Comment réaliser une analyse de risques
Tout ce dont vous avez besoin pour mener une analyse de risques structurée — de la méthode et des référentiels aux modèles pratiques et aux outils.
By Kim Borg, Fondateur de VER&IT et de RiskNote. Plus de 25 ans d'expérience en sécurité de l'information et en gestion des risques. · Last updated
Qu'est-ce qu'une analyse de risques ?
Une analyse de risques est une méthode structurée permettant d'identifier, d'évaluer et de prioriser les risques susceptibles d'affecter les objectifs, les actifs ou les fonctions d'une organisation. L'objectif est de fournir une base pour des décisions éclairées sur la manière de traiter les risques — en les réduisant, en les transférant, en les acceptant ou en les évitant.
Une analyse de risques complète comprend six composantes essentielles :
Actifs à protéger
Ce qui doit être protégé — informations, personnes, finances, réputation, disponibilité.
Menaces et vulnérabilités
Ce qui peut mal tourner — des cyberattaques aux défaillances de fournisseurs, en passant par le manque de personnel.
Évaluation de la vraisemblance
La probabilité qu'un événement survienne, fondée sur l'historique et le contexte.
Évaluation des conséquences
La gravité de l'impact, exprimée en termes mesurables (pertes financières, temps d'arrêt, perte de clients).
Évaluation du risque
La combinaison de la vraisemblance et des conséquences au regard de la tolérance au risque de l'organisation.
Plan d'action
Les mesures à prendre — avec un responsable, une échéance et un suivi.
L'analyse de risques constitue le fondement d'un travail de sécurité systématique dans le cadre de référentiels tels que ISO 31000, ISO 27005, NIS2, RGPD et ISO 27001. Dans certains contextes (notamment la santé et sécurité au travail), le processus est appelé évaluation des risques — les termes sont souvent utilisés de manière interchangeable.
Pourquoi l'analyse de risques est-elle importante ?
L'analyse de risques est importante pour trois raisons.
Conformité réglementaire. NIS2, RGPD, ISO 27001, DORA et des réglementations similaires exigent toutes une gestion documentée des risques. Sans analyse de risques, l'organisation ne peut pas démontrer que son travail de sécurité est systématique.
Priorisation des ressources. Aucune organisation ne dispose d'un budget de sécurité illimité. L'analyse de risques indique quels risques méritent réellement d'être traités en premier — en fonction de la vraisemblance, des conséquences et du coût des mesures.
Aide à la décision pour la direction. Une analyse de risques traduit les risques techniques et opérationnels dans un langage sur lequel la direction et le conseil d'administration peuvent agir. Elle fait de la sécurité un enjeu métier, et non une question informatique.
Référentiels et normes courants
Les différents référentiels imposent des exigences distinctes quant à la manière dont une analyse de risques doit être conduite et documentée.
ISO 31000 — Gestion des risques générale
Norme internationale pour la gestion des risques au niveau général. Définit les principes, le cadre et le processus. Utilisée comme base pour d'autres normes. En savoir plus sur ISO 31000 →
ISO 27005 — Risques liés à la sécurité de l'information
Se concentre spécifiquement sur les risques liés à la sécurité de l'information. Complète ISO 27001 et fournit une méthodologie détaillée pour l'évaluation des risques.
ISO 27001 — Gestion de la sécurité de l'information
Exige une évaluation documentée des risques et un plan de traitement des risques. L'analyse de risques est un élément central de la certification. En savoir plus sur ISO 27001 →
Directive NIS2
Législation en vigueur depuis 2025. Exige des mesures de gestion des risques pour les entités essentielles et importantes dans les infrastructures critiques, les soins de santé, l'administration publique et d'autres secteurs. En savoir plus sur NIS2 →
RGPD et AIPD
Lorsque le traitement de données personnelles présente un risque élevé, une analyse d'impact relative à la protection des données (AIPD) doit être réalisée — il s'agit d'un type spécifique d'analyse de risques. En savoir plus sur l'analyse de risques RGPD →
DORA — Digital Operational Resilience Act
Réglemente la résilience opérationnelle numérique du secteur financier au sein de l'UE. Exige une gestion étendue des risques liés aux TIC.
MSBFS 2020:6
Réglementation de l'Agence suédoise de gestion des crises sur le travail systématique de sécurité de l'information pour les autorités de l'État.
[Quel référentiel s'applique à votre organisation ? →](/guide/genomfora-riskanalys#step-7)
Risque brut, risque net et risque résiduel
Une analyse de risques mature distingue trois mesures de risque par risque. Ce sont les termes qu'attendent les auditeurs ISO 27001 et les conseils d'administration :
Risque brut (risque inhérent)
Le risque sans aucun contrôle ni traitement. Quelle serait la pire situation possible ? Indispensable pour justifier les investissements.
