RiskNote
Guide

Comment mener une analyse de risques

De la page blanche à un registre des risques qui pilote l'activité. Sept étapes basées sur l'ISO 31000 et l'ISO 27005, écrites pour la pratique.

By Kim Borg, Founder, RiskNote · Last updated

Pourquoi la plupart des analyses de risques s'arrêtent avant de commencer

Tout le monde sait qu'il devrait y avoir une analyse de risques. Le problème est rarement un manque de volonté. C'est que l'étape entre ”nous devrions en faire une” et en avoir réellement une en place semble trop grande.

Cela commence par une page blanche. Que devons-nous évaluer ? Quelles catégories ? Comment fixer probabilité et conséquence ? Soudain trois mois se sont écoulés et la page est toujours vierge.

Ce guide vous mène du départ à une analyse de risques terminée. Basé sur l'ISO 31000 et l'ISO 27005, mais écrit pour la pratique, pas pour le manuel. Téléchargez le modèle Excel si vous voulez suivre dans votre propre registre pendant la lecture.

Étape 1 — Commencer par les actifs à protéger

Avant d'identifier un seul risque, vous devez savoir ce que vous protégez réellement. C'est là que la plupart des analyses de risques échouent : on commence par lister les menaces sans comprendre d'abord ce qui mérite d'être protégé.

Les actifs à protéger sont ce dont l'activité ne peut se passer. Faites un court inventaire : que se passe-t-il si cela disparaît, est perturbé ou fuit ? Cela devient votre liste priorisée.

  • Information

    Données clients, secrets commerciaux, données personnelles.

  • Disponibilité

    Systèmes critiques, processus, livraisons.

  • Ressources financières

    Flux de revenus, actifs, trésorerie.

  • Marque et confiance

    Réputation, relations clients, position sur le marché.

  • Personnes

    Employés, clients, tiers.

  • Conformité réglementaire

    Licences, autorisations, statut juridique.

Étape 2 — Définir le périmètre

Un piège courant : tenter d'analyser toute l'activité d'un coup. Le résultat devient superficiel et inutilisable. Définissez clairement ce qui est inclus, l'horizon temporel et les parties prenantes concernées.

  • Quel est le périmètre ?

    Toute l'organisation, un processus spécifique, un système, une chaîne d'approvisionnement ? Une analyse délimitée en profondeur vaut toujours plus qu'une large sans substance.

  • Quel horizon temporel ?

    Les 12 prochains mois, une période de projet ou un horizon stratégique de trois ans ? Le cadre temporel détermine comment évaluer la probabilité.

  • Quelles parties prenantes sont concernées ?

    Direction, employés, clients, régulateurs ? Différentes parties prenantes ont différents niveaux de tolérance.

Une analyse de risques délimitée en profondeur bat toujours une analyse large sans substance. Vous pouvez toujours en faire d'autres.

Étape 3 — Identifier menaces et risques

Maintenant vous remplissez la page. Distinguez les concepts : une menace est ce qui peut arriver (ransomware, défaillance fournisseur). Une vulnérabilité est la faiblesse qui rend la menace possible (sauvegardes non sécurisées, fournisseur unique). Un risque est la combinaison de menace, vulnérabilité et conséquence pour un actif à protéger.

Travaillez systématiquement. Quelques angles éprouvés :

  • Par actif à protéger

    Qu'est-ce qui pourrait toucher les données clients ? Qu'est-ce qui pourrait couper la disponibilité ? Qu'est-ce qui menace la marque ?

  • Par catégorie de menace

    Cyber, physique, personnel, fournisseur, réglementaire, financier. Garantit une large couverture.

  • Par scénario

    Que se passe-t-il si le serveur tombe ? Si la personne clé part ? Si un sous-traitant fait faillite ?

Impliquez les bonnes personnes. L'informatique ne sait pas tout des processus, le métier ne sait pas tout des menaces. Un atelier avec un groupe transversal bat toujours un analyste isolé.

