[ISO14001] fait figure aujourdhui
de rfrence pour ces organisations. Le schma de management et d'audit environnemental ([EMAS])
suit la mme philosophie volontaire, au contraire des entreprises de type SEVESO qui sont
lgalement obliges de recourir la gestion des risques selon la directive du mme nom.
contact[at]club-ebios.org
Approuv
Page 13 sur 37
Club EBIOS
18 novembre 2008
1.3.4
1.3.4.1
La premire tape vise dfinir le primtre sur lequel la gestion des risques va porter. Dans le cas
de lenvironnement ce primtre peut tre physique (locaux, btiments, chane de production) ou
orient flux (flux entrants et sortants), dpendant de la stratgie de gestion de lentreprise.
1.3.4.2
La phase danalyse environnementale est le cur du processus de gestion des risques. La mthode
[AMDEC] est trs populaire pour la ralisation de cette phase. Cest une analyse globale, rationnelle,
concerte et systmatique de toutes les activits de lentreprise des impacts environnementaux rels
ou potentiels spcifiques lentreprise. Cette analyse doit prendre en compte le fonctionnement de
lorganisme en marche normale ainsi quen marche dite incidentelle.
Au vu des rsultats de lanalyse environnementale, lorganisation doit dterminer les impacts
environnementaux significatifs quelle soccupera de rduire.
1.3.4.3
Pour les risques quelle souhaite contrler elle-mme, lorganisation va slectionner des mesures de
scurit de nature technique et/ou organisationnelle. Lensemble de ces mesures va constituer une
politique environnementale ou un manuel environnemental qui devra tre rdig. Des plans dactions
sont galement prpars afin de prvenir les risques car dans le secteur environnemental, encore
plus quailleurs, on prfre prvenir que gurir. Des plans dactions dits "dormants" sont galement
rdigs pour traiter les ventuels incidents.
L'implmentation des contrles constitue ensuite la phase de rduction des risques proprement
parler. Les contrles slectionns sont dploys.
contact[at]club-ebios.org
Approuv
Page 14 sur 37
Club EBIOS
1.3.4.4
18 novembre 2008
Communication
La communication a pour objectif de recueillir et de partager les informations relatives aux risques
environnementaux entre les diffrentes parties prenantes. Il nexiste pas de spcificit particulire
dans ce secteur.
1.3.4.5
Le contrle et le suivi
L'amlioration
Cette ultime phase vise lamlioration de la dmarche (ex : adaptation du budget et des ressources
humaines) et des contrles (ex : relocalisation des machines de production) par lidentification des
problmes/solutions amens au cours de la phase prcdente.
1.3.5
1.3.6
contact[at]club-ebios.org
Approuv
Page 15 sur 37
Club EBIOS
18 novembre 2008
1.4.2
Nota : le vocabulaire peut varier dune norme lautre, nanmoins on retrouve ventuellement sous
des noms diffrents les mmes concepts.
L'vnement considr comme une atteinte la sret de fonctionnement est appel une dfaillance.
Cet vnement intervient ds que le service fourni n'est plus dlivr ou qu'il dvie du service correct
attendu. Cet vnement intervenant sur le comportement externe du systme, l'vnement interne
causant la dfaillance est appel erreur. Il faut toutefois noter qu'une erreur peut tre gre et ne
conduit donc pas forcment une dfaillance. La cause d'une erreur est appele faute et une
vulnrabilit est une faute interne au systme. Une mauvaise interaction homme-machine est un
exemple de faute externe, qu'une vulnrabilit du systme peut faire aboutir une erreur. A noter
qu'on parle gnralement de panne pour dsigner l'tat du systme qui rsulte d'une dfaillance.
Les consquences d'une dfaillance sur le systme sont caractrises par le niveau de svrit
(encore appele gravit) de la dfaillance et les causes par la probabilit d'occurrence. Un exemple
de mesure de la cause du risque est le taux de dfaillance ou inverse du MTTF (Mean Time To
Failure, temps moyen jusqu' l'occurrence de la premire dfaillance). Les niveaux de gravit et les
taux doccurrence sont quantifis, entranant la quantification des niveaux de risque. Le risque est
alors considr comme le produit de la svrit par la frquence doccurrence. Les niveaux de gravit
et les taux doccurrence sont quantifis, entranant la quantification des niveaux de risque.
La scurit est alors dfinie comme labsence de niveaux de risques inacceptable.
De plus, les normes dfinissent gnralement un ensemble de mthodes et moyens dont la mise en
uvre garantit lassurance que le produit ou systme obtenu satisfera ses objectifs de scurit. Le
degr dassurance est dans certaines normes europennes ([EN 61508], [EN 50126]) quantifi par
un ensemble discret de niveau dintgrit de la scurit. Ce concept est analogue aux niveaux
d'assurance de l'[ISO 15408].
