{"id":1085,"date":"2023-02-01T15:17:33","date_gmt":"2023-02-01T15:17:33","guid":{"rendered":"https:\/\/guide.trustvalley.swiss\/?post_type=chapter&#038;p=1085"},"modified":"2023-05-28T07:34:29","modified_gmt":"2023-05-28T07:34:29","slug":"definir-une-matrice-de-risque-ou-risk-heat-map","status":"publish","type":"chapter","link":"https:\/\/guide.trustvalley.swiss\/fr\/chapitre\/definir-une-matrice-de-risque-ou-risk-heat-map\/","title":{"rendered":"D\u00e9finir une matrice de risque ou \u00ab\u2009risk heat map\u2009\u00bb"},"content":{"rendered":"\n<p>Dans le processus de d\u00e9finition d\u2019un Plan de continuit\u00e9 de l\u2019activit\u00e9 (PCA), il est prioritaire de proc\u00e9der \u00e0 une \u00e9valuation (assessment) des risques. Pour cela, il faut identifier les actifs les plus strat\u00e9giques, rep\u00e9rer les vuln\u00e9rabilit\u00e9s que ces actifs encourent, et \u00e9valuer les impacts que leur indisponibilit\u00e9 pourrait avoir pour l\u2019entreprise. C\u2019est ce qu\u2019on appelle le \u00ab\u2009risk heat map\u2009\u00bb ou la matrice de risques.<\/p>\n\n\n\n<figure class=\"wp-block-image\"><img decoding=\"async\" src=\"https:\/\/lh5.googleusercontent.com\/_AZOYM6sb8gJKNu2zvLgJz9lm8BYy_apKDRnaXgImr4w7q2z81m854FjuKL9s4pMGlwraAUpvShGJzjEaQrjcI1Ir6F9tkaXvhko-d2XD8m1ry59oYZplFelEe8VuqOhxj1L5wYKWEaVnCZ1XNkfcaM\" alt=\"\"\/><\/figure>\n\n\n\n<p><em>Exemple d\u2019une matrice de risques (ou risk heat map)<\/em><\/p>\n\n\n\n<p><em><strong>A. Probabilit\u00e9 et impact<\/strong><\/em><\/p>\n\n\n\n<p>Dans la matrice de risques, deux dimensions sont cruciales\u2009: la probabilit\u00e9 que ce risque survienne, et l\u2019impact que ce risque fait peser sur l\u2019entreprise. Il est pertinent de cat\u00e9goriser la probabilit\u00e9 de low (basse) \u00e0 high (haute), en passant par medium (moyenne), que l\u2019on peut encore nuancer.<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>High d\u00e9signe ainsi un \u00e9v\u00e9nement qui peut se produire plusieurs fois par an, par exemple trois \u00e0 cinq fois par an.<\/li>\n\n\n\n<li>Medium high caract\u00e9rise une probabilit\u00e9 de survenue du risque d\u2019une \u00e0 trois fois par ann\u00e9e.<\/li>\n\n\n\n<li>Medium low indique plut\u00f4t une probabilit\u00e9 d\u2019une fois tous les trois ans.<\/li>\n\n\n\n<li>Low d\u00e9signe un risque qui pourrait advenir une fois tous les cinq \u00e0 dix ans.<\/li>\n<\/ul>\n\n\n\n<p>Cette classification aide \u00e0 prioriser les actions. Tout ce qui est class\u00e9 au-dessus de la ligne \u00ab\u2009medium high\u2009\u00bb entra\u00eenera une r\u00e9ponse au risque (ou risk-adaptation), car cette probabilit\u00e9 n\u2019est pas acceptable en l\u2019\u00e9tat\u2009: il faut prendre des mesures pour se pr\u00e9munir. C\u2019est une pr\u00e9occupation que vous pouvez porter aupr\u00e8s de votre hi\u00e9rarchie ou de votre management.<\/p>\n\n\n\n<p>Pour ces niveaux de risques \u00e9lev\u00e9s, il convient de d\u00e9finir des sc\u00e9narios, et donc d\u2019\u00e9valuer des impacts pour chacun. En fonction de l\u2019entreprise, les ordres de grandeur de ces estimations pourront varier.<\/p>\n\n\n\n<p><\/p>\n\n\n\n<p><em><strong>B. Mise en place des mesures<\/strong><\/em><\/p>\n\n\n\n<p>Une fois la classification r\u00e9alis\u00e9e et les impacts des diff\u00e9rents sc\u00e9narios estim\u00e9s, il convient de faire adopter un plan de pr\u00e9vention et de r\u00e9action par le management. Devant la direction, il faut \u00e9voquer ces risques, puis envisager ce qu\u2019il est possible de mettre en place pour r\u00e9duire le risque. Cet exercice a deux objectifs\u2009: r\u00e9duire la probabilit\u00e9 de la survenue du risque, ou r\u00e9duire son impact si l\u2019\u00e9v\u00e9nement a lieu malgr\u00e9 tout.