Appréciation quantitative des risques cyber pour NIS2 et DORA
La réunion du conseil où le « risque élevé » n’a plus suffi
Il est 08 h 15 un mardi. Le RSSI d’une fintech en forte croissance attend devant la salle du conseil avec trois versions de la même histoire de risque cyber.
La première version est familière : le rançongiciel est « élevé », l’interruption cloud est « élevée », la compromission d’un fournisseur est « moyenne », l’usage abusif des accès à privilèges est « élevé ». Elle est défendable, alignée sur le registre des risques en vigueur, et presque inutile pour la décision que le conseil doit prendre.
La deuxième version est une feuille de route technique : déployer des sauvegardes immuables, renforcer les contrôles d’identité, financer les tests de résilience, renforcer la surveillance des fournisseurs et étendre la couverture de journalisation. Elle est pertinente, mais le directeur financier pose la question qui change la réunion : « Laquelle de ces actions réduit le plus le risque métier par euro investi ? »
La troisième version change la discussion.
Une interruption de 12 heures de la plateforme d’orchestration des paiements est estimée à 620 000 € d’impact brut opérationnel, contractuel et sur le chiffre d’affaires. L’exposition annualisée actuelle est estimée à 186 000 €. Un dispositif de résilience de 74 000 € peut ramener la perte annuelle attendue à environ 62 000 €. L’exposition restante demeure au-dessus de la tolérance, car le service soutient une fonction critique ou importante, l’exposition liée à la notification des clients reste significative et la dépendance vis-à-vis de tiers est élevée.
Le conseil ne débat plus de couleurs. Il examine l’exposition financière, la tolérance au risque, la responsabilité réglementaire et les priorités d’investissement.
C’est cela, l’appréciation quantitative des risques cyber en 2026. Ce n’est pas du théâtre mathématique. Ce n’est pas prétendre que les événements cyber peuvent être prédits avec une précision parfaite. C’est la traduction rigoureuse de « c’est rouge » en « voici l’exposition financière plausible, le niveau de confiance, la conséquence réglementaire, la décision de traitement et la piste d’audit ».
Pour les RSSI, les responsables de la conformité, les auditeurs et les dirigeants métier, ce changement devient obligatoire en pratique. ISO/IEC 27001:2022 exige un processus d’appréciation et de traitement des risques documenté, cohérent et comparable. NIS2 place le risque de cybersécurité dans le champ de l’approbation, de la supervision, de la formation et de la responsabilité de l’organe de direction. DORA fait de la gouvernance des risques liés aux TIC, des tests de résilience, de la classification des incidents, du risque lié aux tiers et de la responsabilité de la direction des sujets centraux pour les entités financières. NIST CSF 2.0 fournit aux dirigeants un langage de gouvernance pour l’appétence au risque, la priorisation et la supervision. GDPR ajoute une exigence de responsabilité lorsque des données à caractère personnel sont concernées.
Le problème n’est pas que les organisations manquent de registres des risques. Le problème est que beaucoup de registres des risques ne savent pas expliquer les montants financiers, les priorités, la responsabilité du conseil ou les éléments probants d’audit.
L’approche de Clarysec comble cette lacune en combinant le Zenith Blueprint : feuille de route en 30 étapes pour l’auditeur Zenith Blueprint, les politiques Clarysec et Zenith Controls : guide de conformité croisée Zenith Controls dans un modèle opérationnel d’éléments probants : quantifier ce qui compte, le rattacher aux contrôles, montrer qui l’a accepté et prouver que le traitement a fonctionné.
Pourquoi les registres des risques qualitatifs ne suffisent plus
L’appréciation qualitative des risques reste importante. Une matrice claire de vraisemblance et d’impact aide les équipes à prioriser lorsque les données sont incomplètes, en particulier sur un périmètre de SMSI étendu. Le problème commence lorsque l’organisation s’arrête là.
Un conseil peut comprendre qu’un risque est « élevé », mais il ne peut pas facilement comparer trois risques « élevés » qui se disputent le même budget. La priorité la plus élevée est-elle le scénario de rançongiciel, l’interruption cloud, le risque de concentration fournisseur ou la faiblesse liée aux accès à privilèges ? La réponse dépend de l’exposition financière, de la gravité réglementaire, de l’impact client, des obligations contractuelles, de la criticité du service et du risque résiduel après traitement.
C’est pourquoi l’appréciation quantitative des risques cyber fonctionne le mieux sous forme de modèle hybride. Il ne s’agit pas de quantifier chaque sujet mineur. Utilisez une notation qualitative sur l’ensemble du registre, puis ajoutez une analyse financière pour les risques qui exigent des décisions de direction, une approbation d’investissement, une action contractuelle, un transfert du risque ou une supervision par le conseil.
