« Gestion des risques informatiques » : différence entre les versions

La gestion des risques informatiques (ou gestion des risques en sécurité des systèmes d'information) est un ensemble de pratiques, de méthodes et de processus visant à identifier, analyser, évaluer et traiter les risques liés aux technologies de l'information au sein d'une organisation. Elle constitue un composant fondamental de la cybersécurité et s'inscrit dans une démarche de protection des actifs numériques, de continuité opérationnelle et de conformité réglementaire. En France, l'ANSSI (Agence nationale de la sécurité des systèmes d'information) est l'autorité de référence en la matière, tandis qu'au niveau européen, des réglementations comme la Directive NIS2 et le DORA imposent des obligations formelles de gestion des risques à de nombreuses organisations.

La gestion des risques informatiques se définit comme le processus continu par lequel une organisation détermine, quantifie et traite les risques susceptibles d'affecter la confidentialité, l'intégrité ou la disponibilité de ses systèmes d'information (SI). Cette définition s'appuie sur la norme ISO/IEC 27001, qui établit un cadre de management de la sécurité de l'information centré sur l'approche par les risques.

Le périmètre de la gestion des risques informatiques couvre :

• les infrastructures matérielles (serveurs, postes de travail, équipements réseau) ;
• les logiciels et applications métier ;
• les données (personnelles, commerciales, financières) ;
• les accès et identités (voir Gestion des identités et des accès) ;
• les services externalisés et environnements cloud (voir Sécurité du cloud) ;
• les processus métier dépendants du SI.

Un risque informatique se caractérise par la combinaison d'une menace (agent malveillant, défaillance technique, erreur humaine), d'une vulnérabilité du système et d'un impact potentiel sur l'organisation. La formule classique retenue dans la littérature spécialisée est : Risque = Probabilité × Impact. La valeur résiduelle après application des contrôles constitue le risque résiduel, dont l'acceptabilité est validée par la direction générale.

La série ISO/IEC 27000 constitue le socle de référence international pour la gestion des risques liés à la sécurité de l'information :

• ISO/IEC 27001 (révisée en 2022) : norme de management de la sécurité de l'information. Elle exige une évaluation formelle des risques et le traitement de ceux jugés inacceptables au regard du seuil d'acceptabilité défini par l'organisation. Plus de 70 000 organisations étaient certifiées dans le monde en 2023 selon l'ISO Survey.
• ISO/IEC 27017 : lignes directrices pour la sécurité de l'information dans les services cloud, complétant ISO/IEC 27001 pour les environnements mutualisés.
• ISO/IEC 27035 : cadre de gestion des incidents de sécurité, complémentaire à l'analyse des risques en amont.
• ISO 31000 (version 2018) : norme générique de management des risques, applicable à la dimension informatique et utilisée comme référence transversale par de nombreuses organisations.

L'Union européenne a renforcé ses exigences en matière de gestion des risques informatiques à travers plusieurs textes :

• Directive NIS2 (Network and Information Security 2, transposition nationale attendue en octobre 2024) : impose des mesures de gestion des risques cybernétiques à environ 160 000 entités en Europe, classées en entités essentielles et entités importantes selon leur secteur et leur taille. Elle couvre 18 secteurs d'activité et prévoit des sanctions pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial.
• DORA (règlement UE 2022/2554, applicable depuis le 17 janvier 2025) : cible les entités financières et leurs prestataires de services informatiques critiques (CTPP). Il impose un cadre structuré de gestion des risques liés aux TIC, des tests de résilience opérationnelle et la déclaration des incidents majeurs dans un délai de 4 heures pour les incidents de niveau critique.
• RGPD (Règlement général sur la protection des données, applicable depuis mai 2018) : oblige les responsables de traitement à réaliser des analyses d'impact relatives à la protection des données (AIPD/DPIA) pour les traitements présentant un risque élevé pour les droits et libertés des personnes.

