Gestion des risques d'un projet informatique

La gestion des risques d’un projet informatique repose sur l’analyse continue des risques éventuels du projet afin de pouvoir l'accommoder aux résultats de cette analyse.

Pourquoi évaluer les risques^[1]

L'évaluation des risques est une analyse approfondie des scénarios éventuels de leur apparition.

Elle a pour but de:

• Adopter les mesures adéquates face à ces risques
• Améliorer la sécurité du projet
• Être une base pour la gestion du projet (la planification, l’abandon de certaines fonctionnalités, le choix des fournisseurs, la prévision des délais de livraison et des délais d’adaptation...)

Comment évaluer les risques

Notons que la méthode d’évaluation des risques doit correspondre au contexte. Toutefois, on peut présenter dans cette partie des directives générales.

Directives générales^[2]

• Énumérer, recenser tous les risques probables
• Estimer la probabilité d’apparition, la vraisemblance du scénario d’apparition
• Estimer l’impact potentiel sur le projet
• Pour chaque risque, définir le traitement envisageable
• Évaluer le coût de ce traitement
• Comparer l’impact éventuel par rapport au coût du traitement éventuel :
  • Coût / sécurité
  • Coût/ avantage
• Donner une note pour chaque risque en fonction de l’étape précédente, afin de les ordonner.

L’évaluation pouvant être quantitative ou qualitative selon la difficulté à pouvoir estimer.

Risques probables dans un projet informatique^{[3],[4],[5],[6]}

Cette liste est donnée à titre indicative, elle n’est pas exhaustive et dépend de l’organisation.

• Spécifications (cahier des charges) ambiguës
• Évolution des technologies (obsolescence des TIC actuels)
• Demandes de changements au cours du projet
• Manque d’expertise de la maîtrise d’œuvre
• Conflits entre utilisateurs
• Mauvaise installation
• Mauvaise utilisation des TIC (complexité technique)
• Budget et délais insuffisants
• Sabotage / résistance par les utilisateurs
• Fuite d’information
• Insécurité du système d'information

Traitements envisageables

Les traitements dépendent de la méthode de gestion adoptée et des choix de l'entreprise.

Selon ISO 27005^[7], ces traitements seraient:

• Refus du risque : Éliminer l’activité qui amène au risque.
• Réduction du risque : Diminuer le risque.
• Transfert du risque : Transférer le risque à une autre « entité » capable de le gérer.
• Conservation du risque : Maintenir le risque tel quel.

Comment gérer les risques

La gestion des risques dépend de la méthode ou du référentiel choisi ainsi que des choix de l’entreprise.

L’évaluation est une étape de cette gestion, mais il y a aussi le traitement choisi, le suivi et l’adaptation à l’évolution du SI.

Cette gestion n’est pas figée, elle se doit d'être continue et de prendre en compte tous les changements que le projet subit.

Méthodes de gestion des risques des SI

Cette liste n'est pas exhaustive:

• ISO 27005
• La méthode harmonisée d'analyse des risques, (Mehari), développée par le CLUSIF
• Expression des besoins et identification des objectifs de sécurité,(EBIOS), développée par l'ANSSI
• La méthode d'analyse de risques informatiques optimisée par niveau, (Marion), développée par le CLUSIF.

Qui est chargé de la gestion des risques^[8]?

Ceci est un choix de l’entreprise, mais ça peut être la responsabilité de:

• Le responsable de la sécurité de l'information
• Le propriétaire de chaque projet
• Le chef de projet
• Un consultant externe

Le CLUSIF mène chaque année des études sur le responsable de cette gestion dans l'échantillon d'entreprises qu'il étudie^[8]. Les rapports de leurs études sont mis à disposition du public sur leur site.

Notes et références

1. DCSSI/SGDN, « Gestion des risques », sur secinfo.gouv.fr via Wikiwix (consulté le 14 octobre 2023).
2. (en) « 27000.org », sur 27000.org (consulté le 18 juin 2023).
3. http://www.dtic.mil/ndia/2004cmmi/CMMIT2WedPM/1142WarrenScheinin.pdf
4. Keil et al., 1998
5. sage, 1992 annotated by Buttigieg, 2004
6. Revised Bohem Top Ten Source of Risk, 1991
7. (en) « 27000.org », sur 27000.org (consulté le 18 juin 2023).
8. « CLUSIF - Documents », sur clusif.asso.fr via Wikiwix (consulté le 14 octobre 2023).

Voir aussi

• Gestion du risque
• Fuite d’information
• Insécurité du système d'information
• sécurité de l'information
• ISO/CEI 27001
• ISO/CEI 27002
• ISO 27005
• Méthode d'analyse de risques informatiques optimisée par niveau
• Méthode harmonisée d'analyse des risques
• CLUSIF
• ANSSI

•   Portail de l’informatique
•   Portail du management