analyse et traitement du risque aspects juridiques et ... · plan 1. comprendre le « risque » 2....

Analyse et traitement du risque

Aspects juridiques et fonctionnels

Cas pratique – Données personnelles

10/04/2013 1 Copyright Lexing 2013 ® Confidentiel Entreprise

Me Polyanna Bigle

Directeur du Département

« Sécurité systèmes d’information et dématérialisation »

&

M. Jean Olive

Senior Manager Sécurité

CGI Business Consulting

co-fondateur du club EBIOS

Sommaire

1. Vision juridique

2. Vision opérationnelle

3. Outil juridique IP/IT

4. Cas pratique I&L


Introduction, vision juridique

• Le contexte : Le risque

• L’enjeu : Identifier le risque

• Le défi : Maîtriser le risque

• L’actualité : Le « risk by design »


Plan

1. Comprendre le

« risque »

2. Appréhender le

risque

3. Les acteurs

impliqués

4. Les outils


5

1. Comprendre le « risque »

1. Une notion duale

2. Approche négative

3. Approche positive

4. Un élément évolutif

5. Un élément mesurable


Wikipédia a dit … le risque

c’est … ça

r = p1⋅C1 + p2⋅C2 + … + pn⋅Cn = ∑pi⋅Ci

Le produit pi⋅Ci est appelé valeur de l'aléa i


1.1 Une notion « duale »

7

Risques

Génériques

« les mêmes pour tous »

Risques Spécifiques

• Banque

• Assurance

• Santé

• Défense

• Prestataire de confiance

• etc.

Privé

Public

Mission de

service public


1.2 Approche négative,

le risque n’est pas …

La faute

Le dommage

La prudence/La précaution

La responsabilité

L’aléa


1.3 Approche positive,

le risque, vue « légale »

Obligations sectorielles

Dispositions génériques

Le seul mot de risque C civil =Article 1138

L'obligation de livrer la chose est parfaite par le seul consentement

des parties contractantes.

Elle rend le créancier propriétaire et met la chose à ses risques dès

l'instant où elle a dû être livrée, encore que la tradition n'en ait point

été faite, à moins que le débiteur ne soit en demeure de la livrer ;

auquel cas la chose reste aux risques de ce dernier



le risque, vue « contractuelle »

Clause G1 – Transfert de risque

Clause G2 – Traitement du risque

Clause G3 – Anticipation du risque



le risque, vue « contractuelle »

Article xx - traitement des risques du projet

xx.1 – Analyse de risque

1. Les risques et les facteurs de risque devront être identifiés dès le démarrage du projet par le prestataire

2. Les facteurs de risque seront listés avec leur probabilité et leur criticité.

4. Cette liste sera tenue à jour par le prestataire et étudiée à chaque comité de pilotage. De même les variations de ces

caractéristiques devront être mises en évidence à chacun des comités de pilotage.

xx.2 Traitement du risque

1. Chaque risque fera l’objet d’un suivi par le prestataire.

2. Le prestataire s’engage, dans le cadre de l’exercice de son devoir de conseil, à alerter le client en cas de détection de

risque critique ne pouvant trouver d’action préventive ou corrective. Cette alerte devra être notifiée au client par [tel

canal]


1.3 Attention à cette clause

• Risque 1 – Objectif de la clause

• Risque 2 – Contenu de la clause

• Risque 3 – Ne pas l’avoir (idem pour les SLA,

PAQ, …) ou ne pas le suivre

• Risque 4 – Dilution des risques

– Convention de gestion de risque (gouvernance)



le risque, vue « normative »

• Définition 1 « La combinaison de probabilité d’évènement et de sa

conséquence »

• Définition 2 « L’effet de l’incertitude sur les objectifs »

• « Enterprise risk Management » = Organisation du management

dans l’entreprise

• « Risk Appetite » = niveau de prise de risque accepté par

l’organisation dans le but d’accroître sa valeur

• « Portefeuille de risque » ou « bloc de risque » = regroupement de

risques par catégories



le risque, vue « assurantielle » Attributs d’un risque assurable :

• Aléatoire = L'aléa est le caractère principal de tout contrat d'assurance, et définit donc

la notion de risque assurable. L'aléa peut porter sur la survenance ou la non

survenance d'un événement (par exemple le vol), mais aussi sur la date de réalisation

d'un événement certain (par exemple en assurance décès).