• RGS : référentiel établi par l'ANSSI définissant les règles applicables aux systèmes d'information des autorités administratives françaises.
• NIST Cybersecurity Framework (version 2.0 publiée en février 2024) : cadre du National Institute of Standards and Technology, structuré en six fonctions : Identifier, Protéger, Détecter, Répondre, Récupérer et Gouverner. Adopté au-delà des frontières américaines par de nombreuses organisations privées.
• NIST SP 800-30 rev. 1 (2012) : guide spécifique à la conduite des évaluations de risques dans les systèmes d'information fédéraux américains, définissant un processus en neuf étapes.

EBIOS Risk Manager (Expression des Besoins et Identification des Objectifs de Sécurité) est la méthode officielle de l'ANSSI, dont la version « Risk Manager » a été publiée en 2018 en remplacement des versions précédentes. Elle repose sur cinq ateliers successifs :

1. Cadrage et socle de sécurité
2. Sources de risques
3. Scénarios stratégiques
4. Scénarios opérationnels
5. Traitement du risque

EBIOS Risk Manager privilégie une approche par les scénarios d'attaque et intègre la notion d'écosystème (parties prenantes externes), ce qui la distingue des méthodes orientées actifs internes. Elle est recommandée par l'ANSSI pour les opérateurs d'importance vitale (OIV) et les opérateurs de services essentiels (OSE).

MEHARI (Méthode Harmonisée d'Analyse des Risques) est développée par le CLUSIF (Club de la Sécurité de l'Information Français). Lancée en 1995 et révisée régulièrement, cette méthode s'appuie sur des bases de connaissances standardisées et évalue les services de sécurité sur une échelle de 1 à 4. Elle permet d'obtenir une évaluation quantitative du niveau de risque résiduel et de construire des tableaux de bord de pilotage de la sécurité.

La Matrice des risques (ou cartographie des risques, heat map) est un outil graphique croisant la probabilité d'occurrence d'un risque et la gravité de son impact sur une grille à deux dimensions. Elle permet de prioriser visuellement les risques selon leur criticité et d'orienter les décisions de traitement vers les risques les plus inacceptables. Les seuils de couleur (vert, jaune, orange, rouge) traduisent graphiquement les niveaux d'acceptabilité définis par l'organisation.

• OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation) : méthode développée par le CERT de l'Université Carnegie Mellon, orientée organisation et processus métier plutôt que purement technique.
• FAIR (Factor Analysis of Information Risk) : modèle quantitatif américain standardisé par l'Open Group permettant d'exprimer le risque en termes de perte financière attendue (ALE, Annual Loss Expectancy).
• COBIT (Control Objectives for Information and Related Technologies) : cadre de gouvernance IT développé par l'ISACA qui intègre la gestion des risques dans une perspective de gouvernance et de création de valeur.

L'identification consiste à recenser l'ensemble des actifs du SI (matériels, logiciels, données, services tiers) et à lister les menaces applicables ainsi que les vulnérabilités correspondantes. Les sources d'information incluent les alertes et bulletins du CERT-FR, les bases CVE (Common Vulnerabilities and Exposures) maintenues par le NIST, les résultats d'audits de cybersécurité internes ou externes, et les rapports issus des tests d'intrusion.

L'inventaire des actifs est une étape préalable indispensable : sans connaissance exhaustive du patrimoine informatique, l'évaluation des risques reste incomplète. Les solutions CMDB (Configuration Management Database) et ITAM (IT Asset Management) contribuent à maintenir cet inventaire à jour.

L'analyse peut être conduite selon deux approches :

• Qualitative : les risques sont évalués selon des échelles verbales (faible, modéré, élevé, critique). Cette approche est dominante dans les PME et facilite la communication avec les parties prenantes non techniques.
• Quantitative : les risques sont exprimés en valeur monétaire. L'ALE (Annual Loss Expectancy) se calcule comme le produit de l'ARO (Annual Rate of Occurrence, fréquence annuelle estimée) par le SLE (Single Loss Expectancy, coût d'un incident unique).

