Alain Rees · 11-07-2026 · 18 min leestijd
Comment la gestion des risques stratégique, tactique et opérationnelle forme ensemble un pilotage continu, du conseil d'administration au terrain
La gestion des risques n'est pas une activité distincte à côté de la sécurité de l'information : elle en est le mécanisme de pilotage. Elle traduit la question « qu'est-ce qui peut mal tourner » en « qu'y faisons-nous, qu'acceptons-nous, et qui décide ». Pourtant, dans beaucoup d'organisations, la gestion des risques reste enfermée dans un exercice annuel de remplissage de formulaire : un registre qui se referme pour un an une fois l'audit passé. Cela tient presque toujours au fait que les trois niveaux de pilotage ne sont pas reliés entre eux. Dans cet article, vous découvrirez comment la gestion des risques stratégique, tactique et opérationnelle s'articulent, et comment relier l'ensemble aux autres processus de votre organisation.
En bref
- La gestion des risques pilote la sécurité de l'information à trois niveaux : le stratégique fixe les cadres, le tactique évalue et traite, l'opérationnel exécute et détecte.
- Le cycle suit les normes ISO 31000 et ISO 27005 : contexte, identification, analyse et évaluation forment ensemble l'appréciation du risque, suivie du traitement et d'une surveillance continue.
- Les quatre options de traitement sont réduire, éviter, transférer et accepter ; une acceptation au-dessus de la tolérance est une décision de la direction.
- Les cadres descendent et l'information sur les risques remonte ; sans ces circuits, le registre vieillit jusqu'à n'être plus que du papier.
- Le processus de gestion des risques coïncide avec les quatre phases du modèle Kantyra : détecter, évaluer, résoudre et démontrer.
Les trois niveaux ne diffèrent pas par la méthode, mais par la question posée, l'horizon temporel et la responsabilité. Le stratégique porte sur le niveau de risque que l'organisation est prête à courir. Le tactique porte sur l'évaluation et le traitement systématiques des risques. L'opérationnel porte sur la maîtrise et la détection au quotidien. Les niveaux sont reliés par un cycle continu : les cadres descendent et l'information sur les risques remonte.
Au niveau stratégique, auprès du conseil d'administration et de la direction générale, tout tourne autour d'une seule question : quel niveau de risque voulons-nous et pouvons-nous courir, au regard de nos objectifs et de nos obligations légales ? L'horizon temporel est ici de un à quatre ans.
Les produits essentiels sont l'appétence au risque et la tolérance au risque. L'appétence au risque est un énoncé qualitatif par domaine, par exemple : « nous n'acceptons pratiquement aucun risque sur les données à caractère personnel des clients, mais sommes prêts à prendre un risque modéré sur des projets pilotes innovants ». La tolérance rend cela mesurable : au-dessus de quel score de risque résiduel l'acceptation par la direction devient-elle obligatoire ? Sans ces cadres, toute analyse de risque est sans gouvernail, car l'analyste décide alors implicitement lui-même de ce qui est acceptable.
La gouvernance a également sa place ici. Le propriétaire du risque se situe toujours dans la ligne, jamais auprès du RSSI. La deuxième ligne (la fonction RSSI, le coordinateur central de la protection des données et la fonction risque) contrôle et conseille, et la troisième ligne (l'audit interne) apporte une assurance indépendante. Le délégué à la protection des données se tient à leurs côtés comme superviseur interne indépendant : il conseille, certes, mais ne travaille pas dans la ligne. Dans le cadre de NIS2 – la directive (UE) 2022/2555, dont l'application relève en France de l'ANSSI et qui est transposée en Belgique par la loi du 26 avril 2024, en vigueur depuis le 18 octobre 2024 sous l'autorité du CCB –, cela n'est plus facultatif : la direction assume un devoir de diligence explicite, doit approuver de manière démontrable les mesures de gestion des risques et en superviser la mise en œuvre, et est tenue d'être formée. L'acceptation d'un risque au-dessus de la tolérance est ainsi devenue une décision de la direction, avec la responsabilité personnelle comme ultime conséquence.
