Cela fait plus de vingt ans que je travaille dans la sécurité de l’information. J’ai commencé par la sécurité des réseaux, puis des audits techniques avant d’être introduit au fameux trio de la GRC … Je suis tout particulièrement passionné de gestion des risques qui est devenu ma spécialité au fil du temps. C’est autant un art qu’une science (dans le sens de savoir) et l’arrivée de la quantification des risques rend l’aventure intellectuelle encore plus intéressante.
Mon cheminement m’a naturellement amené à créer une entreprise et de chercher à m’entourer d’autres passionnés ayant des compétences complémentaires afin d’offrir le meilleur dans ce domaine.
On croit souvent qu’analyser les risques revient à faire des prédictions exactes ou, à l’inverse, céder à des spéculations complètement hors-sol. En réalité, analyser les risques c’est se documenter, argumenter en se basant sur des faits et des chiffres, émettre des hypothèses plausibles, construire des scénarios qui ont un sens … Mais pour être efficace il faut adopter une méthode qui convienne, qui soit modulable et adaptative à l’objet de l’étude. Il existe tout un tas de méthodes et de méthodologies, toutes avec des prismes particuliers, chacune a ses avantages et ses inconvénients. Cependant, aucune ne répond parfaitement à tous les critères tout le temps, pour tout sujet et en tout temps.
L’idéal est de trouver sa propre approche, celle qui semble être le meilleur compromis et qui soit capable d’assurer que deux analystes de risques parviendraient à des résultats presque identiques s’ils devaient faire la même étude séparément (c’est d’ailleurs un bon test pour valider une approche). Plus les résultats sont différents, plus c’est le signe que la méthode est inadéquate car elle ne permet pas de générer des résultats, des conclusions, reproductibles … sans être une « science dure » pour autant. Dans la très grande majorité des cas et des secteurs d’affaires, on cherche à accompagner des décisions qui ne mettent pas la vie de personnes en danger. Cela laisse un peu de latitude et autorise des marges d’erreur inévitables. Il est fréquent d’appliquer à la cybersécurité des approches qualitatives ou quantitatives inadaptées. Le fait que des attaques soient incertaines, cela ne revient pas à étudier des phénomènes aléatoires …
Les activités de la GRC (Gouvernance, Risques et Conformité) tournent toutes autour de la notion de risque, il est donc important d’aoir une vision claire de ce sujet. Il faut comprendre comment ces processus interagissent, comment cette notion centrale de risque est comprise et consommée dans l’organisation. Aujourd’hui pour gérer les risques efficacement, on ne peut plus s’en tenir aux feuilles Excel. On doit investir dans des outillages qui permettent de gagner du temps et d’obtenir une vision de ces risques à 360. Mais pour bien commencer il faut se pencher sur nos processus existants, trouver une voie d’amélioration puis se mettre à la recherche de la solution technologique la plu adaptée.
Après avoir visité les différentes pages, vous pouvez regarder les services que nous pouvons vous offrir autour de la GRC t nous contacter via le formulaire ou Linkedin. Si vous êtes passionnés comme nous, connectez-vous et échangeons.
I. Scerbo (CISSP, CRISC, CISM, Open FAIR, ISO 27001 Lead Implementer/Lead Auditor, 27032 Cybersecurity, 27005 Risk Manager)
Montréal, Québec, Canada