Risque résiduel
Qu'est-ce que Risque résiduel ?
Risque résiduelRisque qui subsiste après l'application des contrôles et traitements prévus, que l'organisation doit accepter, transférer ou traiter davantage.
Le risque résiduel est ce qui reste du risque inhérent une fois que les contrôles existants ou prévus ont réduit la vraisemblance ou l'impact. C'est la valeur la plus importante pour la décision, car les contrôles ne sont jamais parfaits et les menaces évoluent. Les organisations comparent le risque résiduel à leur appétence et à leur tolérance : tout ce qui dépasse doit être traité davantage, escaladé ou formellement accepté avec justification documentée et propriétaire. Il est enregistré dans le registre des risques et revu périodiquement, surtout en cas d'échec de contrôle, de menace nouvelle ou de dépendance nouvelle. Conseils et régulateurs exigent de plus en plus un reporting explicite du risque résiduel.
● Exemples
- 01
Risque résiduel d'atteinte par phishing après déploiement de MFA, formation et filtrage des e-mails.
- 02
Acceptation documentée du risque résiduel d'un système legacy en attente de décommissionnement.
● Questions fréquentes
Qu'est-ce que Risque résiduel ?
Risque qui subsiste après l'application des contrôles et traitements prévus, que l'organisation doit accepter, transférer ou traiter davantage. Cette notion relève de la catégorie Conformité et référentiels en cybersécurité.
Que signifie Risque résiduel ?
Risque qui subsiste après l'application des contrôles et traitements prévus, que l'organisation doit accepter, transférer ou traiter davantage.
Comment fonctionne Risque résiduel ?
Le risque résiduel est ce qui reste du risque inhérent une fois que les contrôles existants ou prévus ont réduit la vraisemblance ou l'impact. C'est la valeur la plus importante pour la décision, car les contrôles ne sont jamais parfaits et les menaces évoluent. Les organisations comparent le risque résiduel à leur appétence et à leur tolérance : tout ce qui dépasse doit être traité davantage, escaladé ou formellement accepté avec justification documentée et propriétaire. Il est enregistré dans le registre des risques et revu périodiquement, surtout en cas d'échec de contrôle, de menace nouvelle ou de dépendance nouvelle. Conseils et régulateurs exigent de plus en plus un reporting explicite du risque résiduel.
Comment se défendre contre Risque résiduel ?
Les défenses contre Risque résiduel combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Risque résiduel ?
Noms alternatifs courants : Risque net, Risque post-contrôle.
● Termes liés
- compliance№ 534
Risque inhérent
Niveau de risque associé à une activité ou un actif avant l'application de tout contrôle ou mesure d'atténuation, reflétant l'exposition brute aux menaces.
- compliance№ 939
Traitement des risques
Décision et actions visant à modifier un risque, en général en l'acceptant, le réduisant, le transférant ou en l'évitant, selon les critères de l'organisation.
- compliance№ 936
Gestion des risques
Processus coordonné d'identification, d'analyse, d'évaluation, de traitement, de suivi et de communication des risques afin de les maintenir dans la tolérance définie par l'organisation.
- compliance№ 934
Appétence au risque
Quantité et type agrégés de risque qu'une organisation est prête à rechercher ou à accepter pour atteindre ses objectifs stratégiques, fixés par le conseil et la direction générale.
- compliance№ 937
Registre des risques
Inventaire vivant des risques identifiés avec description, propriétaire, scores, traitement et statut, utilisé pour suivre l'exposition de l'organisation dans le temps.
- compliance№ 733
NIST Risk Management Framework
Processus en sept étapes du NIST, défini dans SP 800-37, qui intègre la gestion des risques de sécurité, de confidentialité et de chaîne d'approvisionnement au cycle de vie du système.
● Voir aussi
- № 938Tolérance au risque