Comment faire une analyse de risques ?

Qu’est-ce que le risque ?

Rien n’est moins sûr que l’incertain.
Pierre Dac (l’os à moelle)

Définition : Le risque est un danger éventuel plus ou moins prévisible qui peut affecter l’issue du projet. Il ne sera pas possible de tous les éliminer, le risque zéro n’existe pas.
Source : Le chef de projet efficace

Toute la question repose sur la capacité d’anticiper le risque:
Somme-nous capables d’estimer la probabilité d’occurrence du risque et d’en anticiper les éventuelles impacts en terme de gravité si jamais le pire arrivait. Comment les prévenir ? Et, le cas échéant, comment y remédier pour amortir les impacts ?
Voilà des questions qui méritent des réponse précises.

Mais attention, tous les risques ne sont pas prévisibles, il faudra bien compter avec les impondérables.

Comment évaluer les risques ?

Bien entendu, il est inconcevable d’envisager de se prémunir de tous les dangers inhérents à la conduite d’un projet complexe. Il est toutefois indispensable de procéder à une étude complète et raisonnée des risques potentiels plus ou moins prévisibles, afin de dépasser le stade des croyances fondées ou non. Une analyse rigoureuse est une bonne garantie de réussite. la démarche la plus simple se déroule en cinq temps majeurs.

La carte de « chaleur » pour classifier

La table qui suit est un exemple de ventilation des risques inventoriés en tenant compte de la criticité ou impact et de la probabilité d’occurrence :

• La zone rouge, de haute chaleur répertorie les risques inacceptables à aucun prix.
• La zone orange, de chaleur élevée identifie ceux qui nécessitent des palliatifs urgents.
• La zone jaune, de chaleur moyenne identifie ceux qui nécessitent des palliatifs préalablement définis.
• Ceux de la zone verte sont acceptables mais à surveiller selon les conditions définis au moment de l’élaboration de la table, ceux en vert le plus sombre peuvent être ignorés.

Table de classification des risques

Les 5 étapes de la méthode d’Analyse

Voyons maintenant comment dérouler la démarche afin de démarrer le projet en limitant autant que faire ce peut les risques d’échecs. Cette démarche se déroule en 5 temps majeurs, tous aussi importants l’un que l’autre.

1. Établir l’inventaire des risques

Il s’agit de ratisser large et de considérer toutes les formes de risques (humain, financier, organisationnel, technologique…)

Type de risques potentiels pour un projet : financiers, organisationnels, techniques, sociaux, environnementaux sont pris en considération sans aucune exception.

• Sources d’information : Enquêtes de terrain, exploration des archives, analyse de la mémoire des réalisations antérieures, consultation d’experts, expérience du chef de projet. Une large consultation de tous ceux qui ont approché par le passé un projet similaire est une source précieuse d’information.
• C’est aussi lors de cette étude que l’on mesure l’importance d’établir une mémoire des projets réalisés qu’ils aient réussi ou échoué.

Tous les risques inventoriés seront placé dans une table avec leur description, la table sera ensuite complété tout au long de l’analyse.

2. Pondérer les risques

Tous les risques n’ont pas la même probabilité de survenance, tous les risques ne sont pas égaux en terme de criticité. Il s’agit au cours de cette étape d’effectuer un classement rationnel.

• Gravité ou Impact : Sur l’axe des ordonnés de la table de classification ci-dessus. Il s’agit évaluer la criticité de chacun des risques en terme d’impact, de dommages et de conséquences. Là encore on hésitera pas à explorer la mémoire collective des projets passés.
• Probabilité : Sur l’axe des abscises de la table de classification ci-dessus. Ensuite, on évalue la criticité en termes de probabilité d’occurrence. Cet exercice n’est pas le plus aisé, on s’en doute. la précision en est toute relative, là aussi l’xpérience du collectif peut s’avérer importante.

