L'analyse d'urisque...

Faire de la sécurité, c'est bien. Savoir pourquoi on en fait, c'est mieux ! Voilà résumée en quelques mots une conférence à laquelle j'ai récemment participé et qui traitait du thème de l'analyse de risque. Emballé, je me dis alors qu'après avoir sécurisé le périmètre, les ordinateurs, puis rédigé la politique de sécurité, l'heure était venue de se lancer dans le grand bain en tentant de répondre à cette question : quels sont les risques qui pèsent sur mon SI ? Je décide donc de voir mon directeur général pour lui proposer cette démarche et savoir ce qu'il en pense. J'avais prévu un entretien de trente minutes et nous avons discuté deux heures. Autant dire que ce monsieur était plus qu'enthousiaste à l'idée d'avoir un jour sur son bureau ce qu'il n'avait jamais osé imaginé, à savoir une cartographie des risques informatiques. Le budget nécessaire a été rapidement débloqué. J'ai alors rédigé mon petit cahier des charges, puis sélectionné un consultant censé m'apporter son expertise pour mieux appréhender la méthode ou plutôt les méthodes. Eh oui, c'est un peu le problème : chaque méthode est très lourde et les consultants ont tendance à piocher des éléments à droite et à gauche en fonction du contexte. À l'issue de quatre mois d'étude, l'affaire était bouclée et les risques clairement identifiés. En dehors du fait d'avoir beaucoup appris, ce dossier m'a permis d'établir une relation privilégiée avec le directeur général en employant un langage qui est le sien. Par ailleurs, l'analyse de risque, au-delà d'être un passage obligé, m'a permis de valoriser la démarche sécurité que jai entreprise depuis plusieurs mois. Mon médecin avait donc raison, une petite analyse du risque de temps en temps...
M.Yellow@decisioninfo.net