Marc Fréchette Gestion de risques TRUCS – analyse de risques Poser les questions suivantes: 1. Que pourrait‐il arriver (de mal, de néfaste, de négatif) ? cause que négatif) ? 2. Si cela arrivait, serait‐ce grave ? cause conséquence Risque 3. Que puis‐je faire pour empêcher que cela ne se produise ? plan d’action produise ? 4. Que puis‐je faire pour corriger la situation même si l’ d d d ê ? plan d action Mesure 25 l’incident se produit quand même ? mesures récupératrices – plan B ‐ plan de contingence

1. Gestion de risques
trucs et leçons - expériences vécuesç p
1

2. Qualités d'un gestionnaire de projet
1. inspire une vision commune1. inspire une vision commune
2. bon communicateur
3. intègre
Go !4. enthousiasme
5. fait preuve d’empathie
Go !
On les nomme6. compétent
7. capacité à déléguer des tâches
On les nomme.
8. calme sous la pression
9. rassembleur d’équipe
i é à é d l blè
2
10. capacité à résoudre les problèmes
http://www.projectsmart.co.uk/top‐10‐qualities‐project‐manager.htmlsource:

3. C’est quoi un risque ?
Le risque est un événement
ou action qui peut causer
une perte quelconque.
“Possibility of loss”
3

4. C’est quoi un risque ?
Deux éléments caractérisent le
risque d’où la formulerisque, d où la formule …
G P * IG = P * I
Gravité du risque = Potentialité * Impact
4

5. Gérer le risqueq
OUI Le risque se gère et
doit être géré.doit être géré.
OUI Il y a toujours desOUI Il y a toujours des
risques.
OUI Nous pouvons les réduire.
5

6. Exemples de risques
6

7. Principes en GRp
P tt d éd i l i id t
La gestion de risques doit :
• Permettre de réduire les incidents
• Améliorer les services offerts par l’organisation
• Créer de la valeur• Créer de la valeur
• Faire partie du processus de saine gouvernance et de gestion
• Être pratiquée selon les meilleures informations disponibles
• S’accomplir dans les frontières de l’assurance raisonnable
• Faire partie du cycle de décision stratégique
l i i d l blè i l
7
• Concerner les incertitudes et les problèmes potentiels

8. des questions et des réponses
8

9. Comment bien gérer ses risques?
• Être préparé (méthode – démarches –
plan)p )
• Satisfaire aux attentes et exigences de la
gouvernance
• Connaitre l’organisation
• Afficher une communication fiable
• Impliquer les gestionnaires, experts et
personnels
• Utiliser une méthode (référentiel) alignée
à votre domaine d’intervention (ex:
santé=HIPAA, ERM=COSO,
é é
9
générique=ISO31000, SI=ISO2700x, TI=Risk‐IT,
etc.)

10. L'analyse des risques est‐elle une bonne
garantie de réussite pour le projet?garantie de réussite pour le projet?
Oui elle occupe une
place indispensableplace indispensable.
Elle est proactive.
Oui c’est une bonne garantie Elle peut devenir trèsOui c est une bonne garantie. Elle peut devenir très
bonne, mais ne sera jamais la seule pratique garante de
réussite. Voici d’autres exemples : gouvernance et
10
réussite. Voici d autres exemples : gouvernance et
gestion, estimation des couts, communication
exemplaire, collaboration, etc.

11. L’importance de gérer les
risques jusqu’à la fin du
projetprojet
Oui toujours. Particulièrement pour un
long projet.
Les risques évoluent dans le tempsLes risques évoluent dans le temps.
(tout comme les gens, les besoins, les attentes, les
technologies les malveillances etc )
11
technologies, les malveillances, etc.)

12. Que faire avec la liste des
risques?
AGIR !AGIR !
• Les qualifier
ifi
(relativement facile)
( l diffi il )• Les quantifier
• Les prioriser
(plus difficile)
(notion important vs urgent)
• Les faire connaitre
• Les adresser
(diffusion : prudence)
(plan d’action – mesures)
12
• Suivre et contrôler (risques et mesures)

13. Pourquoi gérer ses risques ?
1. Afin qu’ils ne se matérialisent pas !
2. Continuer à faire des affaires
3 Atteindre les objectifs3. Atteindre les objectifs
4. Sauver de l’argent, du temps
5. Réduire le stress
6 Augmenter la maturité organisationnelle6. Augmenter la maturité organisationnelle
7. Rassurer la haute direction
13et bien d’autres encore …

14. (mauvaises) Raisons pour
é ine pas gérer ses risques
• Pas le temps !
• À quoi bon ?• À quoi bon ?
• Nous n’avons pas de risques.
• Nous allons regarder les autres
le faire et puis on verra …
• et plusieurs autres …
14

15. Facteurs de succès en GR
• Aval de la haute direction + B M H• Aval de la haute direction + B M H
• Gouvernance (orientation – vision), des
actifs des objectifs des enjeux etcactifs, des objectifs, des enjeux, etc.
• Canal de communication fiable
• Implication et collaboration
• Rôles et responsabilités
• Informations d’historiques
• etc.
15

