AGCG Genuine
Consulting Group

Cybersécurité • Gouvernance IT

Étude de cas

Refonte d’une analyse de risque ISO 27001 pour un groupe public multi-entités

Contexte : audit ISO 27001 ayant révélé une non-conformité majeure sur l’analyse de risque. Intervention : refonte complète de la démarche sur un périmètre de quatre entités, harmonisation des méthodes et animation d’ateliers de risques inter-entités. Résultat : levée totale de la non-conformité, démarche saluée par les auditeurs et désormais citée en point fort du SMSI.

  • Harmonisation de la méthode et des échelles de risque
  • Animation collaborative de 4 entités
  • Validation et félicitations des auditeurs ISO 27001
Durée
3 mois
Impact
Non-conformité levée
Lire la version longue

Étude de cas détaillée — Refonte d’une analyse de risque ISO 27001 pour un groupe public

Contexte

À la suite d’un audit de certification ISO 27001, un grand groupe public s’est vu notifier une non-conformité majeure portant sur son analyse de risques. L’évaluation initiale présentait des faiblesses structurelles : méthodes divergentes entre entités, absence de traçabilité des critères, périmètre incomplet et inadéquation avec les exigences du SMSI.

AGCG a été mandaté pour conduire une refonte complète de l’analyse de risques, sur un périmètre complexe couvrant quatre entités aux activités hétérogènes, incluant des systèmes industriels et des processus de support critiques. L’objectif : atteindre la conformité en trois mois et garantir la robustesse du dispositif pour le contre-audit à venir.

Défis

  • • Reprendre une analyse de risques jugée non conforme dans un délai restreint,
  • • Aligner les méthodes et les critères d’évaluation entre quatre entités autonomes,
  • • Impliquer des acteurs métiers aux maturités et cultures de sécurité différentes,
  • • Assurer la traçabilité, la cohérence et la réutilisabilité des résultats.

Approche AGCG

AGCG a mis en place une démarche structurée et fédératrice, fondée sur la méthode EBIOS Risk Manager et alignée sur les exigences de l’ISO/IEC 27005. La mission s’est articulée en quatre étapes :

  • Phase 1 — Cadrage et diagnostic : revue de l’audit initial, définition du périmètre consolidé, clarification des responsabilités et des interfaces inter-entités.
  • Phase 2 — Harmonisation méthodologique : création d’une grille d’évaluation commune, normalisation des échelles de vraisemblance et d’impact, et formalisation d’un modèle de calcul du risque partagé.
  • Phase 3 — Ateliers d’analyse de risques : animation de sessions collaboratives inter-entités pour identifier les valeurs métiers, scénarios de menace et mesures existantes.
  • Phase 4 — Consolidation et validation : construction de la cartographie globale des risques, définition du plan de traitement et préparation du dossier de conformité pour le contre-audit ISO 27001.

Résultats

  • Non-conformité majeure levée dès le contre-audit,
  • Homogénéisation complète des pratiques et des échelles de risque entre les 4 entités,
  • Adhésion et implication des équipes métiers et IT grâce à une approche collaborative,
  • Amélioration durable de la gouvernance du SMSI et de la culture du risque,
  • Félicitations explicites des auditeurs ISO 27001, la démarche étant reconnue comme point fort.

Facteurs clés de succès

  • • Expertise méthodologique ISO 27001 & EBIOS RM,
  • • Coordination fluide entre entités et gouvernance projet agile,
  • • Animation participative favorisant la montée en compétence collective,
  • • Rigueur documentaire et transparence dans la restitution.

Conclusion

Grâce à une approche à la fois structurée et humaine, AGCG a permis au client de transformer une situation de non-conformité critique en un succès reconnu. Cette mission illustre notre capacité à rétablir la conformité ISO 27001 dans des environnements complexes, tout en renforçant la maturité, la cohésion et la culture du risque au sein des organisations.