Field notes

5 erreurs dans les registres des risques (et comment les corriger)

Parce que la plupart des registres des risques ne sont que des tableurs coûteux remplis de vœux pieux.

Christophe MazzolaChristophe Mazzola· Practicing CISO · Founder of Cyber Academy5 min de lecture
5 Mistakes in Risk Registers (and How to Fix Them)

Parce que la plupart des registres des risques ne sont que des tableurs coûteux remplis de vœux pieux.

Soyons honnêtes : 80 % des registres des risques que j'examine paraissent « corrects », jusqu'au moment où vous essayez réellement de les utiliser.Ils cochent toutes les cases : probabilité, impact, responsable, traitement.Mais quand un incident réel survient, personne ne les ouvre, personne ne leur fait confiance, et la moitié des données est déjà obsolète.

Ce n'est pas un « problème de gouvernance ». C'est un défaut de conception.

Voici cinq erreurs concrètes, observées sur le terrain, qui rendent les registres des risques inutiles, et comment les corriger.

1. Erreur n° 1 : des risques qui décrivent des contrôles, pas des expositions

Vous seriez surpris de voir combien de registres démarrent comme ceci :

« Absence d'authentification multifacteur. »« Pas de politique de sauvegarde. »« Absence de plan de réponse aux incidents. »

Ce n'est pas un risque. C'est un contrôle manquant.

Un risque décrit ce qui pourrait arriver à l'organisation, pas le contrôle que vous avez oublié de mettre en place.

Voici le test :Si vous pouvez le faire précéder de « Le risque que… » et que la phrase reste cohérente, vous êtes sur la bonne voie.

✅ « Le risque que des accès non autorisés compromettent des données confidentielles en raison d'une authentification insuffisante. »

Correction : Reformulez chaque risque sous forme de scénario avec une cause, un événement et une conséquence.Vous distinguerez immédiatement les symptômes techniques des expositions réelles.

2. Erreur n° 2 : des registres qui vieillissent comme du lait

Votre registre a été mis à jour pour la dernière fois en mars.Puis l'organisation a migré vers le cloud en avril.A fusionné avec une autre entité en mai.Et a intégré des outils d'IA en juin.

Résultat : votre contexte de risque a changé, votre registre non.

Ce n'est pas de la négligence ; c'est de l'inertie processuelle.La plupart des organisations traitent encore les registres des risques comme des rituels annuels, et non comme des systèmes vivants.

Correction :

  • Mettez en place une approche de « révision continue » allégée.
  • Les responsables valident le statut des risques chaque trimestre (littéralement cinq minutes).
  • Automatisez les déclencheurs de changement (ex. : nouveau projet, nouveau fournisseur, nouvelle réglementation).

Un bon registre des risques respire. Un mauvais se fossilise.

3. Erreur n° 3 : des cotations sans référentiel commun

Scène classique :

  • Risque A : « Probabilité élevée, impact moyen. »
  • Risque B : « Probabilité faible, impact élevé. »
  • Risque C : « Moyen-moyen. »… et personne ne s'accorde sur ce que cela signifie.

Pourquoi ? Parce que les échelles ne sont pas ancrées dans la réalité métier.

La plupart des registres s'appuient encore sur des échelles subjectives de 1 à 5, renseignées par des personnes qui n'interprètent pas « moyen » de la même façon.C'est de la pseudo-quantification.

Correction : Traduisez vos échelles en termes métier concrets.

  • Vraisemblance = fréquence ou horizon temporel (« une fois par an », « une fois par décennie »).
  • Impact = estimations de pertes financières, réputationnelles ou opérationnelles (« < 100 K€ », « indisponibilité de service < 4h »).Calibrez ensuite l'échelle par domaine (cyber ≠ juridique ≠ financier).

Si tout le monde dans la salle est incapable d'expliquer la différence entre « 3 » et « 4 », votre registre est un jeu de devinettes, pas un outil.

4. Erreur n° 4 : des traitements des risques qui ne se terminent jamais

Voici l'un de mes exemples préférés :

« Atténuation : mettre en place un programme de sensibilisation à la sécurité. »« Statut : en cours. »« Date limite : N/A. »

Traduction : On fera ça indéfiniment et on appellera ça de l'avancement.

Les traitements perpétuels tuent la crédibilité.Quand chaque risque a une atténuation « en cours », votre registre devient un cimetière de projets éternels.

Correction :

  • Chaque traitement doit comporter une condition de clôture : comment sait-on que c'est « terminé » ?
  • Désignez un responsable et fixez une date limite.
  • Si c'est un contrôle récurrent (comme la sensibilisation), placez-le dans l'inventaire des contrôles, pas dans le registre des risques.

Votre registre des risques doit suivre des décisions, pas des tâches de maintenance.

5. Erreur n° 5 : aucune traçabilité entre risques, contrôles et incidents

C'est ce qui distingue les amateurs des professionnels.

La plupart des registres vivent en isolation : ils listent des risques, mais ne sont pas connectés aux contrôles ni aux incidents.Ainsi, quand quelque chose se casse, vous ne pouvez pas retracer quel contrôle a échoué, ni quel risque s'est matérialisé.

Correction : Liez votre registre des risques avec :

  • Les bibliothèques de contrôles (Annexe A de l'ISO 27001, NIST, DORA).
  • Les journaux d'incidents (pour valider la vraisemblance et l'efficacité des contrôles).
  • Les constats d'audit (pour suivre les améliorations).

Autrement dit : construisez la traçabilité, le graal d'un GRC mature.C'est ce qui transforme un tableur en moteur de décision.

Bonus : le « test de l'odeur »

Si vous voulez savoir si votre registre des risques fonctionne, posez-vous la question :

« La dernière fois qu'une personne extérieure à l'équipe risque l'a ouvert spontanément, c'était quand ? »

Si la réponse est « jamais », vous n'avez pas de registre, vous avez un artefact de conformité.

L'essentiel

Les registres des risques échouent parce qu'ils sont rédigés pour les auditeurs, pas pour les décideurs.La solution n'est pas un nouveau modèle, c'est changer votre façon de concevoir le risque : comme un récit vivant de la manière dont votre organisation protège sa valeur.

D'ici 2026, les meilleures entreprises n'auront pas seulement de beaux registres, elles disposeront d'écosystèmes de risques connectés, contextualisés et continuellement mis à jour.

En attendant :Rédigez les risques comme des récits.Cotez-les comme des cas métier.Révisez-les comme si c'était sérieux.

Vous souhaitez approfondir ?

C'est exactement ce que nous enseignons dans les programmes Risk Manager de Cyber Academy.Nous allons au-delà des heatmaps, vers des référentiels de décision risque opérationnels qui font écouter votre conseil d'administration.

👉 Consultez le programme.

Parce que le risque n'est pas un tableur.C'est l'histoire de la survie de votre organisation, racontée en données.

Vous voulez recevoir la prochaine note de terrain dans votre boîte mail ?

La newsletter The GRC Brief. Cinq liens et une prise de position courte, chaque lundi à 8h CET. Trois minutes de lecture.