La gestion des risques informationnels distingue le manager sécurité du technicien qui empile des contrôles. Le premier hiérarchise, arbitre, accepte ce qui ne peut pas être traité ; le second cherche à tout corriger sans budget. Ce tutoriel déroule la construction d’un registre de risques exploitable, depuis l’inventaire des actifs jusqu’au plan de traitement validé en comité, en suivant la méthode standardisée par ISO/IEC 27005:2022 et le guide NIST SP 800-30 Révision 1. À la fin, vous disposerez d’un tableau de risques chiffrés, défendable devant un auditeur et conforme aux attentes du domaine 2 de l’examen CISM.
Prérequis
- Charte sécurité signée et comité de sécurité constitué (résultat du tutoriel précédent)
- Accès à la liste des applications et systèmes critiques (CMDB ou inventaire DSI)
- Tableur (Excel, Google Sheets ou LibreOffice Calc) ou outil GRC simple
- Connaissance des notions de menace, vulnérabilité, actif, impact, vraisemblance
- Temps estimé pour boucler le premier cycle : 4 à 6 semaines
- Niveau attendu : manager sécurité ou candidat CISM en révision du domaine 2
Étape 1 — Choisir le cadre méthodologique
Avant d’identifier le premier risque, fixez la méthode. Sans cadre méthodologique explicite, votre registre devient un exercice subjectif que personne ne pourra contester ni utiliser. Trois grandes familles cohabitent dans le monde réel et chacune correspond à un contexte précis.
| Cadre | Origine | Bon pour | Moins adapté à |
|---|---|---|---|
| ISO/IEC 27005:2022 | ISO international | Organisations cherchant la certification 27001 | Très petites structures |
| NIST SP 800-30 r1 | États-Unis fédéral | Organisations multinationales, intégration NIST CSF | Contextes purement européens |
| EBIOS Risk Manager | ANSSI France | Administrations, OIV, OSE | Démarches rapides et légères |
| FAIR (Factor Analysis of Information Risk) | The Open Group | Analyse quantitative chiffrée, défense budgétaire | Première démarche sans données historiques |
Pour une première mise en place dans une organisation francophone qui vise la certification ISO 27001, le choix raisonnable est ISO/IEC 27005:2022 — c’est la méthode explicitement référencée par la norme ISO 27001 et celle qu’un auditeur attend. NIST SP 800-30 est très proche conceptuellement et reste valable. EBIOS Risk Manager est obligatoire pour les Opérateurs d’Importance Vitale et les Opérateurs de Services Essentiels en France ; il l’est aussi de fait pour beaucoup de structures publiques africaines qui s’alignent sur l’ANSSI. FAIR est puissant mais demande des données historiques difficiles à obtenir au démarrage.
Étape 2 — Définir l’échelle de cotation
L’échelle de cotation transforme une intuition en chiffre comparable. Sans elle, vous ne pourrez ni hiérarchiser ni défendre vos priorités. Deux échelles cohabitent : qualitative (haute, moyenne, basse) ou quantitative (fourchettes en euros et en pourcentages). Pour un premier cycle, l’échelle qualitative à 5 niveaux est la plus exploitable. Elle se complète d’une lecture quantitative ciblée pour les 10 risques majeurs uniquement, là où la défense budgétaire est nécessaire.
| Niveau | Vraisemblance | Impact financier | Impact opérationnel |
|---|---|---|---|
| 1 — Très faible | < 1 occurrence / 5 ans | < 10 k€ | Aucune interruption métier |
| 2 — Faible | 1 occurrence / 2 à 5 ans | 10 à 50 k€ | Interruption < 4 h sur 1 service |
| 3 — Modéré | 1 occurrence / an | 50 à 250 k€ | Interruption 4 à 24 h sur 1 service |
| 4 — Élevé | Plusieurs / an | 250 k à 1 M€ | Interruption > 24 h ou plusieurs services |
| 5 — Critique | Mensuel ou continu | > 1 M€ | Arrêt complet ou perte de réputation majeure |
Cette échelle se valide en comité de sécurité avant tout exercice de cotation. Une fois adoptée, elle devient la référence partagée — toute discussion sur un risque s’appuiera désormais sur ces niveaux, sans dérive vers le ressenti individuel. Adaptez les seuils financiers à la taille de votre organisation : pour une PME, divisez par 10 ; pour un grand groupe, multipliez par 10.
Étape 3 — Inventorier et classifier les actifs
Pas d’analyse de risques sans actifs identifiés. Un actif est ce qui a de la valeur pour l’organisation : applications, bases de données, infrastructures, processus métier, contrats, savoir-faire, données personnelles, marque. L’objectif de l’étape n’est pas d’être exhaustif au premier passage — c’est de couvrir les 20 % d’actifs qui portent 80 % de la valeur. Visez 30 à 60 actifs pour un premier registre, pas 500.
