Registre des risques
Suivez, évaluez et gérez les risques de sécurité organisationnels.
Vue d'ensemble
Le Registre des risques vous aide à :
- Identifier et documenter les risques
- Évaluer la probabilité et l'impact
- Suivre les plans de traitement des risques
- Surveiller les risques au fil du temps
- Rapporter sur la posture de risque
Naviguez vers Registre des risques dans la barre latérale.
Structure des risques
Entrée de risque
Chaque risque inclut :
| Champ | Description |
|---|---|
| ID risque | Identifiant unique |
| Titre | Nom du risque |
| Description | Description détaillée du risque |
| Catégorie | Catégorie de risque |
| Probabilité | Probabilité d'occurrence |
| Impact | Gravité si réalisé |
| Score risque | Niveau de risque calculé |
| Responsable | Personne responsable |
| Statut | Statut actuel du risque |
| Traitement | Plan de réponse au risque |
Catégories de risques
Organiser les risques par catégorie :
- Technique : Vulnérabilités système, défauts d'architecture
- Opérationnel : Échecs de processus, erreur humaine
- Conformité : Violations réglementaires, échecs d'audit
- Tiers : Risques fournisseurs, chaîne d'approvisionnement
- Physique : Installation, environnemental
- Stratégique : Affaires, risques de marché
Évaluation des risques
Échelle de probabilité
| Niveau | Score | Description |
|---|---|---|
| Rare | 1 | Peu probable de se produire |
| Improbable | 2 | Pourrait se produire occasionnellement |
| Possible | 3 | Pourrait se produire parfois |
| Probable | 4 | Se produira probablement |
| Presque certain | 5 | Attendu de se produire |
Échelle d'impact
| Niveau | Score | Description |
|---|---|---|
| Négligeable | 1 | Impact minimal |
| Mineur | 2 | Petit impact, facilement géré |
| Modéré | 3 | Impact notable |
| Majeur | 4 | Impact significatif |
| Sévère | 5 | Impact critique sur les opérations |
Calcul du score de risque
Score risque = Probabilité × Impact
Plage score Niveau de risque
1-4 Faible (Vert)
5-9 Moyen (Jaune)
10-16 Élevé (Orange)
17-25 Critique (Rouge)Matrice de risque
Matrice d'évaluation visuelle des risques :
IMPACT
1 2 3 4 5
┌────┬────┬────┬────┬────┐
5 │ 5 │ 10 │ 15 │ 20 │ 25 │
├────┼────┼────┼────┼────┤
4 │ 4 │ 8 │ 12 │ 16 │ 20 │
P ├────┼────┼────┼────┼────┤
R 3 │ 3 │ 6 │ 9 │ 12 │ 15 │
O ├────┼────┼────┼────┼────┤
B 2 │ 2 │ 4 │ 6 │ 8 │ 10 │
A ├────┼────┼────┼────┼────┤
B 1 │ 1 │ 2 │ 3 │ 4 │ 5 │
I └────┴────┴────┴────┴────┘
L
I ■ Faible ■ Moyen ■ Élevé ■ Critique
T
ÉCréation de risques
Ajouter un nouveau risque
- Aller à Registre des risques
- Cliquer sur Ajouter un risque
- Entrer les détails du risque :
- Titre
- Description
- Catégorie
- Évaluer la probabilité et l'impact
- Assigner un responsable
- Cliquer sur Créer
Risque depuis une découverte
Créer des risques à partir de découvertes de sécurité :
- Ouvrir une découverte
- Cliquer sur Créer un risque
- Le risque se remplit automatiquement avec les détails de la découverte
- Examiner et ajuster l'évaluation
- Cliquer sur Créer
Importer des risques
Importer des risques depuis un tableur :
- Cliquer sur Importer
- Télécharger le modèle
- Remplir les données de risque
- Téléverser le fichier
- Examiner et confirmer
Traitement des risques
Options de traitement
| Traitement | Description | Quand utiliser |
|---|---|---|
| Atténuer | Réduire la probabilité ou l'impact | Le risque peut être réduit de manière rentable |
| Accepter | Reconnaître et surveiller | Risque dans la tolérance |
| Transférer | Transférer à un tiers | Assurance, externalisation |
| Éviter | Éliminer la source du risque | Risque trop élevé, activité non essentielle |
Plans de traitement
Documenter les plans de traitement :
- Ouvrir le détail du risque
- Cliquer sur l'onglet Traitement
- Sélectionner le type de traitement
- Ajouter les détails du traitement :
- Actions requises
- Calendrier
- Ressources nécessaires
- Risque résiduel attendu
- Cliquer sur Enregistrer
Risque résiduel
Après traitement, évaluer le risque résiduel :
Risque initial : 16 (Élevé)
Traitement : Implémenter l'AMF
Évaluation risque résiduel :
- Probabilité : 4 → 2 (réduit par le contrôle)
- Impact : 4 → 4 (inchangé)
- Score résiduel : 8 (Moyen)Statut des risques
Types de statut
| Statut | Description |
|---|---|
| Identifié | Nouveau risque, pas encore évalué |
| En évaluation | Sous évaluation |
| En traitement | Traitement en cours |
| Surveillance | Accepté, en suivi |
| Fermé | Risque éliminé ou plus pertinent |
Flux de statut
Identifié → En évaluation → En traitement → Surveillance
↓
FerméSurveillance des risques
Revues de risques
Planifier des revues régulières de risques :
- Aller à Paramètres → Gestion des risques
- Définir la fréquence de revue (mensuelle, trimestrielle)
- Assigner les réviseurs
- Le système envoie des rappels
Tendances de risques
Suivre les changements de score de risque au fil du temps :
Risque : Accès non autorisé aux données
Historique de score :
Janv : ████████████████████ 20 (Critique)
Févr : ████████████████ 16 (Élevé)
Mars : ████████████ 12 (Élevé)
Avr : ████████ 8 (Moyen) ← AMF implémentéeIndicateurs clés de risque (KRI)
Fonctionnalité Professionnelle
Le suivi des KRI nécessite le plan Professionnel ou Entreprise.
