analyse et traitement du risque aspects juridiques et ... · plan 1. comprendre le « risque » 2....
TRANSCRIPT
Analyse et traitement du risque
Aspects juridiques et fonctionnels
Cas pratique – Données personnelles
10/04/2013 1 Copyright Lexing 2013 ® Confidentiel Entreprise
Me Polyanna Bigle
Directeur du Département
« Sécurité systèmes d’information et dématérialisation »
&
M. Jean Olive
Senior Manager Sécurité
CGI Business Consulting
co-fondateur du club EBIOS
Sommaire
1. Vision juridique
2. Vision opérationnelle
3. Outil juridique IP/IT
4. Cas pratique I&L
10/04/2013 2 Copyright Lexing 2013 ® Confidentiel Entreprise
Introduction, vision juridique
• Le contexte : Le risque
• L’enjeu : Identifier le risque
• Le défi : Maîtriser le risque
• L’actualité : Le « risk by design »
10/04/2013 3 Copyright Lexing 2013 ® Confidentiel Entreprise
Plan
1. Comprendre le
« risque »
2. Appréhender le
risque
3. Les acteurs
impliqués
4. Les outils
10/04/2013 4 Copyright Lexing 2013 ® Confidentiel Entreprise
5
1. Comprendre le « risque »
1. Une notion duale
2. Approche négative
3. Approche positive
4. Un élément évolutif
5. Un élément mesurable
10/04/2013 5 Copyright Lexing 2013 ® Confidentiel Entreprise
Wikipédia a dit … le risque
c’est … ça
r = p1⋅C1 + p2⋅C2 + … + pn⋅Cn = ∑pi⋅Ci
Le produit pi⋅Ci est appelé valeur de l'aléa i
10/04/2013 6 Copyright Lexing 2013 ® Confidentiel Entreprise
1.1 Une notion « duale »
7
Risques
Génériques
« les mêmes pour tous »
Risques Spécifiques
• Banque
• Assurance
• Santé
• Défense
• Prestataire de confiance
• etc.
Privé
Public
Mission de
service public
10/04/2013 7 Copyright Lexing 2013 ® Confidentiel Entreprise
1.2 Approche négative,
le risque n’est pas …
La faute
Le dommage
La prudence/La précaution
La responsabilité
L’aléa
10/04/2013 8 Copyright Lexing 2013 ® Confidentiel Entreprise
1.3 Approche positive,
le risque, vue « légale »
Obligations sectorielles
Dispositions génériques
Le seul mot de risque C civil =Article 1138
L'obligation de livrer la chose est parfaite par le seul consentement
des parties contractantes.
Elle rend le créancier propriétaire et met la chose à ses risques dès
l'instant où elle a dû être livrée, encore que la tradition n'en ait point
été faite, à moins que le débiteur ne soit en demeure de la livrer ;
auquel cas la chose reste aux risques de ce dernier
10/04/2013 9 Copyright Lexing 2013 ® Confidentiel Entreprise
1.3 Approche positive,
le risque, vue « contractuelle »
Clause G1 – Transfert de risque
Clause G2 – Traitement du risque
Clause G3 – Anticipation du risque
10/04/2013 10 Copyright Lexing 2013 ® Confidentiel Entreprise
1.3 Approche positive,
le risque, vue « contractuelle »
Article xx - traitement des risques du projet
xx.1 – Analyse de risque
1. Les risques et les facteurs de risque devront être identifiés dès le démarrage du projet par le prestataire
2. Les facteurs de risque seront listés avec leur probabilité et leur criticité.
4. Cette liste sera tenue à jour par le prestataire et étudiée à chaque comité de pilotage. De même les variations de ces
caractéristiques devront être mises en évidence à chacun des comités de pilotage.