Identifiant : APP-001 Libellé : Plateforme de paiement en ligne Propriétaire : Directeur des opérations e-commerce Hébergement : Cloud public (région Europe) Dépendances : Base de données clients, passerelle banque Confidentialité : Critique (données carte bancaire) Intégrité : Critique (transactions financières) Disponibilité : Critique (CA direct) Conformité : PCI DSS, RGPD/loi locale données personnelles
Chaque actif reçoit une note CID (Confidentialité, Intégrité, Disponibilité) sur l’échelle 1 à 5. Cette note CID conditionne ensuite la cotation des risques associés. Un actif dont la note CID est globalement faible (par exemple un site vitrine sans données sensibles) ne mérite pas le même niveau de scrutation qu’une plateforme de paiement. La classification consomme du temps mais évite ensuite des heures de débat sur ce qui mérite priorité.
Étape 4 — Identifier menaces et vulnérabilités
Une fois les actifs cartographiés, on identifie pour chacun les menaces réalistes (qui ou quoi pourrait nuire) et les vulnérabilités exploitables (faiblesses internes). Les menaces se rangent en familles standardisées par ISO 27005 et NIST SP 800-30 : actes humains malveillants, erreurs humaines, défaillances techniques, événements naturels, défaillances fournisseurs. Les vulnérabilités proviennent du système lui-même : absence de MFA, dépendance à un seul fournisseur, code applicatif non audité, sauvegardes non testées.
- Menaces externes — rançongiciel, phishing ciblé, attaque DDoS, fuite chez un sous-traitant, compromission d’identifiants d’administration
- Menaces internes — sabotage par un employé licencié, accès non autorisé par un administrateur, fraude au paiement, vol de données par un consultant
- Menaces accidentelles — erreur de manipulation en production, perte d’ordinateur portable, suppression accidentelle de base, incendie centre de données
- Menaces réglementaires — sanctions pour non-conformité, suspension d’agrément, contentieux client
Pour chaque actif, identifiez 3 à 5 couples menace-vulnérabilité les plus pertinents. Un actif comme la plateforme de paiement aura par exemple : compromission d’identifiant admin (faible MFA), fuite via fournisseur (audit tiers non fait), indisponibilité prolongée (pas de plan de reprise testé). Ce travail se fait en atelier avec les responsables métier de l’actif — leur connaissance du terrain remonte des menaces que la sécurité seule n’aurait pas vues.
Étape 5 — Coter chaque risque (vraisemblance × impact)
La cotation transforme chaque couple actif-menace-vulnérabilité en un risque chiffré. La formule de base est : niveau de risque = vraisemblance × impact. Avec une échelle 1 à 5 pour chaque facteur, le score brut va de 1 à 25. On distingue deux scores pour chaque risque : le risque inhérent (avant tout contrôle) et le risque résiduel (après application des contrôles existants). Ce qui se présente en comité est le risque résiduel — celui qui détermine l’urgence d’agir.
| Score résiduel | Zone | Action attendue |
|---|---|---|
| 1 à 5 | Verte | Surveillance, pas d’action prioritaire |
| 6 à 10 | Jaune | Traitement planifié dans l’année |
| 11 à 15 | Orange | Traitement prioritaire à 6 mois, présentation comité |
| 16 à 25 | Rouge | Traitement immédiat ou acceptation explicite COMEX |
La discipline qui rend la cotation utile : justifier chaque note par une raison écrite. « Vraisemblance 4 parce que trois tentatives de phishing ciblé ont été détectées dans les six derniers mois » est défendable. « Vraisemblance 4 parce que c’est mon ressenti » ne l’est pas. Cette traçabilité prend du temps mais résiste à toutes les contestations futures, y compris devant un auditeur ou un tribunal en cas de sinistre.
Étape 6 — Choisir le traitement (éviter, transférer, atténuer, accepter)
Pour chaque risque résiduel, le manager sécurité propose une stratégie de traitement parmi les quatre options codifiées dans l’examen CISM. Le choix dépend du score résiduel, du coût du traitement et de l’appétence au risque de l’organisation. Aucun choix n’est intrinsèquement supérieur — il s’agit d’arbitrer rationnellement entre des compromis.
- Éviter — supprimer l’actif ou l’activité qui porte le risque. Exemple : arrêter le stockage local de cartes bancaires en passant à un PSP certifié PCI DSS, éliminant tout le périmètre PCI sur ses propres systèmes.
