Skip to content

Après une évaluation des risques, quelles sont vos options pour traiter un risque ? Donnez un exemple de chacune.

Réponse courte

Vous pouvez atténuer (réduire la probabilité/l'impact avec des contrôles), transférer (déplacer l'impact financier via une assurance ou des contrats), éviter (cesser entièrement l'activité risquée) ou accepter (tolérer sciemment le risque résiduel). Le choix dépend de l'appétit pour le risque et d'une comparaison coûts-bénéfices au regard de la perte attendue du risque.

Une fois un risque identifié et analysé, la direction doit décider quoi en faire. Le CISSP définit quatre options de traitement, et les recruteurs veulent à la fois la liste et le discernement nécessaire pour choisir entre elles.

Les quatre options

  • Atténuer (réduire) — appliquer des contrôles pour abaisser la probabilité ou l'impact. Déployer la MFA pour réduire le risque de compromission de compte est une atténuation. C'est le traitement le plus courant, mais il ramène rarement le risque à zéro.
  • Transférer (partager) — déplacer la conséquence financière vers un tiers, généralement via une cyber-assurance ou des clauses contractuelles avec un fournisseur. L'événement à risque peut toujours survenir ; vous avez seulement déplacé qui paie. Vous ne pouvez transférer ni l'atteinte à la réputation ni votre responsabilité.
  • Éviter — éliminer le risque en ne s'engageant pas du tout dans l'activité, par exemple en abandonnant une fonctionnalité ou en renonçant à entrer sur un marché. Approprié lorsque le risque éclipse le bénéfice.
  • Accepter — prendre une décision éclairée de tolérer le risque, généralement lorsque le coût du traitement dépasse la perte attendue. L'acceptation doit être délibérée, documentée et validée par le propriétaire métier approprié.

Risque résiduel

Après atténuation, un risque résiduel subsiste toujours. L'organisation doit consciemment accepter ce risque résiduel — ce n'est jamais la seule décision de l'équipe de sécurité. La personne qui doit signer est le propriétaire métier ou la direction générale dont le budget et la responsabilité sont concernés par le risque.

Le rattacher au coûts-bénéfices

La décision est économique : comparer l'ALE du risque au coût de chaque traitement. Si un contrôle coûte plus que la perte qu'il prévient, accepter ou transférer peut être le choix rationnel. C'est pourquoi le choix du traitement relève de la gouvernance, et non de la pure ingénierie.

Ce que recherchent les recruteurs

Les quatre termes exacts (atténuer, transférer, éviter, accepter), un exemple concret pour chacun, le point que le transfert n'efface pas le risque, et la clarté que l'acceptation du risque appartient à un propriétaire métier au regard d'un risque résiduel documenté.

Questions de suivi probables

  • Qui dans l'organisation est habilité à accepter formellement un risque ?
  • Pourquoi transférer un risque n'équivaut-il pas à l'éliminer ?
  • Qu'est-ce que le risque résiduel et quand survient-il ?

Sources

Certifications

Recevez 100 questions d'entretien en cybersécurité + réponses

Laissez votre e-mail et nous vous enverrons le pack PDF gratuit et le jeu de flashcards.

Pas de spam. Désabonnez-vous à tout moment.