METHODES ET OUTILS DE GESTION DES RISQUES D ENTREPRISE CONFORMES À L ISO 31000

Transcription

1 Sébastien Delmotte MAD-Environnement Vincent Desroches, Ingeliance Technologies METHODES ET OUTILS DE GESTION DES RISQUES D ENTREPRISE CONFORMES À L ISO

2 Risques Entreprise Garantir l atteinte des objectifs de résultats et la pérennité de l entreprise AIDE À LA DÉCISION Risques Projet Garantir l atteinte des objectifs des projets avant et pendant leur exécution Risques Produits Garantir la sécurité et performance des produits et des processus à tous niveaux 2

3 Typologie des risques Cartographie des risques Entreprise Communication Service après vente Finances Ressources humaines Gestion des stocks Système d'information Marketing et ventes Transports Juridique Achats Exportation Maintenance Stratégie et décision Organisation Contrôle Communication Essais Installation Exploitation Amélioration de la qualité R & T Veille technologique Etudes Projet Production Objectifs de résultats et de pérennité de l entreprise Cartographie des risques Projet Utilisateurs et sites d'exploitation Performances techniques et opérationnelles Produit Gestion calendaire Expression des besoins et spécification Gestion financière Stratégie de développement Organisation de projet Interfaces contractuelles Conduite de projet Objectifs de performance et de sécurité du produit en cours de développement, ainsi que les objectifs de coûts et de délais de réalisation du projet Cartographie des risques Produit CDL3 Fluides FLU Génie GEN civil CIV Charge CU Utile La Lanceur Climatisation CLIM Mécaniques MECA Objectifs de performance, de disponibilité et de sécurité 3 Courants faibles CF Contrôle CC commande Energie NRJ

4 DÉMARCHE DU RISQUE q Guide ISO/CEI 51 q Guide ISO/CEI 73 q Norme ISO 17666:2003 q Norme ISO 31000:2009 4

5 Rappel sur l'iso : principes de management du risque a) Crée de la valeur et la préserve b) Fait partie intégrante des processus organisationnels c) Élément de la prise de décision d) Traite explicitement de l incertitude e) Systématique, structuré et en temps utile f) S appuie sur la meilleure information disponible g) Adapté h) Tient compte des facteurs humains et culturels i) Transparent et participatif j) Dynamique, itératif et réactif au changement k) Facilite l amélioration continue et le développement permanents de l organisme 5

6 Rappel sur l'iso : processus de management du risque Etablissement du contexte Communication et concertation Identification du risque Analyse du risque Evaluation du risque Surveillance et revue Traitement du risque 6

7 Processus de management du risque Définir les risques acceptables de l activité en termes d objectifs et d exigences Identifier les incertitudes et analyser les risques associés pour connaître les scénarios d événements redoutés et leurs conséquences Evaluer et hiérarchiser leurs impacts pour hiérarchiser les risques et en déduire les priorités Définir et consolider les actions résultantes pour rendre les niveaux des risques conformes aux objectifs spécifiés Suivre et contrôler leur application pour maintenir dans le temps un niveau de risque conforme aux objectifs spécifiés

8 Scénario d accident ou Evénement Indésiré ou Evénement Redouté Vraisemblance du risque 8 Gravité du risque

9 DANGER / MENACE: Potentiel de dommage ou de préjudice portant atteintes aux personnes, aux biens, ou à l environnement Evénement dangereux: Evénement associé à l occurrence d un danger Elément dangereux: Elément d un système ou de son environnement présentant un danger SITUATION DANGEREUSE: Etat d un système en présence de danger ou de menace DANGER EVENEMENT CONTACT Situation dangereuse 9 EVENEMENT REDOUTE (ou accident ou situation accidentelle)

10 Risque associé à l occurrence d un événement indésiré ou redouté Mesure de la situation dangereuse ou accidentelle Grandeur à deux dimensions notée (p,g) associée à l occurrence d un événement indésiré ou redouté noté E où g est la valeur de la gravité G des conséquences de l événement E en terme de dommage ou de préjudice ou d écart à un résultat attendu p est la probabilité qui mesure l incertitude (sur le dépassement) de g tel que p= Pr(G g) Selon la norme ISO31000, le risque est défini comme l effet de l incertitude sur l atteinte des objectifs 10