La Politique de gestion des risques d’entreprise de Clarysec Politique de gestion des risques le prévoit explicitement. Dans la section « Exigences de mise en œuvre de la politique », clause 6.2.3, elle indique :
« Des méthodes qualitatives et quantitatives peuvent être appliquées selon la catégorie de risque et la disponibilité de l’information. »
Cette clause est importante, car elle évite une défaillance fréquente : la fausse précision. Les organisations matures n’imposent pas une modélisation financière à chaque risque mineur. Elles l’appliquent là où la décision l’exige.
Pour les PME, le socle peut rester simple. La Politique de gestion des risques PME de Clarysec Politique de gestion des risques - PME, section « Exigences de gouvernance », clause 5.1.2, indique :
« Chaque entrée de risque doit inclure : description, vraisemblance, impact, score, propriétaire et plan de traitement des risques. »
L’amélioration ne consiste pas à remplacer cette structure. Elle consiste à enrichir les entrées les plus importantes avec des estimations financières, en particulier lorsque l’indisponibilité, les services réglementés, les données à caractère personnel, la dépendance cloud, l’externalisation TIC ou des engagements clients critiques sont concernés.
Le basculement de gouvernance : le risque cyber devient un livrable du conseil
La quantification du risque cyber n’est pas seulement un exercice financier. C’est un élément probant de gouvernance.
Au titre d’ISO/IEC 27001:2022, l’organisation doit déterminer son contexte, les parties intéressées, les exigences légales et contractuelles, le périmètre, les interfaces et les dépendances. Elle doit définir un processus d’appréciation des risques de sécurité de l’information produisant des résultats cohérents, valides et comparables. Elle doit identifier les risques portant sur la confidentialité, l’intégrité et la disponibilité, désigner les propriétaires du risque, évaluer les conséquences et la vraisemblance, déterminer les niveaux de risque et prioriser les risques. Elle doit ensuite choisir des options de traitement, déterminer les contrôles, les comparer avec l’Annexe A, produire une Déclaration d’applicabilité, obtenir l’approbation du propriétaire du risque et conserver les informations documentées.
Cela signifie que le registre des risques n’est pas un tableur privé de l’équipe sécurité. C’est un enregistrement du SMSI qui relie la direction, le choix des contrôles, la responsabilité du traitement et la revue de direction.
NIS2 élève encore l’exigence. Les organes de direction des entités essentielles et importantes doivent approuver les mesures de gestion des risques en matière de cybersécurité, superviser leur mise en œuvre et recevoir une formation afin de comprendre les risques et d’évaluer les pratiques de cybersécurité. NIS2 Article 21 exige des mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées, tenant compte de l’état de l’art, du coût de mise en œuvre, de l’exposition au risque, de la taille de l’entité, de la vraisemblance, de la gravité et de l’impact sociétal et économique.
Cette expression, « impact sociétal et économique », est précisément là où la quantification financière du risque cyber devient puissante. Un prestataire soutenant des services cloud, des centres de données, des DNS, des services de confiance, des services managés, des services de sécurité managés, une infrastructure numérique, des places de marché en ligne ou d’autres secteurs couverts peut devoir démontrer non seulement que des contrôles existent, mais aussi pourquoi ils sont proportionnés à l’exposition.
Pour les entités financières, DORA s’applique depuis le 17 janvier 2025 et constitue le régime sectoriel de résilience opérationnelle numérique. Il couvre la gestion des risques liés aux TIC, la notification des incidents majeurs liés aux TIC, les tests de résilience opérationnelle numérique, le partage d’informations sur les cybermenaces, le risque lié aux prestataires tiers de services TIC et la supervision des prestataires tiers critiques de services TIC. Pour les entités financières également identifiées au titre de la transposition nationale de NIS2, DORA agit comme l’acte juridique sectoriel de l’Union applicable aux sujets pertinents de gestion des risques liés aux TIC et de notification des incidents.
En pratique, une fintech n’a pas besoin de cinq cadres de risque déconnectés. Elle a besoin d’un modèle de risque intégré montrant quel régime s’applique, quelles dépendances existent, quelle exposition financière est plausible et comment la direction a approuvé et surveillé le traitement.
GDPR ajoute une couche supplémentaire. Si des données à caractère personnel sont concernées, un événement cyber peut devenir une violation de données à caractère personnel, et non un simple incident opérationnel. Le modèle de risque doit identifier le contexte de traitement, le rôle de responsable du traitement ou de sous-traitant, les catégories de données, les données relevant de catégories particulières le cas échéant, les mesures de sécurité, la logique d’évaluation de la violation et les implications de notification.
