Actualités

Analyse de risques et sécurisation

Analyse de risques et sécurisation

Analyse de risques et sécurisation

Ou autrement dit: est-il possible de se protéger efficacement de la malveillance sans analyse de risques ?

Illustration : un parallèle avec la généralisation de l’antibiotique

Accepteriez-vous aujourd’hui, sans hésitation ni même réflexion, une prescription d’antibiotique pour un simple mal de gorge ? Oui, me direz-vous, si le diagnostic du médecin, sur la base d’un prélèvement ad-hoc, aurait démontré un terrain infectieux bactérien. Hélas, ce scénario idéal est loin d’être monnaie courante.

Tout le monde le sait désormais, la multiplication des prises d’antibiotiques est loin d’être toujours justifiée. Avec leurs effets « rouleau-compresseur », les effets secondaires vont à l’encontre de notre santé sur le long terme.

Vous l’avez bien compris, le recours systématique à des solutions toutes prêtes entraîne très souvent des conséquences inappropriées. Au mieux juste une inefficacité, pouvant même cacher des problématiques plus graves, au pire des effets secondaires non prévus initialement.

Les méfaits d’une sécurisation aveugle sans analyse de risque préalable

Au cours de mes missions d’audit ou de sécurisation de sites, j’ai très souvent fait le constat suivant. Certains de mes clients, lorsqu’ils avaient souhaité protéger leurs biens (un site, un processus, des accès, etc. …), avaient fait le choix de faire appel directement à des sociétés installatrices en équipement de sûreté, sans analyse particulière des risques auxquels ils pouvaient être confrontés.

Résultats

  • Parfois un sur-dimensionnement des équipements, au demeurant fort coûteux et pas toujours efficaces
  • Des dispositifs pas toujours ou peu adaptés aux besoins
  • Parfois des contraintes fortes sur le personnel, avec contournement ou détournement des mesures de sécurité pour réduire ces mêmes contraintes
  • Des problématiques de sûreté totalement écartées car ne faisant pas partie du périmètre de compétences de la société installatrice
  • Une certaine obsolescence de matériel induite par le lien d’un installateur avec une marque
  • Des risques totalement surévalués, mal perçus
  • Au final, des clients insatisfaits, mais pieds et poings liés avec leur société spécialisée…

Bref, vous l’avez compris, le « tout technologie » aveugle, renforcé par la mode médiatique, produit souvent plus d’insatisfaction que de contentement. Surtout si son usage n’est pas , ou trop peu justifié. C’est le cas de la vidéosurveillance par exemple,

La faute à qui ou à quoi ?

Au manque de temps du décideur de faire une analyse préalable de risque, à son sentiment convaincu de maitriser la sécurité parce qu’il s’est focalisé sur une solution standard, à la pression des fabricants ou installateurs qui fabriquent, vendent ou installent toujours la meilleure solution, ou tout simplement, à la sous-estimation des risques, voire à leur ignorance pure et dure ?

L’analyse de risques liés à la malveillance, étape indispensable de la sécurisation

L’analyse de risques est la première étape indispensable à la mise en œuvre de solutions, car c’est grâce à elle qu’une organisation est en mesure de cartographier les points sensibles, là où elle doit concentrer les mesures de sécurité, mais aussi pour identifier les risques négligeables ou des risques à simplement surveiller. Il m’est arrivé de voir des entreprises ayant renforcé des contrôles d’accès d’un côté, et laissé des secteurs totalement ouverts de l’autre, ou bien des entreprises ne penser obstinément qu’à de la malveillance externe, ignorant de manière étonnante la malveillance interne.

Une analyse de risques démarre toujours par l’identification des biens réputés essentiels pour l’organisation, c’est-à-dire ceux qui, s’ils devaient disparaître ou perdre de leur intégrité, mettraient la survie de l’organisation en péril.

Une analyse de risques déterminera et estimera les niveaux de vraisemblance et de gravité des scénarios de menace pouvant impacter les biens. Elle évaluera aussi les seuils d’acceptabilité des risques, et les traitements qui peuvent être apportés. Car la solution de la réduction du risque n’est pas forcément la seule. Dans l’absolu, il est toujours possible de l’éviter, même si cela signifie abandonner l’activité source des risques. Il est également possible de le transférer, ce que, hélas, beaucoup trop d’entreprises ou d’organisations ont tendance à faire lorsqu’elles s’assurent contre un risque, ignorant que cette solution, qui est une solution résiliente, ne les épargneraient pas forcément d’un arrêt définitif d’activité. Je ne parle pas du refus du risque, inconscient ou pas, qui consiste à l’ignorer ou l’accepter sans renforcement de mesure de sécurité, ce qui est totalement justifié si celui-ci est négligeable, mais inacceptable s’il ne l’est pas.

Une analyse de risque fournira une cartographie précise des risques auxquels une organisation est confrontée, et dimensionnera avec justesse les mesures de sécurité à mettre en place.

Quel coût pour une analyse de risque, et quels sont les enjeux ?

Ne me dites pas qu’une analyse des risques est longue et coûteuse. Avec un peu de méthodologie, rien de plus simple. Par expérience et par pratique, je vous le certifie.

Sachez enfin que les enjeux d’une analyse de risques sont multiples : des gains financiers grâce à l’adaptation correcte des mesures de sécurité, lesquels peuvent n’être parfois qu’organisationnels, une vision sereine des risques par le décideur ou celui en charge de leur gestion, la certitude de l’efficacité des solutions, et au bout du bout, la santé préservée de l’organisation.