11 Typologie des dangers/menaces dans l Entreprise Externes Internes liés à la gouvernance Internes liés aux moyens techniques Internes liés à la production Environnements Commercial Infrastructures et locaux Etudes et projets Politique Communication et crises Matériels et équipement Opérationnel Insécurité Economique Système d information Fonctionnel Image Entreprise Facteur humain Client Ethique Professionnel Financier Juridique Management Programmatique Social Stratégique Technologique Produit Physico-chimique 11

12 Eléments d évaluation du risque Echelle de gravité générique Classe de gravité G1 G2 G3 Intitulé de la classe Mineure Significative Grave Intitulé des conséquences Aucun impact sur les performances et la sécurité de l'activité Dégradation des performances du système sans impact sur la sécurité Forte dégradation ou échec des performances du système sans impact sur la sécurité D qua g g G4 Critique Dégradation de la sécurité ou de l'intégrité du système g G5 Catastrophique Forte dégradation ou échec de la sécurité ou perte du système 12

13 Eléments d évaluation du risque Echelle de gravité générique Projet Classe de Intitulé de la Intitulés des conséquences Gravité classe G1 Mineure Aucun impact sur le déroulement et les objectifs du projet G2 Significative Impact sur le déroulement du projet sans impact sur les objectifs G3 Grave Fort impact sur le déroulement du projet sans impact sur les objectifs de performances et de sécurité G4 Critique Très fort impact sur l ensemble des objectifs du projet G5 Catastrophique Arrêt du projet et avec impact possible sur l entité qui l héberge Classe de Gravité G1 G2 G3 Echelle de gravité générique Entreprise Intitulé de la classe Mineure Significative Grave Intitulés des conséquences Aucun impact significatif sur les performances et l intégrité de l'entreprise Dégradation des performances de l entreprise sans impact sur son bilan et son intégrité Forte dégradation des performances de l'entreprise avec impact sur son bilan mais sans impact sur son intégrité 13 G4 Critique Dégradation de l'intégrité de l'entreprise sans impact sur sa pérennité G5 Catastrophique Perte d'intégrité de l'entreprise avec impact sur sa pérennité

14 Eléments d évaluation du risque Exemple d'échelle de gravité SSI Index G1 G2 G3 G4 G5 Classes Sous index Intitulés Mineure 10 Aucun impact sur les performances et la sécurité de l'activité 11 Système apte à poursuivre sa mission en mode nominal : non atteint ou reconfiguré dans des délais compatibles avec la mission 12 Aucun retard 13 Aucune victime 14 Pas de compromission de données Significative 20 Dégradation des performances du système sans impact sur la sécurité 21 Système apte à poursuivre sa mission en mode faiblement dégradé (pas de fonctions primordiales dégradées) 22 Retard très faible n'empêchant pas le déroulement de la mission 23 Pas de mort, blessés très légers 24 Compromission de données sensibles non classifiées de défense Grave 30 Forte dégradation ou échec des performances du système sans impact sur la sécurité 31 Système apte à poursuivre sa mission en mode dégradé (certaines fonctions primordiales dégradées) 32 Retard assez important perturbant le déroulement de la mission 33 Pas de mort, nombre assez élevé de blessés 34 Compromission de données classifiées RESTRICTED Critique 40 Dégradation de la sécurité ou de l'intégrité du système 41 Système apte à poursuivre sa mission en mode fortement dégradé (certaines fonctions primordiales 42 Retard important remettant en cause le déroulement de la mission 43 Blessés graves, invalidité 44 Compromission de données classifiées CONFIDENTIEL Catastrophique 50 Forte dégradation ou échec de la sécurité ou perte du système 51 Système inapte à poursuivre sa mission 52 Retard très important entraînant un échec ou abandon de la mission 53 Morts 54 Compromission de données classifiées SECRET 14

15 Eléments d évaluation du risque Echelle de vraisemblance Evaluation des scénarios Classe de Vraisemblance V1 V2 V3 V4 V5 Intitulé de la classe Impossible à improbable Très peu probable Peu probable probable Très probable à certain Probabilité Valeur Fréquence Intitulé <p /unité <t1 < 1 fois par 10 ans <p /unité <t2 <1 fois par an <p /unité <t3 <1 fois par mois <p /unité <t4 <1 fois par semaine Objectifs système (bornes des classes) Unité= de temps, nombre d opération, durée de la mission. 15

16 Vraisemblance Eléments de décision Echelle de criticité Classe de criticité Intitulé de la classe Intitulés des décisions et des actions C1 Acceptable Aucune action n est à entreprendre C2 Tolérable sous contrôle On doit organiser un suivi en termes de gestion du risque C3 Inacceptable On doit refuser la situation et prendre des mesures en réduction des risques sinon on doit refuser toute ou partie de l activité Référentiel d acceptabilité Gravité C2 2 Prise de décision 1 16 G2 C(G5,V2)<C3

