Faire de la sécurité, c’est bien. Savoir pourquoi on en fait, c’est mieux ! Voilà résumée en quelques mots une conférence à laquelle j’ai récemment participé et qui traitait du thème de l’analyse de risque. Emballé, je me dis
alors qu’après avoir sécurisé le périmètre et les ordinateurs, puis rédigé la politique de sécurité, l’heure était venue de se lancer dans le grand bain en tentant de répondre à cette question : quels sont les risques qui pèsent sur mon
SI ? Je décide donc de voir mon directeur général afin de lui proposer cette démarche et savoir ce qu’il en pense. J’avais prévu un entretien de trente minutes et nous avons discuté deux heures.Autant dire que ce monsieur était plus qu’enthousiaste à l’idée d’avoir un jour sur son bureau ce qu’il n’avait jamais osé imaginé, à savoir une cartographie des risques informatiques. Le budget nécessaire a été rapidement
débloqué. J’ai alors rédigé mon cahier des charges, puis sélectionné un consultant censé m’apporter son expertise pour mieux appréhender la méthode ou plutôt les méthodes. Eh oui, c’est un peu le problème : chaque méthode est très
lourde et les consultants ont tendance à piocher des éléments à droite et à gauche en fonction du contexte. A l’issue de quatre mois d’étude, l’affaire était bouclée et les risques clairement identifiés. En dehors du fait d’avoir
beaucoup appris, ce dossier m’a permis d’établir une relation privilégiée avec le directeur général en employant un langage qui est le sien. Par ailleurs, l’analyse de risque, au-delà d’être un passage obligé, m’a permis de valoriser la
démarche sécurité que j’ai entreprise depuis plusieurs mois. Mon médecin avait donc raison, une petite analyse du risque de temps en temps…(1) MM. Yellow, Pink, Blue, Purple et Grey sont cadres dans des services informatiques. Chaque semaine, à tour de rôle, ils vous font partager le fruit de leur expérience.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
