Une analyse de risques est utilisée comme première étape d'un processus d'évaluation des risques. Le résultat d’une analyse des dangers est l’identification de différents types de dangers. Un danger est une condition potentielle et existe ou non (la probabilité est de 1 ou 0). Il peut, en une seule existence ou en combinaison avec d’autres dangers (parfois appelés événements), devenir un véritable échec ou accident fonctionnel (accident). La façon dont cela se passe exactement dans une séquence particulière s'appelle un scénario. Ce scénario a une probabilité d'occurrence (entre 1 et 0). Un système comporte souvent de nombreux scénarios de défaillance potentiels. Une classification lui est également attribuée, en fonction de la pire gravité de la condition finale. Le risque est la combinaison de la probabilité et de la gravité. Des niveaux de risque préliminaires peuvent être fournis dans l’analyse des dangers. La validation, la prédiction plus précise (vérification) et l'acceptation du risque sont déterminées dans l'évaluation du risque (analyse). L’objectif principal de l’un et de l’autre est de fournir la meilleure sélection de moyens permettant de contrôler ou d’éliminer le risque. Le terme est utilisé dans plusieurs spécialités de l'ingénierie, notamment l'avionique, la sécurité des processus chimiques, la sécurité, la fiabilité, la sécurité alimentaire[1].
Les analyses de risques peuvent être menées suivant la norme AMDEC (NF EN IEC 60812), ou suivant la démarche EBIOS pour les études de risques en matière de sécurité informatique. Ces démarches diffèrent d'autres démarches telle la DO-178B (qui n'est pas une norme mais bien une démarche employée dans le secteur de l'aéronautique).
Il faut savoir que l'analyse de risque en général est une démarche récente (datant de la fin du XXe siècle) qui n'a connu à ce jour aucun consensus normatif, seulement des démarches et des guides de recommandations (spécifiques à des secteurs d'activité).
Dangers et risques
Un danger est défini comme une "condition, un événement ou une circonstance pouvant conduire à ou contribuer à un événement imprévu ou indésirable". Il est rare qu'un seul danger cause un accident ou une défaillance fonctionnelle. Le plus souvent, un accident ou une panne opérationnelle survient à la suite d'une suite de causes. Une analyse des risques prend en compte l'état du système, par exemple l'environnement d'exploitation, ainsi que les défaillances ou les dysfonctionnements.
Bien que dans certains cas, le risque pour la sécurité ou la fiabilité puisse être éliminé, dans la plupart des cas, un certain degré de risque doit être accepté. Afin de quantifier les coûts attendus avant le fait, les conséquences potentielles et la probabilité d'occurrence doivent être prises en compte. L'évaluation du risque est réalisée en combinant la gravité de la conséquence avec la probabilité d'occurrence dans une matrice. Les risques qui entrent dans la catégorie "inacceptable" (par exemple, une gravité élevée et une probabilité élevée) doivent être atténués par un moyen permettant de réduire le niveau de risque pour la sécurité.
Les plans de sécurité logicielle IEEE STD-1228-1994 décrivent les meilleures pratiques de l’industrie en matière d’analyses de danger pour la sécurité des logiciels afin de garantir que les exigences et attributs de sécurité sont définis et spécifiés pour être inclus dans un logiciel qui commande, contrôle ou surveille des fonctions critiques. Lorsqu'un logiciel est impliqué dans un système, l'assurance de développement et de conception de ce logiciel est souvent régie par la démarche DO-178B (particulièrement en aéronautique). La gravité des conséquences identifiée par l'analyse des dangers établit le niveau de criticité du logiciel. Les niveaux de criticité des logiciels vont de A à E, correspondant à la gravité de l’effet Catastrophic to No Safety. Une plus grande rigueur est requise pour les logiciels de niveaux A et B. Les tâches fonctionnelles et les produits de travail correspondants correspondent au domaine de la sécurité du système utilisé comme preuve objective de la conformité aux critères et exigences de sécurité.
Récemment, une norme commerciale de pointe a été promulguée (laquelle ???), basée sur des décennies de processus de sécurité des systèmes éprouvés au DoD et à la NASA. ANSI / GEIA-STD-0010-2009 (Meilleures pratiques standard pour l'élaboration et l'exécution de programmes de sécurité du système) est une meilleure pratique commerciale démilitarisée qui utilise des approches globales, complètes et adaptées et éprouvées pour la prévention, l'élimination et le contrôle des risques. Il est centré sur l'analyse des dangers et le processus de sécurité basé sur les fonctions.
