Magazine < Environnement de Travail < Sécurité incendie & Sûreté <

Cybersécurité

Dossier

Elaborer une cartographie des risques en six étapes

#Cybersécurité
05/01/2020

Le point sur… La cartographie des risques

Elaborer une cartographie des risques en six étapes

La cartographie des risques se base sur une description objective, structurée et documentée des risques existants. La description fait ressortir l’existence des risques et leur probabilité (occurrence), les éléments susceptibles de les accroître (facteurs aggravants), et les réponses apportées ou à apporter, dans le cadre d’un plan d’actions.

Etape 1 : clarifier les rôles et les responsabilités de chacun dans l’élaboration, la mise en œuvre et la mise à jour de la cartographie des risques

Dans une organisation, c’est l’instance dirigeante qui prend la décision et endosse la responsabilité, au nom de l’organisation, d’engager une démarche de pilotage de gestion des risques.
A ce titre, elle impulse l’exercice de cartographie des risques et désigne un risk manager.
L’instance dirigeante valide la stratégie de gestion des risques mise en œuvre et veille à ce que les acteurs de la gestion des risques disposent des moyens humains et financiers suffisants pour exercer leurs responsabilités.

Le risk manager est désigné par l’instance dirigeante. Dans de nombreuses organisations, le risk manager cumule plusieurs fonctions.
Le risk manager pilote le déploiement, la mise en œuvre, l’évaluation et l’actualisation du programme de gestion des risques, en étroite coopération avec les parties prenantes de l’organisation.
Il pilote ainsi l’élaboration de la cartographie des risques, en accompagnant chaque service dans l’audit de ses fonctions, des processus mis en œuvre, des risques induits, et des mesures préventives en place.
A l’issue de son élaboration, le risk manager communique la cartographie des risques à l’instance dirigeante. Celle-ci valide formellement la stratégie de gestion des risques mise en œuvre.
Le risk manager s’assure de la mise en œuvre du plan d’actions retenu

Les responsables des processus managériaux, opérationnels et support
rendent compte des risques spécifiques au périmètre relevant de leur responsabilité afin qu’en soient tirées les conséquences sur la probabilité d’occurrence, les potentiels facteurs aggravants et la cotation des risques.

L’ensemble du personnel apporte sa contribution à l’exercice de cartographie en rendant compte des facteurs spécifiques dues aux fonctions exercées afin qu’en soient tirées les conséquences sur la probabilité d’occurrence, les potentiels facteurs aggravants et la cotation des risques.

Etape 2 : identifier les risques inhérents aux activités

Cette étape vise à dresser la typologie des risques à laquelle les organisations sont exposées dans le cadre de leurs activités.
Il ne s’agit pas de décliner la typologie théorique des risques auxquelles une organisation est exposée mais de procéder à un état des lieux précis permettant d’identifier, de manière circonstanciée et documentée, les risques qui lui sont propres.

De ce fait, le recensement exhaustif des risques inhérents aux activités nécessite, outre la connaissance de l’organisation mobilisée et des rôles impartis, une maîtrise fine des processus mis en œuvre.

Etape 3 : évaluer l’exposition aux risques

exposition aux risques

Cette étape vise à évaluer le niveau de vulnérabilité de l’organisation en cause pour chaque risque identifié à l’étape précédente. Il s’agit ici de déterminer les risques «bruts» auxquels cette organisation est exposée du fait de ses activités, c’est à dire les risques considérés en amont des moyens de prévention mis en œuvre.
Ce niveau de vulnérabilité est évalué au moyen de deux types d’indicateurs :
une probabilité d’occurrence
des coefficients appliqués aux facteurs jugés aggravants

La méthodologie et les modalités de calcul des risques «bruts» devront figurer dans une annexe à la cartographie des risques, rappelant les définitions retenues et décrivant les procédures d’identification des risques et les conventions de comptabilisation adoptées.

