Tous les articles
10
min
ISO 27001

Gestion des risques en sécurité de l'information : un processus continu au cœur du SMSI

La gestion des risques de sécurité de l'information constitue un processus structurant, continu et itératif du SMSI. Elle ne se limite pas à un exercice ponctuel réalisé pour satisfaire une exigence normative, mais vise à outiller l'organisation pour identifier, analyser, traiter et piloter les risques dans la durée, en cohérence avec ses objectifs métiers, réglementaires et stratégiques.

Trop souvent réduite à une simple "analyse des risques" réalisée en début de projet, la gestion des risques représente en réalité un cycle complet : de l'établissement du contexte jusqu'à la surveillance et au réexamen, en passant par l'appréciation, le traitement et l'acceptation.

Ce processus global constitue ainsi le cœur décisionnel du SMSI : il éclaire les choix de sécurité, priorise les investissements et permet à la direction de piloter la sécurité de l'information de manière maîtrisée et justifiable.

La gestion des risques, processus structurant du SMSI

Une logique end-to-end

La gestion des risques s'inscrit dans une logique complète, depuis la compréhension du contexte jusqu'au suivi des risques résiduels. Elle dépasse largement le simple moment de "l'analyse initiale" pour devenir un mécanisme de pilotage permanent.

Cette approche continue permet à l'organisation d'identifier non seulement les risques présents au moment de la certification, mais aussi ceux qui émergent au fil de l'évolution de l'entreprise, de ses technologies et de son environnement.

Le cœur décisionnel du SMSI

La gestion des risques joue un rôle de "cœur décisionnel" pour plusieurs raisons essentielles :

  • Éclairer les choix de sécurité : chaque décision d'investissement ou de priorisation doit pouvoir s'appuyer sur l'évaluation des risques. Faut-il renforcer la supervision ? Externaliser la sauvegarde ? Former davantage les équipes ? Les réponses se trouvent dans l'analyse des risques.
  • Prioriser les investissements : face à des ressources limitées, la gestion des risques permet d'arbitrer objectivement. Les risques élevés justifient des actions prioritaires, tandis que les risques faibles peuvent être surveillés sans action immédiate.
  • Piloter la sécurité de manière maîtrisée : la direction dispose d'une vision consolidée et argumentée des risques, facilitant les arbitrages stratégiques et la communication avec les parties prenantes (clients, partenaires, régulateurs).

Alignement avec les objectifs business

La gestion des risques ne peut être efficace que si elle reste alignée avec les objectifs métiers, réglementaires et stratégiques de l'organisation. Une gestion des risques déconnectée des enjeux business devient rapidement un exercice théorique sans valeur ajoutée.

Chaque risque doit pouvoir être relié à un impact concret : perte de chiffre d'affaires, atteinte à la réputation, non-conformité réglementaire, perturbation opérationnelle. Cette mise en perspective permet de parler le langage de la direction et des métiers, et non uniquement celui de la technique.

Les grandes étapes du cycle de gestion des risques

1. Établissement du contexte

L'établissement du contexte constitue le socle de toute gestion des risques cohérente. Cette étape vise à :

  • Définir le périmètre du SMSI : quelles entités organisationnelles, quels processus, quels systèmes d'information sont concernés ? Ce périmètre doit être explicite et validé par la direction.
  • Identifier les parties prenantes et les biens : qui sont les acteurs clés ? Quels sont les biens essentiels (données clients, propriété intellectuelle) et les biens supports (applications, infrastructures) à protéger ?
  • Définir les échelles d'évaluation : comment mesurer l'impact et la vraisemblance d'un risque ? Quels sont les seuils d'acceptation du risque ? Ces échelles doivent être compréhensibles par tous les acteurs.

Un contexte bien établi garantit une analyse des risques pertinente, proportionnée et exploitable dans la durée.

2. Appréciation des risques

L'appréciation des risques constitue le cœur de l'analyse. Elle repose sur plusieurs activités structurées :

  • Identification des menaces et vulnérabilités : quelles sont les causes potentielles d'incidents (cyberattaques, erreurs humaines, pannes) ? Quelles faiblesses peuvent être exploitées (configurations inadéquates, procédures inexistantes) ?
  • Construction de scénarios de risques : comment une menace exploite-t-elle une vulnérabilité sur un bien support, entraînant un impact sur un bien essentiel ? Chaque scénario doit être formulé de manière claire et compréhensible.
  • Évaluation des impacts et de la vraisemblance : quelles seraient les conséquences si le scénario se réalisait (impact financier, opérationnel, réglementaire, réputationnel) ? Quelle est la probabilité de réalisation, compte tenu des mesures existantes ?
  • Calcul du niveau de risque : la formule classique est Risque = Impact × Vraisemblance. Le résultat permet de qualifier le risque (faible, moyen, élevé, majeur) et de déterminer son acceptabilité.

