Le Lean management est à la mode, car il offre des avantages évidents en phase amont. Cela concerne également la gestion des risques, notamment en France, avec la publication de la méthode EBIOS Risk Manager par l’ANSSI fin 2018.

Cependant, si la nouvelle méthode favorise une approche agile de gestion des risques, elle ne fournit pas les outils pour soutenir les ateliers de remue-méninges obligatoires.

Ici, dans le cadre du Collège des praticiens du Club EBIOS, nous proposons un ensemble innovant de posters qui peuvent être utilisés :

  • soit imprimés, au format A0, pour soutenir la collecte d’informations sur la gestion des risques lors d’ateliers en présentiel ;
  • soit directement sous PowerPoint, lors d’ateliers organisés en distanciel (e.g. téléconférences en contexte CoViD).

Un guide complet accompagne les posters pour faciliter leur usage. Le guide fournit également de nombreuses astuces issues de retours d’expérience de Thales lors d’ateliers avec ces posters. De plus, un exemple d’évaluation de risque, dans le domaine naval, traité avec ces posters, illustre ce qu’il est possible d’obtenir comme rapport avec cette approche.

Ces posters sont issus d’une longue démarche de R&D axé sur l’humain. A partir de 2018, ils furent utilisés en présentiel, d’abord lors de formations en cybersécurité, puis sur des études de R&D internes, et enfin sur de véritables projets au sein du Groupe Thales. Depuis début 2020, ils ont également été utilisés sur trois études menées en distanciel, dont l’étude fournie en exemple.

Nous avons remarqué au cours de ces études de cas que cette technique rend la gestion des risques ludique. C’est un moyen de démystifier la gestion des risques, de la rendre plus facile à comprendre, tout en restant très efficace en temps.

Ce format est particulièrement approprié lors des activités de candidature ou de lancement de projet. Il favorise également un état d’esprit collaboratif, rappelant que la sécurisation de l’architecture système n’est pas la seule affaire des experts en cybersécurité, mais le résultat d’un travail collaboratif impliquant la direction, les experts du domaine, le RSSI, le DSI, le client et éventuellement les utilisateurs finaux.

Obérisk, un jeu de posters pour une approche de gestion des risques de type Obeya, par Stéphane Paul de Thales Research & Technology (laboratoire des systèmes embarqués critiques), sont disponibles sous forme de diapositives PowerPoint sous licence CC BY-NC-SA (i.e. Creative Commons Attribution + Non Commercial + Partager à l’identique), avec un guide d’utilisation et un exemple.

ClubEBIOS-Oberisk-Guide-2021-01-07
Télécharger le guide

Télécharger les posters (modèles)

ClubEBIOS-Oberisk-Exemple-2021-01-07
Télécharger l’exemple

Voir aussi l’article sur Springer
Voir aussi l’article publié avec l’Ecole Navale
Voir les posters sur ResearchGate