Qu'est-ce qu'un registre des risques ?
Le registre des risques est la colonne vertébrale de la gestion des risques. C'est là que les risques sont répertoriés, évalués, traités et révisés. Voici un guide complet sur ce qu'il doit contenir, comment le construire et comment le maintenir à jour dans le temps.
By Kim Borg, Founder, RiskNote · Last updated
Qu'est-ce qu'un registre des risques ?
Un registre des risques est une liste structurée de tous les risques identifiés au sein d'une organisation ou d'un projet, accompagnée de leur évaluation, de leur responsable, des actions associées et de leur statut. Il est opérationnel : il doit être lu, mis à jour et révisé régulièrement.
Le registre n'est pas un rapport sur les risques. Le rapport est un instantané (PDF destiné au conseil d'administration) extrait du registre. Le registre, lui, constitue la donnée vivante.
Dans le cadre d'ISO 27001, le registre des risques est une composante obligatoire du SMSI (clauses 6.1.2 et 8.2). Dans ISO 31000, c'est le résultat standard du processus. Dans NIS2, Art. 21, c'est le prérequis à une cybersécurité fondée sur les risques.
Quels champs doivent être inclus ?
Un registre des risques complet comprend généralement les champs suivants pour chaque risque :
ID
Numéro ou code unique (R-001, R-002…). Permet de référencer le risque sans avoir à recopier l'intégralité de sa description.
Description
En quoi consiste le risque ? Rédigez 1 à 2 phrases. Évitez les formulations vagues (« risque de problèmes informatiques »), soyez précis (« indisponibilité du système de facturation pendant plus de 4 heures »).
Catégorie / domaine
Opérationnel, financier, stratégique, conformité, cyber, projet. Facilite le filtrage et le reporting.
Probabilité (1–5)
Degré de probabilité que le risque se matérialise. Utilisez une échelle définie.
Impact (1–5)
Gravité des conséquences si le risque se matérialise. Peut être évalué séparément pour les dimensions financière, opérationnelle, réputationnelle et réglementaire.
Score / criticité
P × I = 1–25. Se traduit en faible / modéré / élevé / critique.
Responsable
Personne nommément désignée comme responsable du risque. Sans responsable, rien n'avance.
Action
Que fait-on face à ce risque ? Accepter, réduire, transférer ou éviter. Plan d'action concret si l'option retenue est la réduction.
Statut
Ouvert, en cours de traitement, traité, clôturé. Évolue dans le temps.
Dates
À quelle date le risque a-t-il été identifié ? Quand a-t-il été revu pour la dernière fois ? Quelle est la prochaine échéance ?
Risque résiduel
Probabilité et impact après traitement. Permet de vérifier si l'action entreprise est suffisante.
Risque brut, risque net et risque résiduel
Un registre des risques mature distingue trois mesures du risque par ligne. Ce sont les termes qu'attendent les auditeurs ISO 27001 et les conseils d'administration :
Risque brut (risque inhérent)
Le risque sans aucun contrôle ni traitement. Quelle serait la situation dans le pire des cas ? Indispensable pour justifier les investissements en matière de sécurité.
Risque net / risque résiduel
Le risque après prise en compte des contrôles existants. C'est cette valeur qui est comparée à votre seuil de tolérance au risque. Également appelé risque résiduel.
Risque cible
Le niveau de risque que vous souhaitez atteindre après les traitements planifiés. L'écart entre le risque net et le risque cible indique si les actions prévues sont suffisantes.
Pourquoi cette distinction est-elle importante ? Un risque présentant un risque brut élevé mais un risque net faible (grâce à des contrôles solides) nécessite une maintenance des contrôles, et non de nouveaux traitements. Un élément à faible risque brut nécessite rarement des actions dédiées. Sans cette distinction, tout se retrouve dans un même ensemble indifférencié.
Combien de risques le registre doit-il comporter ?
Pour une PME (15 à 50 personnes) : 10 à 30 risques est une fourchette habituelle. En deçà, vous risquez d'omettre des éléments importants. Au-delà, le registre devient difficile à gérer.
Pour une organisation de taille intermédiaire (100 à 500 personnes) : 30 à 80 risques répartis par domaine.
Pour les grandes organisations : 100 risques et plus, souvent répartis par périmètre métier ou domaine.
Pour un projet : 10 à 20 risques, mis à jour à chaque sprint ou réunion de pilotage.
Erreurs courantes dans les registres des risques
Le registre n'est jamais mis à jour
Créé pour une certification ISO, puis laissé à l'abandon. Sa valeur disparaît en moins de 6 mois.
Aucun responsable par risque
Sans responsable désigné, le risque reste théorique. Il faut une personne nommément identifiée, dotée d'un mandat.
Des risques sans action associée
Documenter un risque sans plan de traitement, c'est documenter un échec. Chaque risque doit faire l'objet d'une réponse choisie (accepter / réduire / transférer / éviter).
Formulations trop abstraites
« Risque d'incidents informatiques » n'est pas un risque. « Attaque par rançongiciel rendant le système de facturation indisponible pendant plus de 4 heures » en est un.
La direction ne consulte pas le registre
Si personne au niveau de la direction n'utilise activement le registre, le processus n'a pas été ancré dans l'organisation. C'est ce point qu'il faut corriger en priorité, avant même le format.
Excel ou outil dédié
Excel convient pour les petits registres (moins d'une quinzaine de risques), mais devient rapidement problématique : dérive des versions, formules cassées, absence de piste d'audit, partage difficile avec les fonctions de contrôle, pas de gestion des accès par rôle.
Un outil dédié comme RiskNote vous offre un historique des versions par risque, le partage par lien avec gestion des rôles, des suggestions par intelligence artificielle pour l'identification, et un export PDF directement depuis les données, sans assemblage manuel du rapport.
Consultez notre guide sur les alternatives à Excel pour les registres des risques.
Questions fréquentes sur les registres des risques
Le registre des risques et l'évaluation des risques sont-ils la même chose ?
Non. L'évaluation des risques désigne le processus (identifier, analyser, évaluer). Le registre des risques en est le résultat : la liste de tous les risques accompagnée de leur évaluation. Le registre est maintenu en continu ; l'évaluation est une activité récurrente.
À quelle fréquence le registre doit-il être révisé ?
Risques opérationnels : trimestriellement. Risques stratégiques : annuellement. Risques de projet : à chaque sprint ou réunion de pilotage. Lors d'événements majeurs (changement réglementaire, contrat important, changement de système) : systématiquement.
Chaque risque doit-il obligatoirement être documenté dans le registre ?
Tout risque significatif, oui. Les incidents opérationnels courants (à traiter directement) n'ont pas à y figurer. Le critère à retenir : si le risque est susceptible d'affecter de manière substantielle vos objectifs, documentez-le.
Qui peut accéder au registre ?
En interne : le comité de direction, les responsables de département concernés, les propriétaires de risques. En externe : les auditeurs, les régulateurs lors des contrôles, les assureurs lors des renouvellements. Le registre n'est pas public.
Comment exporter le registre pour une présentation au conseil d'administration ?
Dans RiskNote : un seul clic génère un PDF comprenant la matrice, le registre et une note de divulgation produite par l'IA. Dans Excel : il faut assembler manuellement le tableau et effectuer une capture d'écran de la matrice.
More guides
Construisez votre registre des risques dans RiskNote
Historique des versions, suggestions par IA, matrice 5×5 et export PDF intégrés. Démarrez un essai gratuit de 7 jours.