• Futur = pas de rétroactivité,

• Licite = non contraire à la loi,

• Involontaire = indépendant de la volonté de l'assuré,

• Réel = l’élément assuré doit exister

• Suffisamment courant pour pouvoir calculer sa probabilité ; sans être trop courant, au

point d'être quasi certain, car alors il ne pourrait être couvert qu'à un tarif prohibitif.



le risque, vue « jurisprudentielle »

• Une notion « assez nouvelle »

• Une approche qui n’est pas stabilisée

• Le juge et le risque non traité

– Clause d’audit du « client »

• Atténue la responsabilité du prestataire

• Le juge et le risque non maîtrisé

– Clause de suivi de risque

• Jurisprudence en devenir


1.4 Un élément « Evolutif »

• Le risque T0 – TX

• Impacts exogènes

– Jurisprudence

– Nouvelles lois

• Impacts endogènes

– Evolution technique

– Evolution organisationnelle

• Réalité des risques « rencontrés »

Exemple 1

Dématérialisation

Exemple 2

BYOD


1.5 Un élément « mesurable »

Mesure du risque

Mesure de la

maîtrise

Niveau 1

Niveau 2

Niveau 3

Les

problèmes !

Conséquence Gravité

Fréquence Détectabilité


18

2. Appréhender le risque

1. Les 4 axes

2. Le Risk by design

3. L’impact des référentiels


2.1 La « gestion » du risque multiforme

Risques

Traiter

Eviter

Réagir

ANALYSER

Art 34 et 35

Art 34 bis

Règlement

Art 33

1382 /1383


2.2 La notion « Risk by design »


2.3 L’impact des référentiels

Nul n’est sensé ignorer les « bonnes pratiques »


3. Les acteurs impliqués

1. Les « primaires »

2. Les « coupables »

3. Les « autres » …


3.1 Les acteurs « primaires »

• Les métiers du risque

– Risk Manager

– Audit et conformité

– Déontologue / Gouvernance manager

– RSSI ou Sécurité/Surêté

• Référentiel

– Interne : fiche de poste + contrat de travail ++

– Externe : référentiel


3.2 Les « Coupables »

• Civile

Employeur

• Pénale

Employeur

• Administrative

Employeur


3.3 Les « autres »

• Internes

– Direction juridique

– Directions opérationnelles

– Cil

– Etc.

• Externes

– CAC et expert comptable

– Consultant

– Experts techniques


4. Les outils (juridiques) de

maîtrise du risque

1. Outils d’analyse

2. Outils d’organisation

3. Outils de protection


4.1 Outils d’analyse

= Le « Code de l’entreprise » : – Référentiel générique

– Référentiel spécifique

» Légal

» Contractuel

» Normatif

= Tableau d’analyse de risque – Cf. cas pratique …

= Audit et test externes


4.2 Les outils d’organisation

(interne)

= Management du risque

• Risk Manager

• Comité « Risque IT/IP »

= Contrôle interne/Ligne éthique/

Guide opération de contrôle


4.2 Les outils d’organisation

(externe)

= Généralisation de la clause de gestion des risques

= Convention de gestion des risques


4.3 Les outils de protection

= Outils de type « actif » – Ex : Procédure d’alerte

– Ex : Contrôle interne

= Assurance … « adaptées »


Ne pas oublier …

Impact hors France

Maintien en conditions

opérationnelles juridique


Contact

ALAIN BENSOUSSAN AVOCATS 29 rue du colonel Pierre Avia Paris 15è

Tél. : 33 1 41 33 35 35

Fax : 33 1 41 33 35 36

[email protected]

Polyanna Bigle L.D. : 33 1 41 33 35 35

Mob. : 33 6 42 32 16 09

[email protected]


mailto:[email protected]








« La normalisation au cœur des pratiques

contractuelles d’externalisation »

Jean-François Forgeron en coanimation avec

Serge Yablonsky (SYC Consultants) et Marie-

Noëlle Gibon - Président de l'Ae-SCM

Le 17 avril 2013

Prochain petit déjeuner


Crédits photos

• Conception et réalisation du support

• Alain Bensoussan avocats © 2013

• Crédits photos :

• Robot Inspector Detective with Magnifying Glass©Leo Blanchette-Fotolia.com

• plans©charles taylor-Fotolia.com

• Risk©JJAVA-Fotolia.com

• Anonym im Netz©david_hoepfner-Fotolia.com

• Teamwork©AKS-Fotolia.com

• Tools©Fribourg -Fotolia.com outils


analyse et traitement du risque aspects juridiques et ... · plan 1. comprendre le « risque » 2....

Documents