"impacts"

17/11/2018

Catégories : Atelier 1Club EBIOSFAQ

Réponse d’un membre du Club EBIOS : “Attention aux échelles utilisant plusieurs types d’impacts”

Rappel du guide EBIOS : “Cette action [élaboration d’une échelle] consiste à créer une échelle décrivant tous les niveaux possibles des impacts. Tout comme les échelles de besoins, une échelle de niveaux d’impacts est généralement ordinale (les objets sont classés par ordre de grandeur, les nombres indiquent des rangs et non des quantités) et composée de plusieurs niveaux permettant de classer l’ensemble des risques“.Ainsi, il est habituel de voir des utilisateurs de la méthode construire plusieurs échelles ordinales selon la nature de l’impact (financier, juridique, sur les opérations, sur la vie privée…) pour estimer la gravité des évènements redoutés. La construction est alors faite en graduant individuellement chaque type d’impact, sans se préoccuper de la cohérence entre les niveaux.Or, seul un résultat global est utilisé dans les cartographies de risques pour évaluer la gravité des uns par rapport aux autres. L’information sur la nature des impacts est perdue.

Pour éviter de fausses conclusions sur l’importance des risques, il faut donc veiller à vérifier la cohérence transverse de la gradation des impacts dans les échelles. Par exemple, vérifier que l’estimation d’un impact de niveau 3 sur les opérations sera de la même valeur pour l’organisme que les impacts financier et juridique de même niveau.
Lorsque c’est possible, le critère pivot (servant à la cohérence) peut être l’échelle financière. Dans le cas contraire (souvent le cas), il convient de présenter les impacts côte à côte et d’estimer leur importance auprès des responsables en recherchant un consensus. Dans ce cas là, les échelles peuvent avoir des cases vides (niveau n’ayant pas d’équivalence pour toutes les natures d’impacts considérées). Ça peut être le cas lorsque l’on estime par exemple la perte de vies humaines.Il est parfois difficile à des responsables d’établir ces échelles de manière générique. Une bonne solution consiste alors à demander aux parties prenantes de hiérarchiser les événements redoutés après avoir identifié les impacts, et de construire les échelles sur la base de cette estimation.

Réponse d’un membre du Club EBIOS : “il est utile de disposer d’échelles d’impacts hétérogènes, c’est un moyen important de communication avec les métiers”

En complément, l’idéal est selon moi de :

  • disposer d’une échelle pour chaque type d’impacts (financiers, sur l’image, juridiques, sur le fonctionnement, sur la vie privée…) en couvrant tout le spectre des possibles (du pire au mieux) ;
  • présenter les impacts côte à côte quand on analyse les événements redoutés et estime leur gravité ;
  • rappeler les différents impacts et leur estimation quand on présente la cartographie (qui ne garde au final que la valeur la plus importante).

On peut ainsi facilement réaliser une étude à la fois SSI et protection de la vie privée en présentant côte à côte les impacts pour l’organisme et les impacts pour les personnes concernées.

Mots-clés :

12/02/2017

Catégories : Atelier 1Club EBIOSGuide

Dans une étude de risques, on constate que les impacts analysés dépendent fortement du point de vue de chaque partie prenante. Partant de ce constat, ce document de réflexion incite à la prise en compte des préoccupations de chaque acteur, dans une logique “by design”, afin que le produit, système ou service soit accepté par tous.

ClubEBIOS-ImpactsDifferencies-2017-02-19-Approuve

> Télécharger