xx.2 Traitement du risque
1. Chaque risque fera l’objet d’un suivi par le prestataire.
2. Le prestataire s’engage, dans le cadre de l’exercice de son devoir de conseil, à alerter le client en cas de détection de
risque critique ne pouvant trouver d’action préventive ou corrective. Cette alerte devra être notifiée au client par [tel
canal]
10/04/2013 11 Copyright Lexing 2013 ® Confidentiel Entreprise
1.3 Attention à cette clause
• Risque 1 – Objectif de la clause
• Risque 2 – Contenu de la clause
• Risque 3 – Ne pas l’avoir (idem pour les SLA,
PAQ, …) ou ne pas le suivre
• Risque 4 – Dilution des risques
– Convention de gestion de risque (gouvernance)
10/04/2013 12 Copyright Lexing 2013 ® Confidentiel Entreprise
1.3 Approche positive,
le risque, vue « normative »
• Définition 1 « La combinaison de probabilité d’évènement et de sa
conséquence »
• Définition 2 « L’effet de l’incertitude sur les objectifs »
• « Enterprise risk Management » = Organisation du management
dans l’entreprise
• « Risk Appetite » = niveau de prise de risque accepté par
l’organisation dans le but d’accroître sa valeur
• « Portefeuille de risque » ou « bloc de risque » = regroupement de
risques par catégories
10/04/2013 13 Copyright Lexing 2013 ® Confidentiel Entreprise
1.3 Approche positive,
le risque, vue « assurantielle » Attributs d’un risque assurable :
• Aléatoire = L'aléa est le caractère principal de tout contrat d'assurance, et définit donc
la notion de risque assurable. L'aléa peut porter sur la survenance ou la non
survenance d'un événement (par exemple le vol), mais aussi sur la date de réalisation
d'un événement certain (par exemple en assurance décès).
• Futur = pas de rétroactivité,
• Licite = non contraire à la loi,
• Involontaire = indépendant de la volonté de l'assuré,
• Réel = l’élément assuré doit exister
• Suffisamment courant pour pouvoir calculer sa probabilité ; sans être trop courant, au
point d'être quasi certain, car alors il ne pourrait être couvert qu'à un tarif prohibitif.
10/04/2013 14 Copyright Lexing 2013 ® Confidentiel Entreprise
1.3 Approche positive,
le risque, vue « jurisprudentielle »
• Une notion « assez nouvelle »
• Une approche qui n’est pas stabilisée
• Le juge et le risque non traité
– Clause d’audit du « client »
• Atténue la responsabilité du prestataire
• Le juge et le risque non maîtrisé
– Clause de suivi de risque
• Jurisprudence en devenir
10/04/2013 15 Copyright Lexing 2013 ® Confidentiel Entreprise
1.4 Un élément « Evolutif »
• Le risque T0 – TX
• Impacts exogènes
– Jurisprudence
– Nouvelles lois
• Impacts endogènes
– Evolution technique
– Evolution organisationnelle
• Réalité des risques « rencontrés »
Exemple 1
Dématérialisation
Exemple 2
BYOD
10/04/2013 16 Copyright Lexing 2013 ® Confidentiel Entreprise
1.5 Un élément « mesurable »
Mesure du risque
Mesure de la
maîtrise
Niveau 1
Niveau 2
Niveau 3
Les
problèmes !