1.4.3
La gestion des risques de sret de fonctionnement est gnralement entirement insre au sein du
processus de conception d'un systme, voire du cycle de vie complet d'un systme, depuis sa
dfinition jusqu sa dpose.
contact[at]club-ebios.org
Approuv
Page 16 sur 37
Club EBIOS
18 novembre 2008
Ce processus doit permettre didentifier les risques, les valuer et dterminer ceux qui sont
inacceptables (le seuil correspondant pouvant tre dfini dans la norme ou laiss lapprciation de
lAutorit dexploitation du futur systme). En gnral de tels systmes font lobjet dune homologation
formelle, rglementaire, qui sappuie sur la dmonstration de latteinte du niveau de scurit requis,
c'est--dire la dmonstration de labsence des niveaux de risques inacceptables.
Dautre part, les normes ne sont pas rtroactives et ne peuvent pas sappliquer a posteriori sur des
systmes qui nont pas t initialement dveloppes selon les normes. Par contre, les volutions font
lobjet danalyse et de vrifications particulires en fonction du niveau dintgrit (c'est--dire le degr
dassurance) recherch.
1.4.4
1.4.4.1
Lors de la phase d'apprciation des risques, appele ici analyse des risques, on va tout d'abord
identifier les situations dangereuses, puis valuer et quantifier les consquences de ces situations
dangereuses, enfin identifier les vnements la source de ces situations dangereuses.
Le niveau du risque sera ensuite dtermin. Un management des risques est ensuite mis en place,
ncessitant de dterminer et de classer l'acceptabilit du risque associ chaque situation
dangereuse identifie.
En gnral, la phase dvaluation des consquences dune situation dangereuse repose sur une
analyse inductive, tandis que la phase de recherche des vnements initiateurs repose sur une
analyse dductive.
1.4.4.3
Une fois les risques analyss et valus, les exigences du systme sont dtermines au niveau
fonctionnel, accompagnes de critres de dmonstration et d'acceptation de ces exigences. Un
programme de conduite des tches est tabli afin d'implmenter ces exigences dans les phases
suivantes du processus. Ces exigences seront alloues aux sous-systmes, aux composants et aux
lments externes au systme. Les moyens de rduction du risque se divisent en techniques
dvitement des fautes et techniques de tolrance aux fautes.
1.4.4.4
La communication relative au risque est effectue tout au long du processus de gestion des risques,
au travers de livrables. Elle ne reprsente pas une tape spcifique du processus. Comme document
support la communication des risques, on peut citer par exemple le "registre des situations
dangereuses", dans lequel est consign l'ensemble des situations dangereuses, et qui est mis jour
rgulirement tout au long du processus, comme par exemple aprs le traitement et l'acceptation des
risques o l'on va y intgrer les risques rsiduels identifis.
La communication repose aussi sur le dossier de scurit final qui sert lhomologation du systme.
contact[at]club-ebios.org
Approuv
Page 17 sur 37
Club EBIOS
1.4.4.6
18 novembre 2008
Le contrle et le suivi
Le contrle et le suivi des risques sont raliss lors des phases d'exploitation et maintenance ainsi
que de surveillance des performances du systme. L'objectif est d'assurer la continuit de la
conformit aux exigences de sret de fonctionnement dfinies sur le systme tout au long du cycle
de vie de ce dernier
1.4.4.7
L'amlioration
Une phase de modification et remise niveau du systme permet de maintenir niveau les exigences
dtermines. Il faut noter que l'[EN 50126] qui a servi, entre autres, de rfrence, prsente d'autres
phases, non reprsentes dans le cadre de la gestion des risques, car entrant uniquement dans le
cycle de vie gnral du systme qui est le sujet gnral de la norme. On y retrouve les phases de
conception et ralisation, de fabrication, d'installation et de retrait du service et dpose.
1.4.5
Les principales rfrences utilises dans le secteur sont les suivantes : [Avizienis], [Laprie],
[Villemeur].
Les principales normes utilises dans le secteur sont les suivantes : [EN 61508], [EN 50126],
[EN 50129], [ECSS Hazard], [ECSS Safety], [IDS 56].
De nombreuses mthodes ont t dveloppes pour conduire les analyses de risques et dterminer
les moyens de rduction mettre en uvre. On peut notamment citer les suivantes :
Analyse prliminaire des dangers : analyse de type inductif qui vise identifier les dangers
dun systme (ou dune installation industrielle) ainsi que ces causes puis valuer la gravit
des consquences lies ces situations dangereuses. Ce type danalyse est effectu lors de
la dfinition du systme, pralablement la mise en uvre dautres mthodes. Cette
technique ne dans les annes 60 est utilise dans de nombreuses industries comme le
nuclaire, laronautique, le ferroviaire ou lindustrie chimique.
Analyse de modes de dfaillance, de leurs effets et de leur criticit (AMDEC) : analyse de type
inductif qui consiste valuer les effets de chaque mode de dfaillance des diffrents
composants dun systme pour identifier les dfaillances qui auront des effets importants. Une
AMDEC est une analyse de modes de dfaillance et de leurs effets (AMDE) quantifie par
une criticit. Une AMDE se divise en quatre phases successives pour un systme donn :
o dfinition des fonctions et des composants,
o dtermination des modes de dfaillance des composants, identification de leurs
causes,
o analyse des effets des dfaillances,
o l'identification des mesures en place pour rduire la dfaillance.