Etape 4 : évaluer l’adéquation et l’efficacité des moyens visant à maîtriser ces risques

Cette étape vise à évaluer le niveau de maîtrise par l’organisation des risques afin de déterminer les risques «nets» ou « résiduels » auxquels elle est exposée du fait de ses activités. Il s’agit donc de réévaluer les risques «bruts» en prenant en considération les moyens de prévention mis en œuvre.

maîtriser les risques

A ce stade d’élaboration de la cartographie, le risk manager s’attachera à évaluer l’efficacité des mesures de prévention existantes afin de maîtriser les risques. Cette évaluation sera fonction de la structuration des dispositifs en place et du bilan tiré de leur mise en œuvre.
La méthodologie et les modalités de calcul des risques «nets» ou «résiduels» devront faire l’objet d’une annexe à la cartographie des risques, rappelant les définitions retenues et décrivant les procédures d’identification des risques et les conventions de comptabilisation adoptées.

Etape 5 : hiérarchiser et traiter les risques «nets» ou «résiduels»

Une fois les risques déterminés, il convient de les hiérarchiser en distinguant les risques que la direction ne veut pas prendre et ceux auxquels elle assume de s’exposer.
Une fois cette limite d’acceptabilité fixée et définie dans la procédure annexe, il s’agit de déterminer, dans le cadre de la stratégie de gestion des risques, les mesures à mettre en œuvre afin de corriger les lacunes du dispositif de prévention et ainsi limiter la probabilité d’occurrence et le défaut d’anticipation de facteurs aggravants.
Sur la base de ces éléments, un plan d’actions sera élaboré. Le calendrier et les modalités de mise en œuvre de ce plan d’action, ainsi que son suivi et les modalités de compte-rendu associés, sont confiés au risk manager.

Etape 6 : formaliser la cartographie et la tenir à jour.

La cartographie des risques est écrite et structurée. Son résultat est présenté de manière synthétique. A cet égard, il est rappelé que la forme de la cartographie des risques facilite son appropriation comme outil de pilotage des risques.
La documentation peut être organisée par métier et par processus. Elle est accompagnée d’une annexe décrivant les modalités d’élaboration de la cartographie des risques et la méthodologie de classification des risques.
Enfin, la nécessité d’actualiser la cartographie est évaluée chaque année. En tout état de cause, la cartographie des risques doit être mise à jour en fonction de l’évolution de l’activité.
Parmi les évènements nécessitant de réévaluer la cartographie figurent notamment : l’évolution du modèle économique, de nouveaux processus ou leur transformation, un changement affectant l’organisation, une évolution significative du contexte réglementaire ou économique…

Partager cet article sur les réseaux

Lire la suite

Pour compléter ce sujet

- PARIS 2025
- Actualité
L'Assurance Maladie - Risques professionnels, un acteur incontournable à Préventica Paris 2025

14 mars 2025 - Du 10 au 12 juin, Préventica Paris accueillera l'Assurance Maladie - Risques professionnels en tant qu'acteur majeur de la santé au travail pour les entreprises du secteur privé
- #Accompagnement SST
- Webinar
Comment accompagner vos collaborateurs vers une MOBILITÉ DOUCE ?

13 mai 2025 - 11h00 - EFFICIENCE SANTE AU TRAVAIL
- #Mobilité / Sécurité routière
- #Dirigeants
- Annuaire
Barrières anti-inondation modulaires et autoportantes - Aqua-Barrière
- #Gestion de crise
- Podcast
Les FONCTIONS RH sont-elles victimes ou propagatrices du Bullshit ?

10 mars 2025 - Christophe Genoud, auteur de "Leadership, agilité, bonheur au travail... Bullshit" nous parle sans langue de bois de fonction RH
- #Management RH/QVCT
- #Dirigeants

Vous aimerez aussi

- Actualité
Pourquoi adopter une CHARTE INFORMATIQUE en entreprise ?

