9.2
Gestion des Risques
La solution de cashback nouvelle génération
36
Risques identifiés
13
Risques élevés
23
Risques modérés
6
Catégories
1
INTRODUCTION ET OBJECTIFS
1.1 Contexte
Ce document établit le cadre de gestion des risques pour le projet REWAPP, application mobile de cashback nouvelle génération combinant cashback bancaire direct et cashback commerçant via QR code.
CONTEXTE CRITIQUE
La gestion proactive des risques est essentielle compte tenu de la nature sensible des données traitées (données bancaires, données personnelles) et des exigences réglementaires strictes (RGPD, PCI DSS).
1.2 Objectifs du Document
- Identifier et catégoriser l'ensemble des risques potentiels du projet
- Évaluer la probabilité et l'impact de chaque risque
- Définir les stratégies de mitigation appropriées
- Établir les procédures de suivi et de gestion des incidents
- Définir les responsabilités et la gouvernance
1.3 Périmètre
Le périmètre couvre les quatre composantes de l'écosystème REWAPP :
Application Mobile Client
iOS / Android
Site Vitrine
Next.js
Dashboard Admin
React
Dashboard Partenaire
React PWA
2
MÉTHODOLOGIE D'ÉVALUATION
2.1 Échelle de Probabilité
Niveaux de Probabilité
| Niveau | Probabilité | Description | Fréquence Estimée |
|---|---|---|---|
| 1 | Très faible | Événement exceptionnel | < 1 fois par an |
| 2 | Faible | Événement rare | 1-2 fois par an |
| 3 | Moyenne | Événement occasionnel | 3-6 fois par an |
| 4 | Élevée | Événement fréquent | Mensuel |
| 5 | Très élevée | Événement quasi-certain | Hebdomadaire ou + |
2.2 Échelle d'Impact
Niveaux d'Impact
| Niveau | Impact | Description | Conséquences |
|---|---|---|---|
| 1 | Négligeable | Impact minimal | Pas d'interruption de service |
| 2 | Mineur | Impact limité | Interruption < 1h, perte < 1 000€ |
| 3 | Modéré | Impact significatif | Interruption 1-4h, perte 1K€ - 10K€ |
| 4 | Majeur | Impact important | Interruption 4-24h, perte 10K€ - 100K€ |
| 5 | Critique | Impact catastrophique | Interruption > 24h, perte > 100K€, image |
2.3 Calcul du Score de Risque
FORMULE DE CALCUL
Score = Probabilité × Impact
Classification des Scores
| Score | Niveau de Risque | Action Requise |
|---|---|---|
| 1-4 | Faible (Vert) | Surveillance, acceptation possible |
| 5-9 | Modéré (Jaune) | Plan de mitigation recommandé |
| 10-14 | Élevé (Orange) | Plan de mitigation obligatoire |
| 15-25 | Critique (Rouge) | Action immédiate, escalade direction |
3
REGISTRE DES RISQUES
3.1 Risques Techniques
Registre des Risques Techniques (RT)
| ID | Risque | Prob. | Impact | Score | Niveau |
|---|---|---|---|---|---|
RT-01 |
Défaillance de la solution bancaire (Budget Insight/Plaid) | 2 | 5 | 10 | Élevé |
RT-02 |
Problèmes de compatibilité Angular/Ionic iOS/Android | 3 | 3 | 9 | Modéré |
RT-03 |
Saturation de la base de données PostgreSQL | 2 | 4 | 8 | Modéré |
RT-04 |
Indisponibilité des services AWS (EC2, RDS) | 1 | 5 | 5 | Modéré |
RT-05 |
Dégradation des performances API (temps réponse > 200ms) | 3 | 3 | 9 | Modéré |
RT-06 |
Échec des intégrations tierces (FCM, SendGrid, Twilio) | 3 | 2 | 6 | Modéré |
RT-07 |
Dette technique accumulation | 4 | 3 | 12 | Élevé |
RT-08 |
Perte de données lors de migrations | 1 | 5 | 5 | Modéré |
RT-01
Défaillance de la Solution Bancaire
La solution d'Open Banking (Budget Insight recommandé) devient indisponible ou présente des dysfonctionnements majeurs, empêchant la détection automatique des transactions.