LAMDE, qui a vu le jour dans les annes 60, est issue du monde aronautique. Cest une
mthode extrmement employe et rglementaire dans plusieurs secteurs industriels.
HAZOP : mthode inspire des AMDE qui a t dveloppe par lindustrie chimique dans les
annes 70 pour l'analyse des risques des systmes thermohydrauliques. HAZOP utilise une
liste de mot-guides ("pas de", "plus de", "moins de", "trop de") afin daider lidentification
exhaustive les diffrents types de drives potentielles.
Arbres de cause (arbres de dfaillance) : mthode dductive qui vise identifier les diverses
combinaisons dvnement susceptibles dentraner un certain vnement (qui est unique
pour larbre), le rsultat tant reprsent sous la forme dun arbre. Lanalyse dductive est
ralise sur plusieurs niveaux jusqu lobtention dvnements "de base". Le passage dun
niveau son raffinement se fait par des oprateurs logiques, principalement le ET et le OU,
bien que dautres oprateurs soient possibles. Ceci permet ensuite de faire dune part des
calculs logiques sur les oprateurs afin de dterminer des "coupes minimales" dautre par de
procder des valuations probabilistes.
Cette mthode qui est issue des laboratoires Belle est considre comme trs efficace et
beaucoup utilise (nuclaire, aronautique, spatial).
De nombreuses autres mthodes sont galement mises en uvre. Il faut noter limportance
croissante des modles probabilistes de fiabilit qui reposent sur des modlisations des systmes et
des vnements de plus en plus sophistiques.
contact[at]club-ebios.org
Approuv
Page 18 sur 37
Club EBIOS
18 novembre 2008
La matrise des risques dits professionnels englobe tous les risques lis la protection de la sant
(intgrit physique et psychique) des salaris d'un tablissement, y compris les salaris temporaires.
1.5.2
1.5.2.1
Le risque professionnel
L'vnement
L'vnement considr dans le risque professionnel est sa cause. Par exemple, il peut s'agir de
causes techniques (tat des quipements, conformit), organisationnelles (information aux risques,
temps de travail, ergonomie), managriales (consignes de l'encadrement, valuation) ou
comportementales (respect des procdures, quipements de protection individuelle).
1.5.2.2
L'incertitude
L'incertitude des risques professionnels est lie leur frquence (F) et leur gravit (G). Il est mme
admis que le risque (R) peut tre calcul ainsi :
R=F*G
La frquence peut tre calcule en fonction de la dangerosit (D) et du niveau de protection ou de
prvention (P) : F = D / P.
La gravit peut tre calcule en fonction du temps d'exposition (T) et du nombre de personnes
exposes (N) : G = T x N.
Soit : R = (D / P) * (T x N)
1.5.2.3
Les consquences
Les consquences d'un risque professionnel sont des impacts uniquement ngatifs qui peuvent tre
directs ou induits. Les impacts directs peuvent tre des accidents du travail (AT) ou des maladies
professionnelles (MP). Les impacts induits peuvent tre conomiques (cots directs et indirects),
juridiques (pour la personne physique et pour la personne morale), sociaux (actions des salaris ou
des reprsentants du personnel, dgradation du climat social) ou sur l'image de marque (dgradation
des relations internes et externes).
1.5.3
L'[UE 391] a t dcline en France dans la Loi [FR 1414], qui impose d'identifier et d'valuer les
risques professionnels, et de mettre en uvre les actions appropries (obligation de rsultat). Le
dcret [FR 1016] impose de formaliser tous les ans le rsultat de cette valuation. La circulaire
[FR DRT-6] prcise que l'valuation devrait tre faite avec mthode, traable et planifie dans le cadre
d'un processus d'amlioration continue.
La vritable gestion des risques professionnels par une obligation de rsultat est relativement
novatrice et requiert encore des volutions culturelles et comportementales.
D'une part, elle rpond aux exigences rglementaires, et d'autre part, elle rpond une obligation de
performance contribuant la satisfaction des clients, des salaris, des investisseurs et des
partenaires..
1.5.4
D'une manire gnrale, il est souhaitable que la gestion des risques professionnels soit ralise de
manire interactive en interne (avec les bureaux d'tudes et des mthodes, les achats, les ressources
humaines, le management de la qualit, le systme d'information) et en externe (avec les
organismes dtat, les clients, les sous-traitants, les fournisseurs).
2
contact[at]club-ebios.org
Approuv
Page 19 sur 37
Club EBIOS
1.5.4.1
18 novembre 2008
L'tablissement du contexte
Un ensemble d'informations relatives au contexte particulier de l'organisme peut tre recueilli afin
d'amliorer la pertinence de l'apprciation des risques vis--vis de la culture de l'organisme, de sa
ralit, de son environnement et de sa stratgie. L'organisme est galement prsent de faon
macroscopique (units ou postes de travail) et/ou dtaille (tablissements, btiments, ateliers, corps
de mtier). Les obligations rglementaires et normes en vigueur doivent tre connues.
