Gestion des risques d'un projet informatique

La gestion des risques d’un projet informatique repose sur l’analyse continue des risques éventuels du projet afin de pouvoir l'accommoder aux résultats de cette analyse.

Pourquoi évaluer les risques[1]Modifier

L'évaluation des risques est une analyse approfondie des scénarios éventuels de leur apparition.

Elle a pour but de:

  • Adopter les mesures adéquates face à ces risques
  • Améliorer la sécurité du projet
  • Être une base pour la gestion du projet (la planification, l’abandon de certaines fonctionnalités, le choix des fournisseurs, la prévision des délais de livraison et des délais d’adaptation...)

Comment évaluer les risquesModifier

Notons que la méthode d’évaluation des risques doit correspondre au contexte. Toutefois, on peut présenter dans cette partie des directives générales.

Directives générales[2]Modifier

  • Énumérer, recenser tous les risques probables
  • Estimer la probabilité d’apparition, la vraisemblance du scénario d’apparition
  • Estimer l’impact potentiel sur le projet
  • Pour chaque risque, définir le traitement envisageable
  • Évaluer le coût de ce traitement
  • Comparer l’impact éventuel par rapport au coût du traitement éventuel :
    • Coût / sécurité
    • Coût/ avantage
  • Donner une note pour chaque risque en fonction de l’étape précédente, afin de les ordonner.

L’évaluation pouvant être quantitative ou qualitative selon la difficulté à pouvoir estimer.

Risques probables dans un projet informatique[3],[4],[5],[6]Modifier

Cette liste est donnée à titre indicative, elle n’est pas exhaustive et dépend de l’organisation.

Traitements envisageablesModifier

Les traitements dépendent de la méthode de gestion adoptée et des choix de l'entreprise.

Selon ISO 27005 [7], ces traitements seraient:

  • Refus du risque : Éliminer l’activité qui amène au risque.
  • Réduction du risque : Diminuer le risque.
  • Transfert du risque : Transférer le risque à une autre « entité » capable de le gérer.
  • Conservation du risque : Maintenir le risque tel quel.

Comment gérer les risquesModifier

La gestion des risques dépend de la méthode ou du référentiel choisi ainsi que des choix de l’entreprise.

L’évaluation est une étape de cette gestion, mais il y a aussi le traitement choisi, le suivi et l’adaptation à l’évolution du SI.

Cette gestion n’est pas figée, elle se doit d'être continue et de prendre en compte tous les changements que le projet subit.

Méthodes de gestion des risques des SIModifier

Cette liste n'est pas exhaustive:

Qui est chargé de la gestion des risques [8]?Modifier

Ceci est un choix de l’entreprise, mais ça peut être la responsabilité de:

Le CLUSIF mène chaque année des études sur le responsable de cette gestion dans l'échantillon d'entreprises qu'il étudie[8]. Les rapports de leurs études sont mis à disposition du public sur leur site.

Notes et référencesModifier

Voir aussiModifier