Le niveau stratégique reçoit périodiquement, le plus souvent chaque trimestre, une image agrégée des risques : les risques majeurs, la tendance, l'état des plans de traitement et les risques résiduels formellement acceptés. NIS2 place la barre plus haut qu'un simple point de reporting fixe : la direction ne se contente pas d'approuver les mesures, elle en supervise aussi la mise en œuvre et doit se tenir activement informée des risques, des mesures et des incidents. Un incident grave, ou un risque résiduel qui dépasse la tolérance, n'attend donc pas le rapport trimestriel mais parvient directement à la direction. Celle-ci ajuste par la politique, le budget et la priorisation.
Au niveau tactique, auprès du RSSI, des responsables de la sécurité de l'information et des propriétaires de processus et de systèmes, le processus de gestion des risques lui-même est conçu et exécuté. L'horizon temporel s'étend de trois à dix-huit mois.
Le cycle suit pour l'essentiel la norme ISO 27005 et comporte quatre étapes. La première étape est le contexte et le périmètre : quel processus ou système évaluez-vous, quelles dépendances entrent en jeu, et quelle classification DIC s'applique ? La classification en disponibilité, intégrité et confidentialité forme le pont entre l'intérêt métier et l'exigence de sécurité, et détermine la profondeur de l'analyse. La deuxième étape est l'identification et l'analyse des risques : quelles menaces peuvent provoquer quel impact via quelles vulnérabilités ? Vous les évaluez selon une matrice de probabilité et d'impact fixe, afin que les scores restent comparables à l'échelle de l'organisation.
La troisième étape est le traitement du risque, avec les quatre options classiques. Vous pouvez réduire un risque par des mesures, l'éviter en cessant l'activité ou en l'organisant autrement, le transférer par une assurance ou une garantie contractuelle auprès d'un fournisseur, ou l'accepter formellement lorsqu'il se situe dans la tolérance et que le propriétaire du risque signe. La quatrième étape est la consignation dans le registre des risques, avec pour chaque risque un propriétaire, un score de risque résiduel, un plan de traitement et une date de réévaluation.
Dans Kantyra, ce registre est le cœur de la plateforme. Chaque risque possède un propriétaire, un traitant, une catégorie, un score brut et un score résiduel ainsi qu'une date de réévaluation, et vous le reliez aux actifs, mesures, fournisseurs et incidents auxquels il se rattache. La matrice est configurable de 3×3 à 5×5, avec vos propres libellés d'échelle, et, si vous le souhaitez, la plateforme impose une justification pour chaque score. Vous consignez la tolérance au risque sous forme de paramètre : les risques dont le score résiduel dépasse cette limite sont signalés par la plateforme, dans le registre et sur le tableau de bord, jusqu'à ce qu'une acceptation formelle leur soit opposée. Cette acceptation passe par le registre des dérogations, qui impose le principe des quatre yeux : le demandeur ne peut pas approuver sa propre acceptation de risque, chaque acceptation reçoit une date de fin, et la plateforme surveille cette échéance au moyen d'une tâche dès que la réévaluation approche.
Si vous travaillez avec l'ISO 27001, vous consignez la sélection des mesures dans la Déclaration d'applicabilité : quelles mesures de l'Annexe A appliquez-vous, lesquelles non, et pourquoi. Ce document est la charnière entre l'analyse de risque et le système de management. Dans Kantyra, vous reliez les risques et les mesures à ces mêmes mesures de l'Annexe A, de sorte que la déclaration ne repose pas à côté de votre analyse de risque, mais sur elle, et vous l'exportez en PDF pour l'auditeur. Une analyse de risque elle-même passe en outre par un tour de revue selon le principe des quatre yeux : l'auteur la soumet et une autre personne l'approuve ou la renvoie avec des commentaires.
Le niveau tactique veille aussi à la cohérence méthodologique : une seule matrice, un seul registre, une seule procédure d'acceptation. Sans cette cohérence, les risques ne sont pas additionnables d'un service à l'autre et vous ne pouvez pas donner à la direction une image fiable.
Au niveau opérationnel, auprès des administrateurs, de l'équipe sécurité et des chefs d'équipe, tout est affaire d'exécution et de détection, dans un rythme quotidien à mensuel. Les mesures issues des plans de traitement sont ici mises en œuvre et maintenues : application des correctifs, gestion des accès, journalisation, sauvegardes, durcissement. En même temps, ce niveau fournit les organes de perception de la gestion des risques : gestion des vulnérabilités, enregistrement des incidents, surveillance et indicateurs de risque tels que le retard de correctifs, le nombre de comptes sans MFA et la propension au signalement face au hameçonnage.