1.5.4.2
Une valuation globale, macroscopique, peut tre ralise par unit ou poste de travail. L'valuation
des risques se fait alors de manire maximaliste. Elle peut ensuite tre pondre (par les volumes de
salaris concerns) et raffine (par tablissements, btiments, ateliers, corps de mtier), surtout
pour les organismes de taille importante.
Concernant l'analyse des risques professionnels, la recherche des causes peut tre ralise l'aide
d'un arbre des causes ("mthode des 5M" ou "diagramme d'Ishikawa" Milieu, Matriel, Matires,
Mthodes et Main d'uvre, auxquels s'ajoute le Management) suivi d'une tude des causes
techniques, organisationnelles, managriales et comportementales ("critres TOMC") ; les impacts
pour les salaris et pour l'organisme sont galement tudis selon les axes conomique, juridique,
social et sur l'image de marque.
S'agissant de l'valuation des risques professionnels, leur frquence et leur gravit sont estimes en
tenant compte des actions de prvention mises en uvre. Le risque peut tre la rsultante de la
multiplication de la frquence et de la gravit. Il peut tre pondr par le dimensionnement des units
ou des postes de travail. Une cartographie par risque et par unit ou par poste de travail peut tre
ralise en mettant en vidence l'volution de la situation.
1.5.4.3
Dans un premier temps, la politique de prvention doit faire l'objet d'un engagement de la Direction
s'impliquer dans la prvention des risques professionnels et de la dfinition d'objectifs (axes de
progrs) rgulirement rviss. Par ailleurs, la gestion de la continuit et des crises doit
systmatiquement tre traite.
Dans un second temps, des actions sont dtermines. Ces actions diffrent selon leur nature
(solutions managriales, d'apprentissage, organisationnelles ou techniques), leur type (palliatives,
curatives ou prventives), leur priorit (selon la priorit des projets sur lesquels elles portent et en se
basant sur une dcision, une dmarche d'analyse des modes de dfaillance, de leurs effets et de leur
criticit (AMDEC), le benchmarking, la loi de PARETO ou le calcul de rentabilit) et leur terme (court,
moyen ou long, selon les projets sur lesquels elles portent).
Les actions sont destines agir soit sur la frquence (rduction du danger, augmentation du niveau
de protection ou de prvention), soit sur la gravit (rduction du temps d'exposition ou du nombre de
personnes exposes) des risques professionnels.
Le traitement des risques professionnels est ralis de manire cohrente avec L'tablissement du
contexte. Il est gnralement intgr dans le cadre d'un projet (avec une organisation, des
responsabilits, un budget, des tapes et des livrables dfinis).
1.5.4.4
L'acceptation des risques professionnels est faite sur la base des phases prcdentes aprs tests et
ventuelles corrections.
1.5.4.5
contact[at]club-ebios.org
Approuv
Page 20 sur 37
Club EBIOS
1.5.4.6
18 novembre 2008
Le contrle et le suivi
Les contrles peuvent tre des audits, des valuations par unit ou poste de travail, des contrles
quotidiens, des inspections inopines ou des observations croises.
Le suivi des oprations doit faire l'objet d'une traabilit rigoureuse, utile sur le plan juridique et au bon
fonctionnement de l'ensemble de la dmarche. Ce suivi est ax sur la performance.
1.5.4.7
L'amlioration
1.5.5
Le rfrentiel le plus rpandu pour la gestion des risques professionnels est la norme [OHSAS 18001]
sur la gestion de la sant et de la scurit au travail. Elle permet aux organismes de se faire certifier
et est complte par l'[OHSAS 18002], un guide dcrivant sa mise en place. Il existe plusieurs outils
d'assistance la mise en uvre de la gestion des risques professionnels, tels que PRAXISME
(socit AD'APTUS), Objectif QSE (socit AQSE Conseil Formation), EVALURISQUE
contact[at]club-ebios.org
Approuv
Page 21 sur 37
Club EBIOS
18 novembre 2008
Est ici considre la gestion des risques juridiques au sein d'une organisation.
1.6.2
1.6.2.1
Le risque juridique
L'vnement
Le risque juridique rsulte de la conjonction d'un vnement et d'une norme juridique ( caractre
gnral prescription lgale telle que loi, rglement, jurisprudence ou relatif obligation
contractuelle telle que contrat, dcision).
La circonstance l'origine du risque juridique peut tre :
une infraction pnale (crime, dlit et contravention) ;
une faute / un comportement transgressif intentionnel ou non intentionnel : acte positif
contrevenant une interdiction ou l'omission alors que la norme oblige des actes positifs ;
un dommage objectif, ne rsultant pas d'un comportement transgressif ;
une norme juridique nouvelle entranant une obligation de changer ou une inscurit juridique
(avant les premires dcisions de jurisprudence ou de la Cour de cassation, permettant de
fixer une interprtation) ;
une volution de la norme (nouveaux droits, nouvelles opportunits) ;
l'exploitation d'une norme nouvelle ou existante pour faciliter l'atteinte des buts de
l'organisation.
