SlideShare une entreprise Scribd logo
Identifier les risques
d’un projet informatique
Module de formation
Avril 2013
Présentons-nous
Avril 2013www.cleodit.fr
2
Carine Pascal, CleodIT
Avril 2013www.cleodit.fr
Audit & Evaluation
• Evaluation qualité
• Evaluation technique :
processus / produit
• Accompagnement à la
certification /
accréditation
Expertise
• Sûreté / Sécurité : analyse
de risque, dossier de
sûreté…
• Système / Logiciel :
système critique, système
à forte composante
logicielle, système
embarqué
Formation
• Qualité : approche
processus, audit,
indicateurs, tableau de
bord…
• Sûreté de fonctionnement
: méthodes et outils,
FMEA, HAZOP, SEEA…
R&D
• Recherche
• Développement
expérimental (pilote,
prototype)
• Technologies de
l’information
3
Avant-propos
• Le discours associé à ce support sera axé sur la démarche
pédagogique imaginée pour la formation
• Le contenu proposé ci-après est un exemple (partiel) de
support de formation
• La méthodologie proposée dans ce contenu est générique et
reproductible
• Applicable aux fonctions de gestion de projet
• Applicable aux fonctions techniques du projet
Avril 2013www.cleodit.fr
4
PLAN DE FORMATION
On ne fait pas de projet sans risque
Le plus grand risque est de ne pas faire de projet
Avril 2013www.cleodit.fr
5
Plan de formation (1/6)
Avril 2013www.cleodit.fr
6
Projet informatique
Vocabulaire
Plan de formation (2/6)
Avril 2013www.cleodit.fr
7
Risque
Vocabulaire
Plan de formation (3/6)
Avril 2013www.cleodit.fr
8
PLAN DO
CHECKACT
Processus
d’identification du risque
Avril 2013www.cleodit.fr
9
Phase 1 Phase 2 Phase 3 Phase 4 Phase 5 Phase 6
PLAN DO
CHECKACT
Plan de formation (4/6)
Identifier le risque d’un projet informatique tout au long de son cycle de vie
Avril 2013www.cleodit.fr
10
Plan de formation (5/6)
Cas d’étude
Plan de formation (6/6)
Avril 2013www.cleodit.fr
11
Bilan de formation
GÉNÉRALITÉS ET VOCABULAIRE
Exigences
Présentation d’un projet informatique : découpage en phases, découpage en biens, découpage en fonctions
Evénement redouté, défaillance
Notion de risque
Avril 2013www.cleodit.fr
12
Exigence
Une exigence est un énoncé :
• qui peut être rédigé dans un langage naturel ou dans un
langage mathématique
• qui traduit des besoins et/ou des contraintes (comme des
contraintes techniques, des contraintes de coûts, des
contraintes de délais, ou d’autres types de contrainte)
• qui caractérise un élément du système [le projet, NDLR] à
réaliser à l’aide d’un identifiant unique
Référence : Association Française d’Ingénierie Système
Exemple : une norme, un cahier des charges
Avril 2013www.cleodit.fr
13
Exigence
Une exigence est un énoncé :
• qui peut être rédigé dans un langage naturel ou dans un
langage mathématique
• qui traduit des besoins et/ou des contraintes (comme des
contraintes techniques, des contraintes de coûts, des
contraintes de délais, ou d’autres types de contrainte)
• qui caractérise un élément du système [le projet, NDLR] à
réaliser à l’aide d’un identifiant unique
Avril 2013www.cleodit.fr
14
Besoin ≠ Moyen
Explicite ou Implicite
Attributs
Avril 2013www.cleodit.fr
QUALITE
COÛT
DELAI
Sécurité
Disponibilité
15
Caractérisation
Avril 2013www.cleodit.fr
Attribut Exigence Indicateur Valeur
Coût Le projet doit respecter
l’objectif global de
productivité de l’organisme
TJM > 500 €
Délai Le projet ne doit pas
donner lieu à des pénalités
de retard
Retard maximum sur une
livraison
5 jours
Qualité
(Compétences)
Les membres du projet
doivent avoir les
compétences requises
Efficacité des formations > 2
Qualité
(Satisfaction client)
Le projet doit permettre de
fidéliser un nouveau client
Satisfaction client mesurée
lors du bilan de fin de
projet
80 %
Nombre de réclamations 0
Processus de management
du risque
Le projet doit appliquer le
processus
Nombre de non-conformité
moyen par audit
< 2
Le projet doit contribuer à
améliorer le processus
Nombre de fiches
d’amélioration émises
> 0
…
16
Projet informatique
Projet (informatique) : ensemble de biens interagissant
entre eux pour satisfaire des fonctions requises. Ces
fonctions ont pour finalité de répondre à des exigences.
Avril 2013www.cleodit.fr
17
MOA MOE
Sous-
traitant
Fonction
Avril 2013www.cleodit.fr
18
Fonction(deservice)
Actiond’unprojetexpriméeen
termedefinalité
Fonction principale (fonction d’interaction)
Fonction qui traduit la raison d’être du projet
dans son environnement, pour répondre au
besoin
Fonction de contrainte (fonction d’adaptation)
Fonction qui doit être satisfaite par le projet,
sans traduire sa raison d’être
Exemple de
fonction principale
• Développer un logiciel informatique
• Développer l’algorithme de calcul
• Développer l’IHM
• Fournir le support technique
• Assurer la maintenance
• …
Avril 2013www.cleodit.fr
19
Exemple de
fonction de contrainte
• Respecter la norme ISO 9001
• Préserver l’image / la réputation de l’organisme
• Concurrencer les applications similaires existantes
• …
Avril 2013www.cleodit.fr
20
Interfaces
Avril 2013www.cleodit.fr
21
Attention aux
interfaces
(externes / internes)
Bien
(actif)
• Bien : entité représentant de la valeur pour le projet ou pour
l’organisme
• Bien primordial : fonction de service, donnée
• Bien en support : matériel, logiciel, réseau, personnel, locaux,
sous-traitant, information (document papier, document
numérique, connaissances), moyen d’accès (compte utilisateur,
clé de chiffrement)…
Avril 2013www.cleodit.fr
22
Traduction du besoin
« Matérialisation » des
biens primordiaux
Phases du cycle de vie
Avril 2013www.cleodit.fr
23
Lancement Réalisation
Bilan de
réalisation
Garantie
Bilan de
garantie
Clôture
- Lancement de projet externe
- Lancement de projet interne
- Elaboration du PQP
- Elaboration du plan de management des risques
- Développement
- Recette
- Bilan de fin de projet externe
- Bilan de fin de projet interne
- Bilan de fin de garantie externe
- Bilan de fin de garantie interne
Affaire
- Qualification de l’affaire
- Elaboration de la proposition commerciale
- Revue de la commande
Phases – Redécoupage (Cycle en V)
Avril 2013www.cleodit.fr
24
Lancement Réalisation
Bilan de
réalisation
Garantie
Bilan de
garantie
Clôture
- Lancement de projet externe
- Lancement de projet interne
- Elaboration du PQP
- Elaboration du plan de management des risques
- Bilan de fin de projet externe
- Bilan de fin de projet interne
- Bilan de fin de garantie externe
- Bilan de fin de garantie interne
Affaire
- Qualification de l’affaire
- Elaboration de la proposition commerciale
- Revue de la commande
- Développement
- Recette
Evénement redouté
(événement indésirable)
• Evénement redouté : événement dont la survenue n’est
pas souhaitée en regard des exigences
• Accident, si la gravité est importante
• Incident, si la gravité est peu importante
Avril 2013www.cleodit.fr
25
Défaillance
• Défaillance : cessation de l’aptitude d’un bien à satisfaire
une fonction requise
Avril 2013www.cleodit.fr
26
Types de défaillance
• Défaillance aléatoire : défaillance d’une entité dont la cause est
aléatoire
• Défaillance systématique : défaillance liée de manière
déterministe à une cause
• Défaillance primaire : défaillance d'une entité dont la cause
n'est pas une défaillance d'une autre entité
• Défaillance secondaire : défaillance d'une entité dont la cause
est une défaillance d'une autre entité et pour laquelle cette
entité n’est pas dimensionnée
• Défaillance de commande : défaillance d'une entité dont la
cause est une défaillance d'une autre entité et pour laquelle
cette entité est dimensionnée
Avril 2013www.cleodit.fr
27
matérielle
Risque
• Risque : Possibilité qu’une défaillance d’un bien
conduise à un événement redouté
Avril 2013www.cleodit.fr
28