Le circuit de remontée vers le haut est crucial. Une constatation opérationnelle, comme une vulnérabilité critique qui ne peut être corrigée dans le délai imparti ou une série d'incidents comparables, n'est pas un signalement isolé mais un signal indiquant qu'un score de risque dans le registre n'est peut-être plus exact. L'opérationnel remonte au tactique lorsqu'une mesure ne fonctionne structurellement pas ou se révèle irréalisable. Le tactique remonte au stratégique lorsque le risque résiduel dépasse la tolérance. Sans ces circuits, le registre des risques vieillit jusqu'à devenir une réalité de papier, et c'est en pratique le mode de défaillance le plus fréquent.
Dans Kantyra, ce circuit de remontée est intégré, de sorte qu'il ne dépend pas de bonnes intentions. Vous reliez un incident au risque qui s'est matérialisé, et pour un incident élevé ou critique, la plateforme crée automatiquement une tâche de réévaluation de ce risque. Les mesures disposent de leur propre test d'efficacité assorti d'une date planifiée ; à l'approche de cette date ou si le résultat est insuffisant, cela apparaît de lui-même dans la liste des tâches. C'est ainsi que le terrain maintient le registre à jour sans circuit de reporting distinct.
Les trois niveaux forment ensemble un cycle d'amélioration continue. Le stratégique fixe les cadres, le tactique analyse et traite, l'opérationnel exécute et mesure, et la ligne de reporting vers le haut alimente les ajustements, après quoi la direction recalibre les cadres. Un rythme sain se présente ainsi : détection opérationnelle continue, actualisation trimestrielle du registre et reporting tactique, et recalibrage annuel (et lors de changements majeurs) des analyses de risque et de l'appétence au risque via la revue de direction.
Pour cette revue de direction, Kantyra rassemble l'image dans un rapport de direction qui offre à tout moment une vue d'ensemble à jour : les risques majeurs et les niveaux de risque, l'avancement de la Déclaration d'applicabilité, la tendance des incidents des douze derniers mois ainsi que les tâches ouvertes et en retard.
Le modèle de processus classique des normes ISO 31000 et ISO 27005 dessine la gestion des risques comme un cycle en couches. En son cœur se trouve l'appréciation du risque : établir le contexte, identifier les risques, les analyser et les évaluer. Autour viennent le traitement du risque ainsi que la surveillance et la réévaluation continues, et le long de toute la boucle court un axe qui relie tout : la communication sur les risques et l'information à leur sujet.
Placez ce modèle de processus à côté du modèle Kantyra et vous verrez le même cycle avec d'autres étiquettes. L'appréciation du risque, du contexte à l'évaluation, est la phase évaluer. Le traitement du risque, avec les quatre options de traitement et les mesures qui en découlent, est la phase résoudre. La surveillance et la réévaluation, alimentées par les incidents, les vulnérabilités et les indicateurs, sont la phase détecter. Et l'axe de communication, l'information continue du conseil d'administration, de l'autorité de contrôle et de l'auditeur, est la phase démontrer.
Il existe une différence essentielle, et elle réside dans le point de départ. Le modèle ISO commence par le haut, par le contexte : il raisonne de l'analyse vers la pratique. Le modèle Kantyra commence par le bas, par la détection : il raisonne de la pratique vers l'analyse. C'est un choix délibéré, car le défaut le plus fréquent en gestion des risques n'est pas une analyse manquante, mais une analyse qui n'est plus alimentée par ce qui se passe réellement. La gestion des risques ne se situe donc pas dans une seule phase du modèle Kantyra ; elle est le cycle du modèle, appliqué aux risques.
La gestion des risques tient ou tombe avec sa connexion aux processus qui l'entourent. Un principe de conception utile : chaque processus devrait soit alimenter le registre des risques, soit y exécuter un traitement. Dès qu'un processus ne fait ni l'un ni l'autre, il s'est détaché du pilotage des risques.
