
Les bonnes pratiques exigent de statuer sur les risques
Quelle que soit la norme ou la démarche utilisée, les bonnes pratiques de maîtrise des risques supposent au moins trois étapes obligatoires :
1-Analyser les risques avec une certaine rigueur afin de déterminer les plus importants
2-Statuer sur ce que l'on veut faire : accepter le risque ? le diminuer ? le supprimer ? le transférer ?
3-Suivre les actions conséquences de la décision prise au point 2.
En clair analyser les risques et s'arrêter à cela ne sert qu'à se faire peur !
Or, bien des praticiens s'arrêtent au point 1 avec Ebios et posent leur stylo...dans le pire des cas d'ailleurs, ils produisent un épouvantable diagramme de Kiviat ("toile d'araignée") en 120 axes illisibles !
1-Analyser les risques avec une certaine rigueur afin de déterminer les plus importants
2-Statuer sur ce que l'on veut faire : accepter le risque ? le diminuer ? le supprimer ? le transférer ?
3-Suivre les actions conséquences de la décision prise au point 2.
En clair analyser les risques et s'arrêter à cela ne sert qu'à se faire peur !
Or, bien des praticiens s'arrêtent au point 1 avec Ebios et posent leur stylo...dans le pire des cas d'ailleurs, ils produisent un épouvantable diagramme de Kiviat ("toile d'araignée") en 120 axes illisibles !
Remettre Ebios à sa bonne place
Dans le cadre général en trois points décrit ci-dessus, Ebios peut intervenir comme check-list de risques que l'on peut considérer.
En effet, Ebios fournit une quantité considérable de points à passer en revue. Son exhaustivité n'est pas contestée. Tout au plus peut-on reprocher des recouvrements partiels qui de toute façons ne nuisent pas à l'approche de sécurité.
Mais cela fait il faut aller plus loin et impliquer le management de l'entreprise pour faire un acte très important : statuer sur le risque.
En effet, Ebios fournit une quantité considérable de points à passer en revue. Son exhaustivité n'est pas contestée. Tout au plus peut-on reprocher des recouvrements partiels qui de toute façons ne nuisent pas à l'approche de sécurité.
Mais cela fait il faut aller plus loin et impliquer le management de l'entreprise pour faire un acte très important : statuer sur le risque.
Faire un reporting "orienté décision"
Cette prise de décision est cruciale.
Elle doit être facilitée auprès du comité exécutif par une bonne préparation comprenant au moins :
Dans ce cadre Ebios sera remis à sa bonne place.
Et l'entreprise aura fait un pas en avant dans la direction qu'elle se donne volontairement.
Elle doit être facilitée auprès du comité exécutif par une bonne préparation comprenant au moins :
- une synthèse claire de la cartographie des risques (du rouge de l'orange, du vert !)
- des propositions de décision préparées et chiffrées
- un suivi ultérieur proposé de comité en comité
Dans ce cadre Ebios sera remis à sa bonne place.
Et l'entreprise aura fait un pas en avant dans la direction qu'elle se donne volontairement.