Configurer des KRI pour les risques importants :
- Ouvrir le détail du risque
- Cliquer sur l'onglet KRI
- Définir l'indicateur :
- Métrique à suivre
- Valeurs seuils
- Source de données
- Le système alerte quand les seuils sont dépassés
Rapports de risques
Résumé des risques
Voir la posture de risque globale :
Résumé du registre des risques
Risques totaux : 24
Par niveau :
Critique ██ 2 (8%)
Élevé ████ 4 (17%)
Moyen ████████ 8 (33%)
Faible ██████████ 10 (42%)
Principaux risques :
1. Attaque ransomware (Score : 20)
2. Violation de données via tiers (Score : 16)
3. Violation de conformité (Score : 15)Carte thermique des risques
Représentation visuelle de tous les risques :
- Aller à Rapports → Carte thermique des risques
- Voir les risques tracés sur la matrice
- Cliquer sur n'importe quelle cellule pour voir les risques à ce niveau
- Exporter pour présentations
Rapport de tendances
Suivre les changements de posture de risque :
| Période | Critique | Élevé | Moyen | Faible | Score total |
|---|---|---|---|---|---|
| T1 | 3 | 5 | 7 | 8 | 156 |
| T2 | 2 | 4 | 8 | 10 | 128 |
| T3 | 2 | 4 | 8 | 10 | 124 |
Rapport exécutif
Générer un rapport de risque niveau conseil :
- Cliquer sur Rapports → Résumé exécutif
- Sélectionner la période
- Choisir les sections à inclure
- Générer le PDF
Intégration avec les contrôles
Mappage risque-contrôle
Lier les risques aux contrôles atténuants :
- Ouvrir le détail du risque
- Cliquer sur l'onglet Contrôles
- Cliquer sur Lier un contrôle
- Sélectionner les contrôles pertinents
- Cliquer sur Lier
Efficacité des contrôles
Voir comment les contrôles réduisent le risque :
Risque : Attaque par injection SQL
Score de risque inhérent : 20
Contrôles atténuants :
- Requêtes paramétrées (efficacité : 80%)
- Validation des entrées (efficacité : 60%)
- WAF (efficacité : 40%)
Score de risque résiduel : 6Accès API
bash
# Lister les risques
GET /api/v1/risks?status=monitoring
# Obtenir les détails d'un risque
GET /api/v1/risks/{risk_id}
# Créer un risque
POST /api/v1/risks
{
"title": "Violation de données via phishing",
"description": "Risque de violation de données par attaques de phishing",
"category": "technical",
"likelihood": 4,
"impact": 5,
"owner_id": "user_123"
}
# Mettre à jour un risque
PATCH /api/v1/risks/{risk_id}
{
"treatment_type": "mitigate",
"treatment_plan": "Implémenter formation sécurité email",
"residual_likelihood": 2,
"residual_impact": 5
}Voir Référence API pour la documentation complète.
Bonnes pratiques
- Revues régulières : Examiner les risques au moins trimestriellement
- Assigner des responsables : Chaque risque a besoin d'un responsable
- Documenter le traitement : Détailler comment les risques sont traités
- Suivre les tendances : Surveiller les scores de risque au fil du temps
- Lier aux contrôles : Connecter les risques aux contrôles atténuants
- Mettre à jour rapidement : Réévaluer après changements ou incidents
- Rapporter à la direction : Tenir les dirigeants informés