La gestion des risques est le moteur de l'ISMS, et non un processus adjacent. L'ISO 27001:2022 exige au chapitre 6 que vous mettiez en place l'appréciation et le traitement du risque, avec le plan de traitement et la Déclaration d'applicabilité (qui relie les risques aux mesures) comme résultats obligatoires, et au chapitre 8 que vous réalisiez également cette appréciation périodiquement et lors de changements majeurs. La revue de direction du chapitre 9 est le moment formel où l'image des risques reçoit un suivi de la direction.
Les incidents sont des risques matérialisés. Chaque incident significatif devrait conduire à la question : ce risque figurait-il dans le registre, l'estimation de la probabilité était-elle juste, et les mesures ont-elles fonctionné ? Inversement, les scores de risque déterminent la priorisation et les seuils d'escalade dans le traitement des incidents. Dans le cadre de NIS2 s'ajoute l'obligation légale de notification, avec une alerte précoce sous 24 heures, une notification sous 72 heures et un rapport final sous un mois, ce qui impose des exigences à la chaîne opérationnelle de détection et de triage. Dans Kantyra, vous marquez un tel incident comme soumis à notification : le registre calcule les délais à partir du moment de la survenance et signale lorsqu'un délai expire sans que l'étape correspondante ait été consignée.
Tout changement significatif devrait passer par une appréciation du risque avant d'être approuvé. C'est ici que la « sécurité dès la conception » devient concrète : un changement qui touche la classification DIC ou le profil de menace conduit à une analyse de risque complémentaire portant sur les écarts, plutôt qu'à une analyse entièrement nouvelle.
L'analyse d'impact sur l'activité (BIA) et l'analyse de risque sont des instruments jumeaux. La BIA détermine ce dont l'organisation peut au maximum se passer, exprimé en temps de reprise et en perte de données maximale. L'analyse de risque détermine la probabilité d'une perturbation. Les risques de disponibilité issus du registre alimentent les plans de continuité, et les exercices renvoient à leur tour des constatations au registre. Dans Kantyra, les deux analyses figurent comme modèles dans le même module d'évaluation et partagent le même registre des risques, dans lequel les risques de continuité ont leur propre catégorie.
L'externalisation déplace un risque, mais ne le supprime pas. Les achats et la gestion des contrats sont donc des canaux d'exécution du traitement des risques : exigences dépendantes de la classification dans les appels d'offres, contrats de sous-traitance, clauses de réversibilité et évaluation périodique des fournisseurs critiques. NIS2 place explicitement la sécurité de la chaîne d'approvisionnement sous la responsabilité de l'organisation elle-même ; les risques fournisseurs ont donc leur place comme entrées à part entière dans le registre, et non dans une liste séparée au niveau des achats. Dans Kantyra, vous reliez ainsi les fournisseurs directement aux risques du registre, et chaque fournisseur reçoit une évaluation périodique qui revient automatiquement sous forme de tâche.
L'AIPD (analyse d'impact relative à la protection des données) est méthodologiquement une analyse de risque du point de vue de la personne concernée plutôt que de l'organisation. Bien conçue, l'AIPD et l'analyse de risque de sécurité de l'information partagent la même prise en charge, la même classification et la même structure de registre, avec le coordinateur central de la protection des données comme rôle de deuxième ligne aux côtés du RSSI et le délégué à la protection des données comme contrôleur indépendant. Dans Kantyra, les deux figurent comme modèles dans le même module d'évaluation, avec le même tour de revue. Les violations de données suivent le même processus d'incident, avec leur propre voie de notification vers l'autorité de protection des données compétente ; dans le registre des incidents, vous consignez si un incident constituait une violation de données et s'il a été notifié à l'autorité de contrôle.
La conformité traduit les exigences légales et contractuelles, telles que NIS2, le RGPD et, le cas échéant, DORA, en mesures obligatoires et en cadres de risque minimaux. L'audit vérifie de manière indépendante que le processus de risque fonctionne comme décrit. Les constatations d'audit sont une source d'alimentation structurelle du registre ; dans Kantyra, elles disposent de leur propre registre de constatations et de leur suivi.
Sans vue d'ensemble à jour des systèmes, des données et des propriétaires, vous analysez les risques sur un terrain incomplet. C'est en pratique la dépendance la plus sous-estimée : la qualité de votre image des risques n'est jamais meilleure que la qualité de votre inventaire des actifs et des traitements. Dans Kantyra, vous attribuez donc à chaque actif un propriétaire, une classification des données et un score DIC, et vous le reliez aux risques qui pèsent sur lui.
