Aller au contenu

Gestion des risques d'un projet informatique

Un article de Wikipédia, l'encyclopédie libre.

La gestion des risques d’un projet informatique repose sur l’analyse continue des risques éventuels du projet afin de pouvoir l'accommoder aux résultats de cette analyse.

Pourquoi évaluer les risques[1]

[modifier | modifier le code]

L'évaluation des risques est une analyse approfondie des scénarios éventuels de leur apparition.

Elle a pour but de:

  • Adopter les mesures adéquates face à ces risques
  • Améliorer la sécurité du projet
  • Être une base pour la gestion du projet (la planification, l’abandon de certaines fonctionnalités, le choix des fournisseurs, la prévision des délais de livraison et des délais d’adaptation...)

Comment évaluer les risques

[modifier | modifier le code]

Notons que la méthode d’évaluation des risques doit correspondre au contexte. Toutefois, on peut présenter dans cette partie des directives générales.

Directives générales[2]

[modifier | modifier le code]
  • Énumérer, recenser tous les risques probables
  • Estimer la probabilité d’apparition, la vraisemblance du scénario d’apparition
  • Estimer l’impact potentiel sur le projet
  • Pour chaque risque, définir le traitement envisageable
  • Évaluer le coût de ce traitement
  • Comparer l’impact éventuel par rapport au coût du traitement éventuel :
    • Coût / sécurité
    • Coût/ avantage
  • Donner une note pour chaque risque en fonction de l’étape précédente, afin de les ordonner.

L’évaluation pouvant être quantitative ou qualitative selon la difficulté à pouvoir estimer.

Risques probables dans un projet informatique[3],[4],[5],[6]

[modifier | modifier le code]

Cette liste est donnée à titre indicative, elle n’est pas exhaustive et dépend de l’organisation.

  • Spécifications (cahier des charges) ambiguës
  • Évolution des technologies (obsolescence des TIC actuels)
  • Demandes de changements au cours du projet
  • Manque d’expertise de la maîtrise d’œuvre
  • Conflits entre utilisateurs
  • Mauvaise installation
  • Mauvaise utilisation des TIC (complexité technique)
  • Budget et délais insuffisants
  • Sabotage / résistance par les utilisateurs
  • Fuite d’information
  • Insécurité du système d'information

Traitements envisageables

[modifier | modifier le code]

Les traitements dépendent de la méthode de gestion adoptée et des choix de l'entreprise.

Selon ISO 27005[7], ces traitements seraient:

  • Refus du risque : Éliminer l’activité qui amène au risque.
  • Réduction du risque : Diminuer le risque.
  • Transfert du risque : Transférer le risque à une autre « entité » capable de le gérer.
  • Conservation du risque : Maintenir le risque tel quel.

Comment gérer les risques

[modifier | modifier le code]

La gestion des risques dépend de la méthode ou du référentiel choisi ainsi que des choix de l’entreprise.

L’évaluation est une étape de cette gestion, mais il y a aussi le traitement choisi, le suivi et l’adaptation à l’évolution du SI.

Cette gestion n’est pas figée, elle se doit d'être continue et de prendre en compte tous les changements que le projet subit.

Méthodes de gestion des risques des SI

[modifier | modifier le code]

Cette liste n'est pas exhaustive:

Qui est chargé de la gestion des risques[8]?

[modifier | modifier le code]

Ceci est un choix de l’entreprise, mais ça peut être la responsabilité de:

Le CLUSIF mène chaque année des études sur le responsable de cette gestion dans l'échantillon d'entreprises qu'il étudie[8]. Les rapports de leurs études sont mis à disposition du public sur leur site.

Notes et références

[modifier | modifier le code]
  1. DCSSI/SGDN, « Gestion des risques », sur secinfo.gouv.fr via Wikiwix (consulté le ).
  2. (en) « 27000.org », sur 27000.org (consulté le ).
  3. http://www.dtic.mil/ndia/2004cmmi/CMMIT2WedPM/1142WarrenScheinin.pdf
  4. Keil et al., 1998
  5. sage, 1992 annotated by Buttigieg, 2004
  6. Revised Bohem Top Ten Source of Risk, 1991
  7. (en) « 27000.org », sur 27000.org (consulté le ).
  8. a et b « CLUSIF - Documents », sur clusif.asso.fr via Wikiwix (consulté le ).