Barrière de sûreté
• Action en réduction du risque : action de traitement du
risque
• Barrière de sûreté : fonction réalisant l’action en
réduction du risque
Avril 2013www.cleodit.fr
29
IDENTIFICATION DU RISQUE
L’étape d’identification dans le processus de management du risque
Identification des sources de risque, des événements redoutés, de leurs causes et de leurs conséquences
Méthodes et outils : APR, AMDE(C), HAZOP
Avril 2013www.cleodit.fr
30
Avril 2013www.cleodit.fr
31
Etablissement du contexte
Evaluation du risque
Traitement du risque
Communicationdurisque
Surveillanceetréexamendurisque
Identification du risque
Estimation du risque
Analyse du risque
Appréciation du risque
Processus de
management du risque
Etablissement du contexte
• Objectifs
• Quelles sont les exigences applicables au projet ?
• Quels attributs doivent être suivis en regard de
ces exigences ?
• Quel est le niveau d’analyse souhaité ?
• Périmètre
• Quelles phases du cycle de vie du projet doivent
être analysées ?
• Organisation
• Plan de management du risque : rôles et
responsabilités, échanges, méthodes et outils,
enregistrements…
Avril 2013www.cleodit.fr
32
Etablissement du contexte
• Objectifs
• Quelles sont les exigences applicables au projet ?
• Quels attributs doivent être suivis en regard de
ces exigences ?
• Quel est le niveau d’analyse souhaité ?
• Périmètre
• Quelles phases du cycle de vie du projet doivent
être analysées ?
• Organisation
• Plan de management du risque : rôles et
responsabilités, échanges, méthodes et outils,
enregistrements…
Avril 2013www.cleodit.fr
33
Processus itératif
Identification du risque
• Identification du risque : processus de recherche, de
reconnaissance et de description du risque
Avril 2013www.cleodit.fr
34
Identification des sources d’information
Identification des biens dans le périmètre
Identification des événements redoutés
Identification des barrières de sûreté existantes
Identification des causes des événements redoutés
Identification des conséquences des événements redoutés
Identification
des sources d’information
• Personnes à rencontrer
• Responsable du bien (administrateur système…)
• Utilisateur du bien
• Autre : responsable d’activité,
expert, sous-traitant…
• Documentation à étudier
• Registre d’accidents/incidents
• Plan de traitement des risques
• REX
• Spécification technique
Avril 2013www.cleodit.fr
35
Identification des biens
Avril 2013www.cleodit.fr
36
Attention à la
granularité choisie
Analyse fonctionnelle
• Analyse fonctionnelle externe
• Exemple : Méthode MISME
• Analyse fonctionnelle interne
• Exemple : Méthode SADT
Avril 2013www.cleodit.fr
37
Exemple d’AF externe
Avril 2013www.cleodit.fr
38
Utilisateur
Applications
mobiles
existantes
Application
mobile
Mobile
Projet
dans une
phase
donnée
MOA
Normes SMQ
Plus globalement,
les éléments
entrants
Plus globalement,
les éléments
à produire
Tableau
d’analyse fonctionnelle
• Synoptique des analyses fonctionnelles externe et interne
• Lien entre les fonctions issues de l’AF externe et les
fonctions techniques les réalisant issues de l’AF interne
• Lien entre les fonctions issues de l’AF externe et les
biens supportant leur réalisation issus de l’AF interne
Avril 2013www.cleodit.fr
39
B1 B2 B3 B4
F1 F11 X
F12 X
F13 F131 X
F132 X
…
Exemple de tableau d’AF
Avril 2013www.cleodit.fr
40
B1 : mobile
Iphone
E2 : Ordinateur
MacOS X
E3 : ordinateur
Windows
E4 : Suite
bureautique
F0 : Développer
l’application
mobile
F1 : Développer le
cœur applicatif X
F2 : Développer
l’IHM X
F3 : Tester
l’application
F31 : Tester
l’application
sur hôte
X
F32 : Tester
l’application
sur cible
X X
…
Identification
des événements redoutés
• Liste générique sectorielle
• Liste basée sur le REX
• Exemple : catalogue de menaces EBIOS
• Exemple : l’organisme peut estimer ne pas être exposé à
une menace humaine interne malveillante
Avril 2013www.cleodit.fr
41
A adapter
(préciser / ajouter /
supprimer)
Nature de l’ER
• Naturelle (incendie, inondation)
• Délibérée (vol…)
• Accidentelle (effacement de données…)
Avril 2013www.cleodit.fr
42
Identification
des barrières existantes
Avril 2013www.cleodit.fr
43
Bien (support) auquel
est associée la fonction
Bien (support)
supportant sa réalisation
F0 : Activer une alarme
anti-intrusion durant les
heures de fermeture
Locaux de la
société
Alarme
F1 : Permettre le
contrôle d’accès par mot
de passe sous MacOS X
MacOS X
F2 : Permettre le
contrôle d’accès par mot
de passe sous Windows
XP
Windows XP
A identifier
parmi les
biens ?
Identification
des modes de défaillance
• Mode de défaillance : état observable d’un bien défaillant
pour une fonction requise
• La liste des modes de défaillance doit être établie de
manière exhaustive
• Les modes de défaillance doivent être indépendants
Avril 2013www.cleodit.fr
44
Exemples de défaillances
ER = « Pas d’accès internet »
• Défaillance systématique : serveur inopérant dont la cause
est un bug logiciel sur le serveur
• Défaillance aléatoire : serveur inopérant dont la cause est
une panne matérielle du serveur
• Défaillance primaire : idem
• Défaillance secondaire : serveur inopérant dont la cause
est une panne d’électricité
• Défaillance de commande : fournisseur d’accès internet
inopérant, erreur de câblage
Avril 2013www.cleodit.fr
45
HAZOP
• HAZard and OPerability Studies : étude de danger et
d’exploitabilité
• Etudie l’influence des déviations de divers paramètres
régissant un bien par rapport à leurs valeurs nominales de
fonctionnement
Avril 2013www.cleodit.fr
46
Non Plus Moins
Aussi bien
que
Une partie
de
Inverse Autre que Tôt/avant Tard/après
Détermination HAZOP
des modes de défaillance
Avril 2013www.cleodit.fr
47
Non Plus Moins Aussi
bien
que
Une
partie
de
Inverse Autre
que
Tôt /
Avan
t
Tard /
Après
Entrant
du
projet
Accès
Pas
d’accès
N/A N/A N/A N/A N/A Accès
non
autorisé
N/A Pas
d’accès
Entrant
du
projet
Contenu
Insuffi-
sant
Supplé-
mentaire
Insuffi-
sant
N/A Corrom-
pu
N/A Authen-
ticité
Insta-
ble
Périmé
…
Modes de défaillance
d’une fonction
• Fonctionnement prématuré ou intempestif
• Non fonctionnement ou fonctionnement retardé
• Fonctionnement interrompu ou intermittent
• Fonctionnement continu
• Fonctionnement dégradé
Avril 2013www.cleodit.fr
48
Légende :
Fonctionnement attendu
Fonctionnement observé
Identification
des conséquences
• Impact : dommage exprimé en terme d’atteinte à l’un des
attributs de sûreté
• Exemple : Allongement du délai de réalisation du projet
• Conséquence : dommage exprimé en terme d’atteinte au
projet ou à l’organisme
• Exemple : Perte de clientèle
Avril 2013www.cleodit.fr
49
Construction des scenarios
Avril 2013www.cleodit.fr
50
• La norme ISO 31010 (cf. annexe) propose une liste de
méthodes et outils applicables
• Les approches méthodologiques sont à privilégier
• APR
• AMDEC
APR
• Analyse Préliminaire des Risques
• Méthode déductive : on part des événements redoutés
pour en déterminer les causes (bien concerné, phase du
cycle de vie, événement initiateur…)
• Les événements considérés sont indépendants
Avril 2013www.cleodit.fr
51
Tableau d’APR/APD
• 1) Identification unique du scenario
• 2) Evénement redouté
• 3) Situation préalable à l’accident potentiel
• 4) Evénement redouté initiateur ou cause rendant effective la situation dangereuse
• 5) Bien auquel on peut associer une défaillance et qui est à l’origine de l’événement
initiateur
• 6) Evénement complémentaire transformant la situation dangereuse en accident potentiel
(indépendant de l’événement initiateur et dont un autre bien est à l’origine)
• 7) Phase d’utilisation
• 8) Conséquences du scenario
• 9) Criticité du risque
• 10) Actions en réduction de risque
