AVANCÉ 35 min · CISO, Risk managers, direction

Gestion des risques cyber Mis à jour : Juin 2026

  • Conduire une analyse de risques cyber
  • Appliquer la méthode EBIOS Risk Manager
  • Choisir entre les 4 options de traitement
  • Construire un registre des risques
Leçon 1

Introduction à la gestion des risques

Un risque cyber = une menace × une vulnérabilité × un impact. La gestion des risques consiste à identifier ces combinaisons, les évaluer, et décider quoi en faire. Ce n'est pas un exercice ponctuel : c'est un processus continu qui doit être intégré dans la gouvernance.

Leçon 2

Inventaire des actifs critiques

Avant d'évaluer les risques, il faut savoir ce qu'on protège. Types d'actifs : données (clients, financières, propriété intellectuelle), systèmes (ERP, CRM, messagerie), processus (facturation, production), personnes (compétences clés). Classez-les par criticité : si cet actif était compromis, quel serait l'impact sur l'activité ?

Leçon 3

EBIOS Risk Manager — la méthode ANSSI

EBIOS RM est la méthode officielle française d'analyse de risques. Elle se déroule en 5 ateliers : (1) Cadrage et socle de sécurité, (2) Sources de risque, (3) Scénarios stratégiques, (4) Scénarios opérationnels, (5) Traitement du risque. Elle est compatible ISO 27001 et adaptable aux PME.

Leçon 4

Les 4 options de traitement du risque

Face à un risque identifié, 4 choix : Réduire (mettre en place des mesures), Éviter (arrêter l'activité à risque), Transférer (assurance, sous-traitance), Accepter (si le coût dépasse le risque résiduel). La combinaison de ces options constitue le plan de traitement des risques.

Leçon 5

Le registre des risques

Document central : pour chaque risque, noter : description, actifs concernés, probabilité (1-4), impact (1-4), score brut, mesures existantes, risque résiduel, mesures prévues, responsable, échéance. Le registre est revu trimestriellement et présenté au comité de sécurité.

Leçon 6

L'assurance cyber

L'assurance cyber couvre typiquement : rançon (sous conditions), frais de gestion de crise, perte d'exploitation, responsabilité civile tierce. Elle ne couvre PAS : la négligence grave, les mises à jour non faites, certains pays. Lire attentivement les exclusions avant de souscrire.

Leçon 7

Matrice de risques et priorisation

La matrice probabilité × impact permet de prioriser visuellement : zone rouge (traiter immédiatement), zone orange (planifier sous 3 mois), zone verte (surveiller). La priorisation doit tenir compte des ressources disponibles : commencer par les quick wins à fort impact.

À retenir

Un registre des risques à jour vaut mieux que 100 outils de sécurité non documentés. La gestion des risques, c'est décider en connaissance de cause.

⚡ Matrice de risques interactive

Positionnez vos risques sur une matrice probabilité × impact.

Démo interactive — disponible en ligne sur objectifcyber.ca