C'est le dernier chapitre de cours, alors accrochez-vous encore un peu !
Appuyez-vous sur la roue de Deming
L’amélioration continue est le maître mot d’une analyse des risques. L’évolution du contexte, l’apparition de nouveaux actifs ou de nouvelles technologies sont autant de paramètres à prendre en compte, année après année, afin de maintenir un niveau de maîtrise de risques suffisant et conforme à ce que vous souhaitez.
Pour cela, un outil simple est à votre disposition : la roue de Deming !
Alors ce n’est pas uniquement ce terme qu’il faut retenir mais ce qu’il représente. La roue de Deming matérialise le processus d’amélioration continue en 4 temps : Plan, Do, Check, Act. Si on devait le traduire dans la langue de Molière, cela signifierait : Planifier, Faire, Vérifier, Valider.
Rentrons dans le détail de chacune de ces étapes :
planifier (Plan) : il s’agit de l’étude de contexte, de l’analyse des risques et de la détermination du plan de traitement des risques (coup de bol, on vous a expliqué tout cela dans le cours) ;
faire (Do) : mise en place des actions correctives, ou mise en place du plan de traitement des risques. Il s’agit de la phase pratique : on arrête la théorie et on met en place de manière effective ;
Vérifier (Check) : maintenant on vérifie si les mesures ont été efficaces. À travers les différents instruments de mesure que l’on a mis en place et en fonction des méthodes choisies, on évalue la performance des mesures ;
Valider (Act) : une analyse de risques réussie ne vaut (comme pour beaucoup de projets, d’ailleurs) que si elle est validée et admise par la direction. Il convient donc de procéder à une revue de direction après avoir mis en place les mesures correctives, les avoir analysées ainsi que mesuré leurs performances. La validation de chaque étape par le manager (responsable global de l’analyse de risques) et la direction est déterminante.
Comme vous l’avez compris, cette roue vaut pour UNE itération de votre analyse de risques. Le but du jeu, si vous souhaitez être performant et pérenniser vos efforts dans le temps, consiste à reproduire cette roue “indéfiniment”. Chaque cycle de la roue représente généralement un exercice d’exploitation, soit un an.
Surveillez vos risques
La surveillance englobe de nombreuses activités telles que la vérification, la supervision ou encore l’observation. Elles sont nécessaires pour garantir que les hypothèses utilisées sont toujours valides et que les résultats prévus sont atteints (ou sur le point de l’être).
Les premiers éléments devant être soumis à une surveillance et une revue accrues sont les facteurs de risques. Il faut alors déterminer, parmi les vulnérabilités que vous avez préalablement identifiées, celles qui deviennent exposées à de nouvelles menaces ou des menaces qui refont surface.
Tous les risques, qu’ils aient été évalués comme “élevés” ou “acceptés”, doivent être soumis au processus de surveillance. Il faut d’abord les revoir individuellement, puis de manière globale. En effet, le cumul des potentiels impacts peut être considéré comme non acceptable.
Le deuxième élément à impérativement surveiller est votre gestion des risques elle-même. Pour cela, il faut mesurer la performance des plans de traitement et des plans de communication mis en œuvre. La performance se mesure généralement au travers d’indicateurs (le plus souvent opérationnels) qui permettent de comparer les situations avant et après l’application des mesures de sécurité et des plans de communication.
La mise en place d’indicateurs s’effectue en quatre étapes :
Définition claire et homogène des indicateurs.
Identification des sources de données nécessaires au calcul des indicateurs.
Traitement des données collectées pour calculer l’indicateur.
Interprétation et communication des indicateurs au travers de tableaux de bord mettant en lumière les alertes et dysfonctionnements.
Enfin, il faut s’assurer que le cadre d’analyse (parties prenantes, organisation, management, ressources financières, etc.) est toujours approprié et facilitateur.
En résumé :
la roue de Deming, une méthode incontournable pour votre processus d’amélioration continue ;
“Plan, Do, Check, Act”. Repeat again. “Plan, Do, Check, Act”. Repeat again. “Plan, Do, Check, Act”... ;
la surveillance comprend (entre autres) la vérification, la supervision et l’observation ;
doivent être surveillés en priorité les facteurs de risque et la gestion desrisques.