24 avril 2025 - Dans un contexte où les technologies numériques sont omniprésentes, les entreprises doivent veiller à encadrer l’utilisation de leurs outils informatiques. C’est dans cette optique que la charte informatique joue un rôle clé. Elle définit les règles d’utilisation des ressources numériques, garantissant ainsi la sécurité des données, le respect de la vie privée et une utilisation éthique des équipements.
- #Cybersécurité
- Actualité
Former les employés à la cybersécurité : un investissement pour la SST ?

20 mars 2025 - La cybersécurité est désormais essentielle pour les entreprises, non seulement pour protéger les données, mais aussi pour assurer la santé et la sécurité des employés. La formation des collaborateurs aux bonnes pratiques de cybersécurité est devenue indispensable pour prévenir le stress lié aux cyberattaques et renforcer la sécurité au travail. Les bénéfices de cette formation sont nombreux, tant pour les employés que pour l’entreprise.
- #Cybersécurité
- Actualité
Mon ExpertCyber : comment protéger votre organisation des cybermenaces ?

05 février 2025 - Les cyberattaques peuvent avoir de lourdes conséquences pour une entreprise, une association ou une collectivité : pertes financières, vol de données, atteinte à la réputation… Pour renforcer leur protection, Cybermalveillance.gouv.fr propose le service Mon ExpertCyber.
- #Cybersécurité
- Actualité
Le point sur les risques cyber liés aux fournisseurs

19 décembre 2024 - Les entreprises font face à une nouvelle menace : le risque cyber lié aux fournisseurs. L’Observatoire 2024 du CESIN et Board of Cyber met en lumière l’ampleur de ce problème et les stratégies nécessaires pour y répondre.
- #Cybersécurité
- Actualité
La nouvelle régulation de l’IA en Europe

05 juin 2024 - Le 21 mai 2024, le Conseil de l'Union européenne a approuvé un règlement inédit sur l'intelligence artificielle (IA). Ce texte, premier du genre au monde, suit une approche "basée sur le risque" : plus le risque pour la société est élevé, plus les règles sont strictes.
- #Cybersécurité
Christophe GUEGUEN

responsable d’activité

Magellan Sécurité
- Interview
Comprendre les cyberattaques pour s’en protéger

22 mars 2023 - En début d’année, le Gouvernement alertait à propos d'une nouvelle vague de cyberattaques, touchant aussi bien les particuliers que les entreprises. Christophe Gueguen, expert de cette thématique, détaille les risques et les moyens de s’en prémunir.
- #Cybersécurité
Patrick CAMBON

Sécurité des systèmes d’information

Chru Strasbourg
- Interview
Sensibiliser aux risques cyber par un escape game

06 avril 2022 - Le CHRU de Strasbourg travaille actuellement sur un escape game à destination de ses équipes, pour les sensibiliser à la fois aux risques psychosociaux mais aussi aux risques cyber. Entrevue avec Patrick Cambon, membre de l’équipe en charge de la sécurité des systèmes d’information au CHRU Strasbourg.
- #Cybersécurité
- Dossier
RGPD : le point en 10 questions

04 avril 2018
- #Cybersécurité

S’abonner à la newsletter

Choisissez de recevoir l’info qui vous plaît, magazine, webinar, solutions & innovation, salon, …

A propos de Préventica

Depuis près de 25 ans, Préventica est le lieu de rencontre et d'inspiration pour tous les acteurs de la santé, la sécurité et la qualité de vie au travail : dirigeants, DRH, managers, services généraux, production, préventeurs...

Deux grands rendez-vous sont organisés chaque année en France, sous le haut patronage des ministères du Travail et de la Santé, réunissant au total plus de 20 000 participants.

Une plateforme de ressources en ligne permet également chaque mois à 100 000 utilisateurs de bénéficier de conseils et retours d'expériences, pour la mise en œuvre de leurs actions de prévention des risques et de qualité de vie au travail : Magazine, Webinars, Annuaire, Podcasts…