Risque net / risque résiduel
Le risque après prise en compte des contrôles existants. C'est cette valeur qui est comparée à votre tolérance au risque.
Risque cible
Le niveau que vous souhaitez atteindre après les traitements planifiés. L'écart entre le risque net et le risque cible indique si les actions prévues sont suffisantes.
Pourquoi est-ce important ? Un risque avec un risque brut élevé mais un risque net faible (grâce à des contrôles solides) nécessite une maintenance des contrôles, et non de nouveaux traitements. En savoir plus dans le guide du registre des risques →
Outils et modèles
Deux ressources pour accélérer le processus — un modèle Excel gratuit et l'application RiskNote.
Modèle d'analyse de risques téléchargeable (Excel)
Un modèle Excel structuré avec une matrice 5×5, un inventaire des actifs à protéger et une liste d'actions — élaboré selon ISO 31000. Téléchargement libre, sans inscription. Télécharger le modèle →
RiskNote — Analyse de risques assistée par IA en 20 minutes
Application mobile qui vous guide tout au long de l'analyse de risques. Vous décrivez l'activité, l'IA suggère les risques pertinents en fonction du secteur et des actifs à protéger, et vous obtenez un registre des risques structuré avec une matrice 5×5 en 20 minutes. Compatible avec NIS2, RGPD, ISO 27001 et ISO 31000. Disponible sur iOS et Android, en 11 langues. En savoir plus sur RiskNote →
Approfondissement par étape
Matériel approfondi pour chaque étape de la méthode.
Identifier les actifs à protéger
Ce qui doit réellement être protégé — et comment éviter de manquer des actifs critiques mais invisibles. Lire l'approfondissement →
Périmètre et frontières dans l'analyse de risques
Comment fixer des limites claires sans négliger les dépendances. Lire l'approfondissement →
Identifier les menaces et les risques
Méthode transversale avec quatre perspectives : actif, catégorie de menace, scénario, chaîne d'approvisionnement. Lire l'approfondissement →
Vraisemblance et conséquences — des échelles opérationnelles
Comment définir les niveaux de la matrice 5×5 en termes mesurables et défendables. Lire l'approfondissement →
Prioriser les actions au-delà de la matrice
Pourquoi les cellules rouges ne constituent pas un plan d'action — et comment obtenir le meilleur effet par rapport à l'effort. Lire l'approfondissement →
Maintenir l'analyse de risques à jour
Cycles de révision, responsabilités et déclencheurs qui évitent que l'analyse reste dans un tiroir. Lire l'approfondissement →
Analyse de risques et conformité
Comment aligner l'analyse sur ISO 27001, NIS2, RGPD et DORA sans doublon de travail. Lire l'approfondissement →
Résumé
L'analyse de risques ne consiste pas à remplir une feuille Excel vierge avec des catégories. Il s'agit de comprendre — de manière structurée — ce que l'organisation doit protéger, ce qui peut mal tourner, et quelles actions offrent le meilleur effet par rapport à l'effort.
La méthode comporte sept étapes : actifs à protéger → périmètre → menaces et risques → évaluation → priorisation des actions → suivi continu → alignement sur les référentiels.
Des outils comme RiskNote rendent la méthode accessible à un plus grand nombre — sans remplacer le jugement humain.
La méthode d'abord. Les outils ensuite. La sécurité toujours.
Des questions sur l'analyse de risques, ou vous souhaitez discuter de la façon dont RiskNote s'adapte à votre organisation ? Contactez-nous →
Questions fréquentes sur l'analyse de risques
À quelle fréquence une analyse de risques doit-elle être mise à jour ?
Une analyse de risques doit être révisée au moins une fois par an, et systématiquement lors de changements significatifs — nouveaux systèmes, nouveaux fournisseurs, réorganisations, incidents ou évolution des exigences réglementaires. Pour les organisations soumises à NIS2 et ISO 27001, la mise à jour continue est une exigence explicite.
Quelle est la différence entre menace, vulnérabilité et risque ?
La menace est ce qui peut se produire (attaque par rançongiciel, défaillance d'un fournisseur). La vulnérabilité est la faiblesse qui rend la menace possible (sauvegardes non sécurisées, fournisseur unique). Le risque est la combinaison de la menace, de la vulnérabilité et des conséquences pour un actif à protéger.
Quelle échelle utiliser dans l'analyse de risques ?
Une matrice 5×5 (vraisemblance × conséquences) est le choix le plus courant et généralement le plus utile. L'échelle en elle-même n'est pas l'essentiel — ce qui compte, c'est que les niveaux soient clairement définis en termes mesurables avant le début de l'évaluation.
Qui doit réaliser l'analyse de risques ?