Causes Potentielles
- Panne du fournisseur
- Changement de politique d'API bancaire
- Problèmes de maintenance
- Révocation des accès par les banques
Conséquences
- Impossibilité de créer de nouveaux comptes liés
- Arrêt de la détection automatique des transactions
- Perte de confiance des utilisateurs
- Impact direct sur le modèle économique
3.2 Risques Réglementaires et Juridiques
Registre des Risques Réglementaires (RR)
| ID | Risque | Prob. | Impact | Score | Niveau |
|---|---|---|---|---|---|
RR-01 |
Non-conformité RGPD | 2 | 5 | 10 | Élevé |
RR-02 |
Non-conformité PCI DSS | 2 | 5 | 10 | Élevé |
RR-03 |
Évolution réglementaire Open Banking (DSP2/DSP3) | 3 | 4 | 12 | Élevé |
RR-04 |
Litige avec un commerçant partenaire | 3 | 3 | 9 | Modéré |
RR-05 |
Plainte utilisateur CNIL | 2 | 4 | 8 | Modéré |
RR-06 |
Contestation des CGU/CGV | 2 | 3 | 6 | Modéré |
RR-07 |
Non-respect des obligations fiscales | 1 | 5 | 5 | Modéré |
RR-01 : SANCTIONS RGPD
Sanctions CNIL jusqu'à 20M€ ou 4% du CA mondial. Notification obligatoire des violations sous 72h.
3.3 Risques Opérationnels
Registre des Risques Opérationnels (RO)
| ID | Risque | Prob. | Impact | Score | Niveau |
|---|---|---|---|---|---|
RO-01 |
Indisponibilité de la plateforme (SLA < 99.9%) | 2 | 4 | 8 | Modéré |
RO-02 |
Surcharge lors des pics d'utilisation | 3 | 3 | 9 | Modéré |
RO-03 |
Erreur humaine en production | 3 | 4 | 12 | Élevé |
RO-04 |
Perte de données utilisateurs | 1 | 5 | 5 | Modéré |
RO-05 |
Défaillance du système de notifications | 3 | 2 | 6 | Modéré |
RO-06 |
Problèmes de génération/validation QR codes | 2 | 4 | 8 | Modéré |
RO-07 |
Retard dans les virements bancaires | 3 | 3 | 9 | Modéré |
RO-08 |
Saturation du support client | 4 | 2 | 8 | Modéré |
3.4 Risques Business et Marché
Registre des Risques Business (RB)
| ID | Risque | Prob. | Impact | Score | Niveau |
|---|---|---|---|---|---|
RB-01 |
Adoption lente par les commerçants partenaires | 3 | 4 | 12 | Élevé |
RB-02 |
Concurrence agressive (Joko, iGraal, nouveaux entrants) | 4 | 3 | 12 | Élevé |
RB-03 |
Faible taux de rétention utilisateurs | 3 | 4 | 12 | Élevé |
RB-04 |
Désengagement des partenaires existants | 2 | 4 | 8 | Modéré |
RB-05 |
Mauvaises critiques app stores | 3 | 3 | 9 | Modéré |
RB-06 |
Échec du modèle premium partenaire | 3 | 3 | 9 | Modéré |
RB-07 |
Dépendance à un petit nombre de gros partenaires | 3 | 4 | 12 | Élevé |
RB-08 |
Changement de comportement consommateur post-inflation | 2 | 3 | 6 | Modéré |
OBJECTIFS PARTENAIRES
Objectif : 600 partenaires Année 1, 2 500 partenaires Année 2. Commission standard : 6%.
