La semaine dernière, nous avons définit l’objet et l’objectif de notre activité de gestion des risques. La Seconde étape consiste à préciser le contexte. Il s’agit à la fois du contexte de l’objet de notre étude et de celui spécifique à la gestion des risques.
Le but de cette étape est, à nouveau, de nous aider à focaliser sur ce qui est vraiment important.
Contexte de l’objet de l’étude
Ce qui est ‘sans risque’ dans un contexte peut être extrêmement dangereux dans un autre !
Nous nous posons des questions sur les attentes et les exigences des « parties prenantes » tant externes qu’internes :
Qui a une influence sur l’objet de notre étude ? Qui en attend quelque chose ?
Dans quel cadre légal et réglementaire (vous vous souvenez de la protection de la vie privée ?) vivons nous? Qui sont nos fournisseurs, nos clients et partenaires? Quel rôle joue notre milieu familial et social?
Qu’est-ce qui est important pour eux, ce qu’ils ne veulent pas voir se produire doit nous guider, tout autant que nos propres intérêts.
L’étude du contexte nous permet également d’identifier ce qui peut nous gêner, nous contraindre ou nous empêcher d’agir comme nous voulons, et également les aides que nous pouvons recevoir et les conseils de ceux qui sont déjà passés par là.
Recherchons enfin toutes les opportunités et les avantages liés à nos idées et nos objectifs.
Qu’est-ce que le risque ?
C’est un événement vraisemblable qui pourrait avoir des conséquences négatives sur nos objectifs ou sur ce qui fait que nous (individu ou entreprise) sommes fiable et respectable. Guidons nous sur les axes de sensibilité.
S’il s’est déjà produit à plusieurs reprises, on pourra remplacer la vraisemblance par la probabilité qui est mesurable concrètement et prédire la sévérité des conséquences. Sinon, nous nous contentons d’estimer (sans utiliser une ‘boule de cristal’.)
Contexte de l’étude des risques
Nous précisons ici les outils nécessaires à notre étude des risques.
4 critères de sécurité pertinents
Les 4 critères dont nous parlons depuis le début de ce blog: confidentialité, intégrité, disponibilité et traçabilité ne seront sans doute pas nécessaires.
2 facteurs du risque
La vraisemblance et l’impact – doivent être mesurés pour déterminer le niveau du risque.
Nous utilisons
- soit des valeurs numériques (comme un pourcentage), là où on dispose d’informations concrètes
- soit des valeurs relatives (du genre ‘faible, moyen, fort) dans les autres cas
Dans ce dernier cas, il nous faut définir combien de niveaux utiliser (je vous recommande de 3 à 5 afin que cela reste pratique) et une signification claire pour chacun.
Calculer le niveau de risque
Nous additionnons (très rare) ou multiplions les valeurs des 2 facteurs de risque. Nous pouvons également construire une table. Elle sera symétrique ou non (exemple) selon l’importance que nous attribuons à l’un des deux facteurs.
Le seuil d’acceptabilité
Enfin, nous déterminons la limite séparant le risque ‘acceptable’ de celui qui ne l’est plus. C’est ce qui nous permet de dire : ce risque là, je ne m’en occupe pas.
Cette limite est soit la valeur ‘centrale’ de votre échelle de risques, une valeur supérieure (vous êtes optimiste) ou inférieurs (vous êtes pessimiste) à cette moyenne. Dans l’exemple la limite sera soit 2 soit entre 2 et 3.
Avec cela, vous disposez des outils et références essentiels pour passer à l’étape suivante : l’appréciation des risques que nous verrons la semaine prochaine.
Nous ne faisons ce travail qu’une fois pour des objets ou des objectifs similaires – tout en vérifiant régulièrement les changements importants. Pour d’autres objets et objectifs, il suffira d’adapter – faites-le – selon les attentes et les exigences.
Eprouvez-vous des difficultés à saisir tout ceci ? Pas de problème. Je suis à votre écoute ci-dessous.
A bientôt, plus en sécurité avec vos informations…
Jean-Luc
Crédit photo : Privé
Google+