L'évaluation aboutit à la hiérarchisation des risques et à la définition d'un seuil d'acceptabilité, formalisé dans une politique de sécurité validée par la direction générale.

Quatre stratégies de traitement sont généralement distinguées :

Stratégie	Description	Exemple
Réduction	Mise en œuvre de contrôles pour diminuer la probabilité ou l'impact	Pare-feu, MFA, chiffrement
Transfert	Report du risque financier vers un tiers	Souscription d'une cyberassurance
Évitement	Suppression de l'activité génératrice du risque	Abandon d'un service non critique exposé sur Internet
Acceptation	Prise en charge documentée et validée du risque résiduel	Risques résiduels sous le seuil d'acceptabilité approuvés par la direction

La gestion des risques est un processus cyclique et continu. La surveillance repose sur des outils tels que les SIEM (Security Information and Event Management) et les SOC, qui corrèlent les événements de sécurité en temps réel. Les risques sont réévalués périodiquement — au minimum une fois par an selon ISO/IEC 27001 ou lors de changements majeurs du SI — et après chaque incident significatif, dans le cadre du processus de réponse aux incidents de sécurité.

• Rançongiciels (ransomware) : en 2023, l'ANSSI a traité 187 incidents liés aux rançongiciels en France (rapport annuel CERT-FR 2023). Le coût moyen d'une violation de données est estimé à 4,45 millions de dollars selon l'IBM Cost of a Data Breach Report 2023, toutes causes confondues.
• Hameçonnage (phishing) : vecteur initial de 36 % des violations de données selon le DBIR de Verizon (2024). Le spear phishing ciblé représente une variante à risque élevé.
• Attaques par déni de service distribué (DDoS) : saturation des ressources réseau ou applicatives visant à rendre les services indisponibles.
• Attaques de la chaîne d'approvisionnement (supply chain) : compromission via un fournisseur logiciel ou matériel tiers (incident SolarWinds en 2020, compromission de XZ Utils en mars 2024).
• Cyberattaques de type APT (Advanced Persistent Threat) : intrusions furtives et prolongées menées par des acteurs étatiques visant la collecte de renseignements ou le sabotage.

• Erreurs de configuration (cloud misconfiguration, mauvais paramétrage de DMZ ou de règles de pare-feu).
• Défaillances matérielles ou logicielles non anticipées.
• Catastrophes naturelles affectant les infrastructures physiques (inondations, incendies de datacenters).
• Erreurs humaines (suppression accidentelle de données, partage involontaire d'informations confidentielles).

La gestion des risques informatiques mobilise plusieurs acteurs au sein d'une organisation :

• RSSI (Responsable de la Sécurité des Systèmes d'Information) : pilote la politique de sécurité et coordonne la démarche de gestion des risques. Il rapporte généralement à la direction générale ou au DSI selon la taille de l'organisation.
• Direction générale : valide les seuils d'acceptabilité du risque et arbitre les investissements de sécurité en fonction de l'appétit pour le risque (risk appetite) de l'organisation.
• Direction des systèmes d'information (DSI) : met en œuvre les contrôles techniques et maintient l'inventaire des actifs.
• DPO (Délégué à la Protection des Données) : supervise les risques liés aux données personnelles dans le cadre du RGPD et conduit les AIPD.
• Red team et testeurs d'intrusion : identifient les vulnérabilités par simulation d'attaques réelles avant que des acteurs malveillants ne les exploitent.
• CERT-FR : publie des alertes et avis de sécurité, coordonne la réponse aux incidents au niveau national et participe au réseau européen des CSIRT.

Une Gouvernance de la sécurité informatique formelle définit dans les grandes organisations les rôles, les comités de pilotage sécurité (COSEC), les processus de remontée d'information et les indicateurs clés de risque (KRI, Key Risk Indicators).