• 11) Remarques ou commentaires éventuels concernant le scenario ou la méthodologie
Avril 2013www.cleodit.fr
52
N°
Accident
potentiel
Situation
dangereuse
Evénement
causant une
situation
dangereuse
Entité
dangereuse
Evénement
causant un
accident
potentiel
Phase Effets Criticité
Traitement
du risque
Remarques /
Commentaires
1 2 3 4 5 6 7 8 9 10 11
Exemple d’APR
Avril 2013www.cleodit.fr
53
N°
Accident
potentiel
Situation
dangereuse
Evénement
causant une
situation
dangereuse
Entité
dangereuse
Evénement
causant un
accident
potentiel
Phase Effets Gravité
Traitement
du risque
Remarques /
Commentaires
1 2 3 4 5 6 7 8 9 10 11
1
Perte, vol ou
déterioration
d'un bien
Dommage
naturel
Défaillance du coffre-
fort
Coffre-fort Incendie des locaux Toutes
Coût
Délai
Qualité
Coffre-fort
ignifugé
2
Perte, vol ou
déterioration
d'un bien
Dommage
délibéré
Alarme non enclenchée Personnel
Intrusion d'un voleur
dans les locaux
Toutes
Coût
Délai
Qualité
Confidentialité
Sensibilisation
du personnel
3
Perte, vol ou
déterioration
d'un bien
Dommage
accidentel
Défaillance de
l'utilisateur
(chute du bien)
Utilisateur Toutes
Coût
Délai
Qualité
Assurance
Sauvegarde des
informations
4
Perte, vol ou
déterioration
d'un bien
Dommage
accidentel
Défaillance de
l'utilisateur
(effacement de donnée)
Utilisateur Toutes
Délai
Qualité
Sauvegarde des
informations
5
Perte, vol ou
déterioration
d'un bien
Dommage
accidentel
Défaillance du support
(panne)
Disque dur Toutes
Délai
Qualité
Sauvegarde des
informations
Maintenance
périodique
AMDE(C)
• Analyse des Modes de Défaillance, de leurs Effets (et de
leur Criticité)
• Méthode inductive
• Analyse des défaillances simples uniquement
• Les combinaisons de défaillances font l’objet d’analyses
séparées
Avril 2013www.cleodit.fr
54
Tableau d’AMDE(C)
• 1) Identifiant unique du scenario
• 2) Bien analysé
• 3) Mode de défaillance
• 4) Cause du mode de défaillance
• 5) Conséquence au niveau analysé du projet
• 6) Conséquence au niveau « suivant » du projet ou sur l’organisation
(ex. événement redouté)
• 7) Gravité / Vraisemblance / Criticité
• 8) Barrières de sûreté existantes
• 9) Conséquence en tenant compte des barrières
• 10) Gravité / Vraisemblance / Criticité en tenant compte des barrières
• 11) Exigences pour la réduction du risque
• 12) Remarques ou commentaires éventuels concernant le scenario ou la méthodologie
Avril 2013www.cleodit.fr
55
N°
Entité /
Fonction
Mode de
défaillance
Cause de la
défaillance
Effet local Effet global G V C
Traitement
du risque
Effet résiduel G' V' C'
Exigences de
sûreté
Remarques /
Commentaires
1 2 3 4 5 6 7 7 7 8 9 10 10 10 11 12
Exemple d’AMDEC
Avril 2013www.cleodit.fr
56
N° Entité / Fonction Phase
Mode de
défaillance
Cause de la
défaillance
Effet local Effet global G
Traitement
du risque
Effet résiduel G' Exigences de sûreté
Remarques /
Commentaires
1 2 3 4 5 6 7 8 9 10 11 12
1
F31 Tester
l'application sur
hôte (à partir de
sa spécification)
Validation
Spécification
non accessible
Retard de fin de
phase de
spécification
Retard de
démarrage
de phase de
validation
Délai
Réunions
périodiques
client
2
F31 Tester
l'application sur
hôte (à partir de
sa spécification)
Validation
Accès non
autorisé à la
spécification
Accès au
répertoire
projet non
protégé
Confidentia
lité
Gestion des
accès
3
F31 Tester
l'application sur
hôte (à partir de
sa spécification)
Validation
Accès non
autorisé à la
spécification
Divulgation
Confidentia
lité
Rappel des
exigences de
confidentialité
lors de la revue
de lancement de
projet interne
4
F31 Tester
l'application sur
hôte (à partir de
sa spécification)
Validation
Authenticité de
la spécification
Entrant
incorrectement
identifié
Erreur
fonctionnelle
dans la
réalisation
des tests
Coût
Délai
Qualité
Procédure de
gestion
documentaire
(identifiant
unique, version)
Identification
des entrants en
revue de
lancement de
phase
5
F31 Tester
l'application sur
hôte (à partir de
sa spécification)
Validation
Spécification
insuffisante
Externe
(client)
Difficultés de
réalisation
des tests
Délai
Qualité
Condition
d'acceptation
des entrants à
préciser en
revue de
lancement
projet
7
F31 Tester
l'application sur
hôte (à partir de
sa spécification)
Validation
Spécification
corrompue
Effacement de
donnée
(erreur
humaine)
Erreur
fonctionnelle
dans la
réalisation
des tests
Coût
Délai
Qualité
Intégrité
Protection de
l'intégrité des
entrants
8
F31 Tester
l'application sur
hôte (à partir de
sa spécification)
Validation
Spécification
instable
Externe
(client)
Evolution du
périmètre
des activités
Coût
Délai
Qualité
Procédure de
gestion des
évolutions
Entrant non figé au
démarrage de la
phase
Avril 2013www.cleodit.fr
57
Etablissement du contexte
Evaluation du risque
Traitement du risque
Communicationdurisque
Surveillanceetréexamendurisque
Identification du risque
Estimation du risque
Analyse du risque
Appréciation du risque
Communication du risque
Avril 2013www.cleodit.fr
58
Etablissement du contexte
Evaluation du risque
Traitement du risque
Communicationdurisque
Surveillanceetréexamendurisque
Identification du risque
Estimation du risque
Analyse du risque
Appréciation du risque
Surveillance/Réexamen du risque
Eninterne
≠
Enexterne
Etreréactifetsouple
(ex.:Nepasattendre
itérationsuivante)
ANNEXES
Avril 2013www.cleodit.fr
59
Bibliographie
• Lupfer, Anne – Gestion des risques en sécurité de
l’information – Mise en œuvre de la norme ISO 27005 –
Eyrolles – 2010
• Méthode EBIOS (Expression des Besoins et
Identification des Objectifs de Sécurité) – ANSSI
• Méthodologie
• Base de connaissances
• Etude de cas
Avril 2013www.cleodit.fr
60
Normes
• ISO Guide 73 – Management du risque – Vocabulaire –
2009
• ISO 31000 – Management du risque – Principes et lignes
directrices – 2009
• ISO 31010 – Management du risque – Techniques
d’évaluation des risques – 2009
• ISO/IEC 60812 – Techniques d’analyses de la fiabilité du
système – Procédure d’analyse des modes de défaillance
et de leurs effets (AMDE) – 2006
• ISO/IEC 61882 – Etudes de danger et d’exploitabilité
(HAZOP) – 2001
Avril 2013www.cleodit.fr
61
CONDITIONS DE LICENCE ET
DROITS D’UTILISATION
Licence
Crédits images
Avril 2013www.cleodit.fr
62
Licence
• Cette œuvre de CleodIT est mise à disposition selon les
termes de la licenceCreative Commons Attribution – Pas
d’Utilisation Commerciale – Partage dans les Mêmes
Conditions 3.0 France
Avril 2013www.cleodit.fr
63
Crédit images
• Les images contenues en page 3 de cette présentation sont
la propriété de Christian F. Burprich
• Ces images sont proposées sous licence Creative
Commons CC BY-NC-SA 3.0
• Les images originales ont été colorisées
Avril 2013www.cleodit.fr
64
Crédit images Clip Art
• Les images Clip Art contenues dans cette présentation sont la propriété de
Microsoft Corporation
• Vous pouvez copier et utiliser ces éléments multimédias dans vos projets et
documents
• Vous n’êtes pas autorisé à
• vendre, concéder sous licence ou distribuer des copies des éléments multimédias en tant
que tels ou en tant que produit si la valeur principale du produit est constituée par les
éléments multimédias
• concéder à vos clients des droits les autorisant à concéder sous licence ou distribuer les
éléments multimédias
• concéder sous licence ou distribuer à des fins commerciales des éléments multimédias
incluant des représentations d’individus, de gouvernements, de logos, de marques
commerciales ou d’emblèmes, ou utiliser ces types d’images d’une façon impliquant la
promotion ou l’association à votre produit, entité ou activité
• Ou créer des oeuvres obscènes ou diffamatoires à l’aide des éléments multimédias
• Pour plus d’informations, visitez le site www.microsoft.com/permission (en
anglais)
Avril 2013www.cleodit.fr
65