17 Financement du risque Rapport coût / risque K 17

18 Exemple de cartographie des risques Diagramme des risques / criticités (KIVIAT) Diagramme des risques / gravités-vraisemblances (FARMER) 18

19 MÉTHODES q A, Desroches, Marle F., Raimondo E. et Vallée F., Le management des risques des entreprises et de gestion de projet, Ed Hermès Science Lavoisier, 392 p. q A, Desroches, Baudrin D. et Dadoun M, L Analyse Préliminaire des Risques Principes et Pratiques, Ed Hermès Science Lavoisier, 311 p. 19

20 Macro-cartographie des risques par audits internes Evaluer les risques globaux perçus par les différentes entités de l entreprise sur la base d audits internes afin d en dégager des orientations stratégiques Références: CNES, EFS, SHAM Méthode d application rapide pour obtenir un instantané des risques perçus à tous les niveaux de l entreprise Identification des activités et fonctions sensibles 20 Méthode analytique d application simple pour évaluer de manière fine les risques majeurs (processus, fonctions, à tous les niveaux) Analyse Globale des Risques (AGR) En présence de dangers ou de menaces, identifier les scénarios conduisant à un événement redouté impactant les objectifs et la pérennité de l entreprise, ou les performances et la sécurité des produits, pour élaborer le plan d action de maîtrise des risques Références : Spatial, Défense, Sanitaire, Environnement

21 21 RISQUES D ENTREPRISE : MACRO-CARTOGRAPHIE PAR AUDITS INTERNES

22 22 Processus d évaluation des risques

23 23 Cartographie des processus d Entreprise

24 Arborescence des processus et logique d évaluation Avant audits: Pondération de l importance de chaque niveau pour le niveau supérieur (gouvernance, vision top-down ) 24 Audits: Recueil de la perception de la gravité et de la vraisemblance du risque au niveau des activités Audits: Perception de l importance des risques de l activité sur le processus ou le système (base, vision bottom-up)

25 Echelles d évaluation Acceptabilité du risque au niveau de la gouvernance de l entreprise Vraisemblance Gravité Evaluation au niveau de la gouvernance Matrice de passage du risque activité au risque système Echelle d importance perçue des dangers de l activité sur le processus Acceptabilité du risque au niveau de l activité ou du processus 25 Vraisemblance Gravité Evaluation au niveau de l activité de base Echelle de vraisemblance Echelle de gravité

26 Construction des audits Poids des processus sur le système Poids des sousprocessus sur les processus Poids des activités sur les sous-processus + définition des échelles d évaluation et de décision 26

27 Supports des audits Questionnaire ouvert Grille d évaluation des risques perçus 27

28 Index de vraisemblance Index de vraisemblance Exemple de résultats: cartographie des risques de l activité A1 Cartographie des risques initiaux de A1 Cartographie des risques résiduels de A1 Importance perçue des risques de l activité A1 sur le sous-processus Produits Professionnel Facteur humain Politique Environnements Insécurité Image Opérationnel Etudes et Système Management Stratégique Programmatiq 5 4 STR 5 4 Infrastuctures Technologique Commercial Communicati Financier Social Juridique 3 FIN COMR TECH PROG SI PROJ INS INFRA POL COM JUR ENV SOC MAN IMA Index de gravité STR 2 FIN COMR TECH PROG PROJ INS SI INFRA POL COM JUR ENV MAN PROD 1 IMA SOC Index de gravité 28

29 Exemple de résultats: cartographie des risques au niveau du système CARTOGRAPHIE DES RISQUES INITIAUX GLOBAUX PAR DANGER GENERIQUE D'ENTREPRISE Professionnel Produits Politique Environnements Insécurité Max Moy Min CARTOGRAPHIE DES FACTEURS D'IMPORTANCE DES RISQUES GENERIQUES PERCUS PAR DANGER GENERIQUE Professionnel Produits Politique 5 4 Environnements Insécurité Max Moy Min Facteur humain Image Facteur humain 3 Image Opérationnel Management Opérationnel 2 1 Management Etudes et projets Stratégique Etudes et projets 0 Stratégique Système Programmatique Système d'information Programmatique Infrastuctures Commercial Financier Juridique Technologique Communication et Social Infrastuctures Commercial Financier Juridique Technologique Communication et crises Social 29

