Aller au contenu principal

Risque inhérent vs risque résiduel.

Le risque inhérent est l'exposition avant les contrôles. Le risque résiduel est ce qui subsiste après leur application. Les auditeurs examinent l'écart : il doit être justifié, accepté (ou traité davantage) par un propriétaire nommément désigné, et cohérent avec l'appétit pour le risque. Afficher « résiduel = zéro » quelque part dans le registre est un signal d'alarme, pas une victoire.

Par Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyGestion des risquesToutes les entrées

La vision de Cyber Academy

Le risque inhérent est l'exposition avant les contrôles. Le risque résiduel est ce qui subsiste après leur application. Les auditeurs examinent l'écart : il doit être justifié, accepté (ou traité davantage) par un propriétaire nommément désigné, et cohérent avec l'appétit pour le risque. Afficher « résiduel = zéro » quelque part dans le registre est un signal d'alarme, pas une victoire.

Le même risque vu à deux moments

Le risque inhérent et le risque résiduel ne sont pas deux risques différents. Ce sont le même scénario mesuré à deux instants : avant que vos contrôles n'agissent, et après qu'ils ont agi. Le risque inhérent est l'exposition brute, le niveau de vraisemblance et d'impact auquel vous feriez face si les contrôles concernés étaient absents ou défaillaient entièrement. Le risque résiduel est ce qui subsiste une fois les contrôles en place et opérant comme prévu. Les lire côte à côte est tout l'intérêt, car l'écart entre les deux est la valeur visible de votre dispositif de contrôle. Un écart important indique que les contrôles font leur travail ; un écart mince indique que vous dépensez de l'effort pour une réduction faible et que vous devriez en chercher la raison.

Traiter ces niveaux comme une paire change votre façon de dépenser. Si deux scénarios partagent un niveau résiduel similaire mais que l'un partait d'un niveau inhérent bien plus élevé, l'ensemble de contrôles qui le maintient bas accomplit un travail considérable et mérite d'être protégé dans le budget. Le scénario qui a à peine bougé de l'inhérent au résiduel est celui à réexaminer : soit le contrôle est faible, soit c'est le mauvais contrôle, soit le risque n'a jamais été aussi exposé que le notait l'évaluation.

Risque inhérent et risque résiduel
DimensionRisque inhérentRisque résiduel
Moment de la mesureAvant les contrôlesAprès l'action des contrôles
Ce qu'il montreExposition brute du scénarioExposition qui subsiste réellement
Usage principalPrioriser les besoins de contrôlesDécider d'accepter, de traiter davantage ou de transférer
Comparé àLes autres scénarios non traitésL'appétit et la tolérance au risque
Action du propriétaireConcevoir le traitementAccepter et signer, ou escalader l'écart

Ce qu'attendent les auditeurs et les normes

L'écart entre l'inhérent et le résiduel est l'endroit où réside l'assurance ; il doit donc être justifié plutôt qu'affirmé. Un auditeur lit le registre et demande trois choses pour chaque valeur résiduelle : quels contrôles l'ont réduite, si ces contrôles fonctionnent réellement plutôt que d'être seulement documentés, et qui a accepté ce qui subsiste. Ce dernier point compte. Le risque résiduel est accepté par un propriétaire nommé ayant l'autorité de le porter, et cette acceptation doit s'inscrire dans l'appétit au risque de l'organisation. Un niveau résiduel qui dépasse l'appétit n'est pas une entrée achevée ; c'est un point ouvert qui exige un traitement supplémentaire, un transfert, ou une exception délibérée et documentée.

Cette logique est inscrite dans les principaux référentiels. ISO 31000 présente la gestion des risques comme une boucle itérative où le traitement modifie le risque, le risque modifié étant ensuite réévalué, ce qui correspond exactement au passage de l'inhérent au résiduel. ISO/IEC 27005 applique le même raisonnement au risque lié à la sécurité de l'information et indique explicitement que le risque résiduel doit être évalué et formellement accepté par la direction avant qu'un système ne soit mis en service ou maintenu en production.