Contenu connexe

Tendances

Management des risques ibtissam el hassani-chapitre1-2
Management des risques   ibtissam el hassani-chapitre1-2Management des risques   ibtissam el hassani-chapitre1-2
Management des risques ibtissam el hassani-chapitre1-2
ibtissam el hassani
 
Gestion des risques_demarche
Gestion des risques_demarcheGestion des risques_demarche
Gestion des risques_demarcheRémi Bachelet
 
Evaluer les risques dans un projet
Evaluer les risques dans un projetEvaluer les risques dans un projet
Evaluer les risques dans un projet
Clément Dussarps
 
L’identification, l’analyse et l’évaluation des risques selon l’ISO 31000 : l...
L’identification, l’analyse et l’évaluation des risques selon l’ISO 31000 : l...L’identification, l’analyse et l’évaluation des risques selon l’ISO 31000 : l...
L’identification, l’analyse et l’évaluation des risques selon l’ISO 31000 : l...
PECB
 
Maîtrise de risques en gestion de projet
Maîtrise de risques en gestion de projetMaîtrise de risques en gestion de projet
Maîtrise de risques en gestion de projet
Chef De Projet Détendu
 
ANALYSE DE RISQUES
ANALYSE DE RISQUESANALYSE DE RISQUES
ANALYSE DE RISQUES
ndelannoy
 
Methodes agiles
Methodes agilesMethodes agiles
Methodes agiles
Khalid Nafil
 
Gestion des risques
Gestion des risquesGestion des risques
Gestion des risques
Aymen Foudhaili
 
Outils et techniques des gestion des risques
Outils et techniques des gestion des risquesOutils et techniques des gestion des risques
Outils et techniques des gestion des risques
GBO
 
PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...
PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...
PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...
PECB
 
Soutenance (thèse de doctorat de Aymen BAOUAB)
Soutenance (thèse de doctorat de Aymen BAOUAB) Soutenance (thèse de doctorat de Aymen BAOUAB)
Soutenance (thèse de doctorat de Aymen BAOUAB)
baouab
 
Management des risques
Management des risques Management des risques
Management des risques
Pasteur_Tunis
 
Gestion de projet
Gestion de projetGestion de projet
Gestion de projet
Echecs et Stratégie
 
Les 4 phases du management de projet
Les 4 phases du management de projetLes 4 phases du management de projet
Les 4 phases du management de projet
Antonin GAUNAND
 
Management des risques 10 : Aspect Réglementaire et Normatif
Management des risques 10 : Aspect Réglementaire et Normatif Management des risques 10 : Aspect Réglementaire et Normatif
Management des risques 10 : Aspect Réglementaire et Normatif
ibtissam el hassani
 
Management des risques 9 : Risques d’Entreprise et Cartographie
Management des risques 9 : Risques d’Entreprise et CartographieManagement des risques 9 : Risques d’Entreprise et Cartographie
Management des risques 9 : Risques d’Entreprise et Cartographie
ibtissam el hassani
 
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
PECB
 
Présentation sur le Data Mining
Présentation sur le Data MiningPrésentation sur le Data Mining
Présentation sur le Data Mining
Takfarinas KENOUCHE
 

Tendances (20)

Management des risques ibtissam el hassani-chapitre1-2
Management des risques   ibtissam el hassani-chapitre1-2Management des risques   ibtissam el hassani-chapitre1-2
Management des risques ibtissam el hassani-chapitre1-2
 
Gestion des risques_demarche
Gestion des risques_demarcheGestion des risques_demarche
Gestion des risques_demarche
 
Evaluer les risques dans un projet
Evaluer les risques dans un projetEvaluer les risques dans un projet
Evaluer les risques dans un projet
 
L’identification, l’analyse et l’évaluation des risques selon l’ISO 31000 : l...
L’identification, l’analyse et l’évaluation des risques selon l’ISO 31000 : l...L’identification, l’analyse et l’évaluation des risques selon l’ISO 31000 : l...
L’identification, l’analyse et l’évaluation des risques selon l’ISO 31000 : l...
 
Maîtrise de risques en gestion de projet
Maîtrise de risques en gestion de projetMaîtrise de risques en gestion de projet
Maîtrise de risques en gestion de projet
 
ANALYSE DE RISQUES
ANALYSE DE RISQUESANALYSE DE RISQUES
ANALYSE DE RISQUES
 
Methodes agiles
Methodes agilesMethodes agiles
Methodes agiles
 
Gestion des risques
Gestion des risquesGestion des risques
Gestion des risques
 
Outils et techniques des gestion des risques
Outils et techniques des gestion des risquesOutils et techniques des gestion des risques
Outils et techniques des gestion des risques
 
PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...
PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...
PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...
 
Soutenance (thèse de doctorat de Aymen BAOUAB)
Soutenance (thèse de doctorat de Aymen BAOUAB) Soutenance (thèse de doctorat de Aymen BAOUAB)
Soutenance (thèse de doctorat de Aymen BAOUAB)
 
Management des risques
Management des risques Management des risques
Management des risques
 
Ebios
EbiosEbios
Ebios
 
Gestion de projet
Gestion de projetGestion de projet
Gestion de projet
 
Gimsi
GimsiGimsi
Gimsi
 
Les 4 phases du management de projet
Les 4 phases du management de projetLes 4 phases du management de projet
Les 4 phases du management de projet
 
Management des risques 10 : Aspect Réglementaire et Normatif
Management des risques 10 : Aspect Réglementaire et Normatif Management des risques 10 : Aspect Réglementaire et Normatif
Management des risques 10 : Aspect Réglementaire et Normatif
 
Management des risques 9 : Risques d’Entreprise et Cartographie
Management des risques 9 : Risques d’Entreprise et CartographieManagement des risques 9 : Risques d’Entreprise et Cartographie
Management des risques 9 : Risques d’Entreprise et Cartographie
 
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
 
Présentation sur le Data Mining
Présentation sur le Data MiningPrésentation sur le Data Mining
Présentation sur le Data Mining
 

En vedette

2 La Planification
2 La Planification2 La Planification
2 La Planification
Stéphane Bordage
 
Planifier un projet
Planifier un projetPlanifier un projet
Planifier un projetPascal KUFEL
 
Les inventions françaises
Les inventions françaisesLes inventions françaises
Les inventions françaises
Ungava Louise
 
norms - etude technique suisse
 norms - etude technique suisse norms - etude technique suisse
norms - etude technique suisse
RAINBOW by ECS-3.COM
 
RAINBOW by ECS-3.COM: Etude technique pro-paille
RAINBOW by ECS-3.COM: Etude technique pro-pailleRAINBOW by ECS-3.COM: Etude technique pro-paille
RAINBOW by ECS-3.COM: Etude technique pro-paille
RAINBOW by ECS-3.COM
 
Schema etude-de-projet
Schema etude-de-projetSchema etude-de-projet
Schema etude-de-projet
Fatima Abboud
 
Chapitre ii étude technique.docx
Chapitre ii  étude technique.docxChapitre ii  étude technique.docx
Chapitre ii étude technique.docx
Zouaouine Mahfoud
 

En vedette (9)

Business plan 1
Business plan 1Business plan 1
Business plan 1
 
2 La Planification
2 La Planification2 La Planification
2 La Planification
 
Planifier un projet
Planifier un projetPlanifier un projet
Planifier un projet
 
Les inventions françaises
Les inventions françaisesLes inventions françaises
Les inventions françaises
 
norms - etude technique suisse
 norms - etude technique suisse norms - etude technique suisse
norms - etude technique suisse
 
Projet Powerpoint
Projet PowerpointProjet Powerpoint
Projet Powerpoint
 
RAINBOW by ECS-3.COM: Etude technique pro-paille
RAINBOW by ECS-3.COM: Etude technique pro-pailleRAINBOW by ECS-3.COM: Etude technique pro-paille
RAINBOW by ECS-3.COM: Etude technique pro-paille
 
Schema etude-de-projet
Schema etude-de-projetSchema etude-de-projet
Schema etude-de-projet
 
Chapitre ii étude technique.docx
Chapitre ii  étude technique.docxChapitre ii  étude technique.docx
Chapitre ii étude technique.docx
 

Similaire à Identifier les risques

Sûreté de Fonctionnement
Sûreté de FonctionnementSûreté de Fonctionnement
Sûreté de FonctionnementCarine Pascal
 
