Analyse et cartographie des risques — Sensibilisation Essentielle

Objectifs d'apprentissage

Realiser une analyse de risques en utilisant la methode EBIOS RM ou une approche simplifiee
Construire et maintenir un registre des risques avec criteres de priorisation
Associer chaque risque identifie a des controles de mitigation concrets

Methodologie d'analyse de risques pour PME

Une analyse de risques complete suit quatre etapes : 1) Inventaire des actifs (quoi proteger : donnees, systemes, processus), 2) Identification des menaces (qui peut attaquer, par quel moyen), 3) Evaluation des vulnerabilites (quelles failles exploitables), 4) Calcul du risque (probabilite x impact). Pour une PME, une approche simplifiee avec un tableur suffit. Des methodologies standardisees comme EBIOS RM (Anssi) ou le NIST Risk Management Framework offrent des cadres plus structures pour les organisations qui doivent se conformer a des referentiels.

🔔 À retenir : EBIOS RM (Expression des Besoins et Identification des Objectifs de Securite) est la methodologie francophone de reference, developpee par l'ANSSI. Des guides adaptes aux PME sont disponibles gratuitement sur le site de l'ANSSI.

Construction du registre des risques

Un registre des risques minimum contient : l'identifiant du risque, sa description, les actifs concernes, la probabilite (1-5), l'impact (1-5), le score de risque (P x I), le proprietaire du risque (qui est responsable de sa mitigation), les controles existants, le risque residuel apres controles, et la decision de traitement (mitiguer, transferer, accepter, eviter). Ce registre doit etre revise au moins deux fois par an et a chaque changement majeur d'infrastructure.

⚠ Attention : Un risque 'accepte' doit etre formellement documente avec la signature du dirigeant. 'Accepter' un risque ne signifie pas l'ignorer : cela signifie que la direction a consciemment decide de vivre avec ce risque apres evaluation.

Des risques aux controles : plan d'action prioritaire

Une fois les risques identifies et scores, le plan d'action priorise les controles par ratio risque reduit / cout. Les 'quick wins' (controles peu couteux qui reduisent fortement le risque) doivent etre deployes en premier. Par exemple : activer le MFA sur les comptes privilegies (cout faible, impact fort) avant d'investir dans un SIEM (cout eleve, impact modere sans equipe pour le surveiller).

Checklist pratique

Un registre des risques existe et a ete mis a jour dans les 6 derniers mois

Chaque risque majeur a un proprietaire nomme et responsable de sa mitigation

Les risques acceptes sont documentes et signes par la direction

Votre progression est sauvegardée localement dans votre navigateur.

Points clés à retenir

Inventaire des actifs → Menaces → Vulnerabilites → Risque (P x I) : la sequence de toute analyse de risques
Registre des risques : un tableur suffit pour une PME, l'important est de le maintenir a jour
'Accepter' un risque = decision documentee et signee, pas une negligence
Quick wins d'abord : MFA et sauvegardes reduisent plus le risque que les outils complexes mal utilises