Chaque risque de la table doit donc être pondérer, chaque critère est évalué de 1 à 5, le poids du risque est calculé comme le produit des deux critères précédents, pour ensuie évaluer sa couleur dans la table de classification ci-dessus et en déduire l’action requise.

3. Définir les parades

Pour chacun des risques, on se posera ces 3 questions successives :
– Peut-on l’éliminer ?
– Peut-on en limiter les effets ?
– Doit-on modifier le déroulement du projet ?

• Éliminer le risque. Est-il possible de l’éliminer en augmentant les ressources ou en intégrant dans l’équipe de nouveaux intervenants spécialistes de la question et plus aguerris ? Le coût sera l’un des principaux critères de jugement.
• Limiter les effets dévastateurs des sinistres potentiels. De même, la solution est souvent du côté de l’optimisation de la gestion des ressources.
• Réviser le projet. Faut-il modifier les orientations, limiter les spécifications et trouver des alternatives plus paisibles quitte à modérer les ambitions et à procéder à des simplifications ? Une précaution à prendre au cas par cas.
• Il ne faut pas non plus hésiter à limiter le périmètre du projet pour gagner en visibilité. les projets courts et rapidement mis en oeuvre son plus aisés à gérer et à intégrer dans l’existant.

4. Identifier les points critiques

Une étape souvent oubliée dans les études de risques.

Les risques sont changeants. La probabilité et la criticité évoluent au fur et à mesure de l’avancement du projet. Certaines phases du projet sont plus à risques que d’autres. Il faut les identifier.

• Lieux et/ou moments où la probabilité et/ou la gravité sont les plus importants, les instants du déroulement où il faudra redoubler de vigilance.

On le constate dans le cycle de vie d’un projet ci-dessous, à chaque jalon important une réévaluation des risques est réalisée :

Cycle de développement sécurité

5. Réviser la table des risques

La table des risques n’est pas statique, il faut la réviser régulièrement.

• Suivre l’évolution dans le temps de la criticité.
  Cette table n’est pas statique, elle n’est pas non plus une assurance.
  Prévoir un danger n’est pas s’en protéger !
• En outre, la dangerosité potentielle tout comme la probabilité d’occurrence évoluent au fil du temps et de l’avancement.
  Cette table sera soigneusement suivie et mise à jour très régulièrement.

Voici un exemple de table d’analyse des risques réalisée pur une salle informatique déportée :

Afficher ce document sur Scribd

Comment s’y prendre ?

Et bien en impliquant un maximum de monde, en fouillant dans les archives, en incitant « les experts du moment» à la communication quels qu’ils soient, où qu’ils se trouvent ? Toutes les péripéties des projets passés, comme les difficultés et la manière de les solutionner sont une mine de ressources pour la réflexion préalable à l’analyse de risques. Mais encore faut-il avoir pris le soin d’enregistrer les expériences passées…

Le soin apporté lors du déroulement de chacune des étapes l’analyse de risques est d’une importance capitale pour la réussite du projet.

Il existe des méthodes spécialisées selon le domaine d’activité, par exemple pour un projet de sécurité des SI on pourra utiliser les méthodes EBIOS (ANSSI) ou MEHARI (CLUSIF), mais dans leurs principe elles se déroulent comme indiqué ci-dessus.

Le RGPD c’est quoi ?

Le contexte réglementaire est de plus en plus présent dans la sphère des systèmes d’information, suivant en cela l’importance grandissante que nous donnons par nos usages à ces systèmes.

C’est le cas du nouveau Règlement Européen pour la Protection des Données RGPD, GDPR en anglais. Ce texte publié en avril 2016 sera applicable le 25 mai 2018 dans tous les pays de la communauté européenne. Il apporte des évolutions importantes quant aux exigences de conformité et aux conséquences d‘une non-conformité. L’enjeu pour les organisation est donc de mettre en place les processus nécessaires à cette conformité au RGPD avant l’échéance de 2018.

