BG Beter Geregeld ICT
Compliance · 2 min leestijd · 11 octobre 2025

Un registre des risques ISO qui fonctionne (et ne ressemble pas à un export de consultant)

Un registre des risques n'a pas besoin d'être un tableur de 300 lignes. Pour une PME, 30 à 60 risques est un objectif réaliste. Voici le format qui survit à un audit et reste utilisable au quotidien.

Le registre des risques est la liste centrale de « ce qui peut mal tourner ». Les consultants livrent parfois des feuilles de 300 lignes avec des risques théoriques. Pour une PME, 30 à 60 risques est réaliste. Chaque risque doit pouvoir être expliqué concrètement à un CFO non technique.

Pour chaque risque, vous documentez

  • Description courte (« perte d'un ordinateur portable contenant des données client »)
  • L'actif ou le processus concerné
  • Menace (vol) et vulnérabilité (absence de chiffrement du disque)
  • Probabilité (1-5) × impact (1-5) = score
  • Mesures en place
  • Responsable (nom)
  • Score de risque résiduel
  • Action complémentaire (optionnelle) + échéance

Scoring réaliste

Probabilité : 1 = très rare, 3 = peut arriver une fois par an, 5 = réalité quotidienne. Impact : 1 = désagrément, 3 = perte d'une journée de travail, 5 = entreprise en danger. Un score de 15 ou plus exige une action.

Fréquence de révision

  • Chaque trimestre : passer en revue les risques en cours et en ajouter de nouveaux.
  • Annuellement : révision complète lors de la revue de direction.
  • Après chaque incident : mettre à jour le registre des risques avec les leçons apprises.

Exemples de risques PME réalistes

  1. Ransomware sur l'ordinateur portable d'un collaborateur via un e-mail de phishing
  2. Un ancien collaborateur a toujours accès aux données client (faille d'offboarding)
  3. L'accès administrateur à la comptabilité n'est pas revu pendant plusieurs mois (retard de révision des accès)
  4. Le fournisseur cloud tombe en panne pendant la haute saison
  5. Un collaborateur clique sur un e-mail de phishing et une attaque MFA fatigue réussit
  6. Un mot de passe partagé fuite via un copier-coller dans Slack

Pour la mise en place d'un journal d'incidents, voir : créer un journal d'incidents.

Onderwerpen

#iso-27001 #risk-register #risicomanagement

Volledige gids: ISO 27001 para pymes sin gastar €50k en consultores

Dit artikel is onderdeel van onze uitgebreide Compliance-gids. Lees de pillar voor het complete plaatje.

Lees de pillar →

Verwant leesmateriaal

Compliance

ISO 27001 pour les PME sans 50 000 € de consultants

ISO 27001 est tout à fait accessible quand on en comprend la structure. Voici le travail minimum qu'une PME de 30 personnes doit fournir pour réussir un audit Stage 2, ce que ça coûte, et les cas où un consultant apporte vraiment de la valeur.

2 min
Compliance

Coûts ISO 27001 : de la première analyse d'écart au certificat

Budget réaliste pour une PME de 30 personnes. Heures internes, audit externe, consultance (au strict minimum), maintenance annuelle. Sans langue de bois.

2 min
Compliance

ISO 27001 ou SOC 2 ? Lequel convient à votre PME néerlandaise ?

ISO 27001 est orienté Europe, SOC 2 est américain. Lequel vos clients exigent-ils ? Peut-on les combiner ? Voici les différences concrètes pour une PME.

2 min
Compliance

NEN 7510 pour les entrepreneurs du secteur de la santé : un niveau au-dessus d'ISO 27001

Vous travaillez dans ou avec le secteur de la santé ? Alors NEN 7510, en complément (ou à la place) d'ISO 27001, est une réalité. Le chevauchement est important ; les différences portent sur les données patients et des contrôles d'annexe spécifiques.

2 min
Compliance

La revue de direction : que doit-elle contenir et qui y participe ?

L'une des exigences de la section 9 de l'ISO 27001. Une fois par an, avec la direction, 2 heures. Voici l'ordre du jour qu'un auditeur accepte et qui vous sera utile comme guide pratique.

2 min
Compliance

Le cycle PDCA expliqué pour les dirigeants

Plan-Do-Check-Act semble bureaucratique. En pratique, c'est simple : notez ce que vous faites, faites-le, vérifiez si ça fonctionne, ajustez. Voici l'explication la plus courte qui soit vraiment utile.

2 min
← Alle artikelen in "Compliance"