30 Exemple de résultats: cartographie des risques du système par sous-processus Communication CARTOGRAPHIE DES RISQUES INITIAUX DES PROCESSUS D'ENTREPRISE Transports S10 Juridique S9 Stratégie et Organisation et Contrôle M3 Max Moy Min Communication CARTOGRAPHIE SYNTHESE DES RISQUES INITIAUX GLOBAUX PAR PROCESSUS D'ENTREPRISE Management Max Moy Min Service après Amélioration de Finances S6 R & T R1 Ressources Veille Gestion des Etudes R3 Système Projet R4 Marketing et Production R5 Soutien Réalisation Achats S1 Exportation R10 Maintenance R9 Essais R6 Installation R7 Exploitation R8 30

31 Exemple de résultats: cartographie des efforts de réduction des risques CARTOGRAPHIE DES EFFORTS DE REDUCTION DES RISQUES PERCUS PAR SOUS-PROCESSUS CARTOGRAPHIE DES EFFORTS DE REDUCTION DES RISQUES PERCUS PAR DANGER GENERIQUE S7 S8 S9 S10 M1 3 2 M2 M3 M4 M5 Max Moy Min Professionnel Facteur humain Produits Politique 3 2 Environnements Insécurité Image Max Moy Min S6 1 R1 Opérationnel 1 Management S5 0 R2 Etudes et projets 0 Stratégique S4 R3 Système d'information Programmatique S3 R4 Infrastuctures Technologique S2 S1 R10 R9 R8 R7 R6 R5 Commercial Financier Juridique Communication et crises Social 31

32 Etablissement du contexte Cartographie des processus d entreprise et de leurs environnements Définition de l importance des processus par la gouvernance Explicitation de la gouvernance des risques de l entreprise Identification des responsables clés des activités et des sous-processus Communication et concertation Identification du risque Etablissement de la liste des dangers (internes et externes à l activité) Audit des responsables clés des activités sur la base d un questionnaire ouvert Analyse du risque Recueil des données brutes sur la perception de la gravité, de la vraisemblance du risque liés aux dangers identifiés Recueil de l effort perçu comme nécessaire pour réduire ces risques et des actions nécessaires Recueil de la perception de l importance des dangers des activités de base pour les processus de l entreprise Evaluation du risque Construction des cartographie des risques initiaux et résiduels par dangers, par activités et par processus, vues aux différents niveaux de l entreprise Construction des cartographies des efforts de réduction des risques Identification des activités, sous-processus, processus, et établissements présentant les risques les plus critiques Evaluation de la cohérence des risques perçus par domaines d activités Surveillance et revue 32 Traitement du risque Mise en œuvre des actions prioritaires de réduction des risques Mise en œuvre d analyse de risques plus fines (type APR/AGR) au niveau des secteurs critiques

33 33 RISQUES SSI ET RISQUE D ENTREPRISE: ANALYSE GLOBALE DES RISQUES

34 Processus de l AGR Processus Résultats Valorisation AGR Vulnérabilités AGR Scénarios Cartographie des situations dangereuses Cartographie des risques (initiaux et résiduels) Hiérarchisation des risques et identifications des risques majeurs Identification et programmation des actions de maîtrise des risques initiaux Etablissement des bases pour les activités de sécurisation ultérieures Allocations préliminaires des objectifs de sécurité Pertes et Coûts/Risques 34

35 AGR Vulnérabilités : cartographie des dangers et menaces Environnement naturel Environnement technologique Environnement organisationnel Environnement commercial Environnement financier Environnement social Environnement sanitaire Modes de défaillance et d'erreur Environnements AMI / ENI 35

36 AGR Vulnérabilités : cartographie des situations dangereuses Vulnérabilités jugées fortes et à traiter en priorité Vulnérabilités jugées faibles Vulnérabilités jugées fortes mais hors périmètre du projet ou relevant d'une autre autorité Définition du système (fonctions, phases, sous-systèmes, structures organisationnelles) Cartographie des dangers et menaces auxquels le système est exposé Intégration REX Evaluation des interactions dangers / système è Vulnérabilités des éléments du système aux menaces et dangers 36

37 AGR Vulnérabilités : cartographie des situations dangereuses Vulnérabilités jugées fortes et à traiter en priorité Vulnérabilités jugées faibles Vulnérabilités jugées fortes mais hors périmètre du projet ou relevant d'une autre autorité p1=71 p2=74 p10=13 37

