Ajouter à la (aux) collection (s) Ajouter à enregistré
  1. Entreprise
  2. Management

Risque

publicité 
Olivier Pietquin
« Il y a bien des manières de ne pas réussir, mais la plus sûre est de ne jamais prendre de risques. » Benjamin Franklin
Le risque … Définitions
 Larousse :
 Possibilité, probabilité d'un fait, d'un événement considéré comme un mal ou un dommage : Les risques de guerre augmentent.
 Danger, inconvénient plus ou moins probable auquel on est exposé : Courir le risque d'un échec. Un pilote qui prend trop de risques.
 Fait de s'engager dans une action qui pourrait apporter un avantage, mais qui comporte l'éventualité d'un danger : Avoir le goût du risque.
 Préjudice, sinistre éventuel que les compagnies d'assurance
garantissent moyennant le paiement d'une prime.
Le risque … Définitions
 Le risque est donc la combinaison :
 d’un aléa
 d’un enjeu
 Aléa : les conséquences de nos actions ne sont pas déterministes (pas prévisibles à 100%)
 Enjeu : il existe un potentiel de gain ou de perte
Exemples  Jeu
 Aléa : le jeu contient une part de hasard, peut‐être due à la réaction de l’adversaire  Enjeu : gain/perte d’argent, amusement/agacement, amélioration/dégradation du classement
 Assurances
 Aléa : catastrophe naturelle, accidents de la route, maladies  Enjeu : gain/perte des primes d’assurance Formellement
 Risque mathématique
 Aléa : Probabilité d’un évènement ௜
 Enjeu : Coût associée à un événement : Risque :  Espérance du coût ! (valeur moyenne)
௜
Un peu d’histoire
Théorie de l’Utilité Christian Huyghens, 1657 : De la logique du jeu de dés Daniel Bernouilli , 1738: Economie et probabilité
La société du risque
•
Quels risques sommes nous prêts à prendre
•
Quels risques assurer
•
Besoin de quantifier le risque
•
Une question sociologique
•
http://www.risques.gouv.fr/
Ulrich Beck,
1986 : la société du risque
Normes
 ISO Guide 73 : Vocabulaire du management du risque  http://www.iso.org/iso/fr/catalogue_detail?csnumber=44651
 Risque : « Effet de l’incertitude sur les objectifs »  Analyse du risque : « Processus mis en œuvre pour comprendre la nature d'un risque et pour déterminer le niveau de risque »
 L'analyse du risque fournit la base de l'évaluation du risque et les décisions relatives au traitement du risque
 Traitement du risque : Processus destiné à modifier un risque
Traitement du risque ?
Modifier le coût associé à un risque
Modifier la probabilité d’apparition d’un événement
Normes
 ISO 31000 : Management du risque ‐‐ Principes et lignes directrices
 http://www.iso.org/iso/fr/home/store/catalogue_tc/cat
alogue_detail.htm?csnumber=43170
 Management du risque : « Activités coordonnées dans le but de diriger et piloter un organisme vis‐à‐vis du risque »  Indépendant de l’entreprise, du secteur d’activité, du public !
Risques et Systèmes d’information
 Enjeux
 Intégrité des données
 Confidentialité
 Disponibilité des données
 Non‐répudiation et l'imputation des données
 Authentification  Coûts  Image de l’entreprise
 Aléas  Matériels (pannes, vol, saturation)
 Logiciels (bugs, failles, émissions de faux)
 Humains (attaques, mauvaises utilisations, écoutes, usurpation)
Une Préoccupation Générale
 ANSSI :  http://www.ssi.gouv.fr/
 Portail de la sécurité informatique
 http://www.secinfo.gouv.fr/index.html
 Vigipirate  http://www.risques.gouv.fr/menaces‐majeures/menaces‐
terroristes/plan‐vigipirate
 ENISA :  http://www.enisa.europa.eu/
 OTAN :  http://www.nato.int/cps/fr/SID‐AA767367‐
9A13E9F0/natolive/75747.htm
Normes
ISO 270xx Normes
 ISO 27000 : Technologies de l'information ‐‐ Techniques de sécurité ‐‐ Systèmes de management de la sécurité de l'information ‐‐ Vue d'ensemble et vocabulaire
 http://www.iso.org/iso/fr/catalogue_detail?csnumber=41933
 Risque : « Combinaison de la probabilité d'un événement et de ses conséquences »
 Risque lié à la sécurité de l'information : « Possibilité qu'une menace exploite une vulnérabilité d'un actif ou d'un groupe d'actifs et nuise donc à l'organisation »
 Actif : « Tout élément représentant de la valeur pour l'organisation »
Normes
 ISO 27001 : Technologies de l'information ‐‐
Techniques de sécurité ‐‐ Systèmes de management de la sécurité de l'information – Exigences
 Processus qualité PDCA :
 Norme certifiante !
Normes
 ISO 27001:
Normes
 ISO 27001: Plan
 Définir la politique et le périmètre du SMSI

Pas d’obligation, propre à l’entreprise
 Identifier et évaluer les risques liés à la sécurité et élaborer la politique de sécurité


Identifier les actifs, les personnes responsables, les vulnérabilités, les menaces et les impacts
Estimer la vraisemblance et les niveaux de risque
 Traiter le risque et identifier le risque résiduel par un plan de gestion

Accepter, éviter, transférer, réduire
 Choisir les mesures de sécurité à mettre en place
 Contrôle d’accès, crypto etc.
Normes
 ISO 27001: Do
 Déployer les mesures de sécurité
 Générer des indicateurs


De performance pour savoir si les mesures de sécurité sont efficaces
De conformité qui permettent de savoir si le SMSI est conforme à ses spécifications
 Former et sensibiliser le personnel
Normes
 ISO 27001: Check
 Audit permanent du système



Audit de performance
Audit de conformité
Remise en cause  ISO 27001: Act
 Réagir aux incidents détectés lors du Check



Actions Correctives
Actions Préventives
Action d’amélioration
Mise en place
 En pratique, il existe des méthodes « prêtes à l’emploi »
 EBIOS
 MEHARI
 OCTAVE
Documents connexes
ISO 31000 - management du risque
ISO 31000 - management du risque
Préparer certification ISO 20000
Préparer certification ISO 20000
Annexe : ISO 27001 – Management de la sécurité de l`information
Annexe : ISO 27001 – Management de la sécurité de l`information
Open access
Open access
Fiche Service FLE n°1
Fiche Service FLE n°1
View summary
View summary
CV MPR - WebEngineering
CV MPR - WebEngineering
Poster Patient
Poster Patient
l`ISO 26000
l`ISO 26000
Télécharger
Télécharger
La compétitivité en questions
La compétitivité en questions
Référentiel d`indicateurs pour auto-évaluer l`éco
Référentiel d`indicateurs pour auto-évaluer l`éco
CC maillons isolants
CC maillons isolants
APEG art 5 BRODHAG ISO 26000
APEG art 5 BRODHAG ISO 26000
Les normes ISO - Climate Services
Les normes ISO - Climate Services
Document d`introduction de la norme ISO 50001
Document d`introduction de la norme ISO 50001
Département 11
Département 11
ISO 14001:2015 – Changes and implications
ISO 14001:2015 – Changes and implications
Hygiene Labotec Ds
Hygiene Labotec Ds
Hygiene Foodtec Wall C3
Hygiene Foodtec Wall C3
Informations pour Page Internet Pathologie Clinique Les
Informations pour Page Internet Pathologie Clinique Les
RESPONSABLE QSE
RESPONSABLE QSE
Téléchargement
publicité