20110125 02 - Retour d'experience en qualimétrie informatique (CDC)
20110125 02 - Retour d'experience en qualimétrie informatique (CDC)20110125 02 - Retour d'experience en qualimétrie informatique (CDC)
20110125 02 - Retour d'experience en qualimétrie informatique (CDC)
LeClubQualiteLogicielle
 
2015-04-29 Jean Cloutier Structure de découpage de projet
2015-04-29 Jean Cloutier Structure de découpage de projet2015-04-29 Jean Cloutier Structure de découpage de projet
2015-04-29 Jean Cloutier Structure de découpage de projet
PMI Lévis-Québec
 
Gestion de projets
Gestion de projetsGestion de projets
Gestion de projets
Sana REFAI
 
Expression des besoins pour le SI
Expression des besoins pour le SIExpression des besoins pour le SI
Expression des besoins pour le SI
Nouhaila ALAMI
 
Assurance Qualité logicielle
Assurance Qualité logicielleAssurance Qualité logicielle
Assurance Qualité logicielle
Sylvain Leroy
 
Audit des projets informatiques
Audit des projets informatiquesAudit des projets informatiques
La Conduite de projet
La Conduite de projetLa Conduite de projet
La Conduite de projet
Echecs & Stratégie
 
GTAG Documents de référence
GTAG Documents de référenceGTAG Documents de référence
GTAG Documents de référence
Yann Riviere CCSK, CISSP, CRISC, CISM
 
GTAG: Documents de référence
GTAG: Documents de référenceGTAG: Documents de référence
GTAG: Documents de référence
ISACA Chapitre de Québec
 
Cours Jean-Louis BOULANGER: Réalisation d'une application logicielle.
Cours Jean-Louis BOULANGER: Réalisation d'une application logicielle.Cours Jean-Louis BOULANGER: Réalisation d'une application logicielle.
Cours Jean-Louis BOULANGER: Réalisation d'une application logicielle.
jkebbab
 
Gp 04 Le Plan Directeur
Gp 04   Le Plan DirecteurGp 04   Le Plan Directeur
Gp 04 Le Plan Directeur
Claude Michaud
 
Formation Agile Scrum
Formation Agile ScrumFormation Agile Scrum
Formation Agile Scrum
Mohamed IBN ELAZZOUZI
 
Les principales méthodes de gestion de projets
Les principales méthodes de gestion de projetsLes principales méthodes de gestion de projets
Les principales méthodes de gestion de projets
Laurence Genty
 
Sécurité dans les contrats d'externalisation de services de développement et ...
Sécurité dans les contrats d'externalisation de services de développement et ...Sécurité dans les contrats d'externalisation de services de développement et ...
Sécurité dans les contrats d'externalisation de services de développement et ...
Antonio Fontes
 
AT2010 Mise place d'un projet Agile
AT2010 Mise place d'un projet AgileAT2010 Mise place d'un projet Agile
AT2010 Mise place d'un projet Agile
Normandy JUG
 
Agile Tour 2010 - Mise en place d'un projet agile
Agile Tour 2010 - Mise en place d'un projet agileAgile Tour 2010 - Mise en place d'un projet agile
Agile Tour 2010 - Mise en place d'un projet agile
Laurent Deséchalliers
 
CdePConstruction : Les avant-projets, ces malmenés
CdePConstruction :  Les avant-projets, ces malmenésCdePConstruction :  Les avant-projets, ces malmenés
CdePConstruction : Les avant-projets, ces malmenés
PMI-Montréal
 

Similaire à Identifier les risques (20)

Sûreté de Fonctionnement
Sûreté de FonctionnementSûreté de Fonctionnement
Sûreté de Fonctionnement
 
20110125 02 - Retour d'experience en qualimétrie informatique (CDC)
20110125 02 - Retour d'experience en qualimétrie informatique (CDC)20110125 02 - Retour d'experience en qualimétrie informatique (CDC)
20110125 02 - Retour d'experience en qualimétrie informatique (CDC)
 
2015-04-29 Jean Cloutier Structure de découpage de projet
2015-04-29 Jean Cloutier Structure de découpage de projet2015-04-29 Jean Cloutier Structure de découpage de projet
2015-04-29 Jean Cloutier Structure de découpage de projet
 
Gestion de projets
Gestion de projetsGestion de projets
Gestion de projets
 
Expression des besoins pour le SI
Expression des besoins pour le SIExpression des besoins pour le SI
Expression des besoins pour le SI
 
Assurance Qualité logicielle
Assurance Qualité logicielleAssurance Qualité logicielle
Assurance Qualité logicielle
 
Audit des projets informatiques
Audit des projets informatiquesAudit des projets informatiques
Audit des projets informatiques
 
La Conduite de projet
La Conduite de projetLa Conduite de projet
La Conduite de projet
 
Retour d'expérience mise en oeuvre One2Team
Retour d'expérience mise en oeuvre One2TeamRetour d'expérience mise en oeuvre One2Team
Retour d'expérience mise en oeuvre One2Team
 
GTAG Documents de référence
GTAG Documents de référenceGTAG Documents de référence
GTAG Documents de référence
 
GTAG: Documents de référence
GTAG: Documents de référenceGTAG: Documents de référence
GTAG: Documents de référence
 
Assurance qualité
Assurance qualitéAssurance qualité
Assurance qualité
 
Cours Jean-Louis BOULANGER: Réalisation d'une application logicielle.
Cours Jean-Louis BOULANGER: Réalisation d'une application logicielle.Cours Jean-Louis BOULANGER: Réalisation d'une application logicielle.
Cours Jean-Louis BOULANGER: Réalisation d'une application logicielle.
 
Gp 04 Le Plan Directeur
Gp 04   Le Plan DirecteurGp 04   Le Plan Directeur
Gp 04 Le Plan Directeur
 
Formation Agile Scrum
Formation Agile ScrumFormation Agile Scrum
Formation Agile Scrum
 
Les principales méthodes de gestion de projets
Les principales méthodes de gestion de projetsLes principales méthodes de gestion de projets
Les principales méthodes de gestion de projets
 
Sécurité dans les contrats d'externalisation de services de développement et ...
Sécurité dans les contrats d'externalisation de services de développement et ...Sécurité dans les contrats d'externalisation de services de développement et ...
Sécurité dans les contrats d'externalisation de services de développement et ...
 
AT2010 Mise place d'un projet Agile
AT2010 Mise place d'un projet AgileAT2010 Mise place d'un projet Agile
AT2010 Mise place d'un projet Agile
 
Agile Tour 2010 - Mise en place d'un projet agile
Agile Tour 2010 - Mise en place d'un projet agileAgile Tour 2010 - Mise en place d'un projet agile
Agile Tour 2010 - Mise en place d'un projet agile
 
CdePConstruction : Les avant-projets, ces malmenés
CdePConstruction :  Les avant-projets, ces malmenésCdePConstruction :  Les avant-projets, ces malmenés
CdePConstruction : Les avant-projets, ces malmenés
 

Dernier

De l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'universitéDe l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
Université de Franche-Comté
 
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
OCTO Technology
 
PRESENTATION DE L'ACTIVE DIRECTORY SOUS WINDOWS SERVEUR.pptx
PRESENTATION DE L'ACTIVE DIRECTORY SOUS WINDOWS SERVEUR.pptxPRESENTATION DE L'ACTIVE DIRECTORY SOUS WINDOWS SERVEUR.pptx
PRESENTATION DE L'ACTIVE DIRECTORY SOUS WINDOWS SERVEUR.pptx
AlbertSmithTambwe
 
COURS D'ADMINISTRATION RESEAU SOUS WINDOWS
COURS D'ADMINISTRATION RESEAU  SOUS WINDOWSCOURS D'ADMINISTRATION RESEAU  SOUS WINDOWS
COURS D'ADMINISTRATION RESEAU SOUS WINDOWS
AlbertSmithTambwe
 
Le support de présentation des Signaux 2024
Le support de présentation des Signaux 2024Le support de présentation des Signaux 2024
Le support de présentation des Signaux 2024
UNITECBordeaux
 
OCTO TALKS : 4 Tech Trends du Software Engineering.pdf
OCTO TALKS : 4 Tech Trends du Software Engineering.pdfOCTO TALKS : 4 Tech Trends du Software Engineering.pdf
OCTO TALKS : 4 Tech Trends du Software Engineering.pdf
OCTO Technology
 
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
Laurent Speyser
 
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...
OCTO Technology
 
Les écrans informatiques au fil du temps.pptx
Les écrans informatiques au fil du temps.pptxLes écrans informatiques au fil du temps.pptx
Les écrans informatiques au fil du temps.pptx
abderrahimbourimi
 