L'analyse de risques doit être réalisée de manière transversale — informatique, métiers, direction et éventuellement des experts externes. Un analyste seul manque toujours des perspectives importantes. Une responsabilité clairement définie est toutefois indispensable : quelqu'un doit être chargé de la mener à bien et de la maintenir à jour.
Une analyse de risques est-elle nécessaire pour se conformer à NIS2 ?
Oui. NIS2 exige des mesures de gestion des risques, dont le fondement est une analyse de risques documentée. Sans celle-ci, l'organisation ne peut pas démontrer que son travail de sécurité est systématique — ce qui constitue une exigence explicite.
Quelle est la différence entre analyse de risques et évaluation des risques ?
Ces termes sont souvent utilisés de façon interchangeable. Dans les normes ISO, l'évaluation des risques est un concept général englobant l'identification des risques, l'analyse des risques (analyse de la vraisemblance et des conséquences) et l'appréciation des risques (comparaison par rapport à des critères). Dans le langage courant, «analyse de risques» désigne souvent l'ensemble du processus.
Combien de temps prend une analyse de risques ?
Avec la méthode traditionnelle (feuille Excel vierge), une première version prend souvent plusieurs semaines ou plusieurs mois — une grande partie du temps étant consacrée à structurer et à débattre des catégories. Avec un outil structuré comme RiskNote, une première version peut être prête en 20 minutes, puis affinée avec les métiers.
Qu'est-ce que la norme ISO 31000 ?
ISO 31000 est la norme internationale pour la gestion des risques. Elle fournit des principes et un cadre applicables à tous les types de risques et à tous les types d'organisations — pas uniquement à la sécurité de l'information. Elle est souvent utilisée comme point de départ et complétée par des normes plus spécifiques telles qu'ISO 27005.
Quel est le coût d'une analyse de risques ?
Le coût varie considérablement selon la méthode. Une analyse de risques conduite par un consultant pour une organisation de taille moyenne coûte généralement 10 000 à 50 000 euros. Avec RiskNote ou un outil comparable, le coût peut être réduit à une fraction de ce montant — tout en rendant le travail plus continu.
More guides
Du guide au registre des risques en 20 minutes
RiskNote prend la méthode présentée sur cette page et automatise ce qui doit l'être. Vous décrivez l'activité, l'IA suggère les risques pertinents, et vous obtenez une matrice 5×5 et une liste d'actions. Essai gratuit.
Comment réaliser une analyse de risques — sept étapes
Une version condensée de la méthode structurée. Chaque étape renvoie à un article approfondi.
Étape 1 — Identifier les actifs à protéger
Commencez par lister ce que l'organisation doit réellement protéger : informations, disponibilité, actifs financiers, réputation, personnes, conformité. Sans actifs à protéger, l'analyse de risques devient un exercice abstrait. En savoir plus : Identifier les actifs à protéger →
Étape 2 — Définir le périmètre
Définissez clairement ce qui est dans le périmètre — toute l'organisation, un processus spécifique, un système, une chaîne d'approvisionnement. Précisez l'horizon temporel et les parties prenantes concernées. En savoir plus : Périmètre et frontières →
Étape 3 — Identifier les menaces et les risques
Un travail systématique et transversal. Parcourez les menaces par actif à protéger, par catégorie de menace (cyber, physique, personnel, fournisseur, réglementaire) et par scénario. Impliquez à la fois l'informatique et les métiers. En savoir plus : Identifier les menaces et les risques →
Étape 4 — Évaluer la vraisemblance et les conséquences
Utilisez une matrice 5×5 avec des échelles clairement définies. Définissez ce que chaque niveau signifie concrètement — en termes financiers, de temps d'arrêt, de perte de clients ou d'une autre unité mesurable. En savoir plus : Vraisemblance et conséquences →
Étape 5 — Prioriser les actions
Le résultat final n'est pas une cellule rouge dans la matrice — c'est une liste priorisée d'actions. Choisissez une stratégie par risque : réduire, transférer, accepter ou éviter. Priorisez selon l'effet par rapport à l'effort. En savoir plus : Prioriser les actions au-delà de la matrice →
Étape 6 — Maintenir l'analyse à jour
Une analyse de risques n'est pas un projet ponctuel. Révisez-la régulièrement et mettez-la à jour lors d'incidents, de changements et de nouvelles exigences réglementaires. Une responsabilité clairement définie est essentielle. En savoir plus : Maintenir l'analyse à jour →
Étape 7 — Aligner sur les référentiels
Assurez-vous que l'analyse de risques répond aux exigences des référentiels applicables — ISO 27001, NIS2, RGPD, DORA ou autres. En savoir plus : Analyse de risques et conformité →
[Lire le guide principal complet étape par étape →](/guide/genomfora-riskanalys)