Méthode d'évaluation des risques adaptée aux PME canadiennes
Une méthodologie pragmatique et accessible pour réaliser votre première cartographie des risques de sécurité — sans expertise GRC avancée.
L'évaluation des risques est la pierre angulaire de tout programme GRC. Elle permet de prioriser vos investissements en sécurité là où ils ont le plus d'impact. Voici une méthode en 6 étapes, conçue pour être applicable sans être consultant spécialisé.
La méthode en 6 étapes
Définir votre appétit pour le risque
Avant d'évaluer des risques, votre direction doit définir le niveau de risque acceptable pour l'organisation. Cela oriente toutes les décisions de traitement qui suivront.
Exemple : Nous acceptons les risques dont l'exposition résiduelle est faible, nous traitons en priorité les risques élevés et critiques avant la fin de l'exercice.
Inventorier vos actifs informationnels
Listez les actifs qui ont de la valeur pour votre organisation : données clients, systèmes critiques, processus métier, informations confidentielles, propriété intellectuelle.
PME type : ERP, CRM, données clients, données bancaires, serveurs, accès cloud, partages réseau, courriels.
Identifier les menaces et vulnérabilités
Pour chaque actif, identifiez ce qui pourrait lui arriver (menaces) et pourquoi c'est possible (vulnérabilités). Utilisez les registres MITRE ATT&CK ou OWASP Top 10 comme référence.
Actif : base de données clients → Menace : accès non autorisé → Vulnérabilité : mots de passe faibles, pas de MFA.
Évaluer l'impact et la probabilité
Utilisez une échelle simple de 1 à 4 (faible, modéré, élevé, critique) pour évaluer la probabilité d'occurrence et l'impact potentiel. Multipliez les deux pour obtenir l'exposition brute.
Probabilité 3 (élevée) × Impact 4 (critique) = Exposition 12/16 → Risque élevé, traitement prioritaire requis.
Définir les traitements
Pour chaque risque significatif, choisissez une stratégie : Accepter (risque faible), Atténuer (implémenter un contrôle), Transférer (assurance, tiers), Éviter (ne pas faire l'activité).
Risque élevé de phishing → Traitement : formation obligatoire + filtre anti-phishing + simulation trimestrielle.
Suivre et réviser
La cartographie des risques n'est pas un document statique. Révisez-la au minimum une fois par an, après un incident significatif, ou lors d'un changement majeur.
Bonnes pratiques : revue trimestrielle avec le RSSI, revue annuelle complète avec la direction.
Choisir le bon outil
| Outil | Adapté pour | Limites |
|---|---|---|
| Tableau Excel/Sheets | Point de départ simple | Difficile à maintenir, pas de workflow, pas de traçabilité |
| SharePoint/Confluence | Documentation et collaboration | Pas structuré pour la gestion des risques, pas de calcul d'exposition |
| Outil GRC dédié (ex. CapGRC) | Organisation mature ou en croissance | Coût initial, courbe d'apprentissage courte |
Modèle de registre des risques gratuit
Nous avons préparé un modèle Excel préconfiguré avec les formules de calcul d'exposition, les listes déroulantes de probabilité/impact et un tableau de bord de synthèse.
Télécharger le modèle gratuit (XLSX)Passez du tableur à un registre de risques professionnel
CapGRC centralise votre gestion des risques avec méthodologie configurable, plans de traitement et tableaux de bord direction.