Blog ENI : Toute la veille numérique !
Accès illimité 24h/24 à tous nos livres & vidéos ! 
Découvrez la Bibliothèque Numérique ENI. Cliquez ici
Accès illimité 24h/24 à tous nos livres & vidéos ! 
Découvrez la Bibliothèque Numérique ENI. Cliquez ici
  1. Livres et vidéos
  2. Le département informatique au service des organisations
  3. Fiches outils
Extrait - Le département informatique au service des organisations Stratégie, gouvernance et pilotage
Extraits du livre
Le département informatique au service des organisations Stratégie, gouvernance et pilotage Revenir à la page d'achat du livre

Fiches outils - Contrôler les risques

L’appétit pour le risque

L’appétit pour le risque peut se baser sur différents critères de classifications. La finance et l’image sont les plus fréquentes.

Sur cette base, il est aisé de définir le niveau de risque en fonction des conséquences, en fonction du plus haut risque identifié dès que l’un des critères est rencontré :

Niveau de risque

Impact financier

Impact réputationnel

Réduit

< <valeur> euros

< <nombre> utilisateurs impactes

< <nombre> clients impactes

< <nombre> clients impactes

Important

Entre <valeur> et <valeur> euros

Entre <nombre> et <nombre> utilisateurs impactés

Entre <nombre> et <nombre> clients impactés

Publication de l’information vers une audience restreinte

Critique

> <valeur> euros

> <nombre> utilisateurs impactés

> <nombre> clients impactés

Publication de l’information vers une audience élargie

Sur cette base, il est aisé d’indiquer le niveau maximal autorisé ou tout du moins les actions à prendre en fonction du niveau de risque.

D’autres critères peuvent être utilisés comme le type de données sur lequel porte le risque. Dans tous les cas, l’impact pour l’organisation pourra généralement se mesurer...

Le registre des risques

Bien que déjà présenté dans le registre du RAID dans le chapitre « Fiches outils - Gérer les projets », il peut être intéressant d’avoir un registre des risques qui soit indépendant des projets. Le registre des risques est utilisé à différents moments et son contenu peut varier en fonction des enjeux et des objectifs. A minima, le registre des risques comportera :

  • Identifiant : un numéro ou un code unique utilisé pour identifier le risque de manière précise dans le registre.

  • Description : une description détaillée du risque, y compris son origine, ses conséquences potentielles et les facteurs de risque associés.

  • Catégorie : la catégorie à laquelle le risque appartient, par exemple « financier », « opérationnel », « technique », etc.

  • Probabilité : la probabilité que le risque se produise, évaluée sur une échelle allant de très peu probable à très probable, généralement de 1 à 5.

  • Impact : l’impact potentiel du risque sur l’organisation, évalué sur une échelle allant de très faible à très élevé, généralement...

Les clauses contractuelles liées à la protection des données

Voici un exemple de clauses qui pourraient être incluses dans un contrat visant à respecter le règlement général sur la protection des données (RGPD) :

Les données personnelles collectées et traitées dans le cadre du présent contrat seront utilisées exclusivement aux fins suivantes : [décrire les fins précises et limitées].

Les données personnelles collectées et traitées dans le cadre du présent contrat seront conservées pendant une durée maximale de [déterminer la durée adéquate en fonction des fins prévues dans la clause de finalité].

Le responsable du traitement s’engage à ne pas confier le traitement des données personnelles à un sous-traitant sans l’accord préalable et écrit de la personne concernée. Si le responsable du traitement souhaite confier le traitement à un sous-traitant, il devra obtenir l’accord préalable et écrit de la personne concernée et informer cette dernière de l’identité du sous-traitant, ainsi que des modalités de traitement qui seront mises en œuvre. Le responsable du traitement restera responsable du traitement en tant que responsable du traitement au sens...