3.5 Risques Financiers
Registre des Risques Financiers (RF)
| ID | Risque | Prob. | Impact | Score | Niveau |
|---|---|---|---|---|---|
RF-01 |
Coût de la solution bancaire trop élevé | 3 | 4 | 12 | Élevé |
RF-02 |
Fraude aux points (abus système) | 3 | 4 | 12 | Élevé |
RF-03 |
Marge insuffisante sur commission (2%) | 3 | 4 | 12 | Élevé |
RF-04 |
Retard dans les paiements partenaires | 2 | 3 | 6 | Modéré |
RF-05 |
Dépassement budget développement | 3 | 3 | 9 | Modéré |
RF-06 |
Coûts d'infrastructure AWS imprévus | 3 | 3 | 9 | Modéré |
RF-07 |
Besoin de trésorerie pour avancer les cashbacks | 3 | 4 | 12 | Élevé |
RF-08 |
Échec de la levée de fonds prévue | 2 | 5 | 10 | Élevé |
3.6 Risques de Sécurité
Registre des Risques de Sécurité (RS)
| ID | Risque | Prob. | Impact | Score | Niveau |
|---|---|---|---|---|---|
RS-01 |
Fuite de données personnelles | 2 | 5 | 10 | Élevé |
RS-02 |
Compromission des tokens bancaires | 1 | 5 | 5 | Modéré |
RS-03 |
Attaque DDoS sur l'infrastructure | 3 | 4 | 12 | Élevé |
RS-04 |
Injection SQL ou failles applicatives | 2 | 4 | 8 | Modéré |
RS-05 |
Compromission des comptes administrateurs | 2 | 5 | 10 | Élevé |
RS-06 |
Falsification de QR codes | 2 | 4 | 8 | Modéré |
RS-07 |
Vol de sessions utilisateurs (JWT) | 2 | 3 | 6 | Modéré |
RS-08 |
Attaque sur le système de cache Redis | 2 | 3 | 6 | Modéré |
4
MATRICE DE CRITICITÉ
4.1 Vue Synthétique par Niveau
Répartition des Risques
| Niveau | Nb Risques | Risques Identifiés |
|---|---|---|
| CRITIQUE (15-25) | 0 | Aucun |
| ÉLEVÉ (10-14) | 13 | RT-01, RT-07, RR-01, RR-02, RR-03, RO-03, RB-01, RB-02, RB-03, RB-07, RF-01, RF-02, RF-03, RF-07, RF-08, RS-01, RS-03, RS-05 |
| MODÉRÉ (5-9) | 23 | RT-02 à RT-08, RR-04 à RR-07, RO-01 à RO-08, RB-04 à RB-08, RF-04 à RF-06, RS-04 à RS-08 |
| FAIBLE (1-4) | 0 | Aucun |
4.2 Top 10 des Risques Prioritaires
Classement des Risques Majeurs
| Rang | ID | Risque | Score | Domaine |
|---|---|---|---|---|
| 1 | RB-01 |
Adoption lente commerçants | 12 | Business |
| 2 | RB-02 |
Concurrence agressive | 12 | Business |
| 3 | RB-03 |
Faible rétention utilisateurs | 12 | Business |
| 4 | RF-02 |
Fraude aux points | 12 | Financier |
| 5 | RF-01 |
Coût solution bancaire | 12 | Financier |
| 6 | RS-03 |
Attaque DDoS | 12 | Sécurité |
| 7 | RR-03 |
Évolution réglementaire | 12 | Réglementaire |
| 8 | RO-03 |
Erreur humaine production | 12 | Opérationnel |
| 9 | RT-01 |
Défaillance solution bancaire | 10 | Technique |
| 10 | RS-01 |
Fuite données personnelles | 10 | Sécurité |
5
PLANS DE MITIGATION
5.1 Risques Business (Priorité Haute)
RB-01 Adoption Lente Commerçants
| Mesure | Responsable | Délai | Statut |
|---|---|---|---|
| Simplifier le processus d'inscription partenaire (< 10 min) | Product Manager | M2 | À faire |
| Créer un kit de démonstration ROI avec cas concrets | Marketing | M3 | À faire |
| Recruter une équipe commerciale dédiée (3 personnes) | Direction | M2 | À faire |
| Offrir 3 mois sans commission pour les early adopters | Direction | M1 | À faire |
| Développer des partenariats avec fédérations commerçants | Business Dev | M4 | À faire |
| Créer un programme de parrainage inter-commerçants | Product | M5 | À faire |
RB-02 Concurrence Agressive
| Mesure | Responsable | Délai | Statut |
|---|---|---|---|
| Renforcer la différenciation (double cashback unique) | Marketing | Continu | En cours |
| Maintenir l'avantage délai (2-3 semaines) | Tech | Continu | En cours |
| Développer des fonctionnalités exclusives | Product | Q2 | À faire |
| Mettre en place une veille concurrentielle structurée | Marketing | M1 | À faire |
| Créer une communauté d'ambassadeurs utilisateurs | Marketing | M4 | À faire |
RB-03 Faible Rétention Utilisateurs
| Mesure | Responsable | Délai | Statut |
|---|---|---|---|
| Optimiser l'onboarding avec gamification | UX/Product | M3 | À faire |
| Notifications push personnalisées (nouveaux partenaires proches) | Tech | M4 | À faire |