La mise en œuvre opérationnelle de la gestion des risques s'appuie sur un ensemble d'outils complémentaires :

Outil	Fonction principale
SIEM	Collecte, normalisation et corrélation des journaux d'événements pour la détection en temps réel
SOC	Centre opérationnel de surveillance et de réponse aux incidents 24h/24
Scanners de vulnérabilités (Nessus, Qualys, OpenVAS)	Identification automatisée des failles connues (CVE) dans les systèmes
Plateformes GRC (ServiceNow GRC, OneTrust, Archer)	Centralisation et automatisation du suivi des risques et des contrôles
Sauvegarde et PRA / PCA	Garantie de la disponibilité des données et services après incident
Chiffrement (cryptographie)	Protection de la confidentialité des données au repos et en transit

Les solutions d'intelligence artificielle sont de plus en plus intégrées dans les outils de détection comportementale (UEBA, User and Entity Behavior Analytics) et les plateformes SOAR (Security Orchestration, Automation and Response). Le modèle Zero Trust guide les architectures de sécurité modernes en remplaçant la confiance implicite liée au périmètre réseau par une vérification systématique de chaque requête d'accès.

La gestion des risques informatiques est un domaine qui requiert des compétences transversales couvrant la sécurité technique, le droit et le management. Plusieurs certifications font référence sur le marché :

Certification	Organisme	Périmètre principal
CISSP (Certified Information Systems Security Professional)	(ISC)²	Sécurité globale et gestion des risques
CISM (Certified Information Security Manager)	ISACA	Management de la sécurité de l'information
CRISC (Certified in Risk and Information Systems Control)	ISACA	Gestion des risques IT spécifiquement
ISO 27001 Lead Implementer / Lead Auditor	PECB, BSI	Implémentation et audit du SMSI
EBIOS Risk Manager	ANSSI (formation habilitée)	Méthode EBIOS Risk Manager

En France, les formations diplômantes intégrant la gestion des risques informatiques incluent les mastères spécialisés en cybersécurité des grandes écoles d'ingénieurs (ENSIBS, IMT Atlantique, EPITA), les licences professionnelles en sécurité des systèmes d'information et les bachelors universitaires de technologie (BUT) en informatique avec option sécurité.

Le déploiement de systèmes d'intelligence artificielle introduit de nouveaux vecteurs de risque : empoisonnement des données d'entraînement (data poisoning), attaques adversariales sur les modèles de machine learning, et génération de contenus malveillants à grande échelle (deepfakes, spear phishing automatisé par LLM). Le règlement européen sur l'IA (AI Act, entré en vigueur en août 2024) impose une classification par niveau de risque et des mesures de gestion proportionnées à chaque catégorie.

Le règlement DORA a introduit la résilience opérationnelle numérique comme objectif stratégique distinct de la seule sécurité défensive. Il exige des tests de pénétration basés sur la menace (TLPT, Threat-Led Penetration Testing) selon la méthodologie TIBER-EU pour les entités financières systémiques, avec un cycle triennal et une supervision des autorités nationales compétentes (ACPR et AMF en France).

La généralisation de la sous-traitance informatique et du recours aux services cloud amplifie les risques liés aux tiers. L'évaluation des risques fournisseurs (Third-Party Risk Management, TPRM) est désormais une composante obligatoire des cadres NIS2 et DORA. Les organisations doivent cartographier leurs dépendances critiques vis-à-vis des prestataires et s'assurer que ces derniers appliquent des mesures de sécurité équivalentes à leurs propres exigences.

• Cybersécurité
• ANSSI
• ISO/IEC 27001
• Directive NIS2
• DORA (Digital Operational Resilience Act)
• Responsable de la sécurité des systèmes d'information
• Plan de continuité d'activité
• Plan de reprise d'activité informatique
• Réponse aux incidents de sécurité
• NIST Cybersecurity Framework
• Audit de cybersécurité