De la carte thermique aux euros : le modèle hybride pratique
La bonne question n’est pas : « Faut-il remplacer l’appréciation qualitative des risques ? » La bonne question est : « Quels risques méritent une quantification financière ? »
Le Zenith Blueprint, phase Gestion des risques, étape 12, « Méthodes d’appréciation des risques : qualitatives et quantitatives », donne une réponse pragmatique :
« L’appréciation quantitative des risques cherche à estimer le risque en termes numériques, par exemple la perte annuelle attendue en devise. Cela implique souvent :
✓ de collecter des données historiques d’incident, par exemple la fréquence d’une violation et son coût moyen ; ✓ d’utiliser des modèles tels que l’espérance de perte annualisée (ALE = impact d’une perte unique × taux annuel d’occurrence) ou des cadres comme FAIR (Factor Analysis of Information Risk) pour une analyse plus complexe. »
La même étape rappelle qu’une analyse purement quantitative peut être difficile pour les PME, car les données historiques peuvent être limitées et le processus peut consommer beaucoup de ressources. La réponse pratique est une analyse quantitative légère pour les principaux risques.
| Élément | Signification pratique | Exemple |
|---|---|---|
| Impact d’une perte unique | Impact estimé si le scénario se produit une fois | 620 000 € pour une interruption de 12 heures de la plateforme de paiement |
| Taux annuel d’occurrence | Fréquence estimée par an | 0,3, soit environ une fois tous les 3,3 ans |
| Espérance de perte annualisée | Impact d’une perte unique multiplié par le taux annuel d’occurrence | 186 000 € d’exposition annuelle attendue |
| Coût du traitement | Coût du paquet de contrôles | 74 000 € pour le basculement, la surveillance et les tests |
| Perte annualisée résiduelle | Exposition annuelle estimée après traitement | 62 000 € |
| Décision | Traiter, transférer, éviter ou accepter | Traiter et revoir le risque résiduel en revue de direction |
Les chiffres n’ont pas besoin d’être parfaits. Ils doivent être expliqués. Les hypothèses d’impact peuvent inclure la perte de chiffre d’affaires, les crédits de SLA, l’indemnisation des clients, la réponse aux incidents, le conseil juridique, l’appui en investigation numérique, les heures supplémentaires, le support client, l’effort de notification réglementaire, l’attrition et l’impact réputationnel. Les hypothèses de fréquence peuvent provenir d’incidents internes, de rapports d’interruption de fournisseurs, du renseignement sur les menaces, de l’expérience sectorielle, de l’exposition aux vulnérabilités, des constats d’audit et de la maturité des contrôles.
Le Zenith Blueprint, phase Gestion des risques, étape 10, « Définition des critères de risque et de la matrice d’impact », explique pourquoi le modèle doit être calibré :
« Lors de la définition de l’impact, il est recommandé de relier les niveaux à votre propre échelle d’activité. Par exemple, “impact financier majeur = perte > 100 k$” (à adapter à votre contexte). Tenez également compte de l’impact réglementaire : par exemple, une violation de données à caractère personnel peut automatiquement être “Majeure” ou “Sévère” en raison des amendes GDPR et des exigences de notification, même si la perte financière directe est incertaine. »
C’est le pont entre risque qualitatif et risque quantitatif. « Majeur » ne devient significatif que lorsque l’organisation définit ce que majeur signifie en termes financiers, opérationnels, juridiques et clients.
Exemple détaillé : quantifier le risque d’interruption cloud d’un fournisseur
Imaginez un prestataire SaaS servant des clients du secteur financier. Il dépend d’un prestataire d’hébergement cloud, d’une plateforme de base de données managée, d’une passerelle de paiement et d’un service de notification client. L’équipe retient un scénario pour l’analyse quantitative :
« Une interruption prolongée de la plateforme de base de données managée provoque une perturbation du service client et un retard dans le traitement des transactions. »
Étape 1 : définir le scénario de risque et le propriétaire
La Politique de gestion des risques PME exige une description, une vraisemblance, un impact, un score, un propriétaire et un plan de traitement des risques. La Politique de gestion des risques d’entreprise, section « Exigences de gouvernance », clause 5.2.2, ajoute que le registre :
« Inclut les propriétaires du risque, les scores d’impact et de vraisemblance, les plans de traitement des risques, les échéances et les références de contrôle »
Le propriétaire n’est pas « l’informatique ». Le propriétaire responsable est le responsable de service, appuyé par le RSSI, le CTO, le responsable de la conformité, le responsable des fournisseurs et la finance.
