Faire une vraie analyse des risques cyber : guide critique d’un professionnel de terrain

Cet article s’adresse aux consultants cyber, RSSI, DPO, et à tous ceux qui doivent produire ou relire une analyse de risques.

L’analyse des risques cyber est devenue un incontournable dans tous les projets de cybersécurité. Prenez n'importe quel texte, référentiel, loi, règlement, directive : tout commence par ce fameux exercice censé identifier les menaces, hiérarchiser les risques et structurer les actions de protection.

Mais derrière cette belle mécanique, que se passe-t-il vraiment sur le terrain ? Cette analyse est-elle encore utile, ou est-elle devenue un formalisme creux ?

L’outil qu’on croit maîtriser : l’analyse des risques cyber en question

La promesse de l’outil (et pourquoi elle séduit)

On présente l'analyse des risques comme la base indispensable pour prendre des décisions éclairées et concentrer les moyens là où ils sont le plus utiles. En théorie, c’est un outil puissant. Bien menée, elle structure la réflexion, met en évidence les menaces majeures et fournit un langage commun aux équipes techniques, aux métiers et à la direction. Sur un plan formel, elle rassure : grilles chiffrées, échelles d’évaluation, matrices colorées… tout donne l’impression d’une démarche mesurée et objective.

Quand l’automatisme remplace la stratégie

La réalité est plus contrastée : dans beaucoup d’organisations, cette analyse n’est plus qu’un passage obligé, exécuté parce qu’il figure dans le cahier des charges, pas parce qu’il apporte une réelle valeur opérationnelle. Le réflexe est devenu automatique : “on commence par une analyse de risques” — sans se demander si la méthode choisie correspond aux contraintes, aux ressources et au contexte de l’entreprise.

Le vernis formel et ses angles morts

Cette automatisation du geste produit un effet pervers : on remplit les tableaux, on produit des livrables impeccables sur la forme, et on repart avec la conviction que le sujet est traité. En coulisse, les fondations sont souvent fragiles. Les hypothèses de départ ne sont pas toujours validées, les critères varient d’un acteur à l’autre, et les résultats tiennent davantage à l’interprétation qu’à la méthode. Plus la procédure est lourde, plus elle se déconnecte du terrain : les scénarios étudiés ne reflètent pas les incidents réels, certaines mesures “présentes” n’ont jamais été testées, et la mise à jour de l’analyse reste rare malgré l’évolution constante des menaces.

Le problème vient aussi de l’accumulation de concepts censés affiner le diagnostic mais qui, dans les faits, introduisent une complexité inutile. Le vocabulaire varie d’un référentiel à l’autre, la lecture des matrices prête à interprétation, et la notion de “risque résiduel” finit par créer une zone de confort dangereuse. On croit piloter la sécurité alors qu’on ne fait que valider un processus administratif.

C’est cette distorsion entre l’outil et la réalité que je veux explorer. Non pour condamner l’analyse de risques en elle-même, mais pour montrer comment certaines pratiques, et en particulier l’usage du risque résiduel, entretiennent une illusion de maîtrise qui peut coûter cher.

Premier biais : confusion terminologique dans l’analyse des risques cyber

Un langage commun… en apparence

L’analyse de risques s’appuie sur un vocabulaire technique qui semble clair à première vue. Pourtant, ce langage, censé apporter de la précision, se révèle souvent source de malentendus. Les termes varient selon les méthodes, les référentiels (voir EBIOS Risk Manager de l’ANSSI]), les cabinets de conseil… et parfois même d’un service à l’autre dans la même entreprise. Résultat : chacun croit comprendre l’autre, mais parle en réalité une langue légèrement différente.

Risque brut, inhérent, résiduel : le glissement des définitions

Prenons les notions de risque brut, risque inhérent et risque résiduel. Dans certains référentiels, le risque brut est défini comme le risque “à l’état naturel”, avant toute mesure de sécurité. Dans d’autres, il se confond avec le risque inhérent.

