“Evaluating Information Security Posture within an organization is becoming a very complex task. Currently, the Information Security evaluation and assessment is performed by using, frameworks, methodologies or standards, which separately consider the security related subjects. Unfortunately this is not effective because it doesn’t take into consideration the necessity of having a global and systemic multidimensional approach of Information Security evaluation. This is mainly because in a global context the overall security level is as strong as the weakest link is. …”. I. Tashi
“Les organisations doivent gérer des situations de plus en plus complexes dans un environnement en forte évolution. Une approche uniquement intuitive de la gestion des risques n’est plus suffisante au regard du besoin d’optimiser les investissements en matière de sécurité. Un difficile équilibre est à trouver entre le coût du risque et de sa réduction pour une assurance raisonnable et durable de la réalisation des objectifs des organisations. …. Comment intégrer toutes les facettes d’un problème complexe et multiforme, nécessitant des compétences diverses, pour répondre de manière pragmatique aux besoins de pilotage des entreprises ?
L’approche ARBALETS, acronyme de – Analyse des Risques, BALances d’intérêts ET Securité – en clin d’œil à Guillaume Tell qui a dû savoir faire la part des risques encourus au regard du bénéfice escompté. Pour son courage, son audace et sa capacité à maitriser les risques !
S’il était intuitif pour Guillaume Tell de faire « de la gestion de risque avec ses tripes », la référence à notre héro national ne peut pas faire oublier que la question du risk management possède une autre dimension à laquelle sait répondre Arbalets. Il ne s’agit pas d’une recette toute faite relevant du procédé de checklist, mais plutôt d’un cadre méthodologique suffisamment général et simple pour être appliqué à l’ensemble des fonctions/métiers/domaines d’une entreprise et suffisamment détaillé pour permettre une analyse efficace des risques, une détermination adéquate des mesures à prendre pour les traiter et pour favoriser une culture du risque, au sein de l’ensemble de l’entreprise.
Arbalets permet de traiter tous les risques, quelque soit leurs natures (risque financier, environnemental, opérationnel, informatique, d’exploitation …) de manière uniforme, intégrée et transversale à toutes les fonctions de l’entreprise.
Arbalets apporte un référentiel favorisant le développement d’une culture de gestion de risque et propose des moyens objectifs pour décider d’une sécurité ni trop importante ni trop faible afin d’éviter de sur investir en sécurité, tout en se protégeant correctement. Cela contribue ainsi, à maitriser les budget sécurité dont la plupart des enquêtes et analystes prédisent de manière récurrente une augmentation des « budgets sécurité » sans pour autant répondre au besoin d’assurance raisonnable d’efficacité et d’efficience des solutions déployées. » S. Ghernaouti-Hélie, mars 2009