<\/p>\n\n\n\n<p>Cela aboutit donc \u00e0 deux matrices\u2009: une matrice actuelle et une matrice r\u00e9siduelle. Une fois tous les contr\u00f4les impl\u00e9ment\u00e9s et les actions d\u00e9finies, les risques auront \u00e9t\u00e9 r\u00e9duits. Sur cette base de discussion avec le management, il faut comparer les co\u00fbts des plans envisag\u00e9s aux avantages financiers (retour sur investissement). Si l\u2019entreprise consacre un budget \u00e0 ces mesures, quelles seront pour elle les cons\u00e9quences ? Qu\u2019est-ce qui sera prot\u00e9g\u00e9\u2009?<\/p>\n\n\n\n<p><\/p>\n\n\n\n<p><em><strong>C. PRA et PGC<\/strong><\/em><\/p>\n\n\n\n<p>Dans le cadre d\u2019un PCA, deux outils sont particuli\u00e8rement utiles\u2009: le Plan de reprise de l\u2019activit\u00e9 (PRA) et le Plan de gestion de crise (PGC). Disposer de ces deux \u00e9l\u00e9ments peut s\u2019av\u00e9rer strat\u00e9gique afin de traverser au mieux une p\u00e9riode d\u00e9licate.<\/p>\n\n\n\n<p>Le PRA, ou Plan de reprise de l\u2019activit\u00e9 constitue la d\u00e9clinaison sp\u00e9cifique du PCA pour le service informatique d\u2019une organisation. Il comporte plusieurs points majeurs\u2009:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Plan d\u2019action des \u00e9quipes IT&nbsp;<\/li>\n\n\n\n<li>Site de repli&nbsp;<\/li>\n\n\n\n<li>Mat\u00e9riel&nbsp;<\/li>\n\n\n\n<li>Coordination<\/li>\n\n\n\n<li>R\u00e9seau, Infrastructure, postes de travail en fonction des besoins des m\u00e9tiers<\/li>\n\n\n\n<li>Plan de Secours Informatique (PSI)&nbsp;<\/li>\n\n\n\n<li>Bascule sur le site de repli&nbsp;<\/li>\n\n\n\n<li>Red\u00e9marrage (chronologie) en fonction du sc\u00e9nario \u00e9tabli.<\/li>\n<\/ul>\n\n\n\n<p><\/p>\n\n\n\n<p>Le PGC, ou Plan de gestion de crise d\u00e9finit les objectifs, les r\u00f4les et missions de chaque personne et \u00e9tablit une strat\u00e9gie de communication. Son objectif est de prendre en compte l\u2019ensemble des sc\u00e9narios envisag\u00e9s par le PCA et d\u2019apporter les r\u00e9ponses op\u00e9rationnelles afin de r\u00e9duire les impacts humains, m\u00e9tier, \u200bop\u00e9rationnels, financiers, l\u00e9gaux et organisationnels. En termes d\u2019organisation, le PGC d\u00e9finit et identifie les parties prenantes internes et externes. Enfin, sur le volet de la communication de crise, le PGC permet d\u2019\u00e9laborer et de contr\u00f4ler la pr\u00e9sentation de la crise en interne et en externe, d\u2019organiser une cellule de communication, et de mettre sur pied un plan de communication.<\/p>\n","protected":false},"featured_media":0,"template":"","categories":[],"searchablecategory":[],"class_list":["post-1085","chapter","type-chapter","status-publish","hentry"],"taxonomy_info":[],"featured_image_src_large":false,"author_info":[],"comment_info":"","_links":{"self":[{"href":"https:\/\/guide.trustvalley.swiss\/fr\/wp-json\/wp\/v2\/chapter\/1085","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/guide.trustvalley.swiss\/fr\/wp-json\/wp\/v2\/chapter"}],"about":[{"href":"https:\/\/guide.trustvalley.swiss\/fr\/wp-json\/wp\/v2\/types\/chapter"}],"wp:attachment":[{"href":"https:\/\/guide.trustvalley.swiss\/fr\/wp-json\/wp\/v2\/media?parent=1085"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/guide.trustvalley.swiss\/fr\/wp-json\/wp\/v2\/categories?post=1085"},{"taxonomy":"searchablecategory","embeddable":true,"href":"https:\/\/guide.trustvalley.swiss\/fr\/wp-json\/wp\/v2\/searchablecategory?post=1085"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}