Points clés
- Les erreurs dans l'analyse de risques numériques sont systématiques et prévisibles : elles reviennent dans la plupart des organisations indépendamment de leur secteur.
- La surévaluation des probabilités connues et la sous-évaluation des impacts réels sont les deux biais les plus coûteux.
- L'analyse de risques sans mise à jour des contrôles associés est une promesse non tenue qui aggrave l'exposition.
- Documenter les erreurs passées dans l'analyse est la condition pour ne pas les reproduire — une pratique rarement formalisée.
La surévaluation des risques connus au détriment des risques émergents
L'une des erreurs les plus fréquentes dans l'analyse de risques numériques est la concentration de l'attention sur les risques que l'organisation a déjà expérimentés ou documentés, au détriment des risques nouveaux ou émergents. Ce biais de disponibilité conduit à évaluer comme très probables les risques dont on a une représentation vivace — un rançongiciel qui a frappé un concurrent, une fuite de données récemment médiatisée — et à sous-estimer les risques moins documentés mais potentiellement tout aussi significatifs. Une analyse de risques équilibrée alloue une part explicite de son effort à l'identification des risques émergents, au-delà des risques connus.
La sous-évaluation des impacts réels
La deuxième erreur majeure est la sous-évaluation systématique des impacts potentiels. Les équipes qui conduisent l'analyse ont tendance à évaluer les impacts en termes de coûts directs visibles — remédiation technique, notification réglementaire — en omettant les coûts indirects qui sont souvent bien plus significatifs : perte de chiffre d'affaires pendant l'interruption, coûts juridiques, pénalités contractuelles, érosion de la réputation, ressources mobilisées pendant des semaines. Cette sous-évaluation conduit à classer comme "acceptables" des risques dont la matérialisation aurait des conséquences bien supérieures à ce qui avait été anticipé.
L'analyse sans mise à jour des contrôles
Une troisième erreur récurrente est de conduire l'analyse de risques sans en tirer des conséquences sur les contrôles existants. L'analyse identifie des risques, les évalue, les documente — puis la mise à jour des contrôles n'a pas lieu, faute de ressources, de priorités concurrentes ou d'un mécanisme d'arbitrage insuffisant. Cette déconnexion entre l'analyse et l'action transforme l'exercice en documentation inutile qui aggrave même la situation : l'organisation a maintenant documenté sa propre exposition sans l'avoir corrigée, ce qui peut constituer un facteur aggravant en cas de litige post-incident.
L'absence de différenciation entre risques réels et risques formels
Une erreur spécifique aux organisations soumises à des obligations réglementaires est de construire leur analyse de risques pour satisfaire les auditeurs plutôt que pour refléter la réalité. L'analyse produite répond aux questions posées par les référentiels, couvre les catégories requises, utilise la bonne terminologie — mais elle ne reflète pas les risques réels de l'organisation. Cette analyse "pour l'audit" n'informe aucune décision réelle. Elle crée même un risque spécifique : les équipes opérationnelles, confrontées à une analyse de risques formelle déconnectée de leur réalité, finissent par ne plus s'y référer — et perdent ainsi le bénéfice de l'exercice.
Comment documenter et corriger les erreurs d'analyse passées
La condition pour ne pas reproduire les erreurs d'analyse de risques est de les documenter explicitement. Après chaque incident, une revue structurée doit répondre à la question : cet incident était-il dans notre cartographie des risques, et si oui, pourquoi n'a-t-il pas été traité ? Si non, pourquoi n'avait-il pas été identifié ? Les réponses à ces questions alimentent directement l'amélioration des méthodes d'analyse. Cette pratique, similaire aux revues post-incident dans les opérations, est étonnamment rare dans les processus formels de gestion des risques — et constitue pourtant la base d'un apprentissage organisationnel réel.