Risque inhérent
Qu'est-ce que Risque inhérent ?
Risque inhérentNiveau de risque associé à une activité ou un actif avant l'application de tout contrôle ou mesure d'atténuation, reflétant l'exposition brute aux menaces.
Le risque inhérent est le point de départ de l'analyse : vraisemblance et impact d'un scénario de menace en supposant l'absence de tout contrôle. Il permet de comprendre l'exposition naturelle d'une activité (par exemple, accepter des paiements par carte en ligne ou héberger des données de santé régulées) et de la comparer entre portefeuilles. Les praticiens utilisent ce niveau pour dimensionner l'effort de contrôle et pour juger si la conception et le fonctionnement des contrôles existants ramènent le risque résiduel sous l'appétence. Des référentiels comme ISO/IEC 27005 et COSO ERM distinguent explicitement risque inhérent et risque résiduel pour éviter de comptabiliser deux fois l'effet des contrôles.
● Exemples
- 01
Risque inhérent à la conservation de millions de cartes de paiement dans une plateforme e-commerce à fort trafic.
- 02
Risque inhérent à l'exploitation d'infrastructures critiques exposées à des acteurs étatiques.
● Questions fréquentes
Qu'est-ce que Risque inhérent ?
Niveau de risque associé à une activité ou un actif avant l'application de tout contrôle ou mesure d'atténuation, reflétant l'exposition brute aux menaces. Cette notion relève de la catégorie Conformité et référentiels en cybersécurité.
Que signifie Risque inhérent ?
Niveau de risque associé à une activité ou un actif avant l'application de tout contrôle ou mesure d'atténuation, reflétant l'exposition brute aux menaces.
Comment fonctionne Risque inhérent ?
Le risque inhérent est le point de départ de l'analyse : vraisemblance et impact d'un scénario de menace en supposant l'absence de tout contrôle. Il permet de comprendre l'exposition naturelle d'une activité (par exemple, accepter des paiements par carte en ligne ou héberger des données de santé régulées) et de la comparer entre portefeuilles. Les praticiens utilisent ce niveau pour dimensionner l'effort de contrôle et pour juger si la conception et le fonctionnement des contrôles existants ramènent le risque résiduel sous l'appétence. Des référentiels comme ISO/IEC 27005 et COSO ERM distinguent explicitement risque inhérent et risque résiduel pour éviter de comptabiliser deux fois l'effet des contrôles.
Comment se défendre contre Risque inhérent ?
Les défenses contre Risque inhérent combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Risque inhérent ?
Noms alternatifs courants : Risque brut, Risque pré-contrôle.
● Termes liés
- compliance№ 923
Risque résiduel
Risque qui subsiste après l'application des contrôles et traitements prévus, que l'organisation doit accepter, transférer ou traiter davantage.
- compliance№ 935
Évaluation des risques
Activité structurée de la gestion des risques qui identifie menaces, vulnérabilités et impacts sur des actifs précis et note le risque obtenu pour étayer les décisions de traitement.
- compliance№ 936
Gestion des risques
Processus coordonné d'identification, d'analyse, d'évaluation, de traitement, de suivi et de communication des risques afin de les maintenir dans la tolérance définie par l'organisation.
- compliance№ 937
Registre des risques
Inventaire vivant des risques identifiés avec description, propriétaire, scores, traitement et statut, utilisé pour suivre l'exposition de l'organisation dans le temps.
- compliance№ 888
Analyse qualitative des risques
Approche d'analyse qui note la vraisemblance et l'impact via des échelles descriptives (faible/moyen/élevé ou 1-5) plutôt que des valeurs monétaires ou probabilistes.
- compliance№ 889
Analyse quantitative des risques
Approche d'analyse qui exprime vraisemblance et impact sous forme chiffrée, typiquement par des probabilités et des distributions de pertes monétaires, pour étayer des décisions fondées sur des données.