16. 16PMBOK v4

17. 17

18. PMBOK v4
Chapitre 11Chapitre 11
Management desManagement des
risques du projet
18

19. Référentiels
19
et méthodes

20. Autres référentiels (méthodes)
20etc.

21. Le risque se matérialise …
Lorsqu’il y a un incident, il y a souvent (pas toujours)
des impacts (conséquences) fâcheux.
Des conséquences pouvant impacter :
• une compagnieune compagnie
• un organisme
• un gouvernement ou pire encore• un gouvernement ou pire encore…
• vous‐même !
21

22. BONNE PRATIQUE
22

23. Protection des renseignements
confidentielsconfidentiels
En matière de «protection des
renseignements confidentiels»,
Revenu Québec via son siteRevenu Québec, via son site
internet, explique comment il
fait pour mettre en application p pp
les éléments d’une saine PRC.
23

24. Protection des renseignements
confidentielsconfidentiels
Ce dépliant présente
les gestes concrets que
prend le Ministère
pour assurer la
t ti dprotection des
renseignements
confidentielsconfidentiels.
24

25. TRUCS – analyse de risques
Poser les questions suivantes:
1. Que pourrait‐il arriver (de mal, de néfaste, de
négatif) ? cause
que
négatif) ?
2. Si cela arrivait, serait‐ce grave ?
cause
conséquence
Risq
3. Que puis‐je faire pour empêcher que cela ne se
produise ? plan d’actionproduise ?
4. Que puis‐je faire pour corriger la situation même si
l’ d d d ê ?
plan d action
Mesure
25
l’incident se produit quand même ?
mesures récupératrices – plan B ‐ plan de contingence

26. Merci de votreMerci de votre
intérêtintérêt.
Questions ?Questions ?
26auteur : Marc Fréchette marc_frechette@yahoo.ca

27. 27

28. 28

29. Références utiles
• Violation de données http://www.privacyrights.org/data‐breachp // p y g g/
• Commissariat à la protection de la vie privée du
Canada http://www.priv.gc.caCanada http://www.priv.gc.ca
• Personal Information Protection and Electronic
Documents Act (PIPEDA) http://www.pipedainfo.com/Documents Act (PIPEDA) http://www.pipedainfo.com/
• Vol d’identité : federal trade commission
www.consumer.gov/idtheft
29

30. Références utiles
Risque en SANTÉ : HIPAA The Health Insurance Portability and Accountability Act (HIPAA) of
1996 Subtitle D of the Health Information Technology for Economic and Clinical Health Act (HITECH
Act) enacted as part of the American Reco er and Rein estment Act of 2009 addresses the pri acAct), enacted as part of the American Recovery and Reinvestment Act of 2009, addresses the privacy
and security concerns associated with the electronic transmission of health information.
http://www.hhs.gov/ocr/privacy/
Risque en TI (technologie de l’information) : RISK‐IT
http://www.isaca.org/Knowledge‐Center/Risk‐IT‐IT‐Risk‐Management/Pages/Risk‐IT1.aspxhttp://www.isaca.org/Knowledge Center/Risk IT IT Risk Management/Pages/Risk IT1.aspx
Risque en SI (sécurité de l’information) : ISO2700x NIST(FIPS PUB 200)
http://www.iso.org/iso/search.htm?qt=ISO+27002&sort=rel&type=simple&published=on
http://csrc.nist.gov/publications/CSD_DocsGuide.pdf
30
p // g p _ p
$$$ ISO27002:2005
CHF 208 / CDN 215

31. Références
Gestion de risques « générique » :
ISO31000
$$$ ISO31000:2009
CHF 112 / CDN 116ISO31000
http://www.iso.org/iso/catalogue_detail.
htm?csnumber=43170
CHF 112 / CDN 116
http://www.sei.cmu.edu/
31
WWW.ssi.gouv.fr

32. Références
Gouvernance et contrôle des TI = COBIT
http://www.isaca.org/Knowledge-Center/COBIT/Pages/Overview.aspx
http://www.isaca-quebec.ca/cobit.htm
32

33. Références
Risque ORGANISATIONNEL : COSO Comprising the professional associations listed above, the Committee of
Sponsoring Organizations (COSO) is a voluntary private‐sector organization. COSO is dedicated to guiding executive management
and governance entities toward the establishment of more effective, efficient, and ethical business operations on a global basis. It g , , p g
sponsors and disseminates frameworks and guidance based on in‐depth research, analysis, and best practices.
http://www.coso.org/documents/COSO_E
RM_ExecutiveSummary.pdf
33

34. Références
Risque en TI (technologie de l’information) : NIST (800‐30) DoC Tous les
documents sont gratuits
htt // hh / / ihttp://www.hhs.gov/ocr/pri
vacy/hipaa/administrative/s
ecurityrule/nist800‐30.pdf
34