Normes pleines, pratiques creuses ? (Gap analysis)

Écrit par Lotfi BENYELLES

Il y a quelque chose de vertigineux dans la lecture des textes réglementaires comme NIS 2. À première vue, ils s’annoncent comme des cadres, des garde-fous, une tentative de rationaliser la menace, de l’anticiper, de la contenir. Mais à mesure qu’on avance dans les articles et les annexes, un doute s’installe : que signifie, concrètement, "mettre en œuvre des mesures techniques et organisationnelles appropriées" ? Que veut dire "assurer un niveau de sécurité adapté au risque" ? Ces formulations ont beau être balisées par des décennies de normes et de retours d’expérience, elles laissent derrière elles une impression de flottement – comme si l’essentiel se situait encore ailleurs, dans un espace entre les lignes.

C’est dans cet interstice que se joue, selon moi, la véritable difficulté d’une Gap Analysis : non pas simplement constater un écart entre un état idéal et un état réel, mais traduire. Traduire un énoncé générique en quelque chose de situable, vérifiable, documentable. Autrement dit, transformer une exigence de haut niveau – souvent abstraite, intentionnelle – en une exigence de bas niveau, susceptible d'être interrogée par les faits, par la technique, par le quotidien d’une organisation.

Or cette opération de traduction n’est jamais neutre. Elle engage des choix. Elle suppose une compréhension fine du contexte, une capacité à formaliser ce qui est parfois implicite, diffus, épars. Elle oblige à formuler ce qui est fait – ou non – sans surinterprétation, sans complaisance, sans dramatisation non plus. Et surtout, elle exige une position de lucidité : être capable de dire, honnêtement, que tel processus n’existe pas, que telle documentation est obsolète, que telle fonction repose encore sur des habitudes orales.

Dans cette tension entre prescription et réalité, je perçois un enjeu plus large que celui de la conformité. Il s’agit de savoir comment on construit la preuve. Non pas la preuve juridique, froide et figée, mais la preuve vivante d’une organisation qui se regarde fonctionner, qui accepte d’identifier ses points aveugles, ses zones grises, ses impensés. Et c’est là, précisément, que l’évaluation du niveau de conformité prend tout son sens – à condition de ne pas la réduire à une grille, mais d’y voir une forme de récit fragmentaire, composé de procédures, de pratiques, de silences, parfois.

Ce texte est né de cette expérience : celle d’un processus où l’on apprend à habiter les exigences, à les habiller de concret, à les rendre sensibles. Il propose une méthode, certes, mais aussi une manière d’envisager autrement le rapport entre la norme et le réel, entre ce que l’on vise et ce que l’on est.

1. L’abstraction nécessaire des exigences de haut niveau

Toute démarche réglementaire procède par abstraction. Elle cherche à produire un langage commun, suffisamment général pour s’appliquer à une diversité de contextes, mais suffisamment précis pour orienter l’action. Les exigences de haut niveau – ce que l’on nomme parfois aussi principes, objectifs de sécurité, ou dispositions structurantes – relèvent de cette économie du langage : elles énoncent ce qui doit être visé, sans dire encore comment.

Cela a un avantage évident : cela évite de figer les moyens dans un paysage technologique jamais stable par définition. Mais cela a aussi un effet secondaire : celui de suspendre la responsabilité de l’interprétation. Ce n’est plus le texte qui tranche, mais l’organisation elle-même, qui doit décider comment elle entend “assurer la disponibilité, l’intégrité, la confidentialité et l’authenticité” de ses systèmes critiques, par exemple.

Ce flottement peut être productif : il impose un travail de positionnement et une lecture active du texte. Mais il exige en retour un outil de transposition : une manière de faire atterrir l’exigence, de la ramener au sol. C’est précisément le rôle de la Gap Analysis et de l’identification des exigences de bas niveau.

2. Décliner sans trahir : l’art de la traduction opérationnelle

Décliner une exigence, c’est poser la question de sa traduction dans un contexte donné : de quels processus parle-t-on ici ? quelles personnes sont concernées ? quels outils rendent cette exigence tangible ? quelles traces en reste-t-il dans le fonctionnement quotidien ?

Prenons un exemple concret :

"L’organisation doit mettre en œuvre une gestion des incidents efficace."

En l’état, cette exigence est inopérante pour une évaluation. Ce qu’il faut, c’est en extraire des exigences vérifiables, à l’échelle de la pratique :

  • Une procédure de gestion des incidents existe-t-elle, formalisée et validée ?

  • Est-elle connue et accessible aux parties concernées ?

  • A-t-elle été testée dans les 12 derniers mois ?

  • Y a-t-il des comptes rendus d’incidents antérieurs, avec des enseignements formalisés ?

  • Existe-t-il un système de remontée et de suivi d’incidents (outil, registre, etc.) ?

Chacune de ces questions devient une porte d’entrée vers la preuve, vers le réel. À travers elles, l’exigence cesse d’être un principe abstrait : elle devient observable.

Mais ce travail de déclinaison engage une autre vigilance : ne pas réduire l’exigence à une simple check-list. Ce serait manquer son esprit. Il faut maintenir le lien avec l’intention initiale, garder en mémoire ce que l’exigence cherche à protéger, au-delà de la conformité formelle.

