AGCG Genuine
Consulting Group

Cybersécurité • Gouvernance IT

Pourquoi 70 % des analyses de risques échouent… et comment les rendre enfin utiles pour le COMEX

Par Arnaud GODET, Managing Partner – AGCG Genuine Consulting Group

Tribune AGCG Genuine Consulting Group – de l’analyse documentaire à l’outil de décision stratégique.

Articles & tribunes

Thématique : Analyse de risques, gouvernance & COMEX
Cabinet : AGCG Genuine Consulting Group

⏱ Temps de lecture : ~8 minutes
Public cible : COMEX, RSSI, Risk managers

Chiffres clés

70 %
des analyses de risques
peu exploitées par le COMEX

Pendant des années, l’analyse de risques a été considérée comme le pilier central de toute démarche de cybersécurité et de conformité. Or, dans la majorité des organisations, elle n’apporte ni visibilité, ni pilotage, ni prise de décision stratégique.

Selon les retours terrain d’AGCG Genuine Consulting Group, plus de 70 % des analyses de risques se révèlent incomplètes, inadaptées, ou tout simplement inutilisées. L’exercice se transforme alors en rituel documentaire, consommateur de temps, sans impact réel sur la gouvernance ni sur le budget cyber.

De l’analyse documentaire à l’outil de décision

Pourtant, lorsqu’elle est bien conduite, l’analyse de risques devient un outil de décision puissant, capable d’éclairer le COMEX, de structurer les plans d’investissement, et de catalyser la transformation cyber.

Ce qui fait la différence ? Non pas la sophistication de la méthode, mais la capacité à relier les risques cyber aux enjeux business, à harmoniser l’approche sur plusieurs entités, et à livrer au COMEX une vision actionnable plutôt qu’un rapport exhaustif.

1. Pourquoi la majorité échouent ? Les 5 causes qui reviennent partout

1.1. Une approche trop technique, déconnectée du métier

Dans de nombreux cas, l’analyse de risques est réalisée par des experts cyber, sans dialogue suffisamment profond avec les métiers. Résultat :

  • les scénarios ne reflètent pas les usages réels,
  • les impacts sont mal qualifiés,
  • les priorités ne correspondent pas aux enjeux opérationnels,
  • les remédiations proposées ne sont pas ou peu comprises par les métiers.

Symptôme : des risques “critiques” qui ne le sont pas et des risques “faibles” qui bloquent les activités en cas d’incident, ainsi que des demandes d’arbitrage qui tournent souvent en défaveur de la cyber.

1.2. Une usine à cases à cocher, héritée des référentiels

Certaines analyses suivent un modèle figé (ISO, EBIOS, NIST…), mais appliqué mécaniquement, sans adaptation au contexte. Le cadre devient un carcan, l’analyse un exercice administratif.

Symptomè : un livrable de 200 pages impossible à exploiter par un COMEX.

1.3. Une dilution totale quand le périmètre couvre plusieurs entités

C’est le cas le plus fréquent dans les groupes internationaux ou multisites. Sans :

  • harmonisation des échelles,
  • alignement des critères,
  • gouvernance transverse,

l’analyse se fragmente, les résultats deviennent incohérents et donc inexploitables.

Symptôme : quatre entités, quatre méthodes, quatre niveaux de maturités… et aucun pilotage global.

(AGCG a justement dû reconstruire intégralement un dispositif multi-entités pour un client du secteur des transports après un audit 27001 sévère.)

1.4. Une incapacité à traduire la technique en enjeux business

La majorité des analyses échouent parce qu’elles restent dans la sphère cyber. Or un dirigeant ne décide pas sur :

  • CWE-787,
  • CVSS,
  • firewall rule fail,
  • ou “risque moyen”.

Il décide sur :

  • un impact financier,
  • un risque sur la production,
  • une exposition réglementaire,
  • un risque de réputation.

Symptôme : “On ne comprend pas ce que cela veut dire pour nous.”

1.5. L’absence de priorisation réelle

Beaucoup de rapports listent des dizaines de risques… mais ne donnent pas :

  • les 5 urgences,
  • les 3 chantiers structurants,
  • l’effort global,
  • le budget associé,
  • les choix à faire.