Dernier (9)

De l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'universitéDe l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
 
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
 
PRESENTATION DE L'ACTIVE DIRECTORY SOUS WINDOWS SERVEUR.pptx
PRESENTATION DE L'ACTIVE DIRECTORY SOUS WINDOWS SERVEUR.pptxPRESENTATION DE L'ACTIVE DIRECTORY SOUS WINDOWS SERVEUR.pptx
PRESENTATION DE L'ACTIVE DIRECTORY SOUS WINDOWS SERVEUR.pptx
 
COURS D'ADMINISTRATION RESEAU SOUS WINDOWS
COURS D'ADMINISTRATION RESEAU  SOUS WINDOWSCOURS D'ADMINISTRATION RESEAU  SOUS WINDOWS
COURS D'ADMINISTRATION RESEAU SOUS WINDOWS
 
Le support de présentation des Signaux 2024
Le support de présentation des Signaux 2024Le support de présentation des Signaux 2024
Le support de présentation des Signaux 2024
 
OCTO TALKS : 4 Tech Trends du Software Engineering.pdf
OCTO TALKS : 4 Tech Trends du Software Engineering.pdfOCTO TALKS : 4 Tech Trends du Software Engineering.pdf
OCTO TALKS : 4 Tech Trends du Software Engineering.pdf
 
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
 
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...
 
Les écrans informatiques au fil du temps.pptx
Les écrans informatiques au fil du temps.pptxLes écrans informatiques au fil du temps.pptx
Les écrans informatiques au fil du temps.pptx
 