Conséquence Gravité
Fréquence Détectabilité
10/04/2013 17 Copyright Lexing 2013 ® Confidentiel Entreprise
18
2. Appréhender le risque
1. Les 4 axes
2. Le Risk by design
3. L’impact des référentiels
10/04/2013 18 Copyright Lexing 2013 ® Confidentiel Entreprise
2.1 La « gestion » du risque multiforme
Risques
Traiter
Eviter
Réagir
ANALYSER
Art 34 et 35
Art 34 bis
Règlement
Art 33
1382 /1383
10/04/2013 19 Copyright Lexing 2013 ® Confidentiel Entreprise
2.3 L’impact des référentiels
Nul n’est sensé ignorer les « bonnes pratiques »
10/04/2013 23 Copyright Lexing 2013 ® Confidentiel Entreprise
3. Les acteurs impliqués
1. Les « primaires »
2. Les « coupables »
3. Les « autres » …
10/04/2013 24 Copyright Lexing 2013 ® Confidentiel Entreprise
3.1 Les acteurs « primaires »
• Les métiers du risque
– Risk Manager
– Audit et conformité
– Déontologue / Gouvernance manager
– RSSI ou Sécurité/Surêté
• Référentiel
– Interne : fiche de poste + contrat de travail ++
– Externe : référentiel
10/04/2013 25 Copyright Lexing 2013 ® Confidentiel Entreprise
3.2 Les « Coupables »
• Civile
Employeur
• Pénale
Employeur
• Administrative
Employeur
10/04/2013 26 Copyright Lexing 2013 ® Confidentiel Entreprise
3.3 Les « autres »
• Internes
– Direction juridique
– Directions opérationnelles
– Cil
– Etc.
• Externes
– CAC et expert comptable
– Consultant
– Experts techniques
10/04/2013 27 Copyright Lexing 2013 ® Confidentiel Entreprise
4. Les outils (juridiques) de
maîtrise du risque
1. Outils d’analyse
2. Outils d’organisation
3. Outils de protection
10/04/2013 28 Copyright Lexing 2013 ® Confidentiel Entreprise
4.1 Outils d’analyse
= Le « Code de l’entreprise » : – Référentiel générique
– Référentiel spécifique
» Légal
» Contractuel
» Normatif
= Tableau d’analyse de risque – Cf. cas pratique …
= Audit et test externes
10/04/2013 29 Copyright Lexing 2013 ® Confidentiel Entreprise
4.2 Les outils d’organisation
(interne)
= Management du risque
• Risk Manager
• Comité « Risque IT/IP »
= Contrôle interne/Ligne éthique/
Guide opération de contrôle
10/04/2013 30 Copyright Lexing 2013 ® Confidentiel Entreprise
4.2 Les outils d’organisation
(externe)
= Généralisation de la clause de gestion des risques
= Convention de gestion des risques
10/04/2013 31 Copyright Lexing 2013 ® Confidentiel Entreprise
4.3 Les outils de protection
= Outils de type « actif » – Ex : Procédure d’alerte
– Ex : Contrôle interne
= Assurance … « adaptées »
10/04/2013 32 Copyright Lexing 2013 ® Confidentiel Entreprise
Ne pas oublier …
Impact hors France
Maintien en conditions
opérationnelles juridique
10/04/2013 33 Copyright Lexing 2013 ® Confidentiel Entreprise
Contact
ALAIN BENSOUSSAN AVOCATS 29 rue du colonel Pierre Avia Paris 15è
Tél. : 33 1 41 33 35 35
Fax : 33 1 41 33 35 36
Polyanna Bigle L.D. : 33 1 41 33 35 35
Mob. : 33 6 42 32 16 09
10/04/2013 35 Copyright Lexing 2013 ® Confidentiel Entreprise
« La normalisation au cœur des pratiques
contractuelles d’externalisation »
Jean-François Forgeron en coanimation avec
Serge Yablonsky (SYC Consultants) et Marie-
Noëlle Gibon - Président de l'Ae-SCM
Le 17 avril 2013
Prochain petit déjeuner
10/04/2013 36 Copyright Lexing 2013 ® Confidentiel Entreprise
Crédits photos
• Conception et réalisation du support
• Alain Bensoussan avocats © 2013
• Crédits photos :
• Robot Inspector Detective with Magnifying Glass©Leo Blanchette-Fotolia.com
• plans©charles taylor-Fotolia.com
• Risk©JJAVA-Fotolia.com
• Anonym im Netz©david_hoepfner-Fotolia.com
• Teamwork©AKS-Fotolia.com
• Tools©Fribourg -Fotolia.com outils
10/04/2013 37 Copyright Lexing 2013 ® Confidentiel Entreprise