Une revue est le moment où vous re-regardez un risque ou un contrôle pour décider : est-il toujours pertinent, à jour, efficace ? Sans revues régulières, votre registre devient un musée — et NIS2 / ISO 27001 vous le reprochent.
La sécurité n'est pas un état stable. Les menaces évoluent, votre activité change, vos contrôles se dégradent (turnover, configurations qui dérivent...). Sans revue, vous prenez progressivement du retard sans le voir.
Pour les risques cyber élevés (score ≥ 12) — ils bougent vite. Recommandé pour les contrôles techniques critiques (MFA, EDR, backup).
Pour les risques opérationnels et conformité de niveau intermédiaire.
Minimum exigé par NIS2 et ISO 27001 pour tout risque/contrôle au registre. Couplez cela à la préparation d'audit.
Après un incident, un changement majeur (déménagement, nouveau fournisseur, fusion), ou la sortie d'une nouvelle régulation.
Le risque/contrôle reste valable en l'état. Documentez quand même la revue (date, revue effectuée par X).
Probabilité, impact, contrôles liés ou champ libre modifiés. Le journal d'audit garde la trace de ce qui a changé.
Le revuer estime que la décision dépasse son niveau (ex. budget supplémentaire pour traiter le risque, décision business à prendre).
Le risque/contrôle ne s'applique plus (activité arrêtée, technologie décommissionnée). Garde l'historique pour traçabilité.
Quand vous fixez une fréquence de revue sur un risque (ou un contrôle), NIS2YOU calcule automatiquement la prochaine date de revue et vous envoie :
- Une notification 7 jours avant l'échéance ("Revue à effectuer pour RISK-01-005")
- Une notification le jour J
- Une notification en retard tant que la revue n'est pas faite
Vous trouverez tous les éléments en attente de revue dans la page Revues.