Duquesne Group Duquesne Group

English version
Blog des experts

Les avis et les commentaires exprimés dans les blogs sont ceux des experts individuels. Ils ne représentent pas nécessairement l'opinion du cabinet. Contactez-nous pour en savoir +
French version
Blogs

In these blogs, individual experts freely express their own opinions and comments. They do not necessarily reflect the opinion of the firm. Contact us to find out more


Attention aux analyses de risque EBIOS trop théoriques !


Ebios est une approche des risques de sécurité raisonnée d'origine française.
Dans le contexte français elle jouit d'une assez large audience.
Malheureusement, nous constatons des utilisations trop simplistes dans des entreprises qui sont peu au fait de la pratique d'analyse et de maîtrise des risques.



Attention aux analyses de risque EBIOS trop théoriques !

Les bonnes pratiques exigent de statuer sur les risques

Quelle que soit la norme ou la démarche utilisée, les bonnes pratiques de maîtrise des risques supposent au moins trois étapes obligatoires :

1-Analyser les risques avec une certaine rigueur afin de déterminer les plus importants

2-Statuer sur ce que l'on veut faire : accepter le risque ? le diminuer ? le supprimer ? le transférer ?

3-Suivre les actions conséquences de la décision prise au point 2.

En clair analyser les risques et s'arrêter à cela ne sert qu'à se faire peur !

Or, bien des praticiens s'arrêtent au point 1 avec Ebios et posent leur stylo...dans le pire des cas d'ailleurs, ils produisent un épouvantable diagramme de Kiviat ("toile d'araignée") en 120 axes illisibles !

Remettre Ebios à sa bonne place

Dans le cadre général en trois points décrit ci-dessus, Ebios peut intervenir comme check-list de risques que l'on peut considérer.

En effet, Ebios fournit une quantité considérable de points à passer en revue. Son exhaustivité n'est pas contestée. Tout au plus peut-on reprocher des recouvrements partiels qui de toute façons ne nuisent pas à l'approche de sécurité.

Mais cela fait il faut aller plus loin et impliquer le management de l'entreprise pour faire un acte très important : statuer sur le risque.

Faire un reporting "orienté décision"

Cette prise de décision est cruciale.

Elle doit être facilitée auprès du comité exécutif par une bonne préparation comprenant au moins :

  • une synthèse claire de la cartographie des risques (du rouge de l'orange, du vert !)

  • des propositions de décision préparées et chiffrées

  • un suivi ultérieur proposé de comité en comité

Dans ce cadre Ebios sera remis à sa bonne place.

Et l'entreprise aura fait un pas en avant dans la direction qu'elle se donne volontairement.
Emmanuel Besluau
Jeudi 26 Mai 2011

Home Home    Mail Mail    Print Print    Zoom + Zoom +    Zoom - Zoom -    Share Share


Articles du même auteur :

Halte aux PCA bidons ! - 19/01/2014

1 2