Étape 2 : estimer l’exposition financière
L’équipe estime :
- 35 000 € par heure de perte de chiffre d’affaires transactionnel et de crédits de SLA
- 8 000 € par heure de coûts de support, d’escalade et de gestion des incidents
- 60 000 € de coûts de remédiation client et de communication
- 120 000 € d’attrition potentielle ou d’impact commercial
- 10 heures comme interruption sévère plausible, sur la base de l’historique fournisseur et de la revue d’architecture
L’impact d’une perte unique est :
10 × (35 000 € + 8 000 €) + 60 000 € + 120 000 € = 610 000 €
La vraisemblance actuelle est estimée à 0,25 par an. L’espérance de perte annualisée est :
610 000 € × 0,25 = 152 500 €
Le paquet de traitement proposé comprend une conception de basculement multirégion, une restauration de sauvegarde testée, une revue du SLA fournisseur, une surveillance synthétique, un exercice sur table et une mise à jour du plan de sortie. Le coût de première année est de 82 000 €, avec 34 000 € récurrents.
Après traitement, la vraisemblance résiduelle est estimée à 0,10 par an et l’impact résiduel d’une perte unique à 350 000 €, grâce à une restauration plus rapide. L’ALE résiduelle est :
350 000 € × 0,10 = 35 000 €
La réduction de l’exposition annuelle attendue la première année est d’environ 117 500 €, avant prise en compte des bénéfices liés à la résilience réglementaire, à la confiance client et aux dispositions contractuelles.
Étape 3 : choisir le traitement et documenter la justification
Le traitement des risques n’est pas toujours une atténuation pure. La Politique de gestion des risques PME de Clarysec, section « Exigences de mise en œuvre de la politique », clause 6.1.3, indique :
« Transférer : utiliser des contrats, des accords de niveau de service ou une assurance pour transférer le risque vers l’extérieur. »
Pour ce scénario, l’organisation choisit un traitement mixte : réduire le risque par la résilience technique, en transférer une partie par le SLA et les recours contractuels, et accepter le risque résiduel avec l’approbation de la direction.
Étape 4 : rattacher le traitement à la Déclaration d’applicabilité
La Politique de gestion des risques d’entreprise, section « Alignement sur la Déclaration d’applicabilité (SoA) », clause 6.5.1, indique :
« Les décisions de contrôle résultant du processus de traitement des risques doivent être reflétées dans la SoA. »
C’est ici que le modèle financier devient exploitable en audit. Le scénario d’interruption fournisseur se rattache aux contrôles de l’Annexe A d’ISO/IEC 27001:2022 relatifs aux fournisseurs, au cloud, à la continuité, aux incidents et aux perturbations. Il se rattache également à la sécurité de la chaîne d’approvisionnement et à la continuité d’activité NIS2, au risque lié aux prestataires tiers de services TIC et aux tests de résilience DORA, à la sécurité GDPR et à l’évaluation de violation si des données à caractère personnel sont affectées, ainsi qu’aux résultats de gouvernance, de chaîne d’approvisionnement, de réponse et de rétablissement du NIST CSF.
Le Zenith Blueprint, phase Gestion des risques, étape 13, « Planification du traitement des risques et Déclaration d’applicabilité », explique la traçabilité :
« La SoA est en pratique un document de liaison : elle relie votre appréciation et votre traitement des risques aux contrôles effectivement en place. En la complétant, vous vérifiez aussi que vous n’avez pas oublié de contrôles. »
Une justification solide de la SoA pourrait indiquer : « Applicable, car l’interruption de la base de données managée affecte un service client critique, une dépendance TIC vis-à-vis d’un tiers, des obligations contractuelles clients, des engagements de continuité et la disponibilité potentielle de données à caractère personnel. Les contrôles sont sélectionnés pour réduire une exposition annualisée quantifiée à 152 500 € et soutenir un risque résiduel approuvé par la direction. »
Étape 5 : escalader selon les seuils
La Politique de gestion des risques d’entreprise, section « Exigences de gouvernance », clause 5.6, exige :
« La matrice d’autorité des risques doit définir clairement les seuils d’escalade vers la direction générale ou le conseil. »
Une exposition annualisée de 152 500 € peut dépasser la tolérance de la direction locale. Un risque de moindre valeur peut néanmoins exiger une escalade s’il affecte une fonction critique ou importante, déclenche des attentes DORA, implique des données à caractère personnel, menace des engagements clients ou crée une responsabilité de l’organe de direction au titre de NIS2.