Cet vnement dpend de l'organisation elle-mme, notamment de son positionnement, et de son
activit, pouvant engendrer des risques endognes ou exognes.
1.6.2.2
L'incertitude
La "qualification des risques juridiques" est base sur des critres quantitatifs. La notion d'incertitude
comprend en effet :
la frquence d'occurrence des risques (base sur des calculs statistiques raliss aprs
observation sur une dure dtermine, pouvant tre reprsente en mois, mais cette
approche est contestable pour les actes transgressifs ou les normes nouvelles) ;
leur gravit, refltant l'importance de la ralisation d'un risque (pnal, condamnation financire
ou mdiatique, et susceptible de rendre totalement ou partiellement indisponible une
ressource).
1.6.2.3
Les consquences
contact[at]club-ebios.org
Approuv
Page 22 sur 37
Club EBIOS
o
o
18 novembre 2008
1.6.3
La gestion des risques juridiques prend tout son sens dans la complexit des organisations actuelles,
qui oblige considrer globalement ces risques afin d'apprhender de manire cohrente et
pertinente le lien entre les personnes impliques, les diffrentes ressources, les diffrentes normes
juridiques applicables et les diffrents risques.
1.6.4
1.6.4.1
La phase d'tude du contexte de la gestion des risques juridiques doit mettre en vidence les buts et
stratgies (march, contraintes, objectifs stratgiques) de l'organisation.
Elle consiste galement identifier les ressources cls de l'organisation, indispensables la
ralisation de sa stratgie : capitalistiques (moyens matriels et immatriels pour acqurir d'autres
ressources), financires, humaines, corporelles (meubles et immeubles), fournisseurs (biens ou
services), partenaires (oprations communes), clients, environnementales (naturelles et artificielles),
immatrielles (proprit intellectuelle, ressources informationnelles, ressources de notorit).
Il convient enfin d'identifier les parties prenantes susceptibles d'tre affectes ou de se sentir
affectes par des risques, notamment les dirigeants et l'encadrement intermdiaire.
1.6.4.2
contact[at]club-ebios.org
Approuv
Page 23 sur 37
Club EBIOS
1.6.4.3
18 novembre 2008
Cette phase doit tre prpare par les personnes qui ont en charge la responsabilit des risques
juridiques. En principe, lacceptation des risques proprement dite doit tre dcide en connaissance
de cause par les dirigeants, ou ils doivent au moins en tre dment informs.
1.6.4.5
Les cibles de communication relative aux risques sont principalement les parties prenantes identifies,
qui seront responsables des consquences de la ralisation de risques (pnalement ou civilement,
directement ou par dlgation).
La cartographie des risques constitue un outil de communication (mais aussi un outil de gestion des
risques juridiques), le but tant de les rendre plus intelligibles et plus tangibles.
L'amlioration de la culture juridique des agents de l'organisation, indissociable de la prise en charge
de responsabilits et de l'exercice du pouvoir, passe essentiellement par une implication de la
direction (concrtise par des codes de bonne conduite, des chartes, des politiques) et par une
formation aux risques juridiques adapte aux responsabilits des oprationnels.
1.6.4.6
Le contrle et le suivi
Les risques juridiques doivent tre anticips et reprs linstar des autres types de risques.
Cest pourquoi, des contrles rguliers des actes juridiques passs au sein de lorganisation (contrats
cadre, contrat fournisseur, contrat de travail, rglement intrieur, obligations relatives la Loi
informatique et liberts) doivent tre mis en place. Le responsable des risques juridiques travaillera
dans ce cadre en troite collaboration avec lquipe de juristes. Un contrle de la conformit lgale et
rglementaire doit tre mis en place. De mme, un suivi de lactualit juridique concernant
lorganisation et son activit devra tre conduit. Ce suivi, pour tre efficace, devra tre rgulier. Il
permettra lorganisation de sassurer quelle est en conformit avec les normes juridiques.
1.6.4.7
L'amlioration
Comme dans de nombreux autres secteurs, la partie amlioration du processus de gestion des
risques est l pour mettre en place des actions correctives et palliatives suite la veille continue.
1.6.5
La gestion des risques dans le secteur juridique ne semble pas reposer sur des rfrences formelles.
Il ne semble pas non plus exister d'outillage particulier. Une connaissance extensive des textes de lois
et une approche personnelle sont ici les meilleures armes du juriste. On remarque en effet qu'imaginer
de prendre des risques juridiques n'est parfois jamais envisag, au moins officiellement.
contact[at]club-ebios.org
Approuv
Page 24 sur 37
Club EBIOS
18 novembre 2008
Les risques financiers sont inhrents aux activits humaines qui impliquent des changes montaires
asynchrones. Ils sont prsents dans les activits de financement, exerces par nature par les
tablissements de crdit et les entreprises dinvestissement mais aussi, par usage, par les entreprises
non financires lorsque, dans le cadre de la gestion dexcdents de trsorerie par exemple, elles
deviennent cranciers financiers.
