Sécurité

Risque inhérent vs risque résiduel : évaluer votre posture de sécurité

Évaluer sa posture de sécurité, c'est répondre à une question simple : « quel est mon niveau de risque réel ? ». Pour y répondre correctement, il faut distinguer deux notions fondamentales — le risque inhérent et le risque résiduel — et comprendre ce qui les sépare : vos contrôles. C'est le cœur de toute démarche structurée de gestion du risque, comme le NIST Risk Management Framework.

Qu'est-ce que le risque inhérent ?

Le risque inhérent est le niveau de risque avant toute mesure de protection. C'est l'exposition « naturelle » de votre organisation, dictée par votre contexte : le type de données que vous manipulez, votre exposition sur Internet, votre volume d'activité, vos dépendances à des tiers, vos obligations réglementaires et l'impact qu'aurait un incident. Une clinique qui traite des dossiers de santé a un risque inhérent élevé — indépendamment de ce qu'elle a mis en place.

Qu'est-ce que le risque résiduel ?

Le risque résiduel est ce qui reste une fois vos contrôles de sécurité appliqués. C'est le risque réel avec lequel vous vivez au quotidien. La même clinique, si elle applique le chiffrement, l'authentification multifacteur, des sauvegardes fiables et une surveillance, ramène son risque résiduel à un niveau bien plus bas. L'équation est simple :

  • Risque inhérenteffet des contrôles = risque résiduel.

Autrement dit : vous ne pouvez pas changer grand-chose à votre risque inhérent (il découle de ce que vous êtes), mais vous agissez directement sur le risque résiduel en choisissant les bons contrôles.

Le rôle des contrôles

Un contrôle est une mesure — technique, organisationnelle ou physique — qui réduit la probabilité qu'un risque se réalise ou son impact. Le référentiel NIST SP 800-53 en catalogue des centaines, regroupés par familles. Voici comment quelques contrôles de base agissent sur le risque :

Contrôle Réduit surtout…
Authentification multifacteur (MFA)La probabilité d'un accès non autorisé
Chiffrement des donnéesL'impact d'un vol de données
Sauvegardes immuablesL'impact d'un rançongiciel
Journalisation et surveillanceLe temps de détection d'un incident
Sensibilisation des employésLa probabilité d'un hameçonnage réussi

Comment mesurer le risque

Un risque se mesure en combinant deux dimensions : la probabilité qu'un événement survienne et l'impact s'il survient. On les croise généralement sur une matrice (probabilité × impact) pour obtenir un niveau : faible, modéré, élevé ou critique. Cette approche qualitative, décrite dans le NIST SP 800-30, suffit à la majorité des PME pour prioriser.

L'important n'est pas la précision du chiffre, mais la cohérence : évaluez d'abord le risque inhérent, appliquez vos contrôles, puis réévaluez le risque résiduel. La différence vous montre exactement ce que votre sécurité vous rapporte — et où sont les trous.

Accepter, réduire, transférer ou éviter

Le risque résiduel se compare toujours à votre appétit pour le risque — le niveau que vous êtes prêt à accepter. Selon le résultat, quatre stratégies :

  • Réduire : ajouter des contrôles pour faire baisser le risque résiduel.
  • Accepter : si le risque est sous votre seuil, l'accepter formellement (et le documenter).
  • Transférer : par exemple via une cyberassurance.
  • Éviter : renoncer à l'activité qui génère le risque.

Scorez une solution en 5 minutes

Notre calculateur de risque inhérent d'une solution évalue une application ou un processus et propose des stratégies Microsoft 365 pour réduire son risque — aligné sur le NIST, gratuit et sans envoi de données.

Vous voulez un regard de CISSP sur votre posture de sécurité ? Discutons-en — l'analyse initiale vous éclaire, sans obligation.

Discutons de votre sécurité

Questions fréquentes

Quelle est la différence entre risque inhérent et risque résiduel ?

Le risque inhérent est le niveau de risque avant toute protection ; le risque résiduel est ce qui reste après vos contrôles. La différence correspond au risque que vos contrôles ont réduit.

Comment mesure-t-on un risque de sécurité ?

En combinant la probabilité qu'un événement survienne et son impact. On l'exprime souvent de façon qualitative (faible/modéré/élevé) sur une matrice, comme dans le NIST SP 800-30.

Peut-on éliminer complètement le risque résiduel ?

Non, le risque zéro n'existe pas. L'objectif est de le ramener sous votre seuil d'acceptation, puis d'accepter, transférer ou éviter le risque restant.

Qu'est-ce que l'appétit pour le risque ?

C'est le niveau de risque qu'une organisation accepte pour atteindre ses objectifs. Il sert de seuil : au-dessus, on ajoute des contrôles ; en dessous, on peut accepter le risque.