Cartographie de conformité croisée : un risque quantifié, plusieurs obligations
Un risque cyber quantifié ne doit pas être recopié dans cinq tableurs de conformité distincts. Il doit devenir un objet de risque unique avec plusieurs vues de conformité.
| Angle de conformité | Ce que le risque quantifié doit montrer | Livrable justificatif |
|---|---|---|
| ISO/IEC 27001:2022 | Critères de risque, propriétaire, vraisemblance, conséquence, traitement, acceptation résiduelle, cartographie SoA et éléments probants opérationnels | Registre des risques, plan de traitement des risques, SoA, revue de direction, enregistrements d’audit |
| NIS2 | Mesures appropriées et proportionnées, approbation et supervision par l’organe de direction, considérations relatives aux incidents et à la continuité, mesures de chaîne d’approvisionnement | Dossiers du conseil, enregistrements de formation, approbations de traitement des risques, workflow d’incident |
| DORA | Gouvernance des risques liés aux TIC, fonctions critiques ou importantes, dépendances TIC vis-à-vis de tiers, tests, classification des incidents et stratégie de résilience | Cadre de gestion des risques liés aux TIC, registre d’informations, résultats des tests, classification des incidents, plan de sortie |
| GDPR | Périmètre des données à caractère personnel, mesures de sécurité, implications de violation, responsabilité du responsable du traitement ou du sous-traitant, contexte de traitement licite | Lien avec le RoPA, DPIA le cas échéant, évaluation de violation, éléments probants de sécurité |
| NIST CSF 2.0 | Appétence au risque, priorisation standardisée, gouvernance, risque fournisseur, résultats de détection, de réponse et de rétablissement | Profils actuel et cible, plan d’action, POA&M, enregistrements de risque fournisseur |
| COBIT 2019 | Objectifs de gouvernance, surveillance de la performance, optimisation des risques, décisions d’allocation des ressources et assurance | Rapports de gouvernance, indicateurs de performance des contrôles, rapports d’assurance |
NIS2 Article 21 est particulièrement pertinent, car il inclut l’analyse des risques, les politiques de sécurité, la gestion des incidents, la continuité d’activité, la sauvegarde, la reprise après sinistre, la gestion de crise, la sécurité de la chaîne d’approvisionnement, le développement sécurisé, la gestion des vulnérabilités, l’évaluation de l’efficacité, l’hygiène cyber, la formation, la cryptographie, la sécurité RH, le contrôle d’accès, la gestion des actifs et l’authentification.
DORA crée une discipline similaire pour les entités financières, avec un accent sectoriel. Il exige un cadre interne de gouvernance et de contrôle pour le risque lié aux TIC, sous la responsabilité ultime de l’organe de direction. Il attend l’approbation et la supervision des politiques TIC, des rôles, de la stratégie de résilience opérationnelle numérique, de la tolérance au risque lié aux TIC, des plans de continuité et de réponse, des plans d’audit, des budgets, de la formation, des politiques relatives aux prestataires tiers de services TIC et des canaux de reporting.
DORA donne également à l’appréciation quantitative des risques un déclencheur opérationnel direct : la classification des incidents. Les incidents majeurs liés aux TIC doivent être classifiés au moyen de critères tels que les clients, contreparties et transactions affectés, la durée, l’indisponibilité, l’étendue géographique, les pertes de données affectant la disponibilité, l’authenticité, l’intégrité ou la confidentialité, la criticité des services affectés et l’impact économique. Si le modèle de risque estime déjà l’indisponibilité, l’impact client, l’impact sur les données et la perte économique, il soutient la classification d’un incident lorsqu’un événement réel survient.
Le tableau de correspondance des contrôles qui rend la responsabilité du conseil auditable
Dans Zenith Controls, Clarysec cartographie le contrôle ISO/IEC 27002:2022 5.4, « Responsabilités de la direction », comme ancrage de gouvernance pour la responsabilité en matière de sécurité de l’information. Le guide le traite comme préventif, soutenant la confidentialité, l’intégrité et la disponibilité, aligné sur le concept de cybersécurité « Identifier », avec la gouvernance comme capacité opérationnelle et la gouvernance ainsi que l’écosystème comme domaines de sécurité.
