Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

En bref

Les travers de l’analyse de risque dans les grandes entreprises

auteur de l'article Jerome Saiz , dans la rubrique Conformité & Bonnes pratiques

A l’occasion du Forum CERT-IST 2013, Jean Larroumets (Fidens) a dressé le constat des mauvaises pratiques de l’analyse de risque au sein des grandes entreprises.

Selon ses observations, les défauts les plus souvent rencontrées sont :

Difficultés dans l’appréciation du risque. Trop souvent le focus est mis sur l’obtention du rapport lui-même (vu comme une finalité, car c’est une obligation). Il est alors tentant de copier-coller le rapport précédent sans refaire l’analyse.

Faible taux de mutualisation. Opposé du travers précédent, ici chaque entité chargée de mener une analyse de risque recommence intégralement à chaque nouvelle demande, sans tenir compte des travaux précédents ou sans rechercher les analyses déjà réalisées par l’équipe précédente, voire par une éventuelle filiale. En outre, il y a peu de partage des méthodes (entités issues de rachats, prestataires qui changent…), ce qui interdit de fait la mutualisation.

Difficultés dans la gestion du risque. Les analyses ne sont pas mises à jour, peu d’indicateurs sont définis afin de mesurer la pertinence de l’analyse, et globalement la Direction Générale est faiblement impliquée. Ce qui parfois ne motive guère les équipes à faire du zèle. Tant que le dernier rapport est disponible sur l’étagère, tout va bien…

Pas d’outils dédiés. Excel demeure le champion incontesté des analyses de risque. Cela fonctionne plutôt bien mais chaque opérateur doit créer son propre tableur, ses formules et ses automatismes. Cela rend difficile le partage, voire la reprise du poste. Et conduit donc à une nouvelle analyse from scratch à chaque changement.

Bien entendu Jean Larroumets ne s’intéresse pas ici aux bons élèves, dont les lecteurs du Magazine Qualys font nécessairement partie…


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

Une réponse à Les travers de l’analyse de risque dans les grandes entreprises

Catégories

Étiquettes

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.