Les orientations du NIST sur l'appréciation des risques portent la distinction identique entre le risque auquel une organisation fait face et la part qui subsiste après l'application des réponses. Aucune de ces normes ne traite le résiduel comme un nombre que l'on calcule une fois et que l'on classe.

Bien le faire en pratique

Dans un registre opérationnel, chaque ligne devrait permettre à un lecteur de retracer l'évaluation inhérente, les contrôles appliqués, l'évaluation résiduelle, et le propriétaire nommé qui l'a acceptée. Gardez une méthode d'évaluation cohérente entre l'inhérent et le résiduel afin que les deux soient véritablement comparables ; si vous notez l'impact et la vraisemblance différemment à chaque étape, l'écart ne signifie rien. Réévaluez le résiduel chaque fois qu'un contrôle change, se dégrade, ou se révèle inefficace lors des tests, car le risque résiduel n'est aussi à jour que les contrôles qui le sous-tendent. Une valeur résiduelle fixée il y a deux audits et jamais réexaminée est de la décoration, pas de l'assurance.

Le jugement qui rapporte vraiment consiste à relier le risque résiduel à l'appétit et au traitement. Une fois que le résiduel se situe au niveau de l'appétit ou en dessous, l'acceptation est raisonnable et le propriétaire signe. Lorsqu'il se situe au-dessus, l'entrée honnête consigne l'écart et le plan pour le combler, plutôt que d'arrondir le nombre vers le bas pour faire bonne figure. Cette discipline est ce qui transforme un registre, d'artefact de conformité, en un outil que le conseil peut réellement utiliser pour répartir son attention.

Questions fréquentes

01Quelle est la différence entre risque inhérent et risque résiduel ?

Le risque inhérent est l'exposition avant toute prise en compte des contrôles, le niveau brut de vraisemblance et d'impact. Le risque résiduel est ce qui subsiste une fois les contrôles en place et opérants. Ils décrivent le même scénario mesuré à deux instants, et l'écart entre eux montre la valeur des contrôles.

02Le risque résiduel devrait-il jamais être nul ?

Non. Aucun ensemble de contrôles n'est parfait et les contrôles peuvent défaillir, de sorte qu'un certain risque résiduel subsiste presque toujours. Une évaluation résiduelle à zéro dans un registre est traitée par les auditeurs comme un signal d'alerte, signifiant généralement que la cible a été confondue avec la réalité ou que la défaillance des contrôles a été ignorée.

03Qui est responsable de l'acceptation du risque résiduel ?

Un propriétaire du risque nommé, doté de l'autorité de porter l'exposition. Son acceptation doit être documentée et doit s'inscrire dans l'appétit au risque de l'organisation. Si le niveau résiduel dépasse l'appétit, il ne peut être simplement accepté et doit être traité davantage ou escaladé.

04Quel est le lien entre le risque résiduel et l'appétit au risque ?

Le risque résiduel est comparé directement à l'appétit au risque. Lorsqu'il se situe au niveau de l'appétit ou en dessous, l'acceptation est raisonnable et le propriétaire valide. Lorsqu'il se situe au-dessus, l'entrée reste ouverte avec un plan de traitement pour combler l'écart, au lieu d'être enregistrée comme acceptée.

05Quand le risque résiduel doit-il être réévalué ?

Chaque fois qu'un contrôle change, se dégrade, ou se révèle inefficace lors des tests, et selon le cycle de revue normal. Le risque résiduel n'est aussi exact que les contrôles qui le sous-tendent ; une valeur fixée lors d'un audit passé et jamais réexaminée donne une fausse assurance.

Besoin de plus qu'une définition ?

Réservez un appel découverte gratuit de 20 minutes. Nous identifions la cohorte qui transforme ce terme en pratique prête pour l'audit.