Risque inhérent vs risque résiduel : évaluer votre posture de sécurité
Évaluer sa posture de sécurité, c'est répondre à une question simple : « quel est mon niveau de risque réel ? ». Pour y répondre correctement, il faut distinguer deux notions fondamentales — le risque inhérent et le risque résiduel — et comprendre ce qui les sépare : vos contrôles. C'est le cœur de toute démarche structurée de gestion du risque, comme le NIST Risk Management Framework.
Qu'est-ce que le risque inhérent ?
Le risque inhérent est le niveau de risque avant toute mesure de protection. C'est l'exposition « naturelle » de votre organisation, dictée par votre contexte : le type de données que vous manipulez, votre exposition sur Internet, votre volume d'activité, vos dépendances à des tiers, vos obligations réglementaires et l'impact qu'aurait un incident. Une clinique qui traite des dossiers de santé a un risque inhérent élevé — indépendamment de ce qu'elle a mis en place.
Qu'est-ce que le risque résiduel ?
Le risque résiduel est ce qui reste une fois vos contrôles de sécurité appliqués. C'est le risque réel avec lequel vous vivez au quotidien. La même clinique, si elle applique le chiffrement, l'authentification multifacteur, des sauvegardes fiables et une surveillance, ramène son risque résiduel à un niveau bien plus bas. L'équation est simple :
- Risque inhérent − effet des contrôles = risque résiduel.
Autrement dit : vous ne pouvez pas changer grand-chose à votre risque inhérent (il découle de ce que vous êtes), mais vous agissez directement sur le risque résiduel en choisissant les bons contrôles.
Le rôle des contrôles
Un contrôle est une mesure — technique, organisationnelle ou physique — qui réduit la probabilité qu'un risque se réalise ou son impact. Le référentiel NIST SP 800-53 en catalogue des centaines, regroupés par familles. Voici comment quelques contrôles de base agissent sur le risque :
| Contrôle | Réduit surtout… |
|---|---|
| Authentification multifacteur (MFA) | La probabilité d'un accès non autorisé |
| Chiffrement des données | L'impact d'un vol de données |
| Sauvegardes immuables | L'impact d'un rançongiciel |
| Journalisation et surveillance | Le temps de détection d'un incident |
| Sensibilisation des employés | La probabilité d'un hameçonnage réussi |
Comment mesurer le risque
Un risque se mesure en combinant deux dimensions : la probabilité qu'un événement survienne et l'impact s'il survient. On les croise généralement sur une matrice (probabilité × impact) pour obtenir un niveau : faible, modéré, élevé ou critique. Cette approche qualitative, décrite dans le NIST SP 800-30, suffit à la majorité des PME pour prioriser.
L'important n'est pas la précision du chiffre, mais la cohérence : évaluez d'abord le risque inhérent, appliquez vos contrôles, puis réévaluez le risque résiduel. La différence vous montre exactement ce que votre sécurité vous rapporte — et où sont les trous.
Accepter, réduire, transférer ou éviter
Le risque résiduel se compare toujours à votre appétit pour le risque — le niveau que vous êtes prêt à accepter. Selon le résultat, quatre stratégies :
- Réduire : ajouter des contrôles pour faire baisser le risque résiduel.
- Accepter : si le risque est sous votre seuil, l'accepter formellement (et le documenter).
- Transférer : par exemple via une cyberassurance.
- Éviter : renoncer à l'activité qui génère le risque.
Scorez une solution en 5 minutes
Notre calculateur de risque inhérent d'une solution évalue une application ou un processus et propose des stratégies Microsoft 365 pour réduire son risque — aligné sur le NIST, gratuit et sans envoi de données.
Vous voulez un regard de CISSP sur votre posture de sécurité ? Discutons-en — l'analyse initiale vous éclaire, sans obligation.
Discutons de votre sécuritéQuestions fréquentes
Quelle est la différence entre risque inhérent et risque résiduel ?
Le risque inhérent est le niveau de risque avant toute protection ; le risque résiduel est ce qui reste après vos contrôles. La différence correspond au risque que vos contrôles ont réduit.
Comment mesure-t-on un risque de sécurité ?
En combinant la probabilité qu'un événement survienne et son impact. On l'exprime souvent de façon qualitative (faible/modéré/élevé) sur une matrice, comme dans le NIST SP 800-30.
Peut-on éliminer complètement le risque résiduel ?
Non, le risque zéro n'existe pas. L'objectif est de le ramener sous votre seuil d'acceptation, puis d'accepter, transférer ou éviter le risque restant.
Qu'est-ce que l'appétit pour le risque ?
C'est le niveau de risque qu'une organisation accepte pour atteindre ses objectifs. Il sert de seuil : au-dessus, on ajoute des contrôles ; en dessous, on peut accepter le risque.