En brefLes travers de l’analyse de risque dans les grandes entreprises Jerome Saiz le 13 juin 2013 à 11h34, dans la rubrique Conformité & Bonnes pratiques Commentaire (1) analyse de risquecert-ist-2013ebiosiso 27001mehari A l’occasion du Forum CERT-IST 2013, Jean Larroumets (Fidens) a dressé le constat des mauvaises pratiques de l’analyse de risque au sein des grandes entreprises. Selon ses observations, les défauts les plus souvent rencontrées sont : Difficultés dans l’appréciation du risque. Trop souvent le focus est mis sur l’obtention du rapport lui-même (vu comme une finalité, car c’est une obligation). Il est alors tentant de copier-coller le rapport précédent sans refaire l’analyse. Faible taux de mutualisation. Opposé du travers précédent, ici chaque entité chargée de mener une analyse de risque recommence intégralement à chaque nouvelle demande, sans tenir compte des travaux précédents ou sans rechercher les analyses déjà réalisées par l’équipe précédente, voire par une éventuelle filiale. En outre, il y a peu de partage des méthodes (entités issues de rachats, prestataires qui changent…), ce qui interdit de fait la mutualisation. Difficultés dans la gestion du risque. Les analyses ne sont pas mises à jour, peu d’indicateurs sont définis afin de mesurer la pertinence de l’analyse, et globalement la Direction Générale est faiblement impliquée. Ce qui parfois ne motive guère les équipes à faire du zèle. Tant que le dernier rapport est disponible sur l’étagère, tout va bien… Pas d’outils dédiés. Excel demeure le champion incontesté des analyses de risque. Cela fonctionne plutôt bien mais chaque opérateur doit créer son propre tableur, ses formules et ses automatismes. Cela rend difficile le partage, voire la reprise du poste. Et conduit donc à une nouvelle analyse from scratch à chaque changement. Bien entendu Jean Larroumets ne s’intéresse pas ici aux bons élèves, dont les lecteurs du Magazine Qualys font nécessairement partie… Vous avez aimé cet article? Cliquez sur le bouton J'AIME ou partagez le avec vos amis! Notez L'article Participez ou lancez la discussion!