Confusion terminologique en pratique
La gestion des risques est centrale dans le travail de sécurité — elle est exigée par ISO 27001, NIS2, RGPD et pratiquement tous les référentiels. Mais la terminologie varie et crée de la confusion.
L’analyse de risques et l’évaluation des risques sont-elles la même chose ? Quelle est la différence avec la gestion des risques ? Et où intervient l’identification des risques ?
Principe fondamental : Les noms varient, mais le processus reste le même. L’important est de faire le travail — pas de se battre sur la terminologie. Ce guide vous aide à comprendre les concepts pour communiquer clairement.
Définitions d’ISO 31000
Processus de gestion des risques selon ISO 31000 :
| Concept | Définition | En pratique |
|---|---|---|
| Identification des risques | Trouver, reconnaître et décrire les risques | Lister les menaces et vulnérabilités potentielles |
| Analyse des risques | Comprendre la nature du risque et déterminer le niveau de risque | Évaluer probabilité × impact |
| Évaluation des risques | Comparer les résultats de l’analyse avec les critères de risque pour prioriser | Ce risque est-il acceptable ? Quels sont les plus grands risques ? |
| Traitement des risques | Choisir et mettre en œuvre des mesures pour gérer le risque | Réduire, éviter, partager ou accepter |
L’ensemble du processus (identification → analyse → évaluation → traitement) s’appelle gestion des risques ou risk management.
Vue d’ensemble visuelle
┌─────────────────────────────────────────────────────────────┐
│ GESTION DES RISQUES │
│ ┌──────────────┐ ┌──────────────┐ ┌──────────────┐ │
│ │ IDENTIFIER │→ │ ANALYSER │→ │ ÉVALUER │ │
│ │Trouver risques│ │ Probabilité │ │ Prioriser │ │
│ │ │ │ Impact │ │ Comparer aux │ │
│ │ │ │Niveau risque │ │ critères │ │
│ └──────────────┘ └──────────────┘ └──────────────┘ │
│ ↓ │
│ ┌──────────────┐ │
│ │ TRAITER │ │
│ │ Mettre en │ │
│ │ œuvre mesures│ │
│ └──────────────┘ │
└─────────────────────────────────────────────────────────────┘
Identification des risques en détail
Que faites-vous ? Trouver et décrire systématiquement les risques qui peuvent affecter les objectifs de l’organisation.
Activités typiques :
- Inventorier les actifs et leur valeur
- Identifier les acteurs de menace et les scénarios de menace
- Cartographier les vulnérabilités
- Analyser les incidents historiques
- Organiser des ateliers avec les métiers
Résultat : Une liste de risques identifiés, chaque risque décrit avec :
- Acteur de menace (qui/quoi)
- Vulnérabilité (faiblesse exploitable)
- Actif (ce qui est affecté)
- Impact potentiel (ce qui peut arriver)
Exemple : “Le risque que des attaquants externes (acteur de menace) exploitent des systèmes non corrigés (vulnérabilité) pour compromettre les données clients (actif), entraînant une fuite de données et des amendes RGPD (impact).”
Analyse des risques en détail
Que faites-vous ? Comprendre la nature du risque en évaluant la probabilité et l’impact pour déterminer le niveau de risque.
Évaluation de la probabilité :
| Niveau | Description | Fréquence |
|---|---|---|
| Très faible | Improbable | <1 fois per 10 ans |
| Faible | Peut survenir | 1 fois per 1-10 ans |
| Moyen | Probable | 1 fois par an |
| Élevé | Attendu | Plusieurs fois par an |
| Très élevé | Quasi certain | Mensuel ou plus |
Évaluation de l’impact :
| Niveau | Économique | Réputation | Juridique |
|---|---|---|---|
| Négligeable | <50 k€ | Aucun impact | Aucun |
| Faible | 50-500 k€ | Impact local | Avertissement |
| Moyen | 500k€-5 M€ | Attention nationale | Amendes |
| Élevé | 5-50 M€ | Dommage durable | Amendes importantes |
| Catastrophique | >50 M€ | Activité menacée | Poursuites |
Niveau de risque = Probabilité × Impact
Évaluation des risques en détail
Que faites-vous ? Comparer les résultats de l’analyse aux critères de risque de l’organisation pour déterminer si le risque est acceptable et prioriser les actions.
Les critères de risque définissent :
- Quel niveau de risque est acceptable sans action
- Quel niveau de risque nécessite une action immédiate
- Qui prend les décisions aux différents niveaux
Matrice de risque typique :
| Négligeable | Faible | Moyen | Élevé | Catastrophique | |
|---|---|---|---|---|---|
| Très élevé | Moyen | Élevé | Élevé | Critique | Critique |
| Élevé | Faible | Moyen | Élevé | Élevé | Critique |
| Moyen | Faible | Moyen | Moyen | Élevé | Élevé |
| Faible | Négligeable | Faible | Moyen | Moyen | Élevé |
| Très faible | Négligeable | Négligeable | Faible | Moyen | Moyen |
Décision basée sur l’évaluation :
- Critique : Escalader à la direction, action immédiate
- Élevé : Planifier une action à court terme
- Moyen : Traiter dans un délai raisonnable, surveiller
- Faible : Acceptable avec surveillance
- Négligeable : Accepter sans action
Traitement des risques en détail
- Éviter le risque Supprimer l'activité ou l'actif qui crée le risque. Exemple : Arrêter de stocker des données dont vous n'avez pas besoin. Convient quand le coût du risque dépasse l'utilité de l'activité.