Sans hiérarchisation, il n’y a pas d’arbitrage possible. Le COMEX ne peut pas agir.

« L’analyse de risques n’échoue pas parce qu’elle est complexe. Elle échoue parce qu’elle n’est pas faite pour ceux qui doivent décider. »

— AGCG Genuine Consulting Group

2. Comment rendre une analyse de risques réellement utile pour le COMEX ?

2.1. Repartir de la stratégie métier, pas des vulnérabilités

Une analyse utile commence par des entretiens ciblés :

  • direction générale,
  • métiers clés,
  • DAF,
  • production / opérations,
  • juridique / conformité.

L’objectif : comprendre ce qui fait la valeur, ce qui est critique, et ce que l’organisation ne peut absolument pas se permettre de perdre. Ensuite seulement, on cartographie les actifs, les risques et les protections.

💡  Chez AGCG, les 20 premières questions ne portent pas sur la cyber… mais sur la stratégie.

2.2. Harmoniser les échelles, les méthodes et le langage

Dans un groupe multi-entités, tout doit être identique :

  • les définitions de vraisemblance,
  • les niveaux d’impact,
  • les scénarios types,
  • la méthode de scoring,
  • les critères de criticité.

Cette harmonisation est la condition pour produire une vision consolidée.

🧭  AGCG a développé un modèle d'harmonisation rapide permettant d’unifier jusqu’à 4–5 entités en moins de 6 semaines.

2.3. Traduire systématiquement la cyber en impacts business

Chaque risque doit être converti en un langage lisible par un COMEX :

  • impact financier,
  • exposition réglementaire,
  • dépendances IT/métier,
  • continuité d’activité,
  • image de marque.

Cela change tout : un dirigeant peut enfin comparer les risques entre eux.

2.4. Prioriser radicalement

Pour être crédible, une analyse de risques doit produire :

  • 3 urgences absolues,
  • 5 leviers structurants,
  • une trajectoire de 18–24 mois,
  • des budgets réalistes,
  • des quick wins mesurables.

🎯  AGCG a développé un modèle de visualisation rapide des mesures des plans d’action (modèle matriciel ROSI – Return On Security Investment).

2.5. Livrer un modèle de décision — pas un rapport

Un livrable utile est :

  • synthétique,
  • visuel,
  • orienté décision,
  • scénarisé pour le COMEX.

Les meilleures pratiques AGCG incluent :

  • heatmaps des risques métier,
  • scénarios business interruptifs,
  • options stratégiques (A/B/C),
  • coût vs impact,
  • feuilles de route en phases.

Le COMEX doit pouvoir décider en une heure. S’il faut deux semaines pour lire le rapport, il échouera.

3. L’approche AGCG : rendre l’analyse de risques actionnable, fiable et pilotable

Fort de multiples missions dans le secteur du luxe, de la finance, de l’industrie et du public, AGCG a construit une approche en trois temps :

  1. Compréhension accélérée des enjeux métier (2–3 semaines)
    → ateliers métier
    → cartographie de valeur
    → identification des dépendances critiques
  2. Analyse de risques unifiée multi-entités (4–8 semaines)
    → harmonisation des échelles
    → analyse par scénario
    → consolidation transversale
  3. Restitution COMEX & plan de transformation (3 semaines)
    → priorisation stricte
    → scénarios budgétaires
    → choix stratégiques
    → feuilles de route 18–24 mois

Cette approche a permis, pour un client grand compte international :

  • d’inverser un audit ISO 27001 défavorable,
  • d'obtenir la mention “point fort” lors du contre-audit,
  • de fédérer 4 entités autour d’un modèle commun,
  • et de doter le COMEX d’un pilotage clair, simple et durable.

Conclusion : l’analyse de risques n’est pas un livrable, c’est un outil de décision

Quand elle est menée correctement, l’analyse de risques devient un levier stratégique pour :

  • orienter les investissements,
  • renforcer la résilience,
  • piloter la transformation,
  • donner confiance aux dirigeants.

L’analyse de risques n’échoue pas parce qu’elle est complexe. Elle échoue parce qu’elle n’est pas faite pour ceux qui doivent décider.

C’est exactement ce que l’approche AGCG corrige : rendre le risque lisible, actionnable et utile — enfin.