Voici en vidéo un tour d’horizon des principales questions qui se posent :

Sécurité des données à caractère personnel

La cybercriminalité cause des préjudices importants, ce qui conduit à une réflexion sur le management de l’information. Une étude en 2017 a chiffré à 3 millions d’euros le coût moyen pour une entreprise victime de cyberattaques. Le plus intéressant consiste à déterminer les origines des failles ayant permis les cyberattaques. Dans 48% des cas, il s’agit d’une défaillance humaine, preuve que la sensibilisation des collaborateurs en matière de protection du cyberespace n’est pas acquise dans les entreprises.

La protection des données, une affaire de sécurité.

Le texte européen expose un grand nombre d’exigences dont la finalité est d’assurer la sécurité des données personnelles de la « personne concernée ». L’examen de ces exigences montre qu’elles sont particulièrement structurantes. Il montre aussi qu’elles sont mutualisables avec des pratiques de gestion vouées à la sécurité des processus de l’organisation, par exemple l’analyse d’impact citée par le règlement qu’il convient d’aligner et de mutualiser avec l’analyse de risque SSI déjà en place dans beaucoup d’organisation comme le préconise l’ANSSI dans son Guide d’hygiène informatique (Mesure 41 – Mener une analyse de risques formelle).

Un autre point à prendre en compte vis à vis du règlement est la nécessaire implication d’un panel très étendu de parties prenantes, allant bien au-delà de la seule sécurité des systèmes d’information.

Pour répondre à ce besoin de conformité au meilleur coût global, il convient donc de mettre en place une démarche permettant d’identifier toutes les synergies possibles entre la conformité au règlement et la gestion des risques sécurité. Cette démarche permet notamment de valoriser les pratiques existantes et de développer des nouveaux processus fortement mutualisés pour les deux finalités.

Aspects économiques

Si la conformité au RGPD est indispensable, elle est aussi un centre de coût, autant lors de l’atteinte de la conformité que lors de son maintien.

Des amendes ou sanctions sévères sont prévues en cas d’infraction au règlement. L’amende maximale s’élèvera à 20 millions d’euros ou 4% du chiffre d’affaires mondial annuel, la valeur la plus élevée étant retenue, ce qui représente un coût colossal pour la plupart des organisations. Le RGPD confère au responsable de la protection des données un rôle beaucoup plus important en raison de l’impact des amendes ou sanctions potentielles en cas d’infraction.

Pour qu’un projet de mise en conformité soit bénéfique à l’entreprise, il est indispensable de maîtriser ses coûts, cette maîtrise repose sur :

• des processus adaptés au plus juste à l’organisation,
• une recherche systématique de synergies.

L’objectif, lors de l’élaboration du schéma d’évolution puis lors de la mise en oeuvre du plan d’action de mise en conformité, est de concevoir une organisation et des processus qui soient pertinents et réalistes dans le contexte, au moment du projet et au cours des années à venir.

Un nouveau rôle dans les organisations : DPO

La désignation d’un Data Protection Officer (DPO), successeur du CIL – Correspondant Informatique et Libertés, est obligatoire en mai 2018, notamment dès lors que les entreprises feront des traitements à grande échelle de suivi régulier et systématique des personnes ou de données sensibles. Le DPO sera également obligatoire pour le secteur public, quel que soit la nature du traitement.

Au sein de chaque organisme concerné, le DPO sera le chef d’orchestre de la conformité. Il devra être consulté sur tout traitement de données à caractère personnel. Il aura son mot à dire en termes de sécurité informatique et de sécurité juridique, il contribuera aussi à la valorisation de la donnée car c’est un vrai enjeu de business et d’innovation, il fera en sorte que cette donnée soit traitée dans des conditions de sécurité adéquates pour éviter les risques pour les personnes et pour l’image de l’entreprise.