3. Traitement des risques

Une fois les risques évalués, des décisions de traitement doivent être prises pour chaque risque identifié. Quatre options principales existent :

  • Réduction : mettre en œuvre des mesures de sécurité pour diminuer la vraisemblance ou l'impact du risque (contrôles d'accès, sauvegardes, formation).
  • Acceptation : accepter le risque en l'état, sans mesure supplémentaire, si son niveau est jugé acceptable ou si le coût de traitement est disproportionné.
  • Partage : transférer partiellement le risque à un tiers (assurance, sous-traitance, clauses contractuelles). Le partage ne supprime jamais totalement le risque.
  • Évitement : renoncer à l'activité génératrice du risque lorsque celui-ci est jugé inacceptable et qu'aucune mesure réaliste ne peut le réduire.

Chaque décision de traitement doit être documentée, justifiée et validée par le propriétaire du risque concerné.

4. Acceptation des risques

L'acceptation des risques constitue une décision de gouvernance engageant la responsabilité de l'organisation.

Pour chaque risque résiduel (risque restant après traitement), une acceptation formelle doit être réalisée par le propriétaire du risque et, pour les risques majeurs, par la direction.

Cette acceptation comprend la validation du niveau de risque résiduel, la confirmation des mesures mises en œuvre et une justification explicite de la décision. Aucun risque résiduel supérieur au seuil d'acceptation ne peut être considéré comme accepté sans une décision formelle et tracée.

5. Surveillance et réexamen

La surveillance et le réexamen garantissent que la gestion des risques reste alignée avec la réalité de l'organisation. Cette étape inclut :

  • Suivi des plans de traitement : les mesures décidées sont-elles effectivement mises en œuvre ? Sont-elles efficaces ? Les délais sont-ils respectés ?
  • Revue périodique des risques : au minimum annuelle, cette revue vise à vérifier la pertinence des scénarios, réévaluer les impacts et vraisemblances, et identifier de nouveaux risques.
  • Mise à jour en cas de changement significatif : modification du périmètre, incident de sécurité, évolution réglementaire, tout changement majeur doit déclencher une réévaluation ciblée des risques concernés.

Ce cycle est continu : les risques évoluent avec l'organisation, son environnement, ses technologies et ses menaces. La gestion des risques doit donc être pensée comme un mécanisme de pilotage permanent.

Lien entre gestion des risques et cycle PDCA du SMSI

Une articulation structurante

La gestion des risques est intimement liée au cycle PDCA (Plan – Do – Check – Act) du SMSI, qui structure l'amélioration continue exigée par l'ISO 27001.

Plan : définir et analyser

La phase Plan intègre :

  • Établissement du contexte
  • Analyse des risques
  • Définition des objectifs de sécurité
  • Élaboration du plan de traitement des risques

C'est dans cette phase que l'organisation définit sa stratégie de sécurité, sur la base des risques identifiés et évalués. Chaque objectif de sécurité doit pouvoir être relié à un ou plusieurs risques à traiter.

Do : mettre en œuvre

La phase Do correspond au déploiement opérationnel :

  • Mise en œuvre des mesures de sécurité
  • Déploiement des actions issues du plan de traitement
  • Sensibilisation et formation des équipes

L'enjeu est de transformer les décisions de traitement en actions concrètes, mesurables et tracées.

Check : mesurer et contrôler

La phase Check vérifie l'efficacité des actions entreprises :

  • Suivi des indicateurs de risques
  • Contrôles et audits internes
  • Revue de l'efficacité des mesures
  • Réévaluation des risques résiduels

Cette phase permet de vérifier si les mesures déployées réduisent effectivement le niveau de risque comme prévu, ou si des ajustements sont nécessaires.

