Attention aux analyses de risque EBIOS trop théoriques !

Quelle que soit la norme ou la démarche utilisée, les bonnes pratiques de maîtrise des risques supposent au moins trois étapes obligatoires :

1-Analyser les risques avec une certaine rigueur afin de déterminer les plus importants

2-Statuer sur ce que l'on veut faire : accepter le risque ? le diminuer ? le supprimer ? le transférer ?

3-Suivre les actions conséquences de la décision prise au point 2.

En clair analyser les risques et s'arrêter à cela ne sert qu'à se faire peur !

Or, bien des praticiens s'arrêtent au point 1 avec Ebios et posent leur stylo...dans le pire des cas d'ailleurs, ils produisent un épouvantable diagramme de Kiviat ("toile d'araignée") en 120 axes illisibles !

Dans le cadre général en trois points décrit ci-dessus, Ebios peut intervenir comme check-list de risques que l'on peut considérer.

En effet, Ebios fournit une quantité considérable de points à passer en revue. Son exhaustivité n'est pas contestée. Tout au plus peut-on reprocher des recouvrements partiels qui de toute façons ne nuisent pas à l'approche de sécurité.

Mais cela fait il faut aller plus loin et impliquer le management de l'entreprise pour faire un acte très important : statuer sur le risque.

Cette prise de décision est cruciale.

Elle doit être facilitée auprès du comité exécutif par une bonne préparation comprenant au moins :

• une synthèse claire de la cartographie des risques (du rouge de l'orange, du vert !)

• des propositions de décision préparées et chiffrées

• un suivi ultérieur proposé de comité en comité

Dans ce cadre Ebios sera remis à sa bonne place.

Et l'entreprise aura fait un pas en avant dans la direction qu'elle se donne volontairement.