Le risque résiduel, lui, devrait correspondre à ce qui reste après la mise en place des protections. Mais là encore, tout dépend de ce que l’on mesure : la simple existence d’une mesure, ou son efficacité réelle sur le terrain ? Et comment prend-on en compte les écarts entre ce qui est écrit dans une politique et ce qui est effectivement appliqué ? Ces différences de lecture changent totalement l’évaluation finale.

Cette ambiguïté s’étend au reste du jargon : événement redouté, scénario de menace, vulnérabilité, exposition… Les définitions bougent légèrement selon les méthodes et les formations suivies. Dans un environnement où plusieurs parties prenantes participent à l’analyse — métiers, IT, RSSI, direction — ces nuances suffisent à créer des décalages majeurs dans la compréhension des enjeux.

Ce qui rend la situation encore plus piégeuse, c’est que ces divergences restent souvent implicites.

Un consensus implicite qui fragilise les décisions

Ce flou terminologique n’est pas un détail technique. C’est un biais méthodologique majeur : si les mots ne veulent pas dire la même chose pour tout le monde, alors les chiffres, les matrices et les décisions qui en découlent sont fragilisés. Et une analyse fragilisée dès la première ligne de définition ne peut pas servir de boussole fiable pour piloter la sécurité.

Deuxième biais : la matrice des risques cyber comme fausse preuve

La force visuelle… et l’illusion d’objectivité

Difficile de trouver un symbole plus universel de l’analyse de risques que la matrice à deux axes. Sur un graphique en apparence simple, elle condense toute l’évaluation : en abscisse la probabilité, en ordonnée l’impact, et, au croisement, une couleur qui tranche — rouge pour l’inacceptable, orange pour le surveillé, vert pour l’acceptable.En réunion, c’est un outil redoutable : visuel, synthétique, facile à comprendre. Une seule diapositive suffit à montrer qu’on a mesuré les menaces et que l’on sait où concentrer les efforts.

Notations subjectives, réalité absente

Ce pouvoir de simplification est aussi son principal défaut. La matrice crée une impression d’objectivité qu’elle n’a pas. Les chiffres qui positionnent un risque sur la grille sont presque toujours le fruit d’estimations subjectives, influencées par la perception des participants, par leur expérience passée, ou par les exemples récents qui leur viennent à l’esprit. Deux équipes différentes, travaillant sur le même périmètre, peuvent obtenir des matrices radicalement différentes.

Il y a aussi un biais plus insidieux : la matrice traduit rarement la réalité opérationnelle. Elle reflète l’état d’esprit du moment, pas l’état réel des systèmes. Lorsqu’une mesure est marquée comme “implémentée”, la probabilité ou l’impact d’un risque baisse mécaniquement. Mais que veut dire “implémentée” ? S’agit-il d’une solution installée mais non supervisée ? D’un outil configuré à moitié ? D’un processus écrit mais jamais testé ? La matrice ne le précise pas. Elle se contente d’enregistrer l’existence du dispositif, sans s’intéresser à sa profondeur ni à sa résilience dans le temps.

Un cadre figé qui vieillit mal

Ce décalage est amplifié par la tendance à figer la matrice. Dans bien des entreprises, elle est construite au début d’un projet, puis conservée telle quelle pour servir de référence pendant un, deux, parfois trois ans. Entre-temps, les systèmes ont évolué, les usages ont changé, de nouvelles menaces sont apparues… mais la matrice reste figée, et continue de dicter les priorités comme si rien n’avait bougé.

Le résultat, c’est un outil séduisant qui rassure sur la forme mais qui, mal utilisé, entretient un faux sentiment de contrôle. Une matrice bien présentée peut convaincre un comité de direction, démontrer qu’une organisation est en maîtrise, alors même que ses défenses réelles sont incomplètes ou obsolètes. Ce vernis visuel est parfois plus dangereux qu’une absence totale d’analyse, car il réduit la vigilance au moment même où elle devrait rester en alerte.

