Risk Management et Analyses de risques: une évidence ? Pas tant que ça...

Ma spécialité est souvent de "défoncer des portes ouvertes". On peut dire qu'en sécurité du SI, c'est une discipline imposée.

L'exercice du jour concerne le Risk Management et sa déclinaison pratique dans l'analyse de risque SSI. En effet, tout le monde est d'accord pour dire que c'est nécessaire et d'ailleurs quand on pose la question, la réponse est toujours : absolument ! Nous avons fait une analyse de risque !

Quand on "gratte" un petit peu, on se rend compte qu'il s'agit souvent plus d'une perception de risque que d'une analyse objective et méthodique.

Le meilleur exemple qui me vient à l'esprit en ce moment est celui du PRA (Plan de Reprise d'Activité). Il m'arrive de plus en plus de rencontrer des clients qui me disent avoir présenté un projet de PRA à leur direction et que celle-ci a refusé car elle a jugé l'investissement trop important et injustifié. En effet, choisir de développer un projet de PRA peut partir d'un bon sentiment consistant à aller directement à au but : la solution technique à mettre en œuvre . Cela peut d'autant plus se comprendre que ces solutions techniques s'imposent souvent d'elles-mêmes. Néanmoins, c'est faire l'impasse sur tout une partie du projet global de PCA (Plan de Continuité d'Activité) qui commence notamment par une analyse de risques et un bilan d'impact. L'analyse de risque à en effet beaucoup de vertus :

  • La première vertu est qu'elle permet de répondre aux questions de l'identité de l'entreprise, de sa stratégie et de ses faiblesses
  • La seconde vertu est qu'elle commence à identifier les réponses possibles. A ce stade elle permet d'ailleurs de décider sciemment de n'apporter aucune réponse 100% opérationnelle.
  • La troisième vertu est qu'elle permet de justifier des investissements. Elle permet aussi de positionner le curseur au juste pallier.

Ceci pourrait être résumé par le slogan (à la mode) : Il faut savoir analyser plus pour dépenser moins (mieux!).
La question de fond est bien la suivante : le DSI et/ou le RSSI ne doivent-ils avoir une vision plus large des problèmes et de leurs solutions et donc dépasser la question purement technique ? Si c'est le cas, ils prennent la pleine mesure des enjeux métiers de leur activité et s'ouvre alors à eux la voie du management du risque. Rappelons enfin que parler de management de risque, c'est parler le même langage que sa Direction…intéressant en période de négociation budgétaire.

Nicolas Jacquey
Hervé Troalic

Edit from the Orange Business team: Hervé left the Orange Group since he wrote his last posts.