Act : ajuster et améliorer

La phase Act traduit les enseignements en actions d'amélioration :

  • Ajustement des mesures de sécurité
  • Mise à jour de l'analyse des risques
  • Décisions d'amélioration ou de correction
  • Arbitrages de la direction en revue de direction

Ainsi, l'analyse des risques alimente le PDCA, et inversement : les résultats des contrôles, incidents, audits ou changements viennent enrichir et ajuster l'analyse des risques.

Cette boucle vertueuse garantit une amélioration continue de la maîtrise des risques et de la maturité du SMSI.

Gestion des risques en phase projet vs phase de maintien

Phase projet : construire le socle

L'analyse des risques en phase projet intervient notamment lors de la mise en place initiale du SMSI, un projet de certification, ou une évolution structurante (nouvelle activité, migration cloud, fusion).

Caractéristiques principales :

  • Vision souvent plus large et structurante
  • Identification exhaustive des biens, processus et scénarios majeurs
  • Analyse parfois plus théorique, avec des hypothèses
  • Objectif : construire un socle de risques de référence et définir les priorités de sécurité

Cette analyse sert de référentiel initial, sur lequel s'appuiera le SMSI. Elle pose les bases méthodologiques (échelles, seuils, processus) et identifie les grands axes de traitement.

Phase maintien : faire vivre le dispositif

En phase de maintien, l'approche évolue radicalement. L'enjeu n'est pas de tout refaire, mais de faire vivre l'analyse des risques de manière proportionnée et efficace.

Caractéristiques principales :

  • Analyse plus ciblée et pragmatique
  • Mise à jour des scénarios existants
  • Ajout ou suppression de risques en fonction des évolutions
  • Forte connexion avec les incidents, audits, non-conformités et indicateurs

En maintien, la gestion des risques devient réactive et opportuniste : chaque incident, chaque changement, chaque audit apporte des enseignements qui viennent ajuster l'analyse.

Pilotage des risques en maintien : le risque comme unité de gestion

Changer de posture

En phase de maintien du SMSI, il est essentiel de changer de posture par rapport à la phase projet. L'enjeu n'est plus de considérer l'analyse des risques comme un exercice global, figé ou à refaire dans son ensemble, mais comme un outil de pilotage dynamique des risques individuels.

Le risque comme unité de pilotage

Le maintien efficace des risques repose sur un principe clé : le risque est l'unité de pilotage, et non l'analyse des risques dans sa globalité.

Concrètement, chaque risque identifié doit pouvoir être suivi, mis à jour, traité ou accepté indépendamment des autres, en fonction de son évolution propre. Cette approche permet :

  • Une mise à jour risque par risque : lorsqu'un changement intervient (nouvelle menace, nouvelle mesure, incident, évolution du contexte), seule la fiche du risque concerné doit être revue. Pas besoin de refaire toute l'analyse.
  • Un ajustement ciblé : ajustement de la vraisemblance ou de l'impact, réévaluation du risque résiduel, mise à jour du plan de traitement si nécessaire.

Revue annuelle : confirmation, pas refonte

La notion d'"analyse des risques annuelle" ne doit pas être interprétée comme une refonte complète. La revue annuelle vise avant tout à :

  • Vérifier que les risques identifiés sont toujours pertinents
  • Confirmer que les risques critiques sont correctement pilotés
  • S'assurer que les décisions d'acceptation restent valides

Cette approche favorise une meilleure réactivité face aux changements, une réduction de la charge inutile et une traçabilité claire des décisions de sécurité.

L'analyse des risques comme registre vivant

L'analyse des risques devient un registre vivant, comparable à un backlog, où chaque risque a :

  • Un statut (identifié, en traitement, accepté, clos)
  • Un responsable (propriétaire du risque)
  • Un niveau de priorité (faible, moyen, élevé, critique)
  • Des actions associées (issues du plan de traitement)
  • Une décision explicite (traité, accepté, en cours)

Cette approche est parfaitement conforme à l'esprit de l'ISO 27001 et de l'ISO 27005 : ce qui compte n'est pas l'existence d'un document figé appelé "analyse des risques", mais la capacité démontrée de l'organisation à piloter ses risques de manière continue, proportionnée et justifiable.

Elle constitue un facteur clé de maturité du SMSI et un point d'attention majeur lors des audits de maintien.

Intégrer la gestion des risques dans la gouvernance globale

Un outil d'aide à la décision

La gestion des risques ne doit pas être cantonnée à un livrable ponctuel réalisé pour l'audit. Elle doit s'inscrire dans la gouvernance globale de l'organisation.