Le risque résiduel : un tranquillisant méthodologique à abandonner

Sur le papier, la preuve d’un effet

Dans la plupart des approches, l’analyse de risques suit un chemin balisé : on commence par identifier le risque “brut” ou “inhérent”, on définit et applique un plan de traitement, puis on réévalue la situation pour calculer ce qui reste — le fameux “risque résiduel”.

Sur le papier, cette étape est présentée comme la preuve que les mesures mises en place ont un effet tangible. C’est la dernière colonne du tableau, celle qui montre que le risque rouge est passé à l’orange ou au vert. En théorie, le résiduel est donc l’indicateur clé qui permet de dire : “Nous avons fait notre travail, et nous avons atteint un niveau acceptable.”

En pratique, un sédatif qui stoppe la discussion

En pratique, c’est souvent un tranquillisant méthodologique. Une fois qu’un risque est qualifié de “résiduel” et “acceptable”, la discussion s’arrête. On a l’impression que le sujet est clos, que la menace est neutralisée. La vigilance baisse, les budgets sont gelés, et plus personne ne remet ce risque sur la table sans passer pour celui qui veut rouvrir un dossier réglé.

Un indicateur politique plus que technique

Il faut comprendre pourquoi cette notion existe. Le résiduel n’est pas né d’une exigence technique, mais d’un besoin politique. Les directions refusent — à juste titre — de signer un chèque en blanc pour “éliminer tous les risques”. Elles veulent un repère qui indique le moment où l’effort peut s’arrêter et où les ressources peuvent être réorientées ailleurs. Le risque résiduel joue ce rôle : il matérialise un point d’équilibre entre sécurité et budget. Sur la matrice, c’est le moment où le vert remplace le rouge, et où tout le monde peut dire “mission accomplie”. Le problème, c’est que ce repère est une illusion. Ce “reste” n’est pas mesuré avec la rigueur qu’on imagine. Il repose sur des hypothèses, des notations subjectives et des compromis plus que sur des preuves terrain. On considère souvent qu’une mesure “présente” suffit à réduire le risque, sans vérifier sa configuration, son usage réel, sa supervision ou sa résilience dans le temps. On finit par afficher des risques “résiduels” acceptables alors que, sur le terrain, les vulnérabilités restent exploitables. En conservant cette notion dans nos méthodes, on nourrit un biais dangereux : croire qu’un indicateur abstrait vaut plus que la réalité des faits. On déplace le débat stratégique sur une case colorée dans une matrice, au lieu de parler de la vraie question : sommes-nous réellement protégés contre ce scénario d’attaque ?

Remplacer le résiduel par une décision assumée

C’est pour cette raison que je plaide pour son abandon pur et simple. À la place, il faut poser à la direction une question claire, qui ramène le débat à sa vraie nature :

Cette formulation change radicalement la dynamique. On ne parle plus d’un seuil d’acceptabilité théorique, mais d’une décision assumée sur l’allocation des moyens. On ne fige pas une situation “finale” ; on engage un cycle d’actions, de vérifications et d’ajustements continus. On sort d’une logique de conformité pour revenir à une logique de protection réelle.

Supprimer le risque résiduel, c’est aussi redonner de l’air aux RSSI et aux équipes de sécurité. Cela leur permet d’admettre qu’un risque peut évoluer, que les mesures peuvent perdre en efficacité, et que le pilotage doit rester vivant. C’est accepter que la sécurité n’est pas un état stable à valider une fois pour toutes, mais un effort permanent qui ne se résume pas à un chiffre dans une grille.

Le résiduel est né pour donner un point de sortie au débat budgétaire ; il a fini par devenir un indicateur de confort qui masque la réalité. Le remplacer par une discussion franche sur les objectifs et les investissements nécessaires, c’est retrouver le sens initial de l’analyse de risques : aider à décider, pas à se rassurer.

Vers des méthodes d’analyse des risques cyber plus réalistes et adaptées

Supprimer la notion de risque résiduel n’est pas un acte purement théorique. C’est une nécessité si l’on veut que l’analyse de risques redevienne un outil d’aide à la décision utile, surtout dans des environnements où les ressources sont limitées et la réactivité essentielle.