Étape 4 — Évaluer probabilité et conséquence

C'est ici que les risques passent des mots aux données de priorisation. Utilisez une échelle adaptée à votre activité. Une matrice 5×5 fonctionne le mieux dans la plupart des cas.

Définissez les échelles avant de commencer à évaluer. Que signifie réellement ”conséquence grave” en euros, en temps d'arrêt ou en perte de clients ? Sans définitions, les évaluations deviennent arbitraires et non comparables dans le temps.

Probabilité (1–5) — à quel point probable dans l'horizon

  • 1. Improbable

    Difficile d'imaginer comment cela arriverait.

  • 2. Peu probable

    Peut arriver, mais non attendu.

  • 3. Possible

    Pourrait très bien se produire.

  • 4. Probable

    Attendu à se produire.

  • 5. Très probable

    Se produit régulièrement ou est imminent.

Conséquence (1–5) — gravité si le risque se matérialise

  • 1. Négligeable

    À peine perceptible.

  • 2. Limitée

    Perturbation gérable.

  • 3. Modérée

    Impact significatif, mais gérable.

  • 4. Grave

    Dommage matériel à l'activité.

  • 5. Catastrophique

    Menace la survie de l'activité.

Étape 5 — Prioriser les actions, pas seulement les cellules rouges

Une idée reçue courante : le produit final d'une analyse de risques est la matrice avec des cellules rouges. Ce n'est pas le cas. Le produit final est une liste priorisée d'actions. Pour chaque risque identifié, choisissez une stratégie de traitement.

Stratégies de traitement

  • Réduire

    Abaisser la probabilité ou la conséquence par des contrôles.

  • Transférer

    Assurance, clauses contractuelles, externalisation.

  • Accepter

    Risque conscient dans la tolérance, documenté.

  • Éviter

    Supprimer l'activité qui crée le risque.

Chaque action doit avoir

  • Propriétaire clair

    Personne nommée avec le mandat de faire avancer l'action.

  • Échéance

    Date concrète. Pas ”bientôt” ou ”cet automne”.

  • Résultat mesurable

    Comment saurez-vous que l'action a fonctionné ?

  • Lien avec le risque

    Quel risque est adressé et comment l'action affecte-t-elle P et C ?

Priorisez les actions selon l'effet par effort, pas seulement selon le niveau de risque. Un risque moyen avec une solution simple peut être plus important à traiter en premier qu'un risque élevé nécessitant un investissement de trois ans.

Étape 6 — Maintenir l'analyse vivante

Une analyse de risques rangée dans un classeur est morte le lendemain. La réalité change : de nouvelles menaces émergent, l'activité évolue, les actions sont mises en œuvre, la réglementation se durcit.

Une analyse de risques qui fonctionne est un processus vivant :

  • Revue régulière

    Au moins annuellement, plus souvent pour les zones critiques.

  • Mises à jour déclenchées

    Lors d'incidents, changements, nouveaux systèmes, nouveaux fournisseurs, nouvelles exigences réglementaires.

  • Suivi continu

    De l'efficacité et du statut des actions, pas seulement de la liste des risques.

  • Propriétaire clair

    Quelqu'un qui possède réellement la mission de la maintenir à jour.

Pour les organisations soumises à NIS2, ISO 27001 ou similaires, une analyse de risques vivante n'est pas juste une bonne idée. C'est une exigence.

Étape 7 — Relier aux référentiels et réglementations

Si votre activité est soumise à des exigences spécifiques, assurez-vous que l'analyse de risques les respecte. Les plus courantes dans le contexte européen :

  • ISO 31000

    Gestion des risques générale, principes et cadre. Lire le guide ISO 31000.

  • ISO 27005

    Risques de sécurité de l'information spécifiquement.

  • ISO 27001

    Exige une évaluation et un plan de traitement documentés. Voir le guide ISO 27001.

  • NIS2

    Mesures de gestion des risques pour les entités essentielles et importantes. En savoir plus sur NIS2.

