3.2 Stratégie de gestion des risques (GV.RM)

Objectif de la catégorie

La stratégie de gestion des risques cybersécurité définit la vision organisationnelle du risque, ses appétences, ses priorités et les options de réponse. Elle permet un pilotage cohérent à travers les différentes unités, projets et niveaux hiérarchiques.

Info

Une stratégie claire de gestion des risques est le fondement d’une gouvernance SSI alignée avec la stratégie d’entreprise.

GV.RM-01 : Objectifs de gestion des risques établis et validés

Définir les objectifs de gestion des risques cybersécurité :
- Réduction de l’exposition
- Protection des fonctions critiques
- Respect des exigences réglementaires
Ces objectifs doivent être validés par la direction générale et intégrés aux plans stratégiques de l’organisation.

GV.RM-02 : Déclaration d’appétence et de tolérance au risque

Rédiger une déclaration d’appétence (risques que l’on accepte) et de tolérance (seuils à ne pas dépasser) :
- Par domaine : IT, données sensibles, continuité, prestataires…
- Selon l’impact potentiel (financier, juridique, image…)
Outil recommandé : matrice impact × probabilité

Example

Appétence à des pannes mineures de services internes ; tolérance zéro sur la compromission de données de santé.

GV.RM-03 : Intégration dans la gestion des risques d’entreprise

La cybersécurité doit s’intégrer dans le portefeuille global de risques (ERM).
Le RSSI alimente les comités de risques, les tableaux consolidés et participe aux analyses transverses.
Les scénarios cyber doivent être intégrés aux exercices de simulation de crise.

GV.RM-04 : Orientation stratégique des réponses aux risques

Définir les options de réponse :
- Éviter : abandon d’un système trop exposé
- Transférer : cyberassurance, contrats avec clauses SSI
- Réduire : mesures techniques, formation, segmentation
- Accepter : si le risque résiduel est maîtrisé
Ces options doivent être documentées, réévaluées périodiquement.

GV.RM-05 : Lignes de communication interne sur les risques

Mettre en place des canaux de communication formels sur les risques :
- Comité SSI / risques mensuels
- Reporting vers COMEX/DSI
- Partage des événements entre métiers et RSSI
Utilisation d’un registre des risques accessible aux parties prenantes concernées.

GV.RM-06 : Méthode de catégorisation et de priorisation des risques

Adopter une méthodologie formalisée, documentée, communiquée :
- Critères d’évaluation homogènes (ISO 27005, EBIOS RM, FAIR…)
- Scores, seuils, traitement par niveau de criticité
Exemple d’outil : tableau des risques avec ID, source, criticité, traitement, état.

ID	Risque	Impact	Probabilité	Criticité	Traitement	État
R-01	Accès non autorisé	Élevé	Moyen	Critique	MFA + segmentation	En cours

GV.RM-07 : Prise en compte des opportunités stratégiques

Tip

Le risque positif (ou “opportunité”) est souvent négligé dans les démarches SSI.

Identifier les cas où une action cybersécurité peut :
- Améliorer la réputation
- Créer un avantage concurrentiel (certification, transparence)
- Optimiser des coûts (mutualisation, automatisation)
Intégrer ces opportunités dans les arbitrages stratégiques.

Synthèse opérationnelle

Élément	Bonnes pratiques
Appétence/tolérance	Document formel validé COMEX
Réponse aux risques	Modèle standardisé à 4 options
Communication	Registre + comités dédiés
Méthodologie	ISO 27005 / EBIOS RM recommandé
Opportunités	Documentées et communiquées au COMEX

P.I.L.O.T.E

Explorateur

3.2 Stratégie de gestion des risques (GV.RM)

Objectif de la catégorie

GV.RM-01 : Objectifs de gestion des risques établis et validés

GV.RM-02 : Déclaration d’appétence et de tolérance au risque

GV.RM-03 : Intégration dans la gestion des risques d’entreprise

GV.RM-04 : Orientation stratégique des réponses aux risques

GV.RM-05 : Lignes de communication interne sur les risques

GV.RM-06 : Méthode de catégorisation et de priorisation des risques

GV.RM-07 : Prise en compte des opportunités stratégiques

Synthèse opérationnelle

Vue Graphique

Table des Matières