Le décalage structurel (retour terrain)

L’expérience de terrain montre à quel point ce problème est structurel.

Après avoir accompagné plus de 120 entreprises, pour la plupart des acteurs de la tech et des éditeurs SaaS, le constat est clair : l’immense majorité n’a ni les effectifs ni les compétences internes pour appliquer les méthodes complexes prévues par les référentiels. Ces méthodes demandent du temps, une expertise pointue, et une capacité de suivi dans la durée que beaucoup d’organisations n’ont pas. Pourtant, ces mêmes entreprises sont parmi les plus exposées : services cloud, dépendance totale à la disponibilité des plateformes, gestion de données sensibles pour des milliers de clients.

Quand la méthode devient façade

Dans ces conditions, vouloir appliquer à la lettre des démarches lourdes et standardisées, c’est se condamner à un exercice de façade. On remplit des documents, on coche des cases, mais on ne construit pas de véritable résilience. La méthode finit par vivre dans un monde parallèle, déconnecté de la réalité quotidienne des équipes techniques et métiers.

Trois principes pour atterrir sur le réel

Il faut donc renverser la logique. L’analyse de risques doit s’adapter à l’entreprise, et non l’inverse.Cela implique trois principes :

• Pragmatisme : se concentrer sur les scénarios d’attaque crédibles et significatifs pour l’entreprise, et non sur un catalogue exhaustif de menaces théoriques.

• Adaptation aux moyens : calibrer la méthode au regard des ressources disponibles, quitte à simplifier les étapes ou à réduire le périmètre pour rester efficace.

• Mesure du réel : évaluer non seulement la présence des mesures, mais aussi leur configuration, leur supervision, leur maintenabilité et leur efficacité constatée lors de tests ou d’incidents réels.
  

Sans risque résiduel, le pilotage devient plus concret. Chaque scénario est associé à un objectif clair (“nous voulons empêcher cette attaque”), à un plan d’action, et à un budget décidé en connaissance de cause. La question posée à la direction n’est plus “Acceptez-vous le niveau de risque résiduel ?”, mais “Combien investissons-nous pour réduire la probabilité que ce scénario se produise ou son impact (financier, réputation etc. )?”.

L'objectif est d'éviter le piège des indicateurs figés et on met en place un cycle vivant : identifier, agir, vérifier, ajuster. On se rapproche aussi de la réalité opérationnelle : les menaces évoluent, les priorités changent, et la sécurité ne peut pas être réduite à une matrice figée.

Pour une méthode d’analyse des risques cyber pensée pour les PME

Pourquoi les référentiels conviennent aux grands groupes

Les méthodes d’analyse de risques que nous utilisons aujourd’hui — ISO 27005, EBIOS, NIST RMF — sont très bien calibrées… pour les grands groupes. Dans ces organisations, il y a des équipes dédiées à la cybersécurité, des juristes spécialisés, des process matures et un budget capable de financer des analyses longues, complexes, et régulièrement mises à jour. Dans ce contexte, les méthodes actuelles sont efficaces : elles peuvent être appliquées dans leur intégralité et produire des résultats précis.

99,8 % d’entreprises : une autre réalité

Mais cette réalité ne représente qu’une fraction minime du paysage économique français. En France, 99,8 % des entreprises sont des PME au sens statistique européen (moins de 250 salariés). Elles concentrent près de la moitié des emplois et constituent la colonne vertébrale de notre économie. À l’autre extrême, les grands groupes — plus de 5 000 salariés — représentent à peine 0,02 % du nombre d’entreprises. Ils pèsent lourd en valeur ajoutée et en emplois, mais ils sont l’exception, pas la règle.