Cela compte, car l’exposition financière cyber relève de la prise de décision de la direction. Zenith Controls relie le contrôle ISO/IEC 27002:2022 5.4 à plusieurs contrôles de soutien :
| Relation avec les contrôles ISO/IEC 27002:2022 | Pourquoi cela compte pour le risque quantifié |
|---|---|
| 5.2 Rôles et responsabilités en sécurité de l’information | Les propriétaires du risque, les responsables de contrôle et les autorités d’escalade doivent être définis |
| 5.1 Politiques de sécurité de l’information | Les décisions de risque quantifié doivent être alignées sur les engagements de politique approuvés |
| 5.35 Revue indépendante de la sécurité de l’information | La revue indépendante fournit à la direction une assurance objective sur le traitement des risques |
| 5.36 Conformité aux politiques, règles et normes de sécurité de l’information | La surveillance de la conformité montre si les traitements fonctionnent comme prévu |
| 5.8 Sécurité de l’information dans la gestion de projet | Les nouveaux produits et changements doivent intégrer le risque cyber et l’exposition financière dès le début |
Zenith Controls cartographie également les responsabilités de la direction avec les clauses ISO/IEC 27001:2022 5.1, 5.2 et 9.3, reliant leadership, politique et revue de direction. Il les cartographie en outre avec les clauses 6 et 7 d’ISO/IEC 27014:2020, qui portent sur les cadres et processus de gouvernance visant à évaluer, diriger, surveiller et communiquer la sécurité de l’information.
La chaîne des éléments probants est simple :
- La direction définit l’appétence, la tolérance et les seuils d’escalade.
- Les propriétaires du risque quantifient les principaux risques cyber.
- Les contrôles sont sélectionnés et reflétés dans la SoA.
- Les actions de traitement sont exécutées et surveillées.
- La revue indépendante et la surveillance de la conformité testent l’efficacité.
- La revue de direction évalue la performance, les incidents, les résultats d’audit, les ressources et les actions d’amélioration.
- Le conseil reçoit l’exposition financière, le risque résiduel et les éléments probants de responsabilité en langage métier.
La Politique de gestion des risques PME de Clarysec, section « Rôles et responsabilités », clause 4.1.1, renforce ce rôle de gouvernance :
« Définit l’appétence au risque de l’organisation et approuve le cadre de gestion des risques. »
Pour une PME, il peut s’agir du directeur général ou du propriétaire. Pour une entité financière réglementée, il peut s’agir de l’organe de direction. Le principe de responsabilité est identique.
Comment les auditeurs et les autorités de régulation testeront vos chiffres
L’appréciation quantitative des risques cyber ne sera pas auditée comme une science actuarielle parfaite. Elle sera auditée sur la méthode, la cohérence, la traçabilité, la gouvernance et les éléments probants.
| Angle de l’auditeur ou de l’évaluateur | Ce qui sera testé | Éléments probants attendus |
|---|---|---|
| ISO/IEC 27001:2022 | Clause 6.1.2 appréciation des risques, clause 6.1.3 traitement des risques, décisions SoA, approbation du propriétaire du risque et clause 9.3 revue de direction | Critères de risque, registre, plan de traitement des risques, SoA, approbations, comptes rendus de revue de direction |
| Autorité compétente NIS2 | Approbation et supervision par l’organe de direction, mesures Article 21, proportionnalité, préparation aux incidents et formation | Dossiers du conseil, enregistrements de formation, approbations des risques, procédures d’incident, éléments probants de continuité |
| Superviseur DORA ou auditeur interne | Cadre de risque lié aux TIC, tolérance au risque lié aux TIC, fonctions critiques ou importantes, tests, classification des incidents et risque lié aux tiers TIC | Registre des risques liés aux TIC, stratégie de résilience, registre d’informations, résultats des tests, plans de sortie |
| Évaluateur NIST CSF 2.0 | Résultats GOVERN, notamment GV.RM-02 appétence et tolérance au risque et GV.RM-06 priorisation standardisée | Profil actuel, profil cible, plan d’action, lien avec le risque d’entreprise |
| Évaluateur COBIT 2019 | Gouvernance de l’informatique d’entreprise, optimisation des risques, droits de décision, allocation des ressources et assurance | Rapports de gouvernance, indicateurs de performance, rapports d’assurance |
La Politique d’audit et de surveillance de la conformité PME de Clarysec Politique d’audit et de surveillance de la conformité - PME, section « Exigences de gouvernance », clause 5.4.3, rend la boucle d’audit explicite :
« Les constats d’audit et les mises à jour de statut doivent être inclus dans le processus de revue de direction du SMSI. »
C’est critique. Si le modèle de risque estime une exposition de 500 000 €, mais que l’audit interne constate l’échec du test de restauration, le risque résiduel doit changer. Si le plan de sortie fournisseur n’est pas testé, l’organisation ne doit pas accepter le risque résiduel comme si le contrôle était mature. Si les tests DORA identifient une lacune critique, ce constat doit alimenter le traitement, le budget et la revue de direction.