| Programme de paliers avec bonus progressifs (Bronze → Diamant) | Product | MVP | En cours |
| Récap mensuel des économies réalisées | Product | M3 | À faire |
| Enquêtes NPS régulières avec actions correctives | Support | Mensuel | À faire |
| Campagnes de réactivation ciblées (utilisateurs dormants) | Marketing | Continu | À faire |
5.2 Risques Financiers (Priorité Haute)
RF-01 Coût Solution Bancaire
| Mesure | Responsable | Délai | Statut |
|---|---|---|---|
| Comparer 3 fournisseurs minimum (Budget Insight, Plaid, Tink) | CTO | M-1 | À faire |
| Négocier des tarifs dégressifs selon volume | Direction | M0 | À faire |
| Prévoir clause de sortie dans le contrat | Juridique | M0 | À faire |
| Optimiser le nombre d'appels API (mise en cache intelligente) | Tech | M2 | À faire |
| Monitorer les coûts en temps réel (alertes seuils) | Ops | M1 | À faire |
| Provisionner 20% de marge sur les coûts estimés | Finance | M0 | À faire |
RF-02 Fraude aux Points
| Mesure | Responsable | Délai | Statut |
|---|---|---|---|
| KYC strict à l'inscription (vérification email + téléphone) | Tech | MVP | En cours |
| Détection automatique des anomalies (patterns suspects) | Tech | M3 | À faire |
| Validation manuelle pour transactions > 500 points | Ops | MVP | En cours |
| Limitation : 1 compte par appareil/numéro téléphone | Tech | MVP | En cours |
| Blacklist des fraudeurs confirmés | Ops | M1 | À faire |
| Audit mensuel des transactions suspectes | Finance | Mensuel | À faire |
5.3 Risques Sécurité (Priorité Haute)
RS-01 Fuite Données Personnelles
| Mesure | Responsable | Délai | Statut |
|---|---|---|---|
| Chiffrement AES-256 des données au repos | Tech | MVP | En cours |
| Chiffrement TLS 1.3 en transit | Tech | MVP | En cours |
| Audit de sécurité externe annuel (pentest) | RSSI | Annuel | À faire |
| Formation sécurité obligatoire pour l'équipe | RSSI | M2 | À faire |
| Politique d'accès minimal (principle of least privilege) | Tech | MVP | En cours |
| Plan de réponse aux incidents documenté | RSSI | M1 | À faire |
RS-03 Attaque DDoS
| Mesure | Responsable | Délai | Statut |
|---|---|---|---|
| Activer AWS Shield Standard | Ops | MVP | En cours |
| Implémenter rate limiting (100 req/min par IP) | Tech | MVP | En cours |
| CDN CloudFront avec protection intégrée | Ops | MVP | En cours |
| Plan de bascule sur infrastructure de secours | Ops | M3 | À faire |
| Contrat avec service anti-DDoS professionnel | Direction | M4 | À faire |
| Tests de charge réguliers (K6) | Tech | Mensuel | À faire |
RS-05 Compromission Comptes Admin
| Mesure | Responsable | Délai | Statut |
|---|---|---|---|
| 2FA obligatoire pour tous les admins | Tech | MVP | En cours |
| Politique de mots de passe forts (12+ caractères) | Tech | MVP | En cours |
| Rotation des accès tous les 90 jours | Ops | Trimestriel | À faire |
| Logs d'audit de toutes les actions admin | Tech | MVP | En cours |
| Alertes sur connexions depuis IP/pays inhabituels | Tech | M2 | À faire |
| Revue trimestrielle des droits d'accès | RSSI | Trimestriel | À faire |
6
GESTION DES INCIDENTS
6.1 Niveaux de Gravité
Classification des Incidents
| Niveau | Définition | Exemples | Délai Réponse |
|---|---|---|---|
| P1 - Critique | Service indisponible pour tous les utilisateurs | Panne totale, fuite de données majeure | < 15 minutes |
| P2 - Majeur | Fonctionnalité critique impactée | QR codes KO, paiements bloqués | < 30 minutes |
| P3 - Significatif | Dégradation de service partielle | Lenteurs, notifications KO | < 2 heures |
| P4 - Mineur | Impact limité, contournement possible | Bug UI, erreur affichage | < 24 heures |
6.2 Processus de Gestion
Étape 1 : Détection et Qualification
Détection automatique (monitoring CloudWatch, Sentry) ou signalement utilisateur (support). Qualification du niveau de gravité (P1-P4). Création du ticket incident.
