Gestion des risques
Qu'est-ce que Gestion des risques ?
Gestion des risquesProcessus coordonné d'identification, d'analyse, d'évaluation, de traitement, de suivi et de communication des risques afin de les maintenir dans la tolérance définie par l'organisation.
La gestion des risques est la discipline par laquelle une organisation traite de manière systématique l'incertitude susceptible d'affecter ses objectifs, ses actifs ou ses parties prenantes. Elle suit généralement un cycle : établir le contexte, identifier les risques, analyser leur probabilité et leur impact, les évaluer au regard de critères, décider du traitement (accepter, réduire, transférer, éviter) et surveiller le risque résiduel. Les programmes matures s'alignent sur des référentiels tels qu'ISO 31000, NIST RMF ou COSO ERM et alimentent les obligations de conformité, l'audit interne et le reporting au conseil. Une gestion efficace équilibre coût des contrôles et perte potentielle et s'intègre aux décisions projet, fournisseur et opérations.
● Exemples
- 01
Revue annuelle du registre des risques avec les propriétaires exécutifs.
- 02
Intégration de scénarios de cyber-risque dans la planification financière et le renouvellement des assurances.
● Questions fréquentes
Qu'est-ce que Gestion des risques ?
Processus coordonné d'identification, d'analyse, d'évaluation, de traitement, de suivi et de communication des risques afin de les maintenir dans la tolérance définie par l'organisation. Cette notion relève de la catégorie Conformité et référentiels en cybersécurité.
Que signifie Gestion des risques ?
Processus coordonné d'identification, d'analyse, d'évaluation, de traitement, de suivi et de communication des risques afin de les maintenir dans la tolérance définie par l'organisation.
Comment fonctionne Gestion des risques ?
La gestion des risques est la discipline par laquelle une organisation traite de manière systématique l'incertitude susceptible d'affecter ses objectifs, ses actifs ou ses parties prenantes. Elle suit généralement un cycle : établir le contexte, identifier les risques, analyser leur probabilité et leur impact, les évaluer au regard de critères, décider du traitement (accepter, réduire, transférer, éviter) et surveiller le risque résiduel. Les programmes matures s'alignent sur des référentiels tels qu'ISO 31000, NIST RMF ou COSO ERM et alimentent les obligations de conformité, l'audit interne et le reporting au conseil. Une gestion efficace équilibre coût des contrôles et perte potentielle et s'intègre aux décisions projet, fournisseur et opérations.
Comment se défendre contre Gestion des risques ?
Les défenses contre Gestion des risques combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Gestion des risques ?
Noms alternatifs courants : Processus de gestion des risques.
● Termes liés
- compliance№ 935
Évaluation des risques
Activité structurée de la gestion des risques qui identifie menaces, vulnérabilités et impacts sur des actifs précis et note le risque obtenu pour étayer les décisions de traitement.
- compliance№ 937
Registre des risques
Inventaire vivant des risques identifiés avec description, propriétaire, scores, traitement et statut, utilisé pour suivre l'exposition de l'organisation dans le temps.
- compliance№ 939
Traitement des risques
Décision et actions visant à modifier un risque, en général en l'acceptant, le réduisant, le transférant ou en l'évitant, selon les critères de l'organisation.
- compliance№ 383
Gestion des risques d'entreprise (ERM)
Approche intégrée et transversale d'identification, de gouvernance et de traitement des risques stratégiques, financiers, opérationnels, de conformité et cyber, alignée sur les objectifs métier.
- compliance№ 733
NIST Risk Management Framework
Processus en sept étapes du NIST, défini dans SP 800-37, qui intègre la gestion des risques de sécurité, de confidentialité et de chaîne d'approvisionnement au cycle de vie du système.
- compliance№ 557
ISO/IEC 27001
Norme internationale qui spécifie les exigences d'un Système de Management de la Sécurité de l'Information (SMSI) et permet une certification formelle des organisations.