- Transférer — déplacer la responsabilité financière vers un tiers. Exemple : souscrire une couverture cyber-risques. Attention, l’examen attend que vous identifiez les limites : une couverture ne transfère pas l’impact réputationnel ni les obligations de notification réglementaire.
- Atténuer — réduire la vraisemblance ou l’impact par un contrôle. C’est l’option la plus fréquente : déployer du MFA, segmenter le réseau, chiffrer les bases, former les utilisateurs.
- Accepter — décider formellement de vivre avec le risque. Cette décision doit être tracée et signée par le sponsor exécutif. L’acceptation tacite (« on n’a rien fait ») n’est pas une option défendable en audit.
L’erreur classique est de répondre « atténuer » à tout. Une bonne analyse comporte un mix raisonnable : 60 % d’atténuations, 20 % d’acceptations formelles, 10 % de transferts, 10 % d’évitements. Si votre plan ne comporte que des atténuations, vous n’avez pas vraiment arbitré.
Étape 7 — Construire le registre des risques
Le registre est le livrable central du domaine 2. C’est lui qui est présenté en comité, audité par un certificateur, consulté par le board. Le format tient sur une ligne par risque avec au minimum les colonnes suivantes. Tout outil GRC (Archer, ServiceNow GRC, OneTrust) reprend cette structure ; un tableur fait parfaitement l’affaire pour démarrer.
| ID | Actif | Menace-Vulnérabilité | V | I | Inhérent | Contrôles actuels | V' | I' | Résiduel | Traitement | Pilote | Échéance | Statut | |-------|-------------|----------------------------------------------|---|---|----------|--------------------------|----|----|----------|------------|----------|------------|------------| | R-001 | APP-001 | Compromission compte admin, MFA absent | 4 | 5 | 20 | MDP complexe, alertes | 3 | 5 | 15 | Atténuer | DSI | 2026-09-30 | En cours | | R-002 | DATA-001 | Fuite via fournisseur SaaS | 3 | 4 | 12 | Contrat, NDA | 3 | 4 | 12 | Atténuer | RSSI | 2026-12-31 | À démarrer | | R-003 | INFRA-002 | Indisponibilité centre données > 24 h | 2 | 5 | 10 | Sauvegarde quotidienne | 2 | 4 | 8 | Atténuer | DSI | 2027-06-30 | Validé | | R-004 | APP-003 | Vulnérabilité applicative non corrigée | 4 | 3 | 12 | Tests intrusion annuels | 3 | 3 | 9 | Atténuer | Dev Lead | 2026-07-31 | En cours | | R-005 | DATA-002 | Erreur de manipulation effaçant base prod | 2 | 4 | 8 | Sauvegarde, formation | 2 | 3 | 6 | Accepter | DSI | 2026-12-31 | Acté COMEX |
Quelques règles d’hygiène pour que le registre tienne : numéroter les risques de façon stable (jamais réutiliser un ID supprimé), versionner le fichier mensuellement, conserver l’historique des modifications, geler une version à chaque comité avec date et signature. Un registre qui change tous les jours sans traçabilité ne vaut rien — il devient suspect en audit et donne lieu à des constats de non-conformité.
Étape 8 — Surveiller et réviser le registre
Un registre figé devient faux en quelques mois. La surveillance s’organise sur trois cadences combinées : mensuelle pour les indicateurs de risque (KRI, Key Risk Indicators), trimestrielle pour la revue d’avancement du plan de traitement, annuelle pour la refonte complète et la re-cotation. Les déclencheurs hors cycle — incident majeur, nouvelle réglementation, fusion-acquisition, changement d’architecture — imposent une revue immédiate des risques concernés.
Quelques KRI utiles à suivre : nombre de tentatives de connexion échouées sur les comptes administratifs (anormalité → risque R-001), retard moyen de patching critique (lié à R-004), nombre de fournisseurs sans audit sécurité à jour (lié à R-002), taux de couverture MFA sur les comptes à privilèges. Ces KRI alimentent le tableau de bord présenté en comité — détaillé dans le tutoriel correspondant.
Étape 9 — Vérifier que la démarche tient
Trois tests de cohérence avant de considérer le registre comme exploitable. Si vous échouez à l’un, retournez à l’étape concernée.
- Pour chaque risque rouge, le pilote est identifié nommément, l’échéance est dans les 6 mois, et le COMEX a vu la fiche au moins une fois.
- Aucun risque n’a la même note inhérente et résiduelle sans justification écrite — si V × I est inchangé, c’est que les contrôles actuels sont nuls et qu’il faut le dire en toutes lettres.
- L’ensemble des risques rouge et orange représente moins de 30 % du registre — au-delà, c’est que l’échelle est mal calibrée ou que la sélection des actifs est trop large.