Dans une PME, il n’y a pas de RSSI à temps plein. Le DSI (ou CTO dans certains cas), quand il existe, gère tout : postes de travail, réseaux, cloud, parfois même téléphonie et achats. La sécurité est souvent confiée “par défaut” à un prestataire, ou intégrée à la marge dans les missions d’un responsable qualité ou d’un chef de projet IT. Les budgets sont limités, les ressources humaines rares, et la culture cybersécurité souvent en construction.

Dans ce contexte, appliquer à la lettre les cadres actuels revient à faire de l’analyse de risques un exercice de façade. On obtient un document impeccable sur la forme, mais qui ne change pas la réalité opérationnelle. Les scénarios sont trop abstraits, les échelles de notation trop subjectives, et les livrables trop éloignés des préoccupations quotidiennes.

Une méthode réellement applicable (adaptée, centrée, actionnable)

Si l’on veut que ces 99 % de PME, prennent réellement la mesure de ses risques, il faut créer une méthode qui leur soit destinée.Une méthode :

• Adaptée à leurs moyens : temps, budget, ressources humaines.

• Centrée sur leurs enjeux : disponibilité du service, protection des données clients, conformité minimale, résilience face aux attaques les plus probables.

• Actionnable : chaque risque identifié doit déboucher sur une mesure claire, un coût estimé et un délai réaliste.

• Compréhensible par un dirigeant non-spécialiste, pour que la décision soit assumée et financée.

  
  

L’objectif n’est pas de “faire plus simple” pour le plaisir de simplifier, mais de rendre l’analyse de risques applicable et utile là où elle est vitale, c’est-à-dire dans des structures qui, sans moyens colossaux, restent des cibles privilégiées pour les attaquants. Une méthode calibrée pour elles serait sans doute plus courte sur le papier, mais bien plus efficace dans la vraie vie.

Moins de tableaux, plus de lucidité : transformer l’analyse des risques cyber

Sortir de la conformité, revenir à la protection

La sécurité n’est pas une question de cases à cocher ni de couleurs sur une matrice. C’est un effort continu, ancré dans la réalité des systèmes, des usages et des menaces. Tant que nous appliquerons aux petites et moyennes entreprises — 99,8 % de notre tissu économique — les méthodes conçues pour les grandes structures, nous produirons des analyses impeccables sur la forme, mais inutiles dans le fond. Supprimer la notion de risque résiduel et bâtir une méthode adaptée à leur réalité opérationnelle est une étape indispensable si l’on veut passer d’un exercice de conformité à un véritable outil d’aide à la décision.

IA et données réelles : le prochain paradigme

Reste une question : comment rendre cela possible à grande échelle, sans alourdir la charge de travail ni exploser les budgets ? C’est là que les grandes innovations technologiques, à commencer par l’intelligence artificielle, peuvent devenir un levier déterminant.

Demain, nous pourrons imaginer des analyses de risques qui ne se construiront plus sur des déclarations ou des estimations, mais sur des données réelles collectées en continu. L’IA pourra identifier les scénarios d’attaque les plus crédibles pour chaque entreprise, en fonction de son activité, de son architecture et des tendances de la menace, puis évaluer l’efficacité des mesures déjà en place sans passer par des audits lourds.

D’autres avancées pourraient venir compléter cette révolution : des “jumeaux numériques” de systèmes d’information permettant de simuler virtuellement une attaque et d’en mesurer l’impact, des notations de cybersécurité actualisées en temps réel, ou encore des outils capables de traduire instantanément des indicateurs techniques en décisions claires pour un dirigeant non-spécialiste.

Si nous parvenons à combiner cette puissance technologique avec une méthode conçue dès le départ pour les PME, nous pourrons enfin leur offrir ce qui leur manque aujourd’hui : une vision claire de leurs risques réels, un langage simple pour en parler, et un chemin d’action pragmatique pour les réduire. Ce n’est pas seulement une évolution de méthode : c’est un changement de paradigme. Car dans un monde où les menaces se transforment chaque jour, la survie d’une entreprise ne dépendra pas de la beauté de sa matrice, mais de sa capacité à comprendre rapidement où frapper, et avec quels moyens.

FAQ – Analyse des risques cyber