38 38 AGR Scénarios : métrique de cotation de la gravité

39 Matrice de criticité AGR Scénarios : métrique de décision Echelle d'effort Acceptation du risque 39

40 AGR Scénarios : description des scénarios de risques Non unification des données Administration Données manquantes lors de l admission d un patient déjà hospitalisé précédemment au CH! Activation! DISPENSATION D UN TRAITEMENT INADÉQUAT AU VU DES ANTÉCÉDENTS DU PATIENT Absence de localisation d un dossier existant Recherche des antécédents impossible ou difficile Chaîne de causalité : cinétique, portée Modification de la PEC du patient avec augmentation de la DMS sans séquelle 40

41 AGR Scénarios : traitement d'un risque (défense en profondeur) Prévention Détection Confinement Recouvrement Apprentissage Niveaux de défense à Quelle stratégie face à un risque? o défensif / offensif o prévention / protection o court / long terme o communication de crise Risque 41

42 AGR Scénarios : support d'analyse Risque initial Cotation du coût/effort des actions préconisées Risque résiduel Identification et analyse Evaluation et décision Traitement Evaluation et décision Gestion APR Scénarios Globale Par dangers génériques Par éléments du système 42

43 Synthèse : cartographie des risques Répartition des criticités INITIALES RÉSIDUELLES 43

44 Rapport Coûts traitement / Risques Financement du risque Coût du risque sans traitement Milliers SYSTEME - Diagramme Coûts (E) / risques (P) MED IDE CS AS Milliers Coût du traitement du risque 18.0 DANGERS - Bilan des coûts (E) / RISQUES (P) Dangers génériques 44

45 Fiches d actions de réduction des risques PROGRAMME XX SOUS-SYSTEME : ELEMENT : PLAN D ACTIONS DE REDUCTION DES RISQUES DESCRIPTION DES ACTIONS DE REDUCTION DES RISQUES Si actions de prévention à mettre 1 Taux de couverture estimé des actions décrites par rapport aux actions nécessaires pour réduire le risque initial Si actions de protection à mettre 2 DATE : EFFETS SECONDAIRES (immédiat, futurs, potenitels) DES ACTIONS Description des effets secondaires identifiés Actions de maîtrise des effets secondaires FICHE N REF ETUDE : RESPONSABLE : AUTORITE : Si actions mixtes à mettre 3 0% 25% 50% 75% 100% Autres Taux de maîtrise des risques des effets 0% 25% 50% 75% 100% Autres secondaires DISPOSITIONS DE REALISATION, DE VALIDATION ET DE CONTRÔLE DES ACTIONS DE REDUCTION DES RISQUES Taux estimé des actions consolidées déjà réalisées par rapport aux actions décrites 0% 25% 50% 75% 100% Autres OBSERVATIONS Causes de non application des actions de réduction des risques : dont identification des causes d échec partiel ou total des actions Décisions prises et actions proposées : 45

46 46 Tableau de gestion des fiches d actions de réduction des risques

47 Conclusion Cartographie des dangers/menaces Cartographie des situations dangereuses Cartographie des risques DANGERS GENERIQUES Dangers spécifiques Eléments ou événements dangereux ou Evénement Indésiré ou Evénement Redouté Vraisemblance du risque Gravité du risque 47

48 Etablissement du contexte Définition du système et de son environnement par groupes de travail Définition des objectifs de performance et de sécurité du système avec la gouvernance Définition des objectifs d acceptabilité du risque Communication et concertation Identification du risque Etablissement de la liste des dangers (internes et externes à l activité) Cartographie des situations dangereuses comme interactions dangers/système Analyse du risque Analyse de chaque situation dangereuse (un ou plusieurs scénarios) Analyse des causes contact, causes amorce et événements redoutés Evaluation de la vraisemblance et de la gravité initiales de chaque scénario Evaluation de la vraisemblance et de la gravité résiduelles de chaque scénario Evaluation du risque Cartographie des situations dangereuses et des risques (Kiviat, Farmer, statistiques) Hiérarchisation des risques et identification des risques majeurs Surveillance et revue Traitement du risque Plan d action de réduction des risques initiaux Catalogue des paramètres de sécurité (gestion des risques résiduels) 48

49 49 EXEMPLES

50 50 CONCLUSION

51 Conclusion - Approches globales complémentaires permettant d évaluer et de hiérarchiser des risques de nature différente dans une même analyse - Processus invariant et sans discontinuité, de l établissement du contexte jusqu à la gestion des risques résiduels - Représentation explicite des composantes du risque et de son acceptabilité (gouvernance du risque) - Pas d interférence entre la caractérisation du risque moyen et la prise de décision - Méthodes n introduisant pas de complexité supplémentaire par rapport au système analysé - Facilité de lecture des cartographies des risques favorisant la diffusion de l information et son appropriation par tous les acteurs du système 51