Le Zenith Blueprint, phase Audit, revue et amélioration, étape 28, « Revue de direction », soutient cette approche en recommandant des entrées de revue de direction telles que les changements des enjeux internes et externes, les exigences réglementaires, les résultats d’audit, la surveillance et la mesure, les objectifs, les incidents, les non-conformités, les opportunités d’amélioration et les besoins en ressources. Dans un programme de risque cyber quantifié, le dossier de revue de direction doit inclure les principales expositions financières, la tendance depuis la dernière revue, l’avancement du traitement, les actions en retard, les risques résiduels au-dessus de la tolérance et les décisions requises.
Construire un dossier de risque cyber présentable au conseil
Un dossier de risque cyber destiné au conseil ne doit pas noyer les administrateurs sous des volumes de vulnérabilités, des variables FAIR ou des identifiants de contrôle. Il doit traduire le risque cyber en décisions.
Pour chaque risque quantifié majeur, incluez :
- Nom du scénario et service métier affecté
- Criticité du service ou de la fonction
- Indicateurs relatifs aux données à caractère personnel, au service réglementé et à la dépendance fournisseur
- Estimation actuelle de l’impact d’une perte unique
- Estimation actuelle du taux annuel d’occurrence
- Espérance de perte annualisée actuelle
- Hypothèses et niveau de confiance
- Contrôles actuels et lacunes connues
- Options de traitement et coût
- Exposition résiduelle attendue après traitement
- Pertinence au regard d’ISO/IEC 27001:2022, NIS2, DORA et GDPR
- Propriétaire du risque et décision requise
- Références SoA et politiques
- Échéance et date de revue
Une vue simplifiée pour le conseil peut ressembler à ceci :
| Scénario de risque | ALE actuelle | Coût du traitement | ALE résiduelle | Moteur réglementaire | Décision |
|---|---|---|---|---|---|
| Interruption de base de données managée affectant le traitement des transactions | 152 500 € | 82 000 € | 35 000 € | Risque lié aux TIC DORA, traitement des risques ISO, continuité fournisseur | Approuver le traitement |
| Rançongiciel affectant la plateforme de données clients | 372 000 € | 100 000 € | 95 000 € | Risque de violation GDPR, gestion des incidents NIS2, contrôles d’incident ISO | Approuver l’EDR et les sauvegardes immuables |
| Compromission des accès à privilèges dans la console d’administration cloud | 260 000 € | 58 000 € | 72 000 € | Contrôle d’accès ISO, authentification NIS2, intégrité des données DORA | Approuver le renforcement MFA et PAM |
| Risque de concentration sur un fournisseur SaaS critique | 190 000 € | 45 000 € | 95 000 € | Risque tiers DORA, chaîne d’approvisionnement NIS2, contrôles fournisseurs ISO | Approuver le test du plan de sortie |
Les chiffres sont des estimations, mais leur valeur de gouvernance est réelle. Le conseil peut comparer les priorités. Le RSSI peut justifier les dépenses. La finance peut valider les hypothèses. La conformité peut relier les décisions aux obligations. Les auditeurs peuvent suivre la piste d’audit.
Erreurs fréquentes lors de la quantification du risque cyber
La première erreur est la fausse précision. Un modèle qui annonce une perte de 487 239,17 € sans hypothèses claires est moins crédible qu’une fourchette avec une base documentée. Utilisez des fourchettes lorsque c’est approprié et revoyez les hypothèses après les incidents, les audits, les changements de fournisseurs et les décisions d’architecture majeures.
La deuxième erreur consiste à ne compter que le coût technique. Un incident cyber majeur peut impliquer une perte de chiffre d’affaires, l’indemnisation des clients, une perturbation opérationnelle, une notification réglementaire, du conseil juridique, un appui en investigation numérique, des coûts de communication, des pénalités contractuelles, de l’attrition, du temps de direction et un impact réputationnel.
La troisième erreur consiste à ignorer la gravité réglementaire. Une violation de données à caractère personnel peut être majeure même lorsque la perte opérationnelle directe paraît modeste. Un incident DORA peut être significatif en raison de la criticité du service, de l’indisponibilité, de la perte de données ou des clients affectés. Un incident NIS2 peut être significatif parce qu’il provoque une perturbation opérationnelle grave, une perte financière ou un dommage considérable pour des tiers.