2
Étape 2 : Escalade et Mobilisation
P1/P2 : Alerte immédiate équipe technique + direction. P3 : Notification équipe technique. P4 : Traitement dans le backlog standard. Constitution de la cellule de crise si P1.
3
Étape 3 : Investigation et Résolution
Analyse des logs et métriques. Identification de la cause racine. Application du correctif ou rollback. Validation de la résolution.
4
Étape 4 : Communication
Communication interne (équipe). Communication externe si impact utilisateurs (email, in-app). Mise à jour du statut page si existante.
5
Étape 5 : Post-Mortem
Analyse post-incident sous 48h (P1/P2). Documentation des causes et actions. Mise à jour des procédures. Actions préventives identifiées.
6.3 Matrice d'Escalade
Chaîne d'Escalade par Niveau
| Niveau | 0-15 min | 15-30 min | 30-60 min | > 1h |
|---|---|---|---|---|
| P1 | Tech Lead + CTO | + Direction | + Communication externe | Cellule de crise |
| P2 | Tech Lead | + CTO | + Direction si non résolu | Revue processus |
| P3 | Développeur assigné | + Tech Lead | Suivi standard | - |
| P4 | Backlog | - | - | - |
7
GOUVERNANCE ET SUIVI
7.1 Comité des Risques
COMPOSITION DU COMITÉ
CEO / Direction Générale (sponsor) • CTO / Directeur Technique • RSSI / Responsable Sécurité • DPO / Responsable Données • Directeur Financier • Product Manager
Fréquence : Réunion mensuelle
Ordre du Jour Type
- Revue des risques critiques et élevés
- Suivi des plans de mitigation
- Nouveaux risques identifiés
- Indicateurs de risques (KRIs)
- Incidents du mois
- Décisions et arbitrages
7.2 Rôles et Responsabilités
Matrice RACI Simplifiée
| Rôle | Responsabilités |
|---|---|
| Direction | Arbitrage final, allocation ressources, communication externe |
| CTO | Risques techniques, architecture, choix technologiques |
| RSSI | Risques sécurité, audits, conformité technique |
| DPO | Conformité RGPD, droits utilisateurs, relations CNIL |
| Finance | Risques financiers, budget, provisions |
| Product | Risques produit/marché, fonctionnalités de mitigation |
| Ops | Monitoring, incidents, disponibilité |
7.3 Processus de Revue
Hebdomadaire (Tech)
- Incidents de la semaine
- Alertes de monitoring
- Actions correctives en cours
Mensuelle (Comité)
- État du registre des risques
- Suivi plans de mitigation
- Mise à jour des scores
Trimestrielle (Direction)
- Revue stratégique
- Arbitrage budget
- Mise à jour politique
Annuelle (Audit)
- Audit externe sécurité
- Audit RGPD
- Mise à jour complète registre
8
INDICATEURS DE RISQUES (KRIs)
8.1 KRIs Techniques
Indicateurs Techniques
| Indicateur | Seuil Vert | Seuil Orange | Seuil Rouge | Fréquence |
|---|---|---|---|---|
| Disponibilité plateforme | > 99.9% | 99.5-99.9% | < 99.5% | Quotidien |
| Temps de réponse API P95 | < 200ms | 200-500ms | > 500ms | Quotidien |
| Taux d'erreur API | < 0.1% | 0.1-1% | > 1% | Quotidien |
| Incidents P1/P2 par mois | 0 | 1-2 | > 2 | Mensuel |