Définitions de gravité - liées à la sécurité (selon la démarche DO-178B )
Gravité
|
Définition
|
Catastrophique
|
Entraîne des décès multiples et / ou une perte du système
|
Dangereux
|
Réduit la capacité du système ou la capacité de l'opérateur à faire face à des conditions défavorables dans la mesure où il y aurait:
- Réduction importante de la marge de sécurité ou de la capacité fonctionnelle
- Détresse physique de l'équipage / charge de travail excessive, de sorte que l'on ne puisse pas compter sur les opérateurs pour effectuer les tâches requises de manière précise ou complète
- Blessures graves ou mortelles subies par un petit nombre d'occupants d'aéronefs (sauf les opérateurs)
- Blessure mortelle au personnel terrestre et / ou au grand public
|
Majeur
|
Réduit la capacité du système ou des opérateurs à faire face à des conditions de fonctionnement défavorables dans la mesure où il y aurait:
- Réduction significative de la marge de sécurité ou de la capacité fonctionnelle
- Augmentation significative de la charge de travail de l'opérateur
- Conditions affectant l'efficacité de l'opérateur ou générant un inconfort important
- Détresse physique des occupants de l'aéronef (sauf l'exploitant), y compris blessures
- Maladie professionnelle majeure et / ou dommages environnementaux importants, et / ou dommages matériels importants
|
Mineur
|
Ne réduit pas de manière significative la sécurité du système. Les actions requises par les opérateurs sont bien dans les limites de leurs capacités. Comprendre:
- Légère réduction de la marge de sécurité ou des capacités fonctionnelles
- Légère augmentation de la charge de travail telle que les changements de plan de vol de routine
- Un certain inconfort physique pour les occupants ou les aéronefs (sauf les opérateurs)
- Maladie professionnelle mineure et / ou dommages environnementaux mineurs, et / ou dégâts matériels mineurs
|
Aucun effet de sécurité
|
N'a aucun effet sur la sécurité
|
Probabilité d'occurrence (selon la démarche DO-178B )
Probabilité
|
Définition
|
Probable
|
- Qualitative: Prévu pour se produire une ou plusieurs fois pendant toute la durée de vie système / opérationnelle d'un élément.
- Quantitative: La probabilité d'occurrence par heure opérationnelle est supérieure à
|
Éloigné
|
- Qualitative: Il est improbable que chaque objet se présente pendant toute sa durée de vie. Peut se produire plusieurs fois dans la vie d’un système ou d’une flotte entière.
- Quantitative: La probabilité d'occurrence par heure opérationnelle est inférieure à , mais supérieur à
|
Extrêmement Distant
|
- Qualitative: aucun élément ne devrait survenir au cours de sa durée de vie. Peut se produire plusieurs fois dans la vie d’un système ou d’une flotte entière.
- Quantitative: La probabilité d'occurrence par heure opérationnelle est inférieure à mais plus grand que
|
Extrêmement Improbable
|
- Qualitative: Si improbable que cela ne se produise pas pendant toute la durée de vie opérationnelle d'un système ou d'un parc complet
- Quantitative: La probabilité d'occurrence par heure opérationnelle est inférieure à
|
Dans l'Union européenne
L'Union européenne s'est dotée d'une plateforme ouverte de référence, baptisée Risk Data Hub, au sein du Disaster Risk Management Knowledge Centre (DRMKC, un centre sur la gestion des risques de catastrophes créé par la Commission européenne le 30 septembre 2015, visant à renforcer la résilience de l'Union européenne et des États membres, face aux catastrophes, et à mieux les anticiper et préparer les réponses aux urgences ; le DRMKC met en relation la science et les politiques publiques pour une gestion des risques de catastrophe plus efficace)[2].
Ce Risk Data Hub — par niveau de juridiction administrative (jusqu'au niveau des départements) — est un outil d'aide à la décision, qui présente des cartes de risques et des statistiques pour de nombreux paramètres (incluant la couverture spatio-temporelle des dommages économiques et des pertes humaines dans toute l'Europe à la suite d'événements dangereux, sur la base de laquelle des décisions cohérentes peuvent être prises), et ce à diverses échelles territoriales. Le Centre DRMKC et son hub tiennent notamment compte des mécanisme de protection civile de l'Union, du cadre de Sendai) et s'inscrivent dans une dynamique de partage de données (OpenDRI, directive INSPIRE pour « jeter les bases de connaissances pour la gestion des risques numériques aux niveaux local, national, régional et européen »[2].
Il héberge aussi un inventaire de méthodologies, notamment utile à l’évaluation qualitative des approches scientifiques de l'évaluation des risques. Le hub est conçu comme un système d'aide à la décision, permettant notamment d'évaluer les progrès accomplis, et d'identifier les lacunes en matières de gestion des risques de catastrophe[2].
En offrant un accès aux données, à la méthodologie et à la mise en œuvre, le DRMKC Risk Data répond aux besoins au niveau national concernant les actions liées à la gestion des risques de catastrophe (par exemple, l'évaluation des risques nationaux, la collecte de données sur les pertes, le reporting des indicateurs de Sendai et la demande du Fonds de solidarité) en améliorant les capacités de gestion des risques.
Références