Ce guide, produit par l’Espace Risques et Méthodes du Clusif, est une introduction à l’analyse de risques. Il a pour objectif de vous familiariser avec les concepts et principes de base de toute analyse de risques, que ce soit dans le domaine de la cybersécurité ou ailleurs.
Mener une analyse de risques « à valeur ajoutée » reste un exercice difficile. Le succès de la démarche dépend de nombreux facteurs : de la mise en place du projet, en passant par l’implication des parties prenantes (managers, équipes, etc.), le choix de la méthode, sans même parler de son impact sur l’organisation ni du fait qu’il faut généralement faire vivre cette analyse de risques dans le temps. Dans ce cas, il ne s’agit pas d’une analyse ponctuelle, mais bien d’un processus et il serait plus juste de parler de gestion, voire de gouvernance des risques.
L’analyse de risques est une discipline ancienne, largement utilisée dans le domaine de la sûreté de fonctionnement. Elle est devenue depuis quelques années un élément clé des systèmes de management inspirés de l’ISO 9001, comme de l’ISO/CEI 27001 qui traite de la sécurité de l’information.
Le parti a été pris de s’inspirer de l’ISO/CEI 27005, qui contient des lignes directrices relatives à la gestion des risques liés à la sécurité des systèmes d’information. L’ISO/CEI 27005 n’est pas une méthode, mais un ensemble de recommandations qui permettent de déployer correctement une méthode d’analyse de risques dans le cadre d’un processus.
L’approche « systèmes d’information » peut sembler restrictive, mais il faut prendre conscience que nous-mêmes, personnes physiques, sommes une partie essentielle des systèmes d’information, que ces derniers ne peuvent pas fonctionner sans locaux ni énergie ou maintenance et que tout dysfonctionnement peut avoir des conséquences financières, juridiques…
Ce guide est désormais en accès libre dans son intégralité.