La quatrième erreur consiste à ne pas mettre à jour la SoA. Si les décisions de traitement retiennent la surveillance des fournisseurs, la planification de sortie cloud, la collecte des éléments probants d’incident, la préparation TIC pour la continuité d’activité ou les contrôles de perturbation, la SoA doit refléter les contrôles applicables et leur statut de mise en œuvre.
La cinquième erreur consiste à exclure la finance. L’appréciation quantitative des risques cyber est la plus solide lorsque la sécurité, la finance, le juridique, les opérations, le produit et la conformité s’accordent sur les hypothèses d’impact. Le RSSI ne doit pas inventer seul les chiffres de perte de chiffre d’affaires.
La sixième erreur consiste à traiter l’assurance comme un transfert complet du risque. L’assurance peut réduire l’impact financier, mais elle ne supprime pas la responsabilité réglementaire, la perturbation de service, l’atteinte à la confiance des clients ni la responsabilité de la direction.
Où Clarysec intervient
Clarysec aide les organisations à construire un programme de risque cyber suffisamment pratique pour les PME et suffisamment rigoureux pour les environnements réglementés.
Le Zenith Blueprint guide l’organisation depuis le périmètre et le contexte jusqu’aux critères de risque, à l’appréciation qualitative et quantitative, à la planification du traitement, à la traçabilité SoA, à l’audit, à la revue de direction et à l’amélioration. Zenith Controls aide à cartographier les attentes de contrôle ISO/IEC 27001:2022 et ISO/IEC 27002:2022 avec d’autres référentiels, audits et obligations de gouvernance. Les politiques Clarysec fournissent le langage attendu par les auditeurs, notamment l’appétence au risque, les matrices d’autorité, les options de traitement, les registres de conformité, l’alignement SoA et l’intégration à la revue de direction.
La Politique de conformité juridique et réglementaire PME Politique de conformité juridique et réglementaire - PME, section « Exigences de gouvernance », clause 5.1.1, commence par une obligation simple :
« Le DG doit tenir à jour un registre de conformité simple et structuré listant : »
Ce registre simple compte. Les obligations légales, réglementaires et contractuelles doivent être visibles dans le SMSI. Pour le risque quantitatif, cela signifie que NIS2, DORA, GDPR, les contrats clients, les SLA, les obligations d’externalisation, les obligations de notification des incidents et les engagements d’audit structurent l’impact, la priorité de traitement et l’escalade.
La Politique de gestion des risques d’entreprise, section « Normes et référentiels de référence », clause 11.9.1, reflète aussi directement une gouvernance de type DORA :
« Article 5 : impose un cadre documenté de gestion des risques liés aux TIC, entièrement couvert par la structure de cette politique, y compris la cartographie SoA et les KRI. »
C’est le modèle Clarysec en une phrase : une gestion documentée des risques liés aux TIC, cartographiée avec les contrôles, mesurée par des indicateurs, revue par la direction et documentée pour l’audit.
Prochaines étapes : rendre votre registre des risques cyber 2026 financièrement défendable
Si votre registre actuel des risques cyber indique encore « élevé » sans expliquer l’exposition financière, l’économie du traitement ou l’impact réglementaire, commencez par cinq actions ce trimestre :
- Sélectionnez vos 5 à 10 principaux scénarios de risque cyber selon l’impact métier.
- Définissez des seuils d’impact financier pour mineur, modéré, majeur et sévère.
- Estimez l’impact d’une perte unique, le taux annuel d’occurrence et l’espérance de perte annualisée pour chaque scénario majeur.
- Cartographiez chaque décision de traitement avec les contrôles ISO/IEC 27001:2022, la SoA, les obligations NIS2 ou DORA le cas échéant, les implications GDPR et les résultats de gouvernance du NIST CSF.
- Présentez le risque résiduel, le coût du traitement et les seuils d’escalade en revue de direction.
Clarysec peut vous aider à transformer cela en système d’éléments probants répétable avec le Zenith Blueprint Zenith Blueprint, Zenith Controls Zenith Controls, la Politique de gestion des risques d’entreprise Politique de gestion des risques, la Politique de gestion des risques PME Politique de gestion des risques - PME et les modèles de soutien pour l’audit et la conformité.
L’objectif n’est pas de rendre le risque cyber parfaitement prévisible. L’objectif est de le rendre explicable, comparable, financièrement significatif et auditable.
Téléchargez les modèles de politiques de risque et de conformité de Clarysec, explorez le Zenith Blueprint, ou réservez une évaluation Clarysec pour transformer votre registre des risques cyber 2026 en éléments probants présentables au conseil pour ISO/IEC 27001:2022, NIS2, DORA et GDPR.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
