Aller au contenu
FortaRisks
Retour au glossaireConformité et réglementation

Analyse d'écart (gap analysis)

Une analyse d'écart, ou gap analysis, compare la situation actuelle d'une organisation à un référentiel ou objectif cible pour identifier les manques à combler. En cybersécurité et conformité, c'est le point de départ de tout programme : elle transforme une norme abstraite en une liste d'actions priorisées.

Mis à jour le 2 juillet 2026

Qu'est-ce qu'une analyse d'écart ?

Une analyse d'écart, souvent appelée gap analysis, est une évaluation structurée qui confronte l'état réel d'une organisation à un état de référence : une norme, un cadre réglementaire ou un niveau de maturité visé. Le résultat est une cartographie claire de ce qui est déjà en place, de ce qui est partiel et de ce qui est absent.

C'est l'étape qui rend une norme actionnable. Un référentiel comme ISO 27001 ou le NIST CSF ne dit pas où vous en êtes : l'analyse d'écart le révèle.

Pourquoi c'est important pour votre organisation

Sans analyse d'écart, un programme de conformité avance à l'aveugle : on investit là où c'est visible plutôt que là où c'est nécessaire. L'exercice permet de chiffrer l'effort restant, de prioriser les actions et de construire une feuille de route défendable devant la direction.

C'est aussi un outil de dialogue : il traduit des exigences techniques en décisions de gestion, avec un coût et un délai associés à chaque écart.

Comment se déroule une analyse d'écart

  • Choisir le référentiel cible : la norme ou le niveau de maturité visé.
  • Collecter les preuves : politiques, configurations, entretiens, mesures existantes.
  • Évaluer chaque exigence : en place, partielle ou absente.
  • Qualifier les écarts : impact, effort et priorité de remédiation.
  • Produire la feuille de route : actions séquencées, responsables et échéances.

Où les organisations pèchent le plus souvent

Le piège classique est de confondre l'analyse d'écart avec un simple questionnaire auto-déclaré, sans preuve à l'appui. Un écart mal qualifié conduit à sous-estimer l'effort réel. L'autre erreur est de produire un rapport qui ne débouche sur aucune feuille de route priorisée : l'analyse reste alors un constat sans suite.

Questions fréquentes

Quand réaliser une analyse d'écart ?

Au lancement d'un projet de conformité (ISO 27001, SOC 2, NIS2, Loi 25), avant un audit de certification, après un incident majeur, ou lors d'un changement significatif du périmètre ou de la réglementation. C'est aussi un exercice périodique pour suivre la progression de la maturité dans le temps.

Quelle différence entre une analyse d'écart et une analyse de risques ?

L'analyse d'écart mesure la distance à un référentiel : ce qui est en place par rapport à ce qui est exigé. L'analyse de risques évalue la probabilité et l'impact de menaces sur vos actifs. Les deux sont complémentaires : l'écart dit ce qui manque, le risque dit par quoi commencer.

Voyez votre vrai risque en 30 minutes de démo.

Un membre de notre équipe vous guide dans FortaRisks sur des menaces pertinentes pour votre secteur. Sans chatbot.