Une analyse de cause racine (Root Cause Analysis, RCA) est une démarche structurée pour identifier, de façon exhaustive et précise, les causes fondamentales d'un incident ou d'une non-conformité.

L'analyse de cause racine est dans la phase Check, qui permet les décisions de la phase Act et confirme la pertinence des actions correctives exigées par la clause Non-conformité et action corrective (ISO 27001 clause 10.1).

Concrètement, sans une bonne compréhension des causes, l'organisation risque de ne corriger que des symptômes, laissant les problèmes se répéter.

Lien avec la norme ISO/IEC 27001:2022

  • Clause 6.1.2 — Analyse et appréciation des risques pour bien comprendre les scénarios de menaces
  • Clause 9.1 — demande la collecte de données fiables; l'analyse des causes racines transforme ces données en renseignements utilisables.
  • Clause 10.2 — La clause principale de gestion des non-conformités demande que chaque NC soit évalué pour en connaître les causes.

The 5 Whys (Les cinq pourquoi)

La méthode des 5 Pourquoi consiste à poser la question « Pourquoi ? » de façon répétée pour remonter des symptômes d'un problème jusqu'à sa cause fondamentale.

Comment faire une analyse des 5 pourquoi

1 — Formule clairement le problème et écris-le.
2 — Demande : « Pourquoi ce problème survient-il ? » et note la réponse.
3 — Transforme cette réponse en un nouveau problème, puis demande encore : « Pourquoi cela arrive-t-il ? »
4 — Répète la question « Pourquoi ? » jusqu'à ce qu'aucune explication plus profonde ne soit possible.
5 — Si plusieurs causes apparaissent en cours de route, conserve-les : un même problème peut avoir plusieurs causes premières.

Source — https://www.qualite.qc.ca/ressources/cinq-pourquoi/

Fishbone Diagram (diagramme d'Ishikawa)

Le diagramme d'Ishikawa représente visuellement l'effet (« arête centrale ») et ses causes potentielles regroupées par catégories : Matériel, Méthodes, Main-d'œuvre, Milieu, Mesures, etc.

On l'utilise surtout quand un problème a plusieurs causes potentielles et qu'on veut structurer la réflexion collective.

Fault Tree Analysis (Analyse par l'arbre de défaillances)

L'FTA construit un arbre logique où l'événement indésirable est la racine et les causes sont déployées à l'aide de portes logiques AND/OR.

Exemple de FTA

Conclusion

Le choix de la méthode d'analyse de cause racine doit refléter la gravité et la complexité de l'incident, la maturité du SGSI et les ressources disponibles.

Une situation simple devrait utiliser la méthode des cinq pourquoi.

À l'inverse, un incident complexe ou récurrent pourra justifier l'emploi d'approches arborescentes comme l'FTA, la CFTA ou le MORT, afin de dévoiler les interdépendances techniques et organisationnelles.

Quel que soit l'outil retenu, l'intégration de la RCA dans le cycle PDCA renforce l'amélioration continue, assure la pérennité des actions correctives prévues à la clause 10.2 et consolide la robustesse du SGSI.