Avant de vous lancer dans le premier atelier, la première chose à faire est d’organiser une réunion de lancement, ou kick-off. Durant cette réunion, vous allez définir les objectifs, les attentes de l'entreprise, et les rôles de chaque membre de l'équipe. Il s'agit de s'assurer que tout le monde est sur la même longueur d'onde avant de commencer l'analyse.
Dans notre cas, vous pourriez inviter au kick-off les personnes suivantes :
Chef de projet - Consultant en analyse de risque : Responsable de la gestion du projet et de la coordination générale.
Sponsor du projet : La personne qui finance ou soutient le projet au niveau exécutif.
Équipe projet (membres principaux) : Tous ceux qui vont travailler directement sur le projet (RH, DRH).
Fournisseur de l’outil – Si nécessaire, des experts qui peuvent apporter un éclairage spécifique sur les aspects techniques ou réglementaires.
Responsable de la sécurité (RSSI, CISO) – Dans le cadre d’un projet impliquant des risques ou des enjeux de sécurité, il est crucial d'inviter des experts en cybersécurité.
Parcourons les différentes étapes à faire lors de ce kick-off.
1. Présentez la méthodologie
Expliquez ici aux participants comment l’analyse de risque va être conduite, les étapes clés et les outils/méthodes utilisés pour y parvenir.
Objectif : S'assurer que tout le monde comprend la démarche globale du projet, les étapes à suivre, et comment l'équipe va collaborer pour atteindre les objectifs.
Contenu : Détailler la méthodologie choisie (dans ce cas, EBIOS RM) en expliquant brièvement chaque phase, par exemple :
Cadrage de l’analyse : Identification des actifs, menaces, vulnérabilités.
Analyse des risques : Construction de scénarios de risques réalistes et priorisation des risques en fonction de leur impact et de leur probabilité.
Choix des mesuresde traitement : Élaboration de mesures correctives et préventives adaptées aux risques.
Vulgariser le jargon : Rappelez-vous, des termes techniques peuvent être difficiles à comprendre pour des personnes non spécialisées. Et dans une analyse de risques, une clarification des termes et acronymes dès le départ est cruciale pour éviter des malentendus.
2. Définissez le scope de l’analyse
Le scope (périmètre) de l'analyse permet de cadrer ce qui est couvert et ce qui ne l'est pas. Cela évite les malentendus et les attentes irréalistes.
Objectif : Définir clairement les frontières de l’analyse des risques, ce qui permet de concentrer les efforts sur les zones critiques sans disperser les ressources.
Le fait de bien définir le périmètre évite d’en sortir et d’analyser des choses qui n’étaient pas prévues au départ.
Contenu :
Périmètre géographique : Préciser si l’analyse couvre uniquement une région, un pays, ou est internationale.
Périmètre organisationnel : Quels départements ou processus sont couverts (ex. : infrastructure IT, services financiers, RH, etc.).
Périmètre technique : Les systèmes ou technologies spécifiques inclus dans l'analyse (applications, réseaux, bases de données, etc.).
Horizon temporel : Sur quelle période les risques sont évalués (court terme, long terme).
Exclusions : Ce qui est explicitement hors du champ de l'analyse (par exemple : des systèmes ou des sites secondaires).
Exemple : "L'analyse couvre les systèmes informatiques des RH et financier en France, sur une période de 3 ans, en excluant le SI médical."
3. Expliquez l’intérêt d’avoir une approche par les risques
Il est important que tous comprennent pourquoi une approche par les risques est adoptée et en quoi elle est bénéfique pour l’organisation.
Objectif : Justifier l'utilisation d'une gestion des risques pour aligner la sécurité avec les priorités de l'organisation et optimiser les ressources.
Contenu :
Priorisation : En se concentrant sur les risques les plus critiques, l’entreprise peut allouer ses ressources de manière efficace et éviter des dépenses inutiles sur des menaces mineures.
Adaptabilité : Une approche par les risques permet de s’adapter aux menaces émergentes et aux nouvelles technologies.
Réduction des coûts : Plutôt que d’essayer de protéger tout de manière égale, on concentre les efforts sur ce qui est vraiment important (les actifs critiques).
Conformité : De nombreuses réglementations, telles que la RGPD ou la DORA, exigent une approche basée sur les risques pour gérer la sécurité.
Exemple concret : "Si nous priorisons nos ressources sur les actifs critiques, nous réduisons les impacts potentiels d'une cyberattaque ciblée sur nos systèmes comptables."
En résumé
Une réunion de lancement (kick-off) est essentielle pour définir les objectifs de l'audit, les attentes, et les rôles des participants avant de commencer l'analyse.
La méthodologie EBIOS RM doit être présentée en expliquant les étapes clés et en vulgarisant les termes techniques pour éviter les malentendus.
Le périmètre de l'analyse (scope) doit être clairement défini pour éviter les déviations, en précisant les zones couvertes (géographiques, organisationnelles, techniques) et les exclusions.
L'approche par les risques permet de prioriser les ressources sur les actifs critiques, réduire les coûts, s'adapter aux nouvelles menaces, et assurer la conformité avec les réglementations.
Maintenant que vous avez une meilleure idée de ce qu’est la démarche EBIOS RM, plongeons-nous dans la prochaine partie : le premier atelier de la méthodologie.