Nous pourrions vulgariser en disant que le DPO a pour objectif de s’assurer de la conformité de l’entreprise au RGPD mais, en pratique, c’est un peu plus que ça.

Un DPO doit mettre en place un environnement de travail qui soit en phase avec le RGPD. Pour cela, il doit être en capacité d’identifier les traitements, applications, flux de données, sites internet et autres traitements de données à caractère personnel (DCP). Il doit également être en capacité d’expliquer des choses complexes de façon simple. Avant d’attaquer la phase d’audit nécessaire à l’exécution de ses missions, il doit d’abord expliquer le règlement, identifier et sensibiliser les différents acteurs qui sont concernés. Les personnes du service informatique, le marketing ou encore les ressources humaines, toutes ces personnes sont différentes, elles ne parlent pas forcément le même langage, au DPO de faire en sorte que ces derniers soient capables de se comprendre pour travailler ensemble.

Une fois cette phase de sensibilisation faite, le DPO peut commencer par faire un état des lieux de ce qui existe, des bonnes et des mauvaises pratiques, ceci afin de prioriser ses missions à venir. S’il ne fait pas cette distinction, il y a fort à parier qu’il passera du temps sur des points éventuellement importants, mais pas critiques.

Le DPO ne décide pas directement : il forme, informe, conseille, fait l’état des lieux, conduit les audits, produit les analyses d’impact, des rapports et des constats relatifs aux façons qu’a l’entreprise de travailler avec les DCP, puis il coopère avec les administrations, comme la CNIL. En pratique il peut être rattaché aux postes de direction, voire à la direction générale de l’entreprise, dans la mesure où c’est à elle que revient la tâche de mettre en place les moyens nécessaires : temps, budget, outils…

Une fois les moyens alloués et mis en place, le DPO suit et accompagne la mise en oeuvre des plans d’actions, il est le point de référence des autres métiers, des compétences et des directions reliées à ces plans. Il joue, ici, autant le rôle de chef de projet que celui de facilitateur.

Le règlement impose aux entreprises de tenir un registre des traitements relatifs aux DCP : qui est le responsable de traitement, quelles données sont collectées, pour quelles finalités, combien de temps… C’est au DPO de créer et maintenir ces registres, cela permet à l’entreprise de savoir ce qui est fait, par qui, quand, comment et pourquoi et ce à tout moment. Cela permet également, en cas de contrôle, de mettre à disposition une cartographie complète des traitements relatifs aux DCP.

L’indispensable outillage et de la méthode

Face aux multiples dispositions du RGPD, le projet de mise en conformité peut représenter un défi complexe. D’autant plus que les efforts et les procédures requis pour satisfaire aux exigences du référentiel peuvent varier selon la configuration des systèmes, des procédures internes et de la nature de l’organisation.

La méthode pour ce type de projet préconisée par la CNIL se déroule en 6 grandes étapes clefs :

1. Désigner un pilote pour le projet,
2. Cartographier les traitements de données personnelles,
3. Prioriser les actions à mener,
4. Gérer les risques,
5. Organiser les processus internes,
6. Documenter la conformité.

Une première cartographie à l’aide d’outils peut être établi, il sera utilisé comme guide de référence du projet pour mettre en oeuvre des politiques et des procédures adaptées à la situation et aux besoins de l’entreprise.

Nous traitons, dans notre offre de services, de la manière la plus simple et la plus efficiente d’offrir aux organisations les moyens et les outils leur permettant un gain de temps maximal dans la gestion de leur conformité RGPD.

Le RGPD est entré en application le 25 mai 2018. La CNIL, régulateur des données personnelles et Bpifrance, ont uni leurs moyens pour élaborer un guide pratique qui réponde aux interrogations des entrepreneurs et leur propose un accompagnement pragmatique et adapté pour passer à l’action. La mise en place du RGPD est aussi l’occasion pour les TPE et PME de progresser dans leur maturité numérique.