A l’occasion du Forum CERT-IST 2013, Jean Larroumets (Fidens) a dressé le constat des mauvaises pratiques de l’analyse de risque au sein des grandes entreprises.

Selon ses observations, les défauts les plus souvent rencontrées sont :

Difficultés dans l’appréciation du risque. Trop souvent le focus est mis sur l’obtention du rapport lui-même (vu comme une finalité, car c’est une obligation). Il est alors tentant de copier-coller le rapport précédent sans refaire l’analyse.

Faible taux de mutualisation. Opposé du travers précédent, ici chaque entité chargée de mener une analyse de risque recommence intégralement à chaque nouvelle demande, sans tenir compte des travaux précédents ou sans rechercher les analyses déjà réalisées par l’équipe précédente, voire par une éventuelle filiale. En outre, il y a peu de partage des méthodes (entités issues de rachats, prestataires qui changent…), ce qui interdit de fait la mutualisation.

Difficultés dans la gestion du risque. Les analyses ne sont pas mises à jour, peu d’indicateurs sont définis afin de mesurer la pertinence de l’analyse, et globalement la Direction Générale est faiblement impliquée. Ce qui parfois ne motive guère les équipes à faire du zèle. Tant que le dernier rapport est disponible sur l’étagère, tout va bien…

Pas d’outils dédiés. Excel demeure le champion incontesté des analyses de risque. Cela fonctionne plutôt bien mais chaque opérateur doit créer son propre tableur, ses formules et ses automatismes. Cela rend difficile le partage, voire la reprise du poste. Et conduit donc à une nouvelle analyse from scratch à chaque changement.

Bien entendu Jean Larroumets ne s’intéresse pas ici aux bons élèves, dont les lecteurs du Magazine Qualys font nécessairement partie…