Le registre devient utile quand quelqu’un d’autre que vous peut le lire, le comprendre et l’utiliser pour décider. Faites le test en présentant trois risques à un directeur métier extérieur à votre périmètre : s’il comprend l’enjeu et le plan d’action en moins de cinq minutes, le registre est exploitable.
Erreurs fréquentes
| Erreur | Cause | Solution |
|---|---|---|
| 500 risques au premier registre | Volonté d’exhaustivité immédiate | Commencer par 30 à 60 risques sur les actifs critiques uniquement |
| Vraisemblance sans justification écrite | Habitude de l’intuition | Colonne « justification » obligatoire dans le registre |
| Acceptation tacite (rien fait, rien dit) | Évitement du conflit avec le COMEX | Forcer la décision écrite signée — protection légale |
| Risque résiduel = risque inhérent partout | Aucun contrôle réellement en place | Soit déployer les contrôles, soit l’écrire et faire monter au comité |
| Plan de traitement à 3 ans pour les rouges | Sous-évaluation de l’urgence | Réétudier la cotation ou réviser le plan à 3 à 6 mois |
| Pas de revue après incident | Plan de traitement traité comme un projet | Procédure formelle de revue post-incident, déclencheur inscrit dans la politique |
Tutoriels frères
- Bâtir une gouvernance de sécurité : charte, comité de sécurité, matrice RACI
- Piloter un programme de sécurité : feuille de route, KPI, budget défendable
- Approche CISSP du risque : CISSP Domaine 1 — Security and Risk Management couvre les mêmes concepts ISO 27005 / NIST SP 800-30 vus côté ISC².
Pour aller plus loin
- Retour au panorama : CISM (ISACA) : devenir Manager sécurité de l’information en 2026
- NIST SP 800-30 Rev. 1 — Guide for Conducting Risk Assessments — référence anglophone, gratuite.
- ISO/IEC 27005:2022 — Information security risk management — alignée ISO 27001.
- EBIOS Risk Manager — méthode ANSSI, gratuite, francophone.
- CISM Review Manual 2026 — chapitre 2 entièrement consacré à la gestion des risques.
FAQ
Faut-il un outil GRC dédié pour gérer le registre ?
Non, pas tant que vous restez sous 200 risques. Un tableur partagé, versionné mensuellement, suffit largement pour les deux premières années. Un outil GRC devient justifié quand le registre dépasse plusieurs centaines d’entrées, qu’il faut consolider plusieurs filiales ou produire un reporting automatisé. Investir dans un outil avant d’avoir maîtrisé la méthode entraîne un échec coûteux dans 90 % des cas.
Comment distinguer un risque opérationnel d’un risque sécurité ?
Le risque sécurité touche la confidentialité, l’intégrité ou la disponibilité d’un actif informationnel. Le risque opérationnel est plus large et couvre aussi les erreurs de processus, les défaillances fournisseurs non liées à la sécurité, les risques humains de fraude interne. Une bonne pratique est de tenir un registre sécurité distinct, qui alimente — sans s’y substituer — le registre global des risques opérationnels piloté par la Direction des Risques.
Comment l’examen CISM teste-t-il ce domaine ?
Par des questions qui demandent de choisir la stratégie de traitement face à un scénario. Les pièges classiques : choisir « atténuer » alors que la bonne réponse est « accepter par décision formelle » ; choisir « transférer par assurance » sans noter que la réputation n’est pas couverte ; confondre risque inhérent et résiduel dans la lecture d’un tableau. La discipline qui paie est de lire chaque énoncé en se demandant « quel est l’actif, quel est l’impact métier, quelle est l’appétence au risque mentionnée ».
L’analyse quantitative remplace-t-elle l’analyse qualitative ?
Non, elle la complète sur un sous-ensemble de risques. L’analyse quantitative (FAIR ou approche ALE — Annual Loss Expectancy) demande des données historiques de fréquence d’événements et de coûts moyens qu’on n’a pas au démarrage. La pratique mature consiste à coter qualitativement l’ensemble du registre, puis à chiffrer quantitativement les 5 à 10 risques majeurs pour défendre les arbitrages budgétaires en COMEX.
Que faire des risques rouges qu’on ne peut pas traiter dans l’année ?
Deux voies : soit l’acceptation formelle par le COMEX, tracée et signée, avec une date de revue ; soit l’atténuation partielle qui ramène le risque en zone orange par un contrôle compensatoire temporaire. L’option à fuir absolument est l’inscription du risque rouge avec une échéance « à étudier » qui ne bouge pas pendant deux ans — c’est exactement ce qu’un auditeur isole en premier comme défaillance majeure de gouvernance.