| Dette technique (jours) | < 10j | 10-30j | > 30j | Mensuel |
8.2 KRIs Sécurité
Indicateurs Sécurité
| Indicateur | Seuil Vert | Seuil Orange | Seuil Rouge | Fréquence |
|---|---|---|---|---|
| Tentatives intrusion bloquées | < 100/jour | 100-1000 | > 1000 | Quotidien |
| Comptes suspectés frauduleux | < 1% | 1-3% | > 3% | Hebdo |
| Vulnérabilités critiques ouvertes | 0 | 1-2 | > 2 | Hebdo |
| Délai correction vulnérabilité critique | < 24h | 24-72h | > 72h | Par incident |
| Taux 2FA activé (admins) | 100% | 90-100% | < 90% | Mensuel |
8.3 KRIs Business
Indicateurs Business
| Indicateur | Seuil Vert | Seuil Orange | Seuil Rouge | Fréquence |
|---|---|---|---|---|
| Taux de rétention J30 | > 50% | 30-50% | < 30% | Hebdo |
| NPS utilisateurs | > 50 | 30-50 | < 30 | Mensuel |
| Taux inscription partenaires | > objectif | 80-100% | < 80% | Hebdo |
| Note app stores | > 4.5 | 4.0-4.5 | < 4.0 | Hebdo |
| Taux de fraude détectée | < 0.5% | 0.5-2% | > 2% | Hebdo |
8.4 KRIs Financiers
Indicateurs Financiers
| Indicateur | Seuil Vert | Seuil Orange | Seuil Rouge | Fréquence |
|---|---|---|---|---|
| Coût solution bancaire / transaction | < prévu | prévu à +20% | > +20% | Mensuel |
| Marge nette par transaction | > 1.5% | 1-1.5% | < 1% | Mensuel |
| Trésorerie disponible | > 3 mois | 1-3 mois | < 1 mois | Hebdo |
| Budget vs réalisé | < 5% écart | 5-15% écart | > 15% écart | Mensuel |
9
CONCLUSION
9.1 Synthèse
La gestion des risques pour le projet REWAPP identifie 36 risques répartis en 6 catégories principales :
8
Risques techniques
7
Risques réglementaires
8
Risques opérationnels
8
Risques business/marché
8
Risques financiers
8
Risques de sécurité
RISQUES PRIORITAIRES
Parmi ces risques, 13 sont classés en niveau ÉLEVÉ et nécessitent des plans de mitigation prioritaires, principalement dans les domaines business (adoption, rétention) et financier (coûts, fraude).
9.2 Actions Prioritaires
Les actions immédiates à mettre en œuvre sont :
-
1
Finalisation des contrats fournisseurs
Inclure les clauses de protection (SLA, exit, prix).
-
2
Mise en place du comité des risques
Réunion mensuelle avec tous les responsables.
-
3
Déploiement des mesures de sécurité MVP
Chiffrement, 2FA, rate limiting, monitoring.
-
4
Recrutement équipe commerciale partenaires
3 personnes dédiées à l'acquisition commerçants.
-
5
Désignation du DPO et conformité RGPD
Registre des traitements, politique de confidentialité.
9.3 Engagement
ENGAGEMENT DE LA DIRECTION
La direction s'engage à :
- Allouer les ressources nécessaires à la mitigation des risques critiques
- Participer activement au comité des risques
- Prendre les décisions d'arbitrage dans les délais requis
- Communiquer de manière transparente sur les risques aux parties prenantes
Ce document sera revu et mis à jour mensuellement par le comité des risques.
Document approuvé par :
Direction Générale - REWAPP
Date : 24 novembre 2025
Version : 1.0