Ils sont galement prsents dans toutes les activits qui requirent des changes sur les marchs
dinstruments financiers.
De cet ensemble trs vaste dactivits mergent deux grands types de risques financiers :
le risque dit "de crdit" ou, selon une acception plus rcente et plus large, "de contrepartie" ;
le risque dit "de march" : risque de taux dintrt, risque de taux de change, risque de prix
(actions, matires premires).
1.7.2
Le risque financier
Dans le secteur financier, peut-tre plus que dans tout autre secteur, la dfinition du risque associe
intimement lvnement redout (le "danger") aux consquences prjudiciables quil entrane pour
lentit qui le subit.
Cest en effet en termes financiers quon cherche exprimer le produit de la probabilit de survenance
de lvnement redout ( un horizon prdfini de temps) et de son champ dimpact -quen finance, on
appelle simplement "exposition" ou "engagement"-.
1.7.2.1
Lvnement
Les consquences
Les consquences sont financires : ce sont les pertes que le dfaut du dbiteur ou la variation
dfavorable de valeur de linstrument entranent dans la comptabilit de lentit, soit sous forme de
pertes dexploitation, soit sous forme dajustements de valeur entranant une diminution des fonds
propres.
En univers incertain, la notion de risque financier peut donc tre apprhende par la formule gnrale
suivante :
Perte financire estime un horizon prdfini de temps
=
Probabilit de survenance de lvnement redout cet horizon
*
Montant estim de lexposition
1.7.3
contact[at]club-ebios.org
Approuv
Page 25 sur 37
Club EBIOS
18 novembre 2008
Sous la pousse des contraintes rglementaires (accords de Ble, textes du Comit Consultatif de la
Lgislation et de la Rglementation Financires en France.), des dispositifs sont mis en place afin
de mieux identifier et mesurer les risques, et de mieux les accepter, les prvenir et les grer une fois
accepts.
Ces dispositifs entrent dsormais pour une part de plus en plus importante et structurante dans la
gestion des entreprises financires et leur usage vise dpasser les contraintes et en faire des
sources de comptitivit et de dveloppement.
1.7.4
1.7.4.1
Le contexte dans lequel sinscrivent les risques financiers est aujourdhui largement inspir par la
rglementation.
En instituant des exigences minimales de fonds propres pour la couverture des risques, un dispositif
de contrle interne et une discipline de march commandant la transparence lgard des tiers, la
rforme Ble II conduit en effet les entreprises financires revoir leur organisation et leurs
processus.
1.7.4.2
Lapprciation des risques financiers fait appel des modles de connaissance de l "cosystme"
propre lopration envisage.
Ces modles suggrent le recours des indicateurs de risque.
Le risque de crdit/contrepartie sapprcie essentiellement travers un indicateur reprsentatif de la
qualit de crdit du dbiteur : la note pour les personnes morales, le score pour les personnes
physiques. Cest un indicateur instantan de la qualit de crdit du dbiteur et prdictif de son dfaut
en ce que les analystes le traduisent sous forme de probabilit de dfaut.
Le risque de march sapprcie travers quelques indicateurs qui combinent des connaissances
"fondamentales" (dynamique macro-conomique) et "techniques" (statistiques, comportementales) : la
volatilit dite "implicite" -comme mesure prdictive de variabilit des paramtres de march : taux
dintrt, taux de change - la value at risk - comme mesure prdictive de la perte financire
maximale encourue sur un horizon temporel et un intervalle de confiance prdfinis-
1.7.4.3
Dune manire gnrale, lacceptation du risque se fait laune de laversion au risque. Cette aversion
trouve son expression dans la politique des risques dfinie par lentreprise financire.
1.7.4.4
Le traitement des risques sinscrit dans un dispositif global qui couvre une chane de dcisions et
dactions. Il suppose donc une architecture dcisionnelle efficace, un systme dinformation robuste et
fiable et des procdures bien documentes et respectes.
La chane des traitements inclut :
la prvention du risque, par la fixation dun "plafond" qui sexprime en termes, soit de montant
dexposition, soit de perte financire estime ;
le transfert partiel ou total du risque auprs dune partie tierce qui laccepte, par exemple lors
de la dgradation de la notation dun dbiteur ou de laugmentation de la variabilit anticipe
des paramtres de march ;
la gestion des incidents, par la mise en uvre de procdures spcifiques de recouvrement
dimpays ;
la simulation de situations de crise, par la mise en place de programmes intgrant la
survenance dvnements probabilit trs rduite mais aux consquences trs
prjudiciables.
contact[at]club-ebios.org
Approuv
Page 26 sur 37
Club EBIOS
1.7.4.5
18 novembre 2008
Le contrle et le suivi
La communication relative aux risques financiers sinscrit aujourdhui dans lexigence de transparence
lgard des parties tierces lentreprise requise par le lgislateur et les organes institutionnels de
supervision (Commission Bancaire).
Elle donne lieu divers types dtats normaliss destins linformation publique : document dit "de
rfrence", qui, outre les comptes de lentreprise, dtaille en particulier les facteurs de risques et leur
contrle ; tats COREP
1.7.5
Sil nexiste pas, en matire de gestion des risques financiers, de rfrences proprement parler, il
existe des mthodes et des outils.
On considrera que les indicateurs de risque voqus supra sont les outils privilgis pour la gestion
des risques :
note/score pour le risque de crdit/contrepartie ;
value at risk pour le risque de march.
Alors que les mthodes dtablissement des notes/scores restent assez largement spcifiques
chaque entreprise, les mthodes de calcul de la value at risk sont partages : approche
RiskMetricsTM, approche historique, approche Monte-Carlo
contact[at]club-ebios.org
Approuv
Page 27 sur 37
Club EBIOS
18 novembre 2008
SSI
La SSI est un secteur relativement rcent dans lequel une notion supplmentaire apparat : la
vulnrabilit. De plus les menaces dans ce secteur sont volatiles. Loutillage mthodologique et
logiciel disponible pour la gestion des risques est important et a vu notamment lapparition dun
systme de management intgr [ISO 27001]. La SSI est galement un secteur o de nombreuses
rglementations ont merg, rendant lanalyse des risques obligatoire.
2.2.2
Environnement
Lenvironnement se dmarque notamment par les notions daspects et dimpacts, ces derniers
pouvant savrer positifs. [AMDEC] est le principal outil utilis dans ce secteur pour lanalyse
macroscopique, tandis que lcotoxicologie est utilise pour la partie microscopique. La
rglementation est lourde et contraignante pour certains secteurs (directive SEVESO). Pour y
rpondre un systme de management intgr [ISO 14001] permet de globaliser la dmarche.
contact[at]club-ebios.org
Approuv
Page 28 sur 37
Club EBIOS
2.2.3
18 novembre 2008
La gestion des risques professionnels se focalise principalement sur la prvention des risques. On y
retrouve la notion de cartographie des risques. [AMDEC] est galement rgulirement utilis pour
lanalyse des risques. Il faut noter que les risques professionnels sont souvent soumis des sanctions
pnales. Le secteur des risques professionnels dispose galement de son systme de management
ddi [OHSAS 18001].
2.2.4
Un risque juridique est une conjonction entre un vnement et un rfrentiel lgal (code civil,
rglementation sectorielle, contrat entre parties). Les responsables sont particulirement sensibles
ce secteur car les sanctions pnales peuvent mettre en danger la survie dune organisation. La
rglementation est complexe, rpartie sur diffrentes juridictions (europen, national, sectoriel,
communal), et qui de plus varie en permanence selon notamment la jurisprudence, imposant un
vritable travail de veille continu qui peut vite savrer trs coteux.
2.2.5
Gestion de projet
La gestion des risques de projet se distingue par labsence dune tape spcifique dtude du contexte
(ralise gnralement lors de la gestion de projet dans son ensemble). Ltape dacceptation du
risque est quant elle absente des mthodes classiques de gestion des risques de projet. De plus, la
gestion des risques de projet peut galement dboucher sur des impacts positifs. Les plans de
continuit et les plans de reprise sur incident de la SSI rejoignent la notion de contingence en gestion
de projet : on accepte le risque tout en le surveillant.
2.2.6
Sret de fonctionnement
La gestion des risques de sret de fonctionnement sinscrit clairement dans le cycle de vie complet
du systme tudi. Il se distingue principalement par son approche spcifique du risque, dcrite en
termes de faute, erreur et dfaillance. Au cours des dernires annes, on a constat un
rapprochement entre la SSI et la suret de fonctionnement.
2.2.7
Les risques financiers sont partie intgrante des activits des entreprises financires. Leur gestion est
donc une des cls du dveloppement prenne (on prfre dire "durable" aujourdhui) de ces
entreprises. Sils prsentent une particularit, elle est peut-tre chercher dans les possibilits
originales mais aussi hautement complexes de leur transfert lconomie et donc sans doute en une
monte de la vulnrabilit densemble de cette mme conomie
contact[at]club-ebios.org
Approuv
Page 29 sur 37
Club EBIOS
18 novembre 2008
Conclusion
La finalit de l'activit de gestion des risques reste dans tous les secteurs la recherche de la meilleure
balance des cots (directs ou indirects) entre la prise de risque et le traitement du risque. Certains
secteurs (environnement et professionnels par exemple) jouent sur des effets en longue dure voire
irrversible, la diffrence dautres secteurs plus immdiats.
Il existe trois grands types de risques :
les risques stratgiques (ou risques mtiers). Par exemple la cration dune entreprise, dun
produit ou un investissement dans les technologies de l'information ;
les risques oprationnels sous-jacents la ralisation de lactivit (technologies de
l'information, juridique, professionnel, environnement) ;
les risques financiers : insolvabilit, perte de trsorerie, volatilit des cours, fraude, dfaut de
paiement
Le but de gestion des risques est de crer un cycle vertueux. On peut considrer que la gestion ellemme a un impact positif. Cependant elle dpend directement de celui qui la ralise et de lendroit o
on la ralise. Par exemple, considrer lincendie dans la SSI ne se fait pas de la mme manire que
dans la scurit physique.
Bien que le processus de gestion des risques soit souvent commun entre les secteurs dans ses
grandes lignes, les divergences apparaissent plus dans la terminologie, qui peut souvent tre trs
diverse, mme au sein dun mme secteur. Par ailleurs, certaines tapes du processus global sont
plus fournies selon les secteurs. Au niveau de la rglementation, cette dernire joue un rle important
dans la gestion des risques de nombreux secteurs, car elle donne aux gestionnaires de risque (risk
manager) les rgles ncessaires respecter.
Les systmes de management sont apparus comme une solution pertinente pour diffrents secteurs,
qui se sont rapprochs via cet outil, en vue de raliser une gestion des risques globale et intgre.
contact[at]club-ebios.org
Approuv
Page 30 sur 37
Club EBIOS
18 novembre 2008
Annexes
Acronymes
AMDE
AMDEC
APR
EMAS
HAZOP
ISO
MTTF
OCDE
OHSAS
PNEC
SI
Systme dInformation
SSI
contact[at]club-ebios.org
Approuv
Page 31 sur 37
Club EBIOS
18 novembre 2008
Bibliographie
Les rfrences suivantes apparaissent entre crochets dans le prsent document :
[ADELI]
[AMDEC]
[Avizienis]
Avizienis, A., et al., Basic concepts and taxonomy of dependable and secure
computing, IEEE Trans. Dependable and Secure Computing. 1(1): p. 11-33
(2004).
[Bradbury 2004]
Bradbury, S.B., Feijtel, T.C.J., Van Leeuwen, C.J., Meeting the scientific
needs of ecological risk assessment in a regulatory context, Environmental
science & technology (2004).
[Callow 2003]
[Courtot 1998]
Courtot, H., La gestion des risques dans les projets, Economica (1998).
[CRAMM]
[Degobert 2004]
[Dubois 1996]
[EBIOS]
[ECSS Hazard]
[ECSS Safety]
[EMAS]
[EN 50126]
[EN 50129]
[EN 61508]
contact[at]club-ebios.org
Approuv
Page 32 sur 37
Club EBIOS
18 novembre 2008
[FR 1016]
[FR 1414]
[FR DRT-6]
Circulaire DRT n6 du 18 avril 2002 pris pour l'application du dcret n20011016 portant cration d'un document relatif l'valuation des risques pour la
sant et la scurit des travailleurs, prvue par l'article L. 230-2 du code du
travail et modifiant le code du travail (2002.)
[HERMES]
[IDS 56]
[IGI 1300]
[ISO 10006]
[ISO 14001]
[ISO 15408]
[ISO 27001]
[ISO 27005]
[ISO 31000]
[ISO 8402]
[ISO 9001]
contact[at]club-ebios.org
Approuv
Exigences,
International
Page 33 sur 37
Club EBIOS
18 novembre 2008
[Laprie]
[OCDE]
[OCTAVE]
[OHSAS 18001]
[OHSAS 18002]
[PMBOK]
[PRINCE2]
[SEVESO]
[Thybaud 2005]
[UE 1488]
[UE 156]
[UE 271]
[UE 391]
[UE 67]
[UE 676]
[UE 793]
contact[at]club-ebios.org
Approuv
Page 34 sur 37
Club EBIOS
18 novembre 2008
[Verdun 2006]
[Villemeur]
contact[at]club-ebios.org
Approuv
Page 35 sur 37
Club EBIOS
18 novembre 2008
Oui
Non
Non
Si oui :
Si oui :
Qu'auriez-vous souhait y trouver d'autre ?
.................................................................................................................
.................................................................................................................
Quelles parties du document vous paraissent-elles inutiles ou mal
adaptes ?
.................................................................................................................
.................................................................................................................
Pensez-vous qu'il puisse tre amlior dans sa forme ? Oui
Non
Si oui :
Dans quel domaine peut-on l'amliorer ?
- lisibilit, comprhension
- prsentation
- autre
Prcisez vos souhaits quant la forme :
.................................................................................................................
.................................................................................................................
Si non :
Prcisez le domaine pour lequel il ne vous convient pas et dfinissez ce qui vous
aurait convenu :
..........................................................................................................................................
..........................................................................................................................................
Quels autres sujets souhaiteriez-vous voir traiter ?
..........................................................................................................................................
..........................................................................................................................................
Club EBIOS
18 novembre 2008
N Type
1
Rfrence
nonc de la remarque
Solution propose