L'humain est, dans presque toute analyse de risque, un facteur dominant. Les programmes de sensibilisation sont donc une mesure de traitement du risque à part entière, à condition de les mesurer au bon niveau : les taux de participation prouvent seulement que la formation a été suivie, non que le comportement change. Les recherches sur la mesure et le reporting de la sensibilisation à la sécurité montrent que la propension au signalement est le meilleur prédicteur de la réduction du risque, avec le taux de clic comme mesure complémentaire mais trouble. Les processus RH tels que l'arrivée, le départ et le contrôle préalable sont eux aussi des mesures opérationnelles qui découlent directement du registre.
Quelle est la différence entre l'appétence au risque et la tolérance au risque ? L'appétence au risque est l'énoncé qualitatif de la direction sur le niveau de risque que l'organisation est prête à courir par domaine. La tolérance au risque rend cela mesurable : la limite au-dessus de laquelle un risque résiduel ne peut subsister qu'avec une acceptation formelle de la direction.
Quelles sont les quatre options de traitement d'un risque ? Vous pouvez réduire un risque par des mesures, l'éviter en cessant l'activité ou en l'organisant autrement, le transférer par une assurance ou un fournisseur, ou l'accepter formellement lorsqu'il se situe dans la tolérance et que le propriétaire du risque signe.
À quelle fréquence faut-il actualiser une analyse de risque ? Un rythme sain est une détection continue au niveau opérationnel, une actualisation et un reporting trimestriels du registre, et un recalibrage annuel (et lors de changements majeurs) des analyses et de l'appétence au risque via la revue de direction.
Quelle est la différence entre une analyse de risque, une BIA et une AIPD ? L'analyse de risque évalue ce qui peut mal tourner dans le système d'information de l'organisation. La BIA détermine ce dont l'organisation peut au maximum se passer lors d'une perturbation, exprimé en temps de reprise. L'AIPD évalue le même type de questions, mais du point de vue de la personne dont les données à caractère personnel sont traitées. Sur le plan méthodologique, ce sont des instruments jumeaux qui peuvent partager une même structure de registre.
Une matrice de risque est-elle vraiment fiable ? Une matrice a des limites connues, mais reste l'instrument le plus praticable pour rendre les risques comparables à l'échelle de l'organisation, à condition d'utiliser une seule échelle fixe et de justifier les scores. Dans un article distinct, nous examinons de plus près ce que dit la recherche à ce sujet.
Lorsque vous organisez la gestion des risques selon ces trois niveaux, avec des circuits d'escalade et de reporting qui fonctionnent entre eux et des interfaces claires vers les processus environnants, elle passe d'une obligation annuelle au mécanisme de pilotage de votre sécurité de l'information. Le registre cesse alors d'être une pièce d'archive pour l'auditeur pour devenir le document vivant sur lequel la direction, le RSSI et l'organisation d'exploitation partagent la même réalité. Et c'est précisément ce que NIS2 attend des organisations : un pilotage des risques démontrable, porté par la direction et qui se prolonge jusqu'au terrain.
Vous préférez ne pas gérer votre registre des risques dans des fichiers épars, mais dans un environnement unique où les risques, les mesures, les incidents et la Déclaration d'applicabilité sont reliés entre eux ? Dans Kantyra, le registre calcule automatiquement les scores, la plateforme surveille les réévaluations et les acceptations, et le rapport de direction fournit l'image destinée à la revue de direction. Demandez une démo et découvrez comment le cycle, de la détection à la démonstration, fonctionne en pratique.
Kantyra est une plateforme ISMS et GRC européenne qui permet aux organisations de gérer de manière démontrable leur sécurité de l'information, leur gestion des risques et leur continuité, conformément à ISO 27001, ISO 22301 et NIS2.
In een demo van 30 minuten lopen we het model door aan de hand van jouw situatie.
Plan een demoMesurez, en tant que CISO, où en sont votre organisation et votre CISO Office, et découvrez comment piloter et corriger à temps grâce à une carte de score.
Comment piloter la gestion des vulnérabilités en tant que RSSI, de la politique jusqu'à la reddition de comptes à la direction.
Comment structurer vos tests d'intrusion, de la politique de pentest et du calendrier jusqu'au rapport et au suivi des constats.