L'analyse des risques constitue un outil d'aide à la décision, et non une simple exigence documentaire. Elle alimente notamment :

  • La revue de direction du SMSI
  • Les comités de pilotage sécurité ou IT
  • Les décisions d'investissement sécurité
  • Les priorités du plan d'actions annuel
  • La Déclaration d'Applicabilité

Déclencheurs de mise à jour

Outre la revue périodique annuelle, l'analyse des risques doit être réévaluée en cas de :

  • Évolution significative du périmètre du SMSI
  • Changement technologique majeur
  • Nouvel enjeu réglementaire ou contractuel
  • Incident de sécurité significatif
  • Évolution de la stratégie ou des activités de l'organisation

Ces déclencheurs garantissent que l'analyse reste alignée avec la réalité opérationnelle et stratégique.

Le principe clé de gouvernance

Toute décision de sécurité doit pouvoir être justifiée par l'analyse des risques. Ce principe garantit :

  • La cohérence du SMSI
  • La maîtrise des arbitrages
  • La crédibilité de la démarche vis-à-vis des auditeurs et des parties prenantes

Lorsque ce principe est respecté, la gestion des risques devient naturellement le langage commun entre direction, RSSI, métiers et IT.

Conclusion

La gestion des risques de sécurité de l'information dépasse largement le cadre de l'"analyse des risques" initiale. Il s'agit d'un processus continu, structurant et itératif, intimement lié au cycle PDCA du SMSI.

En phase projet, l'enjeu est de construire un socle de référence solide et cohérent. En phase de maintien, l'enjeu est de piloter les risques individuellement, de manière réactive et proportionnée, en fonction des évolutions de l'organisation et de son environnement.

Cette approche transforme la gestion des risques d'un exercice documentaire en un véritable mécanisme de pilotage permanent, au service des objectifs métiers, réglementaires et stratégiques de l'organisation. Elle constitue ainsi le cœur décisionnel du SMSI, éclairant les choix de sécurité et permettant à la direction de piloter la sécurité de l'information de manière maîtrisée et justifiable.

Ressources complémentaires

Rejoignez la newsletter
Des conseils, analyses et actualités sur la cybersécurité chaque mois dans votre boite mail ! 
En savoir plus sur nos politiques de confidentialités.
Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.
Plus de contenu

Nos derniers articles de Blog

Voir tous les articles
Gouvernance des risques ISO 27001 : rôles, responsabilités et décisions d'acceptation

Découvrez comment structurer la gouvernance des risques ISO 27001 : rôles clés (direction, RSSI, propriétaires), validations attendues et principe de justification.

Lire l'article
Déclaration d'Applicabilité (DdA) ISO 27001 : le chaînon clé entre analyse des risques et contrôles

Découvrez comment construire une Déclaration d'Applicabilité ISO 27001 cohérente, justifiée par l'analyse des risques et directement reliée au plan de traitement du SMSI.

Lire l'article
Gestion des risques en sécurité de l'information : un processus continu au cœur du SMSI

La gestion des risques ISO 27001 dépasse l'analyse initiale. Découvrez comment structurer un processus continu, articulé au PDCA, de l'identification au pilotage.

Lire l'article
Rejoignez la newsletter
1 email/ mois

Des conseils, analyses et actualités sur la cybersécurité chaque mois dans votre boite mail ! 

Services
Accompagnement certification
Mise en conformité
Maintien conformité
Accompagnement HDS
Accompagnement ISO 27001
Accompagnement ISO 9001
Accompagnement Oversecur
Solution (Oversecur)
L'outil Oversecur
Les offres
Formations
RGPD
Sécurité de l’information
Données de santé
ISO 27001
ISO 9001
HDS
SECNUMCLOUD
Normes & Directives
ISO 9001
ISO 27001
HDS
ISO 42001
TISAX
SecNumCloud
SOC 2
NIS 2
RGPD
ISO 20000
ISO 13485
Ressources
Articles de blog
Guide du dirigeant
Webinaires & Événements
Autodiagnostic ISO 27001
A propos
Qui sommes-nous
Nous contacter
FeelAgile logo blanc
Logo afaq ISO 27001 Sécurité de l'information AFNOR CERTIFICATION.
Logo certifié qualiopi

©2025 FeelAgile

Certificat qualiopi
Politique de confidentialité
Mentions légales