4. Risque
Le guide 73 de l'ISO [8] définit un risque par la
combinaison de la probabilité d'un événement et de ses
conséquences. Cette définition est généralement
étendue et un risque se définit par la formule suivante :
RISQUE = MENACE * VULNERABILITE * IMPACT40(*)
La menace est la source du risque, l'agent responsable du
risque. La vulnérabilité est la caractéristique
constituant une faiblesse ou une faille au regard de la sécurité.
L'impact étant a la conséquence du risque sur l'organisme et ses
objectifs.
Les éventuels risques pouvant se présenter
doivent être gérés par phases de projet :
|
Phases
|
Risques
|
Actions
|
|
Etude préliminaire
|
· Taille du projet
· Manque d'expertise en gestion de projet
· Contexte organisationnel
|
· Traiter un nombre limité de fonctions
· Réduire l'écart entre l'expertise requise et
celle que possèdent les membres de l'équipe; formation,
recrutement de ressources additionnelles et recours à des experts
externes.
· Soutien inconditionnel de la haute direction
· Être à l'affût des conflits internes
|
|
Analyse de l'existant
|
· Manque d'expertise de l'équipe en ce qui concerne
les processus à soutenir.
· Manque d'expertise générale.
· Manque d'expérience et de soutien des
utilisateurs.
|
· Définir les contraintes associées au
fonctionnement de l'organisation et de son environnement.
· Documentation systématique de processus actuels ou
des systèmes utilisés.
|
|
Conception du nouveau Process
|
· Ampleur des changements occasionnés par le
processus visé
· Complexité des processus visés
|
· Gestion des attentes des utilisateurs et gestion du
changement.
· La sélection du personnel qualifié et la
formation du personnel en place.
· Révision des processus cibles afin d'en
réduire la complexité.
|
|
Acquisition de progiciel
|
· Qualité du progiciel
· Degré d'adéquation entre le processus
visé et le progiciel
· Caractéristiques de l'éditeur
· Complexité de la solution choisie
|
· Évaluer avec précision la qualité
d'un progiciel
· Évaluation rigoureuse axée sur la
rédaction d'un cahier des charges.
· Inviter les éditeurs à présenter des
solutions pour chaque scénario type soumis.
· Mesurer avec précision certaines
caractéristiques de l'éditeur
|
|
Paramétrage du progiciel
|
· Caractéristiques de l'intégrateur
· Complexité technique
· Étendue de la modification des données
|
· Mesurer avec précision certaines
caractéristiques de l'intégrateur
· Composition adéquate de l'équipe
|
|
Mise en place, exploitation et
évaluation
|
· Étendue de la modification du réseau
|
· Tests
· Plans de secours
|
* 40 Nicolas Mayer, Jean
Philippe Humbert., Article sur « La gestion du risque pour les
SI »,1990
| 
