Les analyses de risques appliquées à la sécurité des SI, apparues en même temps que les SI eux-mêmes, sont maintenant de plus en plus répandues, que ce soit dans les entreprises privées ou dans les organismes publics. Un grand nombre de méthodologies (gratuites ou payantes) existent, de même que des outils plus ou moins sophistiqués. De plus en plus de normes et de règlements nationaux ou sectoriels encadrent et/ou imposent la pratique de ces analyses.
On pourrait donc penser que la réalisation d’analyses de risques SSI est devenue un exercice simple et maitrisé. Malheureusement, il n’en est rien, et le but de ce document est d’exposer – de façon légère néanmoins réaliste – un certain nombre d’écueils rencontrés par toutes les entreprises dans leurs activités d’analyse de risques de sécurité.
Nous avons structuré ce document en plusieurs parties, correspondant aux divers temps des analyses de risques: stratégie, organisation, méthode, analyse des composantes des risques, résultats. Dans chaque partie, nous citons les dysfonctionnements les plus courants, en les illustrant par le titre d’un film et une histoire vécue, puis nous exposons de façon très synthétique le rappel des bonnes pratiques.
A ce propos, nous tenons à remercier tous les RSSI, Risk Managers et consultants qui nous ont aidés à enrichir ce document avec des anecdotes réelles.
Et comme il faut aussi parfois voir le verre à moitié plein, certaines anecdotes ne sont pas des écueils mais des success stories !