- Réduire le risque Mettre en œuvre des contrôles qui diminuent la probabilité ou l'impact. Le plus courant. Exemple : Pare-feu, formation, sauvegarde, chiffrement.
- Partager le risque Transférer tout ou partie du risque à un tiers. Exemple : Cyber-assurance, externalisation vers un spécialiste. La responsabilité juridique demeure souvent.
- Accepter le risque Décision consciente de ne pas agir. Documentée avec justification et approbation au bon niveau. Convient aux risques faibles où l'action coûte plus que le risque.
Termes français vs anglais
Confusion de traduction courante :
| Anglais | Français (ISO 31000) | Français (souvent utilisé) |
|---|---|---|
| Risk identification | Identification des risques | - |
| Risk analysis | Analyse des risques | Analyse des risques |
| Risk evaluation | Évaluation des risques | Évaluation des risques |
| Risk assessment | Appréciation du risque* | Analyse des risques* |
| Risk treatment | Traitement des risques | Gestion des risques* |
| Risk management | Gestion des risques | - |
*“Risk assessment” se traduit souvent par “analyse des risques” ou “appréciation du risque” selon le contexte. Dans ISO 27001, “risk assessment” inclut tout le processus identification → analyse → évaluation.
Règle pratique : Demandez ce que la personne veut dire. La terminologie varie — le processus reste le même.
Comment NIS2 et ISO 27001 utilisent les concepts
NIS2
La loi de transposition de la directive NIS 2 exige des “mesures fondées sur les risques” et mentionne spécifiquement “l’analyse des risques”. La directive ne définit pas de processus exact mais exige que les organisations :
- Identifient les risques pour les systèmes de réseau et d’information
- Évaluent la gravité des risques
- Mettent en œuvre des mesures appropriées
L’ANSSI et les autorités sectorielles compétentes supervisent l’application.
ISO 27001
ISO 27001 exige un processus documenté d‘“appréciation du risque de sécurité de l’information” qui inclut :
- Établir les critères de risque
- Identifier les risques de sécurité de l’information
- Analyser et évaluer les risques
- Choisir les options de traitement des risques
Exemple pratique : Scénario ransomware
Identification : Risque : Attaque par rançongiciel qui chiffre les systèmes et données critiques.
- Acteur de menace : Cybercriminels
- Vulnérabilité : Sécurité e-mail insuffisante, systèmes non corrigés
- Actif : Système ERP, base de données clients
- Impact : Arrêt d’activité, rançon, atteinte à la réputation
Analyse :
- Probabilité : Élevée (le secteur est visé, des entreprises similaires ont été touchées)
- Impact : Élevé (1-2 semaines d’arrêt, ~5 M€ de coûts directs)
- Niveau de risque : Élevé (Élevé × Élevé)
Évaluation :
- Les critères de risque disent : Risque élevé nécessite une action sous 30 jours
- Priorisation : Top 3 des risques identifiés
- Décision : Escalader à la direction, allouer des ressources
Traitement :
- Réduire : Mettre en œuvre sécurité e-mail, gestion des correctifs, sauvegarde
- Partager : Souscrire une cyber-assurance
- Risque résiduel : Accepter après mesures (réduit à Moyen)
Pièges courants
Utiliser "analyse des risques" pour désigner tout le processus. Communication floue qui crée de la confusion.
Aller directement à l'évaluation sans identification systématique. Rate les risques auxquels on n'a pas pensé.
Évaluer les risques sans critères définis. Subjectif et incohérent.
Faire l'analyse mais ne jamais mettre en œuvre les actions. Document sans valeur.
Exigences de documentation
Que documenter ?
| Étape | Documentation |
|---|---|
| Identification | Registre des risques avec tous les risques identifiés |
| Analyse | Évaluation de probabilité et impact par risque |
| Évaluation | Critères de risque, priorisation, décisions |
| Traitement | Plan d’action, responsable, échéance, statut |
Pour l’audit :
- Montrer que le processus est systématique et répété
- Documenter qui a participé et quand
- Conserver l’historique pour montrer l’amélioration
- Lier les risques aux actions et preuves
Comment Securapilot peut aider
Securapilot structure tout le processus de gestion des risques :
- Registre des risques — Identifier et documenter les risques
- Analyse des risques — Évaluer probabilité et impact
- Évaluation des risques — Critères définis et priorisation
- Gestion des actions — Suivre le traitement et le statut
- Reporting — Vue d’ensemble pour la direction et l’audit
Réserver une démo et voir comment nous pouvons soutenir votre travail sur les risques.
Questions fréquentes
L'analyse de risques et l'évaluation des risques sont-elles la même chose ?
Non, mais elles se chevauchent. L'analyse de risques se concentre sur la compréhension de la probabilité et de l'impact. L'évaluation des risques inclut l'analyse mais ajoute la comparaison avec les critères de risque et la priorisation.
Qu'est-ce qui vient en premier — l'analyse ou l'évaluation ?
Selon ISO 31000 : Identification des risques → Analyse des risques → Évaluation des risques. L'analyse fournit les données, l'évaluation les valorise et les priorise sur cette base.
Qu'est-ce que le traitement des risques ?
Le traitement des risques est l'étape après l'évaluation — choisir et mettre en œuvre des mesures. Les alternatives sont : éviter, réduire, partager (assurer/externaliser), ou accepter le risque.
Dois-je suivre ISO 31000 ?
ISO 31000 est un guide, pas une norme certifiable. Mais la terminologie est utilisée dans ISO 27001, NIS2 et la plupart des référentiels. Cela facilite de parler le même langage.