  • RGPD (AIPD)

    Analyse d'impact pour le traitement de données personnelles. Voir l'analyse de risques RGPD.

  • MSBFS 2020:6

    Travail systématique de sécurité de l'information pour les autorités publiques suédoises.

  • DORA

    Résilience opérationnelle pour le secteur financier.

La même analyse de risques sous-jacente peut souvent couvrir plusieurs référentiels. Il s'agit surtout de la façon dont elle est documentée et rapportée.

Résumé — les sept étapes

  • 1. Commencer par les actifs à protéger

    Savoir ce que vous protégez réellement.

  • 2. Définir le périmètre

    La profondeur l'emporte sur la largeur.

  • 3. Identifier menaces et risques

    Systématique, transversal.

  • 4. Évaluer probabilité et conséquence

    Avec des échelles définies.

  • 5. Prioriser les actions

    Pas les cellules rouges, mais l'effet par effort.

  • 6. Maintenir l'analyse vivante

    Régulièrement et par déclencheur.

  • 7. Relier aux référentiels

    Là où nécessaire.

Questions fréquentes sur l'analyse de risques

Combien de temps prend une analyse de risques ?

Pour une PME, une demi-journée de travail suffit pour le premier tour : 2–4 heures pour l'identification et l'évaluation, plus 1–2 heures pour le plan d'action. Pour des organisations plus grandes ou des zones nécessitant des ateliers : prévoyez 2–5 jours de travail au total.

Quelle est la différence entre analyse de risques et évaluation des risques ?

L'analyse de risques est le processus complet : identifier, analyser, évaluer, traiter, surveiller. L'évaluation des risques est généralement un sous-ensemble, l'évaluation réelle de la probabilité et de la conséquence. En pratique, les termes sont utilisés de manière synonyme, mais l'ISO 31000 les sépare.

Devons-nous utiliser une matrice 5×5 ?

Non. L'ISO 31000 est agnostique quant à la taille de la matrice. 5×5 est la pratique courante car 3×3 est trop grossier (seulement 9 combinaisons) et 7×7 trop complexe. Certaines organisations utilisent des catégories qualitatives à la place. L'important est que l'échelle soit cohérente et définie à l'avance.

Toutes les analyses doivent-elles se faire en atelier ?

Non, mais les analyses individuelles sont presque toujours plus étroites. Un groupe transversal de 3–6 personnes capture des risques qu'un analyste seul manque. Un atelier n'a pas besoin de durer toute la journée. 90 minutes par tour suffisent largement s'il est préparé.

À quelle fréquence l'analyse de risques doit-elle être mise à jour ?

Risques opérationnels trimestriellement, stratégiques annuellement. Les risques de projet se mettent à jour par sprint ou réunion de pilotage. Lors d'incidents, de changements majeurs (nouveau fournisseur, changement de système, évolution réglementaire) toujours un nouveau tour. NIS2 et ISO 27001 exigent une revue régulière documentée.

Qui devrait être propriétaire de l'analyse de risques ?

La direction possède le processus et la tolérance au risque. Un responsable des risques désigné (souvent le RSSI, CFO ou COO dans les petites entreprises) est responsable de maintenir l'analyse vivante. Chaque risque individuel doit avoir un propriétaire nommé avec le mandat de faire avancer les actions.

More guides

How to do a risk analysis (2026)

Complete pillar guide: method, frameworks, template, tools.

Read guide

Risk assessment step-by-step

Build your first risk assessment in an afternoon.

Read guideBlog

A risk assessment in one afternoon

Companion to the full method, short version with examples.

Read article

De la page blanche au registre des risques en 20 minutes

C'est exactement pour cela que RiskNote a été construit. Décrivez l'activité, l'IA suggère des risques pertinents, et vous avez un registre structuré avec matrice 5×5 le temps de boire un café. Puis affinez-le avec l'équipe.

    Analyse de risques en 7 étapes : guide pratique (ISO 31000) | RiskNote