3. L’évaluation comme récit de soi

Évaluer le niveau de conformité, ce n’est pas seulement attribuer une note ou cocher une case. C’est reconstituer un état de fonctionnement, avec ses manques, ses incohérences, mais aussi ses forces souvent insoupçonnées.

On pourrait dire que chaque exigence évaluée devient un fragment d’autobiographie organisationnelle : ici une procédure obsolète jamais relue depuis trois ans ; là un réflexe collectif de vigilance bien ancré mais jamais formalisé. Entre ces deux pôles – le formel et l’informel – se dessine une cartographie vivante, que l’évaluation vient révéler.

C’est pourquoi une simple échelle binaire ("conforme / non conforme") est rarement suffisante. Il est plus fécond d’adopter une échelle de maturité, capable d’inscrire l’organisation dans une dynamique de progression. Par exemple :

0 – Inexistant, Rien n’est en place ni prévu

1 – Initial, Des actions ponctuelles, souvent informelles

2 – Décrit un processus formalisé mais peu appliqué

3 – Déployé, Le processus fonctionne et produit des effets visibles

4 – Maîtrisé, Il est suivi, évalué, et intégré dans la stratégie globale

Cette gradation autorise la nuance. Elle reconnaît l’effort, sans dissimuler l’écart. Elle permet d’accompagner plutôt que de simplement juger.

4. Ce que la conformité révèle (ou masque)

Il y a enfin une dimension que je ne peux pas ne pas évoquer : celle du pouvoir symbolique de la conformité. Dans certains contextes, elle devient un objectif en soi – un seuil à atteindre, un badge à afficher. Mais cette approche utilitariste, voire opportuniste, est à double tranchant.

Une conformité obtenue par empilement de documents, par automatisation des audits, ou par mimétisme avec les référentiels, peut masquer des fragilités systémiques. À l’inverse, une organisation consciente de ses lacunes, capable de les documenter et de les prioriser, peut être plus résiliente qu’une autre qui se croit conforme.

Autrement dit : la conformité ne vaut que si elle est habitée. Si elle est le reflet d’une culture partagée, d’une gouvernance vivante, d’une capacité à se remettre en question.

5. Mise en forme de la Gap Analysis : construire une synthèse lisible sans perdre la complexité

Une fois les exigences déclinées, évaluées, comment restituer cette matière dense, parfois contradictoire, sans la réduire à un tableau stérile ? La tentation est forte de produire un fichier Excel de plus, une matrice saturée de niveaux de maturité, de couleurs conditionnelles et de commentaires en marge. C’est utile, bien sûr. Mais ce n’est pas suffisant.

Il me semble que la forme que prend la Gap Analysis n’est pas une question secondaire. Elle reflète, elle aussi, une certaine posture vis-à-vis de la sécurité : est-elle un empilement de mesures ou une dynamique vivante ? Est-elle un contrôle ou une connaissance de soi ?

Une bonne restitution mêle donc plusieurs strates :

  • Une cartographie synthétique des exigences, de leur niveau de maturité, et des écarts identifiés. Cette carte ne dit pas tout, mais elle donne à voir. Elle permet une lecture rapide des urgences et des manques.

  • Des commentaires argumentés, pour chaque exigence, qui explicitent le niveau attribué, les éléments de preuve observés, les limites du dispositif actuel. Ces notes sont précieuses : elles documentent la réflexion, elles rendent compte d’une démarche, pas seulement d’un résultat.

  • Un plan d’action priorisé, construit non pas mécaniquement à partir des scores, mais en fonction :

    • du niveau de criticité des exigences,

    • de l’exposition réelle aux risques,

    • des ressources disponibles.

Enfin, au-delà des tableaux et des jalons, ce que je trouve important, c’est de laisser une trace narrative. Quelques pages, peut-être, où l’on restitue le fil du processus, les tensions rencontrées, les questions ouvertes. Cela ne relève pas de l’audit, mais de la mémoire. Et cela peut devenir un outil stratégique pour accompagner, à long terme, une gouvernance de la sécurité fondée sur la clarté, pas sur la peur.

Conclusion

Ce texte n’est pas un guide, encore moins une méthode universelle. C’est le récit d’un déplacement : celui qui va de l’exigence au geste, du texte à la preuve, de la conformité au sens. Ce chemin, chaque organisation le parcourt à sa manière, avec ses ressources, ses angles morts, ses arbitrages.

Mais ce qui me semble essentiel, c’est que la Gap Analysis ne soit pas conçue comme un simple état des lieux technique. Elle est un moment de lucidité collective, une mise en récit de ce qui est en train de se faire – ou pas encore – dans l’ombre des systèmes et des habitudes. Elle oblige à se poser la question : non pas seulement “sommes-nous conformes ?”, mais “qu’est-ce que cette conformité dit de nous ?”

Dans ce renversement discret, dans ce décentrement, réside peut-être la vraie promesse de NIS 2 : non pas d’imposer un modèle unique, mais d’ouvrir un espace où chaque structure puisse mieux comprendre ce qu’elle veut protéger – et pourquoi.

Lotfi BENYELLES
Précédent

Cartographiez ou subissez
Suivant

Facilitez la vie aux hackers avec linkedin