52 Conclusion - Outillage léger permettant de travailler rapidement, itérativement et en groupe de travail - Supports logiciels : q StatCart APR V1.06 pour l Analyse Globale des Risques, édition commerciale ( ) q StatCart CRAI pour la macro-cartographie des risques par audits internes (logiciel interne, développement d une version commerciale en cours) - Bases de données métiers (base de dangers standard Entreprise, base de dangers Sanitaire, base de dangers/menaces EBIOS) 52

53 Evolutions en cours CARTOGRAPHIE DES RISQUES DE LA GESTION DES SIGNALEMENTS PAR LE CEIP DE NANTES Former Collecter Evaluer Informer Identifier les professionnels à former Sélectionner les professionnels à contacter Préparer la formation Contacter les professionnels Former à la pharmacodépendance Assurer la formation Former à la notification initiale Valider la formation Conserver le contact avec les professionnels Déterminer les nouvelles connaissances à Assurer la formation apporter continue Diffuser les connaissances Recueillir les signalements Communiquer au personnel compétent Réceptionner Accuser réception Capter les données complémentaires Compléter les Intégrer les données complémentaires données Valider le niveau d information du signalement Répertorier les éléments disponibles du dossier Catégoriser le Typer le signalement ; NOTS ou OUTNOTS signalement Enregistrer le signalement sur le registre de notification Cartographie des risques par situations dangereuses Analyser les données de la notification Retranscire les iinformations Préparer le dossier de notification Valider le dossier de notification (qualité et pertinence) Renseigner les items du scorer Evaluer le score de Scorer gravité Valider le score Saisir la NOTS validée dans une base de données Enregistrer la NOTS Verrouiller la saisie Archiver le dossier de notification Identifier les signalements nécessitant une information Traiter les Compléter les données (requête, biblio, etc) signalements Valider la décision d informer Synthétiser l'information Préparer Rédiger et mettre en forme l'information l information Valider l information à transmettre Cibler le(s) récepteur(s) Sélectionner les modalités de diffusion Diffuser l information (support/canal) Effectuer la transmission Dangers Dangers génériques spécifiques Evènements dangereux Politique Agence Régionale de Non clarification des missions Absence ou défaut d'attribution Santé (ARS) 4 de 4 Non participation à la Commission Insécurité Système Intrusion malveillante dans le Image Professionnels Absence ou défaut de visibilité / 8 4 Préjugé vis-à-vis de la 6 6 Mauvaise image des missions 4 Management Organisation Défaut de continuité de service 10 Ressources Turn-over des étudiants humaines Défaut de compétences des 4 Défaut de compétences de Stratégie Partenariat/coopérati Absence ou défaut de partenariat Absence ou défaut de partenariat 10 on 8 Absence ou défaut de partenariat 9 12 Conseil 16 Décision inadaptée de l'afssaps d'administration de Décision inadaptée de l'afssaps 6 l'afssaps 8 Décision inadaptée de l'afssaps 6 8 Communication Communication Défaut de communication externe Communication Défaut de communication au sein 8 20 interne Défaut de communication au sein 4 10 Défaut de confidentialité Ethique Confidentialité 8 Juridique Réglementation Non respect de la réglementation 8 20 Financier Budget prévisionel Mauvaise estimation du budget Subvention Retard de versement de la Matériels et Ressources Ressources documentaires 6 12 équipements Ressources Matériel de communication Système 8 Logiciel Système d'information du CEIP non 8 d'information 8 Réseau Absence de réseau entre le CEIP, 20 Données Défaut d'anonymisation des 8 Matériel informatique Matériel informatique insuffisant Qualité Absence ou défaut de support de 4 Opérationnel 4 Absence ou défaut de traçabilité Absence ou défaut de méthode 4 6 Absence ou défaut de méthode de Absence ou défaut de procédure Absence ou défaut d'audit Facteur humain Individu Comportement inadapté 15 Défaillance humaine 3 6 Possibilité d une approche probabilisée pour l'agrp CARTOGRAPHIE DES RISQUES MOYENS RESIDUELS Performances (P) Sécurité (S) Coûts (C) 53 Délais (D) Cartographie des risques par cibles d impact dans l Entreprise