Identifier les risques

  • 1. Identifier les risques d’un projet informatique Module de formation Avril 2013
  • 3. Carine Pascal, CleodIT Avril 2013www.cleodit.fr Audit & Evaluation • Evaluation qualité • Evaluation technique : processus / produit • Accompagnement à la certification / accréditation Expertise • Sûreté / Sécurité : analyse de risque, dossier de sûreté… • Système / Logiciel : système critique, système à forte composante logicielle, système embarqué Formation • Qualité : approche processus, audit, indicateurs, tableau de bord… • Sûreté de fonctionnement : méthodes et outils, FMEA, HAZOP, SEEA… R&D • Recherche • Développement expérimental (pilote, prototype) • Technologies de l’information 3
  • 4. Avant-propos • Le discours associé à ce support sera axé sur la démarche pédagogique imaginée pour la formation • Le contenu proposé ci-après est un exemple (partiel) de support de formation • La méthodologie proposée dans ce contenu est générique et reproductible • Applicable aux fonctions de gestion de projet • Applicable aux fonctions techniques du projet Avril 2013www.cleodit.fr 4
  • 5. PLAN DE FORMATION On ne fait pas de projet sans risque Le plus grand risque est de ne pas faire de projet Avril 2013www.cleodit.fr 5
  • 6. Plan de formation (1/6) Avril 2013www.cleodit.fr 6 Projet informatique Vocabulaire
  • 7. Plan de formation (2/6) Avril 2013www.cleodit.fr 7 Risque Vocabulaire
  • 8. Plan de formation (3/6) Avril 2013www.cleodit.fr 8 PLAN DO CHECKACT Processus d’identification du risque
  • 9. Avril 2013www.cleodit.fr 9 Phase 1 Phase 2 Phase 3 Phase 4 Phase 5 Phase 6 PLAN DO CHECKACT Plan de formation (4/6) Identifier le risque d’un projet informatique tout au long de son cycle de vie
  • 10. Avril 2013www.cleodit.fr 10 Plan de formation (5/6) Cas d’étude
  • 11. Plan de formation (6/6) Avril 2013www.cleodit.fr 11 Bilan de formation
  • 12. GÉNÉRALITÉS ET VOCABULAIRE Exigences Présentation d’un projet informatique : découpage en phases, découpage en biens, découpage en fonctions Evénement redouté, défaillance Notion de risque Avril 2013www.cleodit.fr 12
  • 13. Exigence Une exigence est un énoncé : • qui peut être rédigé dans un langage naturel ou dans un langage mathématique • qui traduit des besoins et/ou des contraintes (comme des contraintes techniques, des contraintes de coûts, des contraintes de délais, ou d’autres types de contrainte) • qui caractérise un élément du système [le projet, NDLR] à réaliser à l’aide d’un identifiant unique Référence : Association Française d’Ingénierie Système Exemple : une norme, un cahier des charges Avril 2013www.cleodit.fr 13
  • 14. Exigence Une exigence est un énoncé : • qui peut être rédigé dans un langage naturel ou dans un langage mathématique • qui traduit des besoins et/ou des contraintes (comme des contraintes techniques, des contraintes de coûts, des contraintes de délais, ou d’autres types de contrainte) • qui caractérise un élément du système [le projet, NDLR] à réaliser à l’aide d’un identifiant unique Avril 2013www.cleodit.fr 14 Besoin ≠ Moyen Explicite ou Implicite
  • 16. Caractérisation Avril 2013www.cleodit.fr Attribut Exigence Indicateur Valeur Coût Le projet doit respecter l’objectif global de productivité de l’organisme TJM > 500 € Délai Le projet ne doit pas donner lieu à des pénalités de retard Retard maximum sur une livraison 5 jours Qualité (Compétences) Les membres du projet doivent avoir les compétences requises Efficacité des formations > 2 Qualité (Satisfaction client) Le projet doit permettre de fidéliser un nouveau client Satisfaction client mesurée lors du bilan de fin de projet 80 % Nombre de réclamations 0 Processus de management du risque Le projet doit appliquer le processus Nombre de non-conformité moyen par audit < 2 Le projet doit contribuer à améliorer le processus Nombre de fiches d’amélioration émises > 0 … 16
  • 17. Projet informatique Projet (informatique) : ensemble de biens interagissant entre eux pour satisfaire des fonctions requises. Ces fonctions ont pour finalité de répondre à des exigences. Avril 2013www.cleodit.fr 17 MOA MOE Sous- traitant
  • 18. Fonction Avril 2013www.cleodit.fr 18 Fonction(deservice) Actiond’unprojetexpriméeen termedefinalité Fonction principale (fonction d’interaction) Fonction qui traduit la raison d’être du projet dans son environnement, pour répondre au besoin Fonction de contrainte (fonction d’adaptation) Fonction qui doit être satisfaite par le projet, sans traduire sa raison d’être
  • 19. Exemple de fonction principale • Développer un logiciel informatique • Développer l’algorithme de calcul • Développer l’IHM • Fournir le support technique • Assurer la maintenance • … Avril 2013www.cleodit.fr 19
  • 20. Exemple de fonction de contrainte • Respecter la norme ISO 9001 • Préserver l’image / la réputation de l’organisme • Concurrencer les applications similaires existantes • … Avril 2013www.cleodit.fr 20
  • 22. Bien (actif) • Bien : entité représentant de la valeur pour le projet ou pour l’organisme • Bien primordial : fonction de service, donnée • Bien en support : matériel, logiciel, réseau, personnel, locaux, sous-traitant, information (document papier, document numérique, connaissances), moyen d’accès (compte utilisateur, clé de chiffrement)… Avril 2013www.cleodit.fr 22 Traduction du besoin « Matérialisation » des biens primordiaux
  • 23. Phases du cycle de vie Avril 2013www.cleodit.fr 23 Lancement Réalisation Bilan de réalisation Garantie Bilan de garantie Clôture - Lancement de projet externe - Lancement de projet interne - Elaboration du PQP - Elaboration du plan de management des risques - Développement - Recette - Bilan de fin de projet externe - Bilan de fin de projet interne - Bilan de fin de garantie externe - Bilan de fin de garantie interne Affaire - Qualification de l’affaire - Elaboration de la proposition commerciale - Revue de la commande
  • 24. Phases – Redécoupage (Cycle en V) Avril 2013www.cleodit.fr 24 Lancement Réalisation Bilan de réalisation Garantie Bilan de garantie Clôture - Lancement de projet externe - Lancement de projet interne - Elaboration du PQP - Elaboration du plan de management des risques - Bilan de fin de projet externe - Bilan de fin de projet interne - Bilan de fin de garantie externe - Bilan de fin de garantie interne Affaire - Qualification de l’affaire - Elaboration de la proposition commerciale - Revue de la commande - Développement - Recette
  • 25. Evénement redouté (événement indésirable) • Evénement redouté : événement dont la survenue n’est pas souhaitée en regard des exigences • Accident, si la gravité est importante • Incident, si la gravité est peu importante Avril 2013www.cleodit.fr 25
  • 26. Défaillance • Défaillance : cessation de l’aptitude d’un bien à satisfaire une fonction requise Avril 2013www.cleodit.fr 26
  • 27. Types de défaillance • Défaillance aléatoire : défaillance d’une entité dont la cause est aléatoire • Défaillance systématique : défaillance liée de manière déterministe à une cause • Défaillance primaire : défaillance d'une entité dont la cause n'est pas une défaillance d'une autre entité • Défaillance secondaire : défaillance d'une entité dont la cause est une défaillance d'une autre entité et pour laquelle cette entité n’est pas dimensionnée • Défaillance de commande : défaillance d'une entité dont la cause est une défaillance d'une autre entité et pour laquelle cette entité est dimensionnée Avril 2013www.cleodit.fr 27 matérielle
  • 28. Risque • Risque : Possibilité qu’une défaillance d’un bien conduise à un événement redouté Avril 2013www.cleodit.fr 28
  • 29. Barrière de sûreté • Action en réduction du risque : action de traitement du risque • Barrière de sûreté : fonction réalisant l’action en réduction du risque Avril 2013www.cleodit.fr 29
  • 30. IDENTIFICATION DU RISQUE L’étape d’identification dans le processus de management du risque Identification des sources de risque, des événements redoutés, de leurs causes et de leurs conséquences Méthodes et outils : APR, AMDE(C), HAZOP Avril 2013www.cleodit.fr 30
  • 31. Avril 2013www.cleodit.fr 31 Etablissement du contexte Evaluation du risque Traitement du risque Communicationdurisque Surveillanceetréexamendurisque Identification du risque Estimation du risque Analyse du risque Appréciation du risque Processus de management du risque
  • 32. Etablissement du contexte • Objectifs • Quelles sont les exigences applicables au projet ? • Quels attributs doivent être suivis en regard de ces exigences ? • Quel est le niveau d’analyse souhaité ? • Périmètre • Quelles phases du cycle de vie du projet doivent être analysées ? • Organisation • Plan de management du risque : rôles et responsabilités, échanges, méthodes et outils, enregistrements… Avril 2013www.cleodit.fr 32
  • 33. Etablissement du contexte • Objectifs • Quelles sont les exigences applicables au projet ? • Quels attributs doivent être suivis en regard de ces exigences ? • Quel est le niveau d’analyse souhaité ? • Périmètre • Quelles phases du cycle de vie du projet doivent être analysées ? • Organisation • Plan de management du risque : rôles et responsabilités, échanges, méthodes et outils, enregistrements… Avril 2013www.cleodit.fr 33 Processus itératif
  • 34. Identification du risque • Identification du risque : processus de recherche, de reconnaissance et de description du risque Avril 2013www.cleodit.fr 34 Identification des sources d’information Identification des biens dans le périmètre Identification des événements redoutés Identification des barrières de sûreté existantes Identification des causes des événements redoutés Identification des conséquences des événements redoutés
  • 35. Identification des sources d’information • Personnes à rencontrer • Responsable du bien (administrateur système…) • Utilisateur du bien • Autre : responsable d’activité, expert, sous-traitant… • Documentation à étudier • Registre d’accidents/incidents • Plan de traitement des risques • REX • Spécification technique Avril 2013www.cleodit.fr 35
  • 36. Identification des biens Avril 2013www.cleodit.fr 36 Attention à la granularité choisie
  • 37. Analyse fonctionnelle • Analyse fonctionnelle externe • Exemple : Méthode MISME • Analyse fonctionnelle interne • Exemple : Méthode SADT Avril 2013www.cleodit.fr 37
  • 38. Exemple d’AF externe Avril 2013www.cleodit.fr 38 Utilisateur Applications mobiles existantes Application mobile Mobile Projet dans une phase donnée MOA Normes SMQ Plus globalement, les éléments entrants Plus globalement, les éléments à produire
  • 39. Tableau d’analyse fonctionnelle • Synoptique des analyses fonctionnelles externe et interne • Lien entre les fonctions issues de l’AF externe et les fonctions techniques les réalisant issues de l’AF interne • Lien entre les fonctions issues de l’AF externe et les biens supportant leur réalisation issus de l’AF interne Avril 2013www.cleodit.fr 39 B1 B2 B3 B4 F1 F11 X F12 X F13 F131 X F132 X …
  • 40. Exemple de tableau d’AF Avril 2013www.cleodit.fr 40 B1 : mobile Iphone E2 : Ordinateur MacOS X E3 : ordinateur Windows E4 : Suite bureautique F0 : Développer l’application mobile F1 : Développer le cœur applicatif X F2 : Développer l’IHM X F3 : Tester l’application F31 : Tester l’application sur hôte X F32 : Tester l’application sur cible X X …
  • 41. Identification des événements redoutés • Liste générique sectorielle • Liste basée sur le REX • Exemple : catalogue de menaces EBIOS • Exemple : l’organisme peut estimer ne pas être exposé à une menace humaine interne malveillante Avril 2013www.cleodit.fr 41 A adapter (préciser / ajouter / supprimer)
  • 42. Nature de l’ER • Naturelle (incendie, inondation) • Délibérée (vol…) • Accidentelle (effacement de données…) Avril 2013www.cleodit.fr 42
  • 43. Identification des barrières existantes Avril 2013www.cleodit.fr 43 Bien (support) auquel est associée la fonction Bien (support) supportant sa réalisation F0 : Activer une alarme anti-intrusion durant les heures de fermeture Locaux de la société Alarme F1 : Permettre le contrôle d’accès par mot de passe sous MacOS X MacOS X F2 : Permettre le contrôle d’accès par mot de passe sous Windows XP Windows XP A identifier parmi les biens ?
  • 44. Identification des modes de défaillance • Mode de défaillance : état observable d’un bien défaillant pour une fonction requise • La liste des modes de défaillance doit être établie de manière exhaustive • Les modes de défaillance doivent être indépendants Avril 2013www.cleodit.fr 44
  • 45. Exemples de défaillances ER = « Pas d’accès internet » • Défaillance systématique : serveur inopérant dont la cause est un bug logiciel sur le serveur • Défaillance aléatoire : serveur inopérant dont la cause est une panne matérielle du serveur • Défaillance primaire : idem • Défaillance secondaire : serveur inopérant dont la cause est une panne d’électricité • Défaillance de commande : fournisseur d’accès internet inopérant, erreur de câblage Avril 2013www.cleodit.fr 45
  • 46. HAZOP • HAZard and OPerability Studies : étude de danger et d’exploitabilité • Etudie l’influence des déviations de divers paramètres régissant un bien par rapport à leurs valeurs nominales de fonctionnement Avril 2013www.cleodit.fr 46 Non Plus Moins Aussi bien que Une partie de Inverse Autre que Tôt/avant Tard/après
  • 47. Détermination HAZOP des modes de défaillance Avril 2013www.cleodit.fr 47 Non Plus Moins Aussi bien que Une partie de Inverse Autre que Tôt / Avan t Tard / Après Entrant du projet Accès Pas d’accès N/A N/A N/A N/A N/A Accès non autorisé N/A Pas d’accès Entrant du projet Contenu Insuffi- sant Supplé- mentaire Insuffi- sant N/A Corrom- pu N/A Authen- ticité Insta- ble Périmé …
  • 48. Modes de défaillance d’une fonction • Fonctionnement prématuré ou intempestif • Non fonctionnement ou fonctionnement retardé • Fonctionnement interrompu ou intermittent • Fonctionnement continu • Fonctionnement dégradé Avril 2013www.cleodit.fr 48 Légende : Fonctionnement attendu Fonctionnement observé
  • 49. Identification des conséquences • Impact : dommage exprimé en terme d’atteinte à l’un des attributs de sûreté • Exemple : Allongement du délai de réalisation du projet • Conséquence : dommage exprimé en terme d’atteinte au projet ou à l’organisme • Exemple : Perte de clientèle Avril 2013www.cleodit.fr 49
  • 50. Construction des scenarios Avril 2013www.cleodit.fr 50 • La norme ISO 31010 (cf. annexe) propose une liste de méthodes et outils applicables • Les approches méthodologiques sont à privilégier • APR • AMDEC
  • 51. APR • Analyse Préliminaire des Risques • Méthode déductive : on part des événements redoutés pour en déterminer les causes (bien concerné, phase du cycle de vie, événement initiateur…) • Les événements considérés sont indépendants Avril 2013www.cleodit.fr 51
  • 52. Tableau d’APR/APD • 1) Identification unique du scenario • 2) Evénement redouté • 3) Situation préalable à l’accident potentiel • 4) Evénement redouté initiateur ou cause rendant effective la situation dangereuse • 5) Bien auquel on peut associer une défaillance et qui est à l’origine de l’événement initiateur • 6) Evénement complémentaire transformant la situation dangereuse en accident potentiel (indépendant de l’événement initiateur et dont un autre bien est à l’origine) • 7) Phase d’utilisation • 8) Conséquences du scenario • 9) Criticité du risque • 10) Actions en réduction de risque • 11) Remarques ou commentaires éventuels concernant le scenario ou la méthodologie Avril 2013www.cleodit.fr 52 N° Accident potentiel Situation dangereuse Evénement causant une situation dangereuse Entité dangereuse Evénement causant un accident potentiel Phase Effets Criticité Traitement du risque Remarques / Commentaires 1 2 3 4 5 6 7 8 9 10 11
  • 53. Exemple d’APR Avril 2013www.cleodit.fr 53 N° Accident potentiel Situation dangereuse Evénement causant une situation dangereuse Entité dangereuse Evénement causant un accident potentiel Phase Effets Gravité Traitement du risque Remarques / Commentaires 1 2 3 4 5 6 7 8 9 10 11 1 Perte, vol ou déterioration d'un bien Dommage naturel Défaillance du coffre- fort Coffre-fort Incendie des locaux Toutes Coût Délai Qualité Coffre-fort ignifugé 2 Perte, vol ou déterioration d'un bien Dommage délibéré Alarme non enclenchée Personnel Intrusion d'un voleur dans les locaux Toutes Coût Délai Qualité Confidentialité Sensibilisation du personnel 3 Perte, vol ou déterioration d'un bien Dommage accidentel Défaillance de l'utilisateur (chute du bien) Utilisateur Toutes Coût Délai Qualité Assurance Sauvegarde des informations 4 Perte, vol ou déterioration d'un bien Dommage accidentel Défaillance de l'utilisateur (effacement de donnée) Utilisateur Toutes Délai Qualité Sauvegarde des informations 5 Perte, vol ou déterioration d'un bien Dommage accidentel Défaillance du support (panne) Disque dur Toutes Délai Qualité Sauvegarde des informations Maintenance périodique
  • 54. AMDE(C) • Analyse des Modes de Défaillance, de leurs Effets (et de leur Criticité) • Méthode inductive • Analyse des défaillances simples uniquement • Les combinaisons de défaillances font l’objet d’analyses séparées Avril 2013www.cleodit.fr 54
  • 55. Tableau d’AMDE(C) • 1) Identifiant unique du scenario • 2) Bien analysé • 3) Mode de défaillance • 4) Cause du mode de défaillance • 5) Conséquence au niveau analysé du projet • 6) Conséquence au niveau « suivant » du projet ou sur l’organisation (ex. événement redouté) • 7) Gravité / Vraisemblance / Criticité • 8) Barrières de sûreté existantes • 9) Conséquence en tenant compte des barrières • 10) Gravité / Vraisemblance / Criticité en tenant compte des barrières • 11) Exigences pour la réduction du risque • 12) Remarques ou commentaires éventuels concernant le scenario ou la méthodologie Avril 2013www.cleodit.fr 55 N° Entité / Fonction Mode de défaillance Cause de la défaillance Effet local Effet global G V C Traitement du risque Effet résiduel G' V' C' Exigences de sûreté Remarques / Commentaires 1 2 3 4 5 6 7 7 7 8 9 10 10 10 11 12
  • 56. Exemple d’AMDEC Avril 2013www.cleodit.fr 56 N° Entité / Fonction Phase Mode de défaillance Cause de la défaillance Effet local Effet global G Traitement du risque Effet résiduel G' Exigences de sûreté Remarques / Commentaires 1 2 3 4 5 6 7 8 9 10 11 12 1 F31 Tester l'application sur hôte (à partir de sa spécification) Validation Spécification non accessible Retard de fin de phase de spécification Retard de démarrage de phase de validation Délai Réunions périodiques client 2 F31 Tester l'application sur hôte (à partir de sa spécification) Validation Accès non autorisé à la spécification Accès au répertoire projet non protégé Confidentia lité Gestion des accès 3 F31 Tester l'application sur hôte (à partir de sa spécification) Validation Accès non autorisé à la spécification Divulgation Confidentia lité Rappel des exigences de confidentialité lors de la revue de lancement de projet interne 4 F31 Tester l'application sur hôte (à partir de sa spécification) Validation Authenticité de la spécification Entrant incorrectement identifié Erreur fonctionnelle dans la réalisation des tests Coût Délai Qualité Procédure de gestion documentaire (identifiant unique, version) Identification des entrants en revue de lancement de phase 5 F31 Tester l'application sur hôte (à partir de sa spécification) Validation Spécification insuffisante Externe (client) Difficultés de réalisation des tests Délai Qualité Condition d'acceptation des entrants à préciser en revue de lancement projet 7 F31 Tester l'application sur hôte (à partir de sa spécification) Validation Spécification corrompue Effacement de donnée (erreur humaine) Erreur fonctionnelle dans la réalisation des tests Coût Délai Qualité Intégrité Protection de l'intégrité des entrants 8 F31 Tester l'application sur hôte (à partir de sa spécification) Validation Spécification instable Externe (client) Evolution du périmètre des activités Coût Délai Qualité Procédure de gestion des évolutions Entrant non figé au démarrage de la phase
  • 57. Avril 2013www.cleodit.fr 57 Etablissement du contexte Evaluation du risque Traitement du risque Communicationdurisque Surveillanceetréexamendurisque Identification du risque Estimation du risque Analyse du risque Appréciation du risque Communication du risque
  • 58. Avril 2013www.cleodit.fr 58 Etablissement du contexte Evaluation du risque Traitement du risque Communicationdurisque Surveillanceetréexamendurisque Identification du risque Estimation du risque Analyse du risque Appréciation du risque Surveillance/Réexamen du risque Eninterne ≠ Enexterne Etreréactifetsouple (ex.:Nepasattendre itérationsuivante)
  • 60. Bibliographie • Lupfer, Anne – Gestion des risques en sécurité de l’information – Mise en œuvre de la norme ISO 27005 – Eyrolles – 2010 • Méthode EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité) – ANSSI • Méthodologie • Base de connaissances • Etude de cas Avril 2013www.cleodit.fr 60
  • 61. Normes • ISO Guide 73 – Management du risque – Vocabulaire – 2009 • ISO 31000 – Management du risque – Principes et lignes directrices – 2009 • ISO 31010 – Management du risque – Techniques d’évaluation des risques – 2009 • ISO/IEC 60812 – Techniques d’analyses de la fiabilité du système – Procédure d’analyse des modes de défaillance et de leurs effets (AMDE) – 2006 • ISO/IEC 61882 – Etudes de danger et d’exploitabilité (HAZOP) – 2001 Avril 2013www.cleodit.fr 61
  • 62. CONDITIONS DE LICENCE ET DROITS D’UTILISATION Licence Crédits images Avril 2013www.cleodit.fr 62
  • 63. Licence • Cette œuvre de CleodIT est mise à disposition selon les termes de la licenceCreative Commons Attribution – Pas d’Utilisation Commerciale – Partage dans les Mêmes Conditions 3.0 France Avril 2013www.cleodit.fr 63
  • 64. Crédit images • Les images contenues en page 3 de cette présentation sont la propriété de Christian F. Burprich • Ces images sont proposées sous licence Creative Commons CC BY-NC-SA 3.0 • Les images originales ont été colorisées Avril 2013www.cleodit.fr 64
  • 65. Crédit images Clip Art • Les images Clip Art contenues dans cette présentation sont la propriété de Microsoft Corporation • Vous pouvez copier et utiliser ces éléments multimédias dans vos projets et documents • Vous n’êtes pas autorisé à • vendre, concéder sous licence ou distribuer des copies des éléments multimédias en tant que tels ou en tant que produit si la valeur principale du produit est constituée par les éléments multimédias • concéder à vos clients des droits les autorisant à concéder sous licence ou distribuer les éléments multimédias • concéder sous licence ou distribuer à des fins commerciales des éléments multimédias incluant des représentations d’individus, de gouvernements, de logos, de marques commerciales ou d’emblèmes, ou utiliser ces types d’images d’une façon impliquant la promotion ou l’association à votre produit, entité ou activité • Ou créer des oeuvres obscènes ou diffamatoires à l’aide des éléments multimédias • Pour plus d’informations, visitez le site www.microsoft.com/permission (en anglais) Avril 2013www.cleodit.fr 65