N2
Nis2You
Se connecter Démarrer gratuitement
Les risques

Un risque est un événement potentiel qui pourrait nuire à votre activité. Le but du registre des risques est de les rendre visibles, de les hiérarchiser, puis de décider quoi faire de chacun.

L'équation du risque

Chaque risque est évalué selon deux dimensions : la probabilité qu'il se produise et l'impact s'il se produit. Le score est simplement leur produit.

Probabilité × Impact = Score

Échelles 1 à 5, score de 1 (négligeable) à 25 (existentiel).

Inhérent vs résiduel

Vous évaluez chaque risque deux fois :

Inhérent (à nu)

La probabilité × impact SI vous n'aviez aucun contrôle en place. C'est l'exposition de base, sans vos défenses.

Résiduel (avec contrôles)

Ce qui reste une fois vos contrôles déployés. C'est le risque que vous portez réellement aujourd'hui.

Si le résiduel n'est pas plus bas que l'inhérent, vos contrôles ne servent à rien — ou ne sont pas appliqués. C'est exactement ce que les auditeurs vérifient.
La heatmap probabilité × impact

Visualisez vos risques sur une grille 5×5. Les zones rouges (score ≥ 12) demandent un traitement immédiat ; les zones vertes (score ≤ 4) peuvent être acceptées.

P1
P2
P3
P4
P5
I5
5
10
15
20
25
I4
4
8
12
16
20
I3
3
6
9
12
15
I2
2
4
6
8
10
I1
1
2
3
4
5
1-4 négligeable 5-8 modéré 9-14 élevé 15-25 critique
Les 4 stratégies de traitement
Atténuer — Mettre en place des contrôles pour réduire la probabilité ou l'impact. C'est l'option par défaut pour la plupart des risques.

Ex. déployer MFA pour atténuer le risque de phishing.

Accepter — Vivre avec le risque tel quel. Justifié quand le coût du traitement dépasse l'impact attendu, ou quand le risque est intrinsèquement faible.

Ex. accepter une hausse tarifaire AWS de 5%.

Transférer — Faire porter le risque par un tiers. Typiquement via une assurance, un sous-traitant, ou une clause contractuelle.

Ex. police d'assurance cyber pour transférer le coût d'une rançon.

Éviter — Arrêter l'activité qui génère le risque. Drastique mais parfois nécessaire.

Ex. cesser de stocker des données sensibles qu'on n'a pas besoin de stocker.

Le cycle de vie d'un risque

Chaque risque progresse à travers des états bien définis :

Identifié Évalué Atténué Accepté Transféré Clôturé

Vous pouvez toujours revenir en arrière (de Clôturé à Évalué par exemple) si la situation change. Chaque transition est tracée dans le journal d'audit.

Bonnes pratiques
  • Visez 10-20 risques majeurs, pas 200 micro-risques.
  • Reliez chaque risque à au moins un contrôle (sinon, à quoi sert-il dans le registre ?).
  • Documentez la justification quand vous acceptez ou transférez — c'est ce que les auditeurs lisent.
  • Re-évaluez les risques cyber tous les trimestres : ils bougent vite.
Retour à l'index Suivant : Les contrôles