Qu'est-ce qu'une analyse d'écart ?
Une analyse d'écart, souvent appelée gap analysis, est une évaluation structurée qui confronte l'état réel d'une organisation à un état de référence : une norme, un cadre réglementaire ou un niveau de maturité visé. Le résultat est une cartographie claire de ce qui est déjà en place, de ce qui est partiel et de ce qui est absent.
C'est l'étape qui rend une norme actionnable. Un référentiel comme ISO 27001 ou le NIST CSF ne dit pas où vous en êtes : l'analyse d'écart le révèle.
Pourquoi c'est important pour votre organisation
Sans analyse d'écart, un programme de conformité avance à l'aveugle : on investit là où c'est visible plutôt que là où c'est nécessaire. L'exercice permet de chiffrer l'effort restant, de prioriser les actions et de construire une feuille de route défendable devant la direction.
C'est aussi un outil de dialogue : il traduit des exigences techniques en décisions de gestion, avec un coût et un délai associés à chaque écart.
Comment se déroule une analyse d'écart
- Choisir le référentiel cible : la norme ou le niveau de maturité visé.
- Collecter les preuves : politiques, configurations, entretiens, mesures existantes.
- Évaluer chaque exigence : en place, partielle ou absente.
- Qualifier les écarts : impact, effort et priorité de remédiation.
- Produire la feuille de route : actions séquencées, responsables et échéances.
Où les organisations pèchent le plus souvent
Le piège classique est de confondre l'analyse d'écart avec un simple questionnaire auto-déclaré, sans preuve à l'appui. Un écart mal qualifié conduit à sous-estimer l'effort réel. L'autre erreur est de produire un rapport qui ne débouche sur aucune feuille de route priorisée : l'analyse reste alors un constat sans suite.