Plan de traitement des risques cyber : méthode et modèle
Publié le 1er juin 2026 · Lecture : 7 min
Le plