Comment faire une analyse de risques ?

Qu’est-ce que le risque ?

Rien n’est moins sûr que l’incertain.
Pierre Dac (l’os à moelle)

Définition : Le risque est un danger éventuel plus ou moins prévisible qui peut affecter l’issue du projet. Il ne sera pas possible de tous les éliminer, le risque zéro n’existe pas.
Source : Le chef de projet efficace

Toute la question repose sur la capacité d’anticiper le risque:
Somme-nous capables d’estimer la probabilité d’occurrence du risque et d’en anticiper les éventuelles impacts en terme de gravité si jamais le pire arrivait. Comment les prévenir ? Et, le cas échéant, comment y remédier pour amortir les impacts ?
Voilà des questions qui méritent des réponse précises.

Mais attention, tous les risques ne sont pas prévisibles, il faudra bien compter avec les impondérables.

Comment évaluer les risques ?

Bien entendu, il est inconcevable d’envisager de se prémunir de tous les dangers inhérents à la conduite d’un projet complexe. Il est toutefois indispensable de procéder à une étude complète et raisonnée des risques potentiels plus ou moins prévisibles, afin de dépasser le stade des croyances fondées ou non. Une analyse rigoureuse est une bonne garantie de réussite. la démarche la plus simple se déroule en cinq temps majeurs.

La carte de « chaleur » pour classifier

La table qui suit est un exemple de ventilation des risques inventoriés en tenant compte de la criticité ou impact et de la probabilité d’occurrence :

  • La zone rouge, de haute chaleur répertorie les risques inacceptables à aucun prix.
  • La zone orange, de chaleur élevée identifie ceux qui nécessitent des palliatifs urgents.
  • La zone jaune, de chaleur moyenne identifie ceux qui nécessitent des palliatifs préalablement définis.
  • Ceux de la zone verte sont acceptables mais à surveiller selon les conditions définis au moment de l’élaboration de la table, ceux en vert le plus sombre peuvent être ignorés.
Table de classification des risques

Les 5 étapes de la méthode d’Analyse

Voyons maintenant comment dérouler la démarche afin de démarrer le projet en limitant autant que faire ce peut les risques d’échecs. Cette démarche se déroule en 5 temps majeurs, tous aussi importants l’un que l’autre.

1. Établir l’inventaire des risques

Il s’agit de ratisser large et de considérer toutes les formes de risques (humain, financier, organisationnel, technologique…)

Type de risques potentiels pour un projet : financiers, organisationnels, techniques, sociaux, environnementaux sont pris en considération sans aucune exception.

  • Sources d’information : Enquêtes de terrain, exploration des archives, analyse de la mémoire des réalisations antérieures, consultation d’experts, expérience du chef de projet. Une large consultation de tous ceux qui ont approché par le passé un projet similaire est une source précieuse d’information.
  • C’est aussi lors de cette étude que l’on mesure l’importance d’établir une mémoire des projets réalisés qu’ils aient réussi ou échoué.

Tous les risques inventoriés seront placé dans une table avec leur description, la table sera ensuite complété tout au long de l’analyse.

2. Pondérer les risques

Tous les risques n’ont pas la même probabilité de survenance, tous les risques ne sont pas égaux en terme de criticité. Il s’agit au cours de cette étape d’effectuer un classement rationnel.

  • Gravité ou Impact : Sur l’axe des ordonnés de la table de classification ci-dessus. Il s’agit évaluer la criticité de chacun des risques en terme d’impact, de dommages et de conséquences. Là encore on hésitera pas à explorer la mémoire collective des projets passés.
  • Probabilité : Sur l’axe des abscises de la table de classification ci-dessus. Ensuite, on évalue la criticité en termes de probabilité d’occurrence. Cet exercice n’est pas le plus aisé, on s’en doute. la précision en est toute relative, là aussi l’xpérience du collectif peut s’avérer importante.

Chaque risque de la table doit donc être pondérer, chaque critère est évalué de 1 à 5, le poids du risque est calculé comme le produit des deux critères précédents, pour ensuie évaluer sa couleur dans la table de classification ci-dessus et en déduire l’action requise.

3. Définir les parades

Pour chacun des risques, on se posera ces 3 questions successives :
– Peut-on l’éliminer ?
– Peut-on en limiter les effets ?
– Doit-on modifier le déroulement du projet ?

  • Éliminer le risque. Est-il possible de l’éliminer en augmentant les ressources ou en intégrant dans l’équipe de nouveaux intervenants spécialistes de la question et plus aguerris ? Le coût sera l’un des principaux critères de jugement.
  • Limiter les effets dévastateurs des sinistres potentiels. De même, la solution est souvent du côté de l’optimisation de la gestion des ressources.
  • Réviser le projet. Faut-il modifier les orientations, limiter les spécifications et trouver des alternatives plus paisibles quitte à modérer les ambitions et à procéder à des simplifications ? Une précaution à prendre au cas par cas.
  • Il ne faut pas non plus hésiter à limiter le périmètre du projet pour gagner en visibilité. les projets courts et rapidement mis en oeuvre son plus aisés à gérer et à intégrer dans l’existant.

4. Identifier les points critiques

Une étape souvent oubliée dans les études de risques.

Les risques sont changeants. La probabilité et la criticité évoluent au fur et à mesure de l’avancement du projet. Certaines phases du projet sont plus à risques que d’autres. Il faut les identifier.

  • Lieux et/ou moments où la probabilité et/ou la gravité sont les plus importants, les instants du déroulement où il faudra redoubler de vigilance.

On le constate dans le cycle de vie d’un projet ci-dessous, à chaque jalon important une réévaluation des risques est réalisée :

Cycle de développement sécurité
Cycle de développement sécurité

5. Réviser la table des risques

La table des risques n’est pas statique, il faut la réviser régulièrement.

  • Suivre l’évolution dans le temps de la criticité.
    Cette table n’est pas statique, elle n’est pas non plus une assurance.
    Prévoir un danger n’est pas s’en protéger !
  • En outre, la dangerosité potentielle tout comme la probabilité d’occurrence évoluent au fil du temps et de l’avancement.
    Cette table sera soigneusement suivie et mise à jour très régulièrement.

Voici un exemple de table d’analyse des risques réalisée pur une salle informatique déportée :

Comment s’y prendre ?

Et bien en impliquant un maximum de monde, en fouillant dans les archives, en incitant « les experts du moment» à la communication quels qu’ils soient, où qu’ils se trouvent ? Toutes les péripéties des projets passés, comme les difficultés et la manière de les solutionner sont une mine de ressources pour la réflexion préalable à l’analyse de risques. Mais encore faut-il avoir pris le soin d’enregistrer les expériences passées…

Le soin apporté lors du déroulement de chacune des étapes l’analyse de risques est d’une importance capitale pour la réussite du projet.

Il existe des méthodes spécialisées selon le domaine d’activité, par exemple pour un projet de sécurité des SI on pourra utiliser les méthodes EBIOS (ANSSI) ou MEHARI (CLUSIF), mais dans leurs principe elles se déroulent comme indiqué ci-dessus.

Gestion de crise et exercices

Définitions

Une crise est une situation anormale, venant perturber le fonctionnement habituel d’une organisation, pouvant aller jusqu’à la mettre en péril. Elle nécessite des réactions adaptées de la part des décideurs afin de revenir à une situation nominale, dans les meilleures conditions.

Alors même que la crise dépasse les capacités d’organisation et nécessite des mesures exceptionnelles en interne ou en faisant appel à des tiers, elle est bien souvent la conséquence d’un ou plusieurs faits – prévisibles ou non – exogènes ou endogènes.

Afin de pouvoir réagir au mieux, la préparation, l’anticipation, la prévision, la sensibilisation et la formation sont des éléments essentiels permettant une gestion adaptée, cohérente et efficace dans des situations instables. Cela passe par la rédaction de politiques de gestion de crise et de continuité d’activité, l’investissement en ressources humaines et matérielles, ou encore, la formation à la gestion de crise.

Exercices de gestion de crise

L’exercice de crise, qu’il soit « sur table » ou « terrain », annoncé ou inopiné, permet de manière transversale de répondre à plusieurs éléments de préparation à la gestion de crise, en fonction des objectifs de l’organisation et de son niveau de maturité.

Il faut alors considérer l’exercice de crise, d’une part en tant que moyen de validation de dispositifs et politiques, d’autre part en tant qu’outil ded formattion et enfin, en tant que levier stratégique, le tout, au profit d’une gestion de crise plus efficiente.

S’exercer pour valider les dispositifs et politiques de gestion de crise

Exemple d’exercice de crise dans le cadre d’un plan de continuité infomatique / PRA

Mettre en place pour la première fois une politique de gestion de crise ou revoir un dispositif de gestion de crise, doit provoquer l’automatisme de le tester, le valider de manière opérationnelle.

Politique de gestion de crise

En effet, à froid et en théorie, la conception et la rédaction de politiques de gestion de crise et de continuité d’activité peuvent paraître complètes et opérationnelles. Cela est effectivement peut-être le cas. Cependant, les acteurs de la gestion de crise, réussiront-ils à les comprendre et à se les approprier le moment venu, en cas de crise réelle ? Seule une mise en situation – la plus réaliste possible – permettra de mettre en lumière d’éventuels effets de bord. Ces derniers pourront être corrigés dans des versions ultérieures des politiques de gestion de crise. La fameuse roue de Deming, avec le « PDCA » (Plan / Do / Check / Act)[  issu de la norme ISO entre alors en jeu pour une amélioration continue vertueuse.

Vérifier et valider les dispositifs de gestion de crise est incontestablement un atout permettant de gérer au mieux la potentielle crise à venir. Cela permet également, grâce à l’exercice de crise, de profiter de cette occasion pour sensibiliser et former les collaborateurs à la gestion de crise.

Services de consulting

  • Évaluation ou audit de plan de continuité et de processus de gestion de crise
  • Définition et au déploiement de plans d’action d’amélioration.
  • Définition du processus opérationnel de gestion de crise.
  • Coaching du responsable de gestion de crise.
  • Organisation d’exercice sur table de gestion de crise.

Sécurité en développement logiciel

Développement et maintenance des systèmes

La stratégie d’une entreprise développant des logiciels se doit d’envisager les propriétés et les implications de la sécurité des applications, des systèmes et des services utilisés ou fournis par l’entreprise tout au long du cycle de vie d’un projet.

La charte de sécurité de développement des applications, systèmes et services de l’entreprise doit prévoir que les équipes et les personnes mettent en œuvre les mesures de sécurité appropriées dans les applications, les systèmes et les services en cours de développement, en fonction des risques et préoccupations de sécurité identifiés. La charte doit mentionner que l’entreprise dispose des rôles et des responsabilité de sécurité dont la mission est de fournir des lignes directrices de sécurité et d’assurer l’évaluation des risques.

L’entreprise doit mettre en oeuvre un certain nombre de mesures visant à garantir que les produits logiciels et services quelle propose aux utilisateurs soient conformes aux normes les plus strictes sur la sécurité logicielle. Cet article décrit une approche en matière de sécurité logicielle, celle-ci peut s’adapter et évoluer en fonction de l’organisattion et de la culture de l’entreprise.

Consultation et revue de sécurité

S’agissant de la conception, du développement et du fonctionnement des applications et services, les rôles de sécurité inclus les catégories principales de services de consultation suivantes aux équipes de développement, techniques et production :

  • Revues de sécurité au niveau de la conception : évaluations au niveau de la conception des risques de sécurité d’un projet et mesures d’atténuation correspondantes, tout en considérant leur caractère approprié et leur efficacité.
  • Revues de sécurité au niveau de l’implémentation : évaluation au niveau de l’implémentation des artefacts de code pour mesurer leur fiabilité par rapport aux menaces de sécurité applicables.
  • Consultation de sécurité : consultation en continu des risques de sécurité associés à un projet donné et solutions éventuelles aux problèmes de sécurité, souvent sous forme d’exploration de l’espace de conception dans les phases initiales des cycles de vie des projets.

Une multitude de types de problèmes de sécurité peuvent intervenir au niveau de la conception du produit, c’est pourquoi ils doivent être pris en considération et résolus au plus tôt lors de la phase de conception du produit ou du service. La finalité essentielle de la revue de sécurité au niveau conception est de garantir la prise en compte de ces considérations. 

Dans ce cadre, la revue de sécurité au niveau de la conception se fixe les objectifs suivants :

  • Fournir une évaluation de haut-niveau des risques de sécurité associés au projet, sur la base d’une recherche des menaces réelles en réalisant une analyse des risques.
  • Procurer aux décideurs du projet les informations nécessaires afin qu’ils puissent faire des choix éclairés en matière de gestion des risques et intégrer les considérations de sécurité dans les objectifs d’un projet.
  • Fournir des lignes directrices quant au choix et à la mise en œuvre correcte de contrôles de sécurité planifiés (par exemple : protocoles d’authentification ou chiffrement).
  • S’assurer que l’équipe de développement dispose de la formation adéquate eu égard aux classes de vulnérabilités applicables, aux schémas d’attaque et aux stratégies d’atténuation appropriées.

Lorsque des projets impliquent des fonctionnalités ou des technologies innovantes, un des rôles de sécurité est chargé de rechercher et d’explorer les menaces, les schémas d’attaque potentiels et les classes de vulnérabilités spécifiques des technologies et fonctionnalités en question. Le cas échéant, l’entreprise peut sous-traiter à des prestataires la consultation de sécurité pour compléter les compétences de l’équipe de sécurité et obtenir une revue indépendante garante d’objectivité afin de valider les revues de sécurité internes.

Sécurité dans le contexte du cycle de vie des logiciels

La sécurité est au cœur du processus de conception et de développement que l’on nomme cycle de vie des logiciels ou Software Devlopment Life Cycle (SDLC) en anglais. L’organisation technique de l’entreprise ne requiert pas que les équipes de développement de produits suivent un processus de développement logiciel particulier, au contraire, les équipes choisissent et mettent en œuvre des processus adaptés aux besoins du projet. Dans ce cadre, un certain nombre de processus de développement logiciel sont utilisés, allant des méthodologies de développement Agile aux processus plus classiques : par étapes, en V ou en cascade.

Sur les illustrations ci-dessous vous pouvez découvrir comment l’intégration de la sécurité se fait dans un cycle en V :

Les processus du développement logiciel
Les processus du développement logiciel
Cycle de développement sécurité
Cycle de développement sécurité

Les processus de revue de la sécurité sont prévus pour fonctionner dans la structure choisie. Leur réussite dépend de la culture technique en matière de qualité et de quelques exigences définies par la direction technique des processus de développement de projet :

  • Documentation de conception revue par les pairs.
  • Conformité aux lignes directrices de style de codage.
  • Revue de code par les pairs.
  • Tests de sécurité multi-couches.

Les exigences ci-dessus représentent la culture d’ingénierie logicielle, dans laquelle les objectifs clés sont la qualité, la fiabilité et la maintenabilité des logiciels. Tandis que la finalité première de ces exigences est d’encourager la création d’artefacts logiciels irréprochables en matière de qualité logicielle, les bonnes pratiques de sécurité suggèrent également qu’ils représentent des « moteurs » significatifs et évolutifs en faveur de la réduction de l’incidence de failles de sécurité dans la conception logicielle :

  • L’existence d’une documentation de conception suffisamment détaillée constitue une condition préalable du processus de revue de sécurité au niveau de la conception, dans la mesure où lors des premières phases du projet, c’est en général le seul artefact disponible pour élaborer les évaluations de sécurité. Bon nombre de classes de failles de sécurité au niveau implémentation s’apparentent finalement à des défauts fonctionnels courants, à faible risque. La plupart des failles au niveau implémentation sont le résultat d’omissions très simples de la part du développeur.
  • Avec des développeurs et des réviseurs de code formés aux schémas de vulnérabilité en vigueur et aux méthodes permettant de les éviter, une culture du développement basée sur la revue par les pairs, insistant sur la création d’un code de haute qualité est un moteur important et évolutif vers une base de code sécurisée.

Les développeurs logiciels de l’équipe de sécurité collaborent avec d’autres développeeurs de l’entreprise sur le développement et la validation de composants réutilisables conçus et implémentés pour permettre aux projets logiciels d’éviter certaines classes de vulnérabilités. Parmi les exemples figurent les couches d’accès aux données conçues pour résister aux failles d’injection de langage de requête SQL, ou les structures de modèles HTML avec défenses intégrées contre les vulnérabilités XSS.

Formation à la sécurité

Reconnaissant l’importance d’une main-d’oeuvre technique formée aux pratiques de codage sécurisé, le responsable sécurité met en place une campagne de communication et un programme de formation à l’intention des équipes, dont le contenu est le suivant :

  • Formation des nouveaux développeurs à la sécurité
  • Création et gestion d’une documentation complète sur les pratiques sécurisées de codage et de conception
  • Références ciblées et contextuelles à la documentation et aux supports de la formation (par exemple, des outils automatisés de test des vulnérabilités fournissent aux ingénieurs des références à la documentation de formation et de fond en rapport avec les bugs ou classes de bugs spécifiques mis en évidence par l’outil)
  • Présentations techniques sur les rubriques relatives à la sécurité
  • Newsletter sur la sécurité distribuée à l’ensemble des équipes et destinée à informer la main-d’œuvre technique des menaces, schémas d’attaque, techniques d’atténuation, bibliothèques liées à la sécurité, meilleures pratiques et lignes directrices, etc. recensés récemment
  • Ateliers sécurité, sous forme de conférences récurrentes à l’échelle de l’entreprise, qui réunit les développeurs des différentes équipes travaillant sur la sécurité et propose des présentations techniques détaillées sur les sujets de sécurité

Tests et revue de sécurité au niveau implémentation

L’entreprise doit appliquer un certain nombre d’approches pour continuer de réduire l’incidence de failles de la sécurité au niveau de l’implémentation dans ses produits et services :

  • Revues de sécurité au niveau implémentation : réalisées par les rôles de sécurité, généralement lors des dernières phases du développement de produits, les revues de sécurité au niveau implémentation visent à valider la résistance d’un artefact logiciel aux menaces de sécurité applicables. Ces revues sont généralement constituées d’une réévaluation des menaces et contremesures identifiées lors de la revue de sécurité au niveau conception, de revues ciblées sur le code critique pour la sécurité, de revues de code sélectives permettant d’évaluer la qualité du code du point de vue de la sécurité, et de tests de sécurité ciblés.
  • Tests automatisés des failles dans certaines classes de vulnérabilités pertinentes. Pour ces tests, il faut utiliser aussi bien des outils développés en interne que des outils disponibles sur le marché.
  • Tests de sécurité réalisés par des ingénieurs de la qualité logicielle dans le contexte des actions menées en matière de test et d’évaluation de la qualité logicielle globale du projet.

Services de consulting

Nous menons les projets de conseils en sécurité avec une offre de services très diversifiée et adaptée à vos besoins, par exemple :

Les enjeux de la conformité RGPD

Quelle conformité pour les organisations ?

Le Règlement européen impose une prise en compte accrue de la protection des données à caractère personnel : « Protection des données dès la conception » et « Protection des données par défaut ».

L’urgence est de prendre en compte les exigences du RGPD dans les contrats au plus tôt et en particulier sur le changement du statut du sous-traitant en termes de responsabilités (article 26 et article 28).

L’ampleur des sanctions (article 84) en cas de non conformité va de 10 M€ ou 2% du CA mondial consolidé à 20 M€ ou 4% du CA mondial consolidé. Le montant le plus élevé étant retenu comme sanction maximale possible.

Lorsque des transferts d’information hors Union Européenne sont effectués, des BCR ou Binding Corporate Rules peuvent constituer une solution juridique de mise en conformité et de maintient d’exploitabilité.

Le chapitre IV section 4 concerne le Délégué à la Protection des Données (DPD) ou Data Privacy Officer (DPO). L’obligation de la désignation d’un DPO ne concerne pas toutes les structures, bien que la CNIL recommande fortement sa désignation, y compris dans les cas d’exceptions. Le DPO peut être un rôle interne porté par un salarié ou externalisé chez un prestataire.

Preuves de la responsabilité opérationnelle et juridique de l’organisation, le corpus documentaire exigé est constitué :

En synthèse les exigences du RGPD sont :

  • Protection des données dès la conception (Privacy by Design).
  • Protection des données par défaut (Privacy by Default).
  • Représentant dans l’organisation (Data Protection Officer).
  • Registre des traitements.
  • Coopération avec l’autorité de contrôle.
  • Notification à l’autorité de contrôle.
  • Notification des personnes concernées.
  • Analyse d’impact (Privacy Impact Assessment).

En cas de défaut la sanction prévue est de 2% du CA consolidé ou 10 M€.

La suite des exigences :

  • Respect des principes de base d’un traitement (Licéité, loyauté, légitimité, consentement, données sensibles …).
  • Respect du droit des personnes (Droit d’accès, de rectification, d’effacement dit « Droit à l’oubli », à la limitation du traitement, à la portabilité et d’opposition).
  • Respect des règles relative au transfert de données (Privacy Shield / Binding Corporate Rules).

Dans ces cas le non respect peut être sanctionné par 4% du CA consolidé ou 20 M€.

La mise en conformité n’est pas un simple projet, il s’agit plus d’un changement de culture dans les organisations quelques soient leurs tailles.

Méthodologie

Pour qu’une organisation se mette en conformité, il faut qu’elle se prépare en 6 étapes selon les conseils de la CNIL :

  1. Désigner un pilote,
  2. Cartographier les traitements de données personnelles,
  3. Prioriser les actions,
  4. Gérer les risques,
  5. Organiser les processus interne,
  6. Documenter la conformité.

Pour rester dans l’esprit de ces étapes nous proposons de vous accompagner sur un projet de mise en conformité en 5 phases comme suit (cliquer sur l’image pour l’agrandir) :

RGPD Méthodologie projet

Ce type de projet vous permet d’obtenir une évaluation de votre conformité au Règlement européen, d’avoir une cartographie complète de vos traitements et un plan d’action d’amélioration pour être en conformité. L’ensemble des résultats obtenus permet au DPO ou au responsable de traitement de prendre en charge immédiatement le maintien de cette conformité et le pilotage du plan d’action. Il est conseillé de réévaluer la démarche au moins une fois tous les 3 ans.

Services de consulting

Nous menons les projets de mise en conformité RGPD avec une offre de services très diversifiée et adaptée à vos besoins, par exemple :

  • Évaluation flash de maturité au RGPD et à la sécurité des données.
  • Pilotage complet du projet de mise en conformité RGPD.
  • Etablissement et documentation du registre des traitements.
  • Sensibilisation au Règlement et aux bonnes pratiques de sécurité.
  • Analyse de risques et evaluation d’impact sur la vie privée.
  • Coordination du plan d’amélioration des processus et de la sécurité du SI.
  • Aide au déploiement des processus de sécurité des données.

Vos systèmes d’information sont vulnérables face aux cyberattaques

Des attaques toujours plus sophistiquées.

Chefs d’entreprise, les cybercriminels sont embusqués derrière vos portes électroniques ! La révolution numérique a fait apparaître un nouveau type d’attaques: les attaques sur Internet qui, selon les statistiques, s’accroissent à un rythme exponentiel, tout autant que leur sophistication. C’est que la ressource électronique est considérable, voire inépuisable, qu’il devient facile techniquement d’y accéder, il suffit d’être connecté, que l’activité est particulièrement rentable et qu’elle s’effectue la plupart du temps en toute impunité.

Comme au temps des attaques de diligences, vous ne les voyez pas, mais ils vous guettent, ils cherchent à déceler vos vulnérabilités et le moment opportun pour dérober vos données sensibles et stratégiques; neutraliser votre système informatique, saboter votre site e-commerce ou votre entreprise; porter atteinte à son image; s’approprier vos innovations technologiques!

Ce sont les TPE-PME les plus vulnérables.

Selon les experts 14 millions de Français ont été les victimes de piratages informatiques en 2016, dans un récent rapport Symantec montre l’ampleur du phénomène en indiquant que 77% des PME ont fait l’objet d’attaques sur le territoire français cette année, et il précise que ce sont les TPE-PME qui sont les plus vulnérables. En effet, les grandes entreprises sont en général bien organisées contre ces nouvelles menaces grâce à la présence en leur sein de professionnels qui mettent en place un système optimum de sécurité numérique.

Les faits montrent, en revanche, que les TPE-PME, non seulement ne disposent pas d’une telle protection, mais surtout qu’elles ne sont pas informées sur la menace et, en conséquence, sur la nécessité de prendre urgemment des mesures d’organisation pour se protéger. En outre, faisant le plus souvent partie de l’écosystème de grandes entreprises, elles sont toujours les victimes collatérales des attaques informatiques régulières dirigées contre ces dernières.

Si votre entreprise était touchée, auriez-vous la capacité de tout reconstruire ? Que faire en cas d’attaque ? Et en cas de fuites de données confidentielles ? Comment gérer ce type de crise ?

Chefs d’entreprise de TPE et PME, comment vous protéger ?

Un exercice d’introspection préalable est nécessaire afin de déterminer ce que vous devez protéger, à quel degré, et dans quel ordre de priorité. C’est une évaluation des risques ou comme l’exige le RGDP une analyse d’impact qui s’accompagne d’une analyse des risques pour la sécurié des données.

eval-risques

Puis, en fonction des vulnérabilités constatées avec les spécialistes, il convient d’organiser votre espace et votre outil de travail. Une organisation efficace en terme de gestion de la sécurité des SI et de la qualité de ses processus opérationnels doit s’appuyer sur trois piliers : la Technologie, ses Processus et ses Ressources humaines.

L’objectif technologique est d’empêcher toute intrusion physique et électronique et garantir la résilience de l’entreprise, en agissant sur l’infrastructure et l’équipement des pièces, en définissant une architecture de réseau en fonction de vos besoins, et également en installant un arsenal défensif préventif (firewall, proxy, antivirus, antispam) ainsi que les outils permettant une sauvegarde professionnelle de vos données.

En parallèle de cette démarche technologique, il s’agira de mettre en place une politique de sécurité des systèmes d’information (SSI) pragmatique. Celle-ci devra spécifier la répartition des responsabilités SSI au sein de l’entreprise, l’ensemble des processus qui contribueront à maintenir la sécurité, l’organisation du site, des hommes et des réseaux, l’arsenal défensif préventif choisi, une charte informatique qui définisse l’usage professionnel et privé de l’entreprise avec des règles et des procédures de sécurité dont il faudra veiller à la stricte application, une stratégie de reprise après une attaque, fondée sur un arsenal défensif curatif (sauvegarde professionnelle, archivage, plan de reprise ou de continuité d’activité, …).

Finalement, il sera nécessaire de former et d’entraîner votre personnel afin de réduire les vulnérabilités et d’assurer un maîtrise des comportements en cas d’incident et des actions préventives.

A cet égard l’Agence nationale de la sécurité des systèmes d’information (ANSSI) et la CGPME présentent, dans leur Guide des bonnes pratiques de l’informatique, des règles essentielles et pragmatiques pour la sécurité des systèmes d’information des petites et moyennes entreprises que nous vous recommandons.

Services de consulting

Pour faire face aux dangers de la cybercriminalité et vous en prémunir, nous pouvons vous accompagner en vous apportant des conseils et des solutions adaptées et pragmatiques pour vous permettre d’assurer la sécurité de vos données sensibles et faire face aux menaces visant vos systèmes d’information, notamment en :

  • établissant un diagnostic personnalisé au sein de votre entreprise ou avec vos prestataires (audit),
  • organisant l’espace et les outils de travail pour une protection optimum,
  • élaborant une politique et des processus de sécurisation des systèmes d’information,
  • sensibilisant et en formant vos Managers et vos collaborateurs,
  • rééquilibrant les trois piliers au sein de l’organisation, en particulier sur l’axe humain, pour rendre la prévention des risques plus efficiente et pérenne.

Le RGPD c’est quoi ?

Le contexte réglementaire est de plus en plus présent dans la sphère des systèmes d’information, suivant en cela l’importance grandissante que nous donnons par nos usages à ces systèmes.

C’est le cas du nouveau Règlement Européen pour la Protection des Données RGPD, GDPR en anglais. Ce texte publié en avril 2016 sera applicable le 25 mai 2018 dans tous les pays de la communauté européenne. Il apporte des évolutions importantes quant aux exigences de conformité et aux conséquences d‘une non-conformité. L’enjeu pour les organisation est donc de mettre en place les processus nécessaires à cette conformité au RGPD avant l’échéance de 2018.

Voici en vidéo un tour d’horizon des principales questions qui se posent :

Sécurité des données à caractère personnel

La cybercriminalité cause des préjudices importants, ce qui conduit à une réflexion sur le management de l’information. Une étude en 2017 a chiffré à 3 millions d’euros le coût moyen pour une entreprise victime de cyberattaques. Le plus intéressant consiste à déterminer les origines des failles ayant permis les cyberattaques. Dans 48% des cas, il s’agit d’une défaillance humaine, preuve que la sensibilisation des collaborateurs en matière de protection du cyberespace n’est pas acquise dans les entreprises.

Data protection
La protection des données, une affaire de sécurité.

Le texte européen expose un grand nombre d’exigences dont la finalité est d’assurer la sécurité des données personnelles de la « personne concernée ». L’examen de ces exigences montre qu’elles sont particulièrement structurantes. Il montre aussi qu’elles sont mutualisables avec des pratiques de gestion vouées à la sécurité des processus de l’organisation, par exemple l’analyse d’impact citée par le règlement qu’il convient d’aligner et de mutualiser avec l’analyse de risque SSI déjà en place dans beaucoup d’organisation comme le préconise l’ANSSI dans son Guide d’hygiène informatique (Mesure 41 – Mener une analyse de risques formelle).

Un autre point à prendre en compte vis à vis du règlement est la nécessaire implication d’un panel très étendu de parties prenantes, allant bien au-delà de la seule sécurité des systèmes d’information.

Pour répondre à ce besoin de conformité au meilleur coût global, il convient donc de mettre en place une démarche permettant d’identifier toutes les synergies possibles entre la conformité au règlement et la gestion des risques sécurité. Cette démarche permet notamment de valoriser les pratiques existantes et de développer des nouveaux processus fortement mutualisés pour les deux finalités.

Aspects économiques

Si la conformité au RGPD est indispensable, elle est aussi un centre de coût, autant lors de l’atteinte de la conformité que lors de son maintien.

eval-risquesDes amendes ou sanctions sévères sont prévues en cas d’infraction au règlement. L’amende maximale s’élèvera à 20 millions d’euros ou 4% du chiffre d’affaires mondial annuel, la valeur la plus élevée étant retenue, ce qui représente un coût colossal pour la plupart des organisations. Le RGPD confère au responsable de la protection des données un rôle beaucoup plus important en raison de l’impact des amendes ou sanctions potentielles en cas d’infraction.

Pour qu’un projet de mise en conformité soit bénéfique à l’entreprise, il est indispensable de maîtriser ses coûts, cette maîtrise repose sur :

  • des processus adaptés au plus juste à l’organisation,
  • une recherche systématique de synergies.

L’objectif, lors de l’élaboration du schéma d’évolution puis lors de la mise en oeuvre du plan d’action de mise en conformité, est de concevoir une organisation et des processus qui soient pertinents et réalistes dans le contexte, au moment du projet et au cours des années à venir.

Un nouveau rôle dans les organisations : DPO

La désignation d’un Data Protection Officer (DPO), successeur du CIL – Correspondant Informatique et Libertés, est obligatoire en mai 2018, notamment dès lors que les entreprises feront des traitements à grande échelle de suivi régulier et systématique des personnes ou de données sensibles. Le DPO sera également obligatoire pour le secteur public, quel que soit la nature du traitement.

Au sein de chaque organisme concerné, le DPO sera le chef d’orchestre de la conformité. Il devra être consulté sur tout traitement de données à caractère personnel. Il aura son mot à dire en termes de sécurité informatique et de sécurité juridique, il contribuera aussi à la valorisation de la donnée car c’est un vrai enjeu de business et d’innovation, il fera en sorte que cette donnée soit traitée dans des conditions de sécurité adéquates pour éviter les risques pour les personnes et pour l’image de l’entreprise.

Nous pourrions vulgariser en disant que le DPO a pour objectif de s’assurer de la conformité de l’entreprise au RGPD mais, en pratique, c’est un peu plus que ça.

qs-numeriqueUn DPO doit mettre en place un environnement de travail qui soit en phase avec le RGPD. Pour cela, il doit être en capacité d’identifier les traitements, applications, flux de données, sites internet et autres traitements de données à caractère personnel (DCP). Il doit également être en capacité d’expliquer des choses complexes de façon simple. Avant d’attaquer la phase d’audit nécessaire à l’exécution de ses missions, il doit d’abord expliquer le règlement, identifier et sensibiliser les différents acteurs qui sont concernés. Les personnes du service informatique, le marketing ou encore les ressources humaines, toutes ces personnes sont différentes, elles ne parlent pas forcément le même langage, au DPO de faire en sorte que ces derniers soient capables de se comprendre pour travailler ensemble.

Une fois cette phase de sensibilisation faite, le DPO peut commencer par faire un état des lieux de ce qui existe, des bonnes et des mauvaises pratiques, ceci afin de prioriser ses missions à venir. S’il ne fait pas cette distinction, il y a fort à parier qu’il passera du temps sur des points éventuellement importants, mais pas critiques.

Le DPO ne décide pas directement : il forme, informe, conseille, fait l’état des lieux, conduit les audits, produit les analyses d’impact, des rapports et des constats relatifs aux façons qu’a l’entreprise de travailler avec les DCP, puis il coopère avec les administrations, comme la CNIL. En pratique il peut être rattaché aux postes de direction, voire à la direction générale de l’entreprise, dans la mesure où c’est à elle que revient la tâche de mettre en place les moyens nécessaires : temps, budget, outils…

Une fois les moyens alloués et mis en place, le DPO suit et accompagne la mise en oeuvre des plans d’actions, il est le point de référence des autres métiers, des compétences et des directions reliées à ces plans. Il joue, ici, autant le rôle de chef de projet que celui de facilitateur.

Le règlement impose aux entreprises de tenir un registre des traitements relatifs aux DCP : qui est le responsable de traitement, quelles données sont collectées, pour quelles finalités, combien de temps… C’est au DPO de créer et maintenir ces registres, cela permet à l’entreprise de savoir ce qui est fait, par qui, quand, comment et pourquoi et ce à tout moment. Cela permet également, en cas de contrôle, de mettre à disposition une cartographie complète des traitements relatifs aux DCP.

L’indispensable outillage et de la méthode

Face aux multiples dispositions du RGPD, le projet de mise en conformité peut représenter un défi complexe. D’autant plus que les efforts et les procédures requis pour satisfaire aux exigences du référentiel peuvent varier selon la configuration des systèmes, des procédures internes et de la nature de l’organisation.

ProcessusLa méthode pour ce type de projet préconisée par la CNIL se déroule en 6 grandes étapes clefs :

  1. Désigner un pilote pour le projet,
  2. Cartographier les traitements de données personnelles,
  3. Prioriser les actions à mener,
  4. Gérer les risques,
  5. Organiser les processus internes,
  6. Documenter la conformité.

Une première cartographie à l’aide d’outils peut être établi, il sera utilisé comme guide de référence du projet pour mettre en oeuvre des politiques et des procédures adaptées à la situation et aux besoins de l’entreprise.

Nous traitons, dans notre offre de services, de la manière la plus simple et la plus efficiente d’offrir aux organisations les moyens et les outils leur permettant un gain de temps maximal dans la gestion de leur conformité RGPD.

Le RGPD est entré en application le 25 mai 2018. La CNIL, régulateur des données personnelles et Bpifrance, ont uni leurs moyens pour élaborer un guide pratique qui réponde aux interrogations des entrepreneurs et leur propose un accompagnement pragmatique et adapté pour passer à l’action. La mise en place du RGPD est aussi l’occasion pour les TPE et PME de progresser dans leur maturité numérique.

La protection des données médicales

Une protection des données médicales encadrée en France

La France possède un régime juridique particulier sur la protection des données médicales, ce dit régime étant particulièrement efficace. De plus, la CNIL assure une surveillance particulière des dites données et elle délivre régulièrement des informations pratiques destinées à renseigner les professionnels de la santé et les patients.

Un cadre juridique et réglementaire complet

La France s’est doté la première d’un régime juridique spécifique aux données personnelles et à l’utilisation des données personnelles en général. En effet, la loi dite Informatique et Liberté promulguée le 06 janvier 1978 a pour objet spécifique de protéger le traitement des données à caractère personnel.

Le caractère sensible de cette catégorie de données, qui permet ainsi de catégoriser les individus en fonction de différents critères (identité, ethnie, sexe, état de santé …) justifie à lui seul la mise en place d’une protection. Si cette loi s’attache à traiter de la protection de l’ensemble des données dites à caractère personnel, la loi dite « Kouchner » promulguée le 4 mars 2002 a pour objet de s’intéresser particulièrement aux données médicales ou données de santé à caractère personnel.

Ainsi, l’article L. 1111-7 du code de la santé publique met en place pour les patients les conditions d’accès à leurs données relatives à leur santé. Lorsqu’un individu souhaite avoir accès à n’importe quel document dont le contenu est relatif à son état de santé, par exemple une feuille de consultation ou une ordonnance médicale, ce dernier peut demander directement ou par le biais d’un professionnel de santé accès à ce document. Il est une fois de plus intéressant à noter que la loi rappelle le caractère à la fois informatique ou non d’une donnée dite médicale, l’interprétation de la loi ne peut ainsi pas permettre d’abus de langage allant dans le sens d’une stricte interprétation informatique du terme de donnée.

Cependant, l’article L. 1111-8 du code de la santé publique s’attache plus précisément à la licéité de l’hébergement et du traitement de données de santé. Ainsi, dans le cadre d’opérations de soins ou de diagnostic, les données de santé collectées peuvent uniquement être hébergées auprès de personnes physiques ou morales qui sont agréées à cet effet. Le décret n°2006-6 du 4 janvier 2006 définit, quant à lui, les conditions d’agrément des hébergeurs de données de santé sur support informatique. Ses dispositions ont été insérées aux articles R.1111-9 et suivants du code de la santé publique.

De plus, cet hébergement de donnée de santé ne peut être effectué qu’après consentement exprès de la personne concernée. Enfin, les dispositions du code de la santé publique rappellent que le traitement de telles données doit évidemment respecter les conditions posées par la loi Informatique et Libertés.

Ainsi, aux vues de tout ce qui a été énoncé, la France s’est progressivement dotée au fur et à mesure des années d’outils juridiques efficaces dans la protection et surtout dans la prévention des atteintes potentielles portées aux données médicales.

Les professionnels de la santé sont ainsi encadrés lorsqu’ils sont amenés à travailler avec des données médicales. Par exemple, un pharmacien stocke des données issues de la lecture d’une carte vitale d’un patient ou d’une ordonnance sur des serveurs spécialement habilités à recevoir des données à caractère personnel. De plus, le secret médical imposé par la déontologie des professions relatives au milieu de la santé interdit toute divulgation de donnée médicale à autrui sans accord de ce dernier ou au détriment des conditions posées par la loi.

A ce titre, même si la loi pose des interdictions et des conditions de traitement des données médicales qui sont claires, le rôle de la CNIL dans le traitement de telles données reste non négligeable puisqu’elle assure un suivi pratique dans le suivi des dites données.

Des recommandations pratiques de bon sens aux utilisateurs

La CNIL ou Commission Nationale de l’Informatique et des Libertés a pour objet spécifique de protéger les données personnelles ainsi que de préserver les libertés individuelles de chaque individu. À ce titre, la CNIL accorde une attention particulière à la manière dont sont effectués des traitements de données à caractère personnel. Pour se faire, la CNIL utilise souvent des recommandations faites aux entreprises ou aux professionnels concernés afin de rappeler les pratiques idéales à effectuer suivant la situation. Dans le cas de la protection des données médicales, la CNIL s’est prononcée sur les modalités optimales à adopter dans le cas où un professionnel de santé héberge ou traite des données médicales.

La CNIL commence par rappeler la nécessité première de maintenir le degré de confidentialité des données de santé au même rang que celui du secret médical. Pour se faire, la CNIL donne des indications d’ordre technique qui, si elles peuvent paraître acquises pour de plus en plus de gens aujourd’hui au regard de l’ouverture du milieu informatique au grand public, reste nécessaire, voire indispensables dans certains cas, pour s’assurer d’un minimum de sécurité sur les données hébergées.

Dans un premier temps, la CNIL donne des recommandations relatives à la sécurité informatique minimale à adopter : un mot de passe doit être mis en place sur l’ordinateur et ce dernier doit faire l’objet d’un arrêt complet à chaque absence du professionnel de santé. De plus, il est recommandé par la CNIL de ne jamais faire de copie de son mot de passe pouvant être lu ou intercepté par un tiers non autorisé à accéder au système informatique. A ce titre, rappelons simplement que la simple intrusion dans un système informatique sans autorisation constitue à lui seul un délit pénal.

De plus, la CNIL recommande pour le professionnel médical de disposer de supports de sauvegardes externes permettant d’éviter la perte de données, ceci est bien évidement rappelé dans le Guide des bonnes pratiques de l’informatique de l’ANSSI (Agence Nationale de Sécurité des Systèmes d’Information). En effet, si un client venait à vouloir consulter ses données médicales et que le professionnel est dans l’incapacité de lui fournir, il se rendrait coupable d’un acte illicite, et ce même si la perte de données est liée à un problème technique ou ne dépendant pas de sa volonté.

Si la CNIL prend la peine de rappeler ces points qu’elle considère elle-même comme étant des dispositions de sécurité élémentaires, elle s’attarde également sur le cas où un traitement de données médicales fait l’objet d’une mise en réseau.

Dans un tel cas de figure, la CNIL recommande alors une gestion plus poussée des mots de passe : ces derniers doivent être distincts suivant l’utilisateur qui utilise l’ordinateur, par exemple chaque pharmacien devrait, pour un unique poste informatique dans un office, avoir son propre identifiant et son propre mot de passe. De plus trois erreurs consécutives sur une accès par mot de passe doivent, à l’instar des erreurs lors de l’entrée d’un code PIN erroné, verrouiller le système suffisamment de temps pour freiner les intrus.

De plus, la CNIL ne recommande pas à ce qu’un compte d’un utilisateur puisse être ouvert sur plusieurs postes différents, le risque étant que le professionnel médical n’est pas présent devant l’un de ses postes, ce qui rend accessible les données à un tiers, sauf si les postes en question peuvent être verrouillés avec un système connu uniquement du professionnel de santé. De plus, les données médicales peuvent faire l’objet d’un chiffrement, parfois improprement appelé cryptage, c’est une recommandation forte pour les données personnelles lors d’une exposition sur les réseaux ou sur les appareils mobiles. Ainsi, outre une intégrité des données qui doit constamment être vérifiée au plan informatique, la confidentialité de ces dernières doit être assurée par un chiffrement total ou partiel des données nominatives en fonction des cas. Enfin, dans le cas où l’accès au réseau se fait via Internet, un système de protection comme un pare-feu est hautement recommandé pour prévenir de toute tentative d’interception des données médicales lorsque ces dernières font l’objet d’un flux de transmission.

Afin de garantir la sécurité et la confidentialité des données, il est recommandé aux responsables de structures traitant des données de santé de sensibiliser leur personnel aux bonnes pratiques à adopter. Cette sensibilisation passera par exemple, par des plans internes de sensibilisation à la sécurité informatique et l’adoption d’une charte informatique adaptée aux outils et autres moyens informatiques mis à la disposition du personnel. Par exemple l’ANSSI diffuse un passeport de conseils présentant des règles simples à mettre en œuvre sur sont smartphone, tablette ou ordinateur portable lors des déplacements pour réduire les risques liés au nomadisme des données et des équipements. Ou la CNIL donne des recommandations relatives à la sécurité informatique minimale à adopter comme un bon un mot de passe changer régulièrement pour protéger l’accès aux données ou aux applications.

Conclusion

Au regard de tout ce qui précède, la France dispose sur son territoire d’assistance et de conseils pour les professionnels et d’un arsenal protecteur conséquent pour assurer la confidentialité et l’intégrité des données médicales. Mais Internet n’a pas de frontières et certaines données peuvent être amenées à transiter dans des états étrangers, la protection des données médicales à l’international devient alors beaucoup plus incertaine selon le pays et sa réglementation.

Services de consulting

  • Assistance à la conception du dossier d’agrément hébergement de données de santé,
  • Assistance à maîtrise d’ouvrage pour le choix d’un hébergement agréé,
  • Sensibilisation des personnes aux risques et à la Politique de Sécurité (PSSI),
  • Réalisation d’audit tierce partie de référentiel de management de la sécurité,
  • Audit de conformité aux exigences du référentiel d’agrément, aux déclarations CNIL,
  • Audit d’amélioration des processus liés à la sécurité des données médicales.

Amélioration continue

Démarche d’amélioration continueamelioration

Mener une démarche d’amélioration continue ou de résolution de problème selon le cycle du « Plan-Do-Check-Act » ou PDCA permet d’avoir une méthode structurée pour mettre en oeuvre des solutions les plus adaptées et surtout pérennes.

Le PDCA est une démarche d’amélioration continue symbolisée par la roue de Deming.

Méthodes

Le PDCA se déroule en quatre grandes étapes.

Plan = Planifier ou Prévoir

La première étape est très importante, car elle consiste à bien définir le sujet ou le problème, on parle de périmètre ou de scope. Ceci afin d’identifier des solutions pérennes qui devront être évaluées et déployées. Cette étape est finalisée par un plan d’actions, incluant leur planification et les acteurs.

Do = Développer ou Réaliser

Cette étape consiste en la mise en oeuvre des actions définies précédemment. La rigueur dans le suivi du plan d’action au travers de mesures d’avancement et de jalons est un gage important de réussite.

Check = Contrôler ou Vérifier

Il s’agit de vérifier l’efficacité des actions menées. Ceci peut se faire par le biais de mesures, d’indicateurs, ou d’observations. Un délai peut-être défini selon la nature de l’action, un cas classique est d’évaluer les actions à 30,60 et 90 jours après le déploiement. Lorsque des actions se révèlent inefficaces suite aux vérifications, des ajustements pourront être réalisés, si nécessaire, en revenant à l’étape Plan dans une nouvelle itération.

Act = Ajuster, Assurer, Améliorer

Cette étape permet de finaliser la démarche afin d’assurer la pérennité des résultats des actions mises en oeuvre. Il s’agit le plus souvent d’élaborer ou mettre à jour des documents, tels que procédures, processus, guides de bonnes pratiques, ou formulaires.

Il s’agit également d’identifier des améliorations , en revenant à l’étape Plan dans une nouvelle itération pour les mettre en oeuvre. On peut ainsi exécuter plusieurs fois le cycle pour bien ancrer les changements.

Autres méthodes

Il existe d’autres méthodes d’amélioration continue des processus comme le DMAIC de Six Signa ou le Kaizen du Lean.

On peut aussi mettre en oeuvre des méthodes plus détaillées et expertes comme l’évaluation et l’étude d’impact, la résolution de problèmes ou un cycle de gestion de projet pour piloter des changements de grande échelle. Ou plus simplement des bonnes pratiques pour assurer le succès du changement.

Mission du responsable

Dans le cadre du déploiement d’un plan de progrès, la mission principale du responsable de l’amélioration consiste à piloter le projet et accompagner les managers opérationnels dans la mise en oeuvre et le suivi des chantiers de progrès avec des pilotes terrain, tout ceci en lien avec le programme global d’amélioration. Ceci est possible en :

  • en établissant le plan d’action correspondant et en suivant son exécution au travers des revues et à l’aide d’indicateurs,
  • en veillant au déploiement et à l’appropriation des objectifs de progrès,
  • en animant la communication sur les démarches de progrès et d’amélioration continue,
  • en rendant compte de l’efficacité des processus mis en place,
  • en faisant la promotion des bonnes pratiques entre entités.

Le sens du relationnel, l’autonomie et la rigueur sont des qualités essentielles pour cette fonction, complétées par :

  • Dynamique.
  • Curieux.
  • doté d’un bon sens de l’écoute.
  • Affirmé.
  • Force de conseil et de proposition.

Exemple de procédure d’Amélioration Continue

Cas du traitement des Actions Correctives et des Actions Préventives :

Services de consulting

  • Évaluation ou audit de processus opérationnels existants.
  • Assistance à la définition et au déploiement de plans d’action d’amélioration.
  • Définition du processus opérationnelle d’amélioration continue.
  • Coaching du responsable de l’amélioration.

Système de Management intégré

Les principes d’un Système de Management intégré

Pour une organisation, il est important de conduire ses activités métiers de manière responsable en assurant la qualité des produits et des services fournis et la conformité avec les réglementations applicables liées à la qualité et la sécurité des pays où elle opère.

Pour atteindre cet objectif, un système de management intégré des processus couvrant les aspects Qualité, Sécurité et Gouvernance de l’organisation peuvent être mis en place pour :

  • S’assurer de la conformité avec les réglementations applicables,
  • Fournir un référentiel conforme avec les exigences de ses clients,
  • Attribuer des rôles et des responsabilités clairs à toutes les parties prenantes,
  • Identifier, analyser et gérer tous les risques liés aux activités,
  • Fournir des outils de travail, des technologies appropriées et des procédures permettant la performance au service des clients,
  • Gérer et améliorer de manière continue le système de Management et sa performance, ceci incluant la réduction des impacts négatifs au travers d’une revue constante des objectifs, des cibles, des mesures, découlant sur la mise en œuvre d’action préventives et correctives.

Ces principes guident pour la réalisation des procédures opérationnelles pragmatiques et des accords commerciaux. Cette politique est applicable à tous les projets, opérations, contrats de sous-traitance, organisations et collaborateurs.

ISO 9001 la base du système de Management

Le système de Management des processus qui est embarqué dans toutes les normes ISO traitant de ce sujet est issu de la célèbre norme internationale qualité ISO 9001, voici une courte présentation qui vous explique les grands principes d’un SMQ ou Système de Management de la Qualité :

Cas pratique d’un modèle de processus générique

Un exemple, pour lequel j’ai géré la définition et le déploiement complet, concerne un système de gestion intégré de la qualité, en anglais c’est un QMS (Quality Management System) construit en s’inspirant des bonnes pratiques du référentiel international ISO 9001.

L’organisation à mis en œuvre ce QMS détaillé et très large pour la gestion de ses produits et services client : les bonnes pratiques d’ITIL / ISO 20000 pour la gestion des Services IT et Métiers, celles du référentiel CMMI pour la gestion des projets et le développement des solutions logicielles. Les aspects plus spécialisés de la gestion de la sécurité sont repris de la norme ISO 27001, sans oublier les processus d’amélioration continue.

history

Armé d’une longue expérience acquise dans ces domaines, les pratiques les mieux adaptées à ces opérations et les plus pragmatiques ont été intégrées dans un modèle de maturité des processus CpMM (Common process Maturity Model) qui s’adaptait parfaitement aux besoins de l’organisation. L’objectif étant de standardiser les pratiques sans uniformiser.

La cartographie complète de ce modèle est présentée ci-dessous :

CpMM-card

Ce qui donne en détails :

CpMM-full-card
Cliquez sur l’image pour agrandir

La mise en place et le déploiement de ce modèle et des processus opérationnels déclinés pour une DSI internationale a été complété par une organisation dont voici le modèle :

 

orga
Cliquez sur l’image pour agrandir

Si vous souhaitez développer ces principes et méthodes dans votre organisation ou évaluer leur déploiement, je peux vous apporter conseils et expériences pour formaliser votre projet en utilisant par exemple le modèle CpMM ou les référentiels standards.

Services de consulting

  • Définir et mettre en place un système intégré de Management couvrant tous les domaines opérationnels de l’organisation, déclinaisons des bonnes pratiques en processus opérationnels.
  • Mise en place d’une gouvernance des processus et du système d’amélioration continue, définir les objectifs, les méthodes de suivi et de reporting.
  • Définir les objectifs du plan de Démarche de Progrès en fonction des objectifs stratégiques.
  • Identifier les sources potentielles de progrès  en terme de qualité, coût, délai.
  • Déployer les pratiques d’amélioration continue, organiser l’audit interne, préparer aux méthodes d’audit et d’amélioration type Kaizen.

Déploiement du Management Équitable

logo-AFraMEConstruire un comportement homogène et éthique pour l’ensemble des acteurs de l’entreprise nécessite pour chacun une adhésion forte à des principes humains fondamentaux.

Valeurs

Aussi le Manager appliquant les principes du Management Équitable s’attache à développer une culture d’entreprise autour des valeurs suivantes :

Équité

Représente le sentiment naturel, spontané, du juste et de l’injuste. Il faut traiter chacun selon ce qui lui revient de droit, selon son mérite. Ceci spontanément et de façon égalitaire pour les hommes ou les idées en fonction de la justesse et du mérite.
C’est la volonté ferme et durable de reconnaître à chacun ses droits humains fondamentaux et de contribuer à les promouvoir.
Le manager fait preuve d’équité en particulier en replaçant l’humain au centre de ses pratiques de management.

Respect

Correspond au sentiment de considération, d’égard envers l’autre. Le souci de ne pas porter atteinte à l’autre. Il demande d’être à la hauteur et de ne pas porter atteinte aux hommes ou aux idées.
Le respect est la règle de base du comportement du manager dans tous ses actes : respect de soi, des autres collaborateurs, des clients, des tiers, des partenaires sociaux, de la société en général, des principes du groupe, des lois et des règlements, de l’environnement, de l’équité et de l’éthique au sens le plus large.

Partage

Littéralement c’est la division en plusieurs portions, réparties entre les participants. Le fait de partager, d’avoir quelque chose de commun avec quelqu’un.
Le manager est évidemment solidaire de son équipe et de ses collaborateurs mais il l’est également de l’entreprise. Il adopte une attitude résolument positive qui va de pair avec réalisme et courage, il favorise ainsi le développement de l’esprit d’équipe à  tous les niveaux.

Exemplarité

C’est la qualité de ce qui est exemplaire, de ce qui peut servir d’exemple, de modèle et qui peut être imité, répliqué. Ceci se traduit par donner le meilleur de soi-même, rechercher en permanence la qualité, faire preuve d’un professionnalisme exemplaire en exigence quotidienne.
Le manager doit être un responsable porteur de sens, en ayant une grande cohérence personnelle et en soutenant l’humanisation des règles. L’exemplarité est la condition nécessaire, indispensable, mais non suffisante, pour acquérir de la légitimité. A contrario, le manager illégitime fixe des règles qui ne sont valables que pour les autres.

Efficacité

Elle traduit le caractère de ce qui est efficace, de ce qui produit sont effet. C’est la capacité de produire le maximum de résultats avec le minimum d’efforts, et la plus grande valorisation des ressources.
Les leviers d’efficacité managériale sont d’associer des principes de comportement et des compétences, de gérer par des actes plutôt que des discours.

Audace

Mouvement de l’âme qui porte à des actions extraordinaires, au mépris des obstacles et des risques. Tendance à oser les actions difficiles.
Le bon manager est celui qui prend des risques, il sait être audacieux, dans la mesure où son destin individuel est la manifestation du destin collectif, il est celui qui prend le plus de risques pour le collectif. Ce n’est qu’à cette condition qu’il peut se prétendre manager et le prétendre aux autres.

Anticipation

Action de prévenir, de devancer. Il ne se dit que du Temps et, par ellipse, des Choses dont on prévient le temps.
Action de se représenter une chose future, considérée comme plus probable que le rêve en se basant sur le présent et plus proche de sa réalisation que le simple projet.
Le manager doit faire preuve d’anticipation en utilisant son expérience pour éviter de basculer dans la gestion de crise, mais aussi pour mieux informer, partager et impliquer. Associé à l’audace il doit être un bon gestionnaire de risques.

En synthèse

Les valeurs du Management Équitable privilégient la dimension humaine sans oblitérer la finalité de performance des organisations, elles se doivent d’être à la fois individuelles et collectives. Ces valeurs sont soutenues par des Managers forts d’une personnalité induite ou projetée de guide juste et sincère, qui mette en oeuvre ces principes afin d’instaurer une culture de Management exemplaire. La diffusion et le partage de cette culture commune et authentique constitue la clé de voûte des futurs succès de l’entreprise et de sa pérennité.

Ces valeurs sont celles de l’AFraME et de ses adhérents qui souhaitent les partager avec tous les Managers qui veulent les mettre en œuvre au travers de la Charte du Management Équitable dans leur organisation.

Si vous souhaitez développer ces valeurs dans votre organisation ou évaluer leur déploiement, je peux vous apporter conseils et expériences pour formaliser votre projet en utilisant la charte, le label et les bonnes pratiques du Management Équitable.

Services de consulting

  • Sensibiliser à la mise en place des nouvelles pratiques de Management équitables.
  • Animer des ateliers sur les bonnes pratiques de Management pour les ancrer.
  • Présenter les entretiens-clés de Management opérationnels : motivation, kick-off, pilotage, évaluation annuelle, briefing, suivi d’activité…
  • Définir des méthodes de priorisation de l’activité, de la gestion des risques.
  • Définir et mettre en place des indicateurs de performance opérationnels efficaces.
  • Préparer à l’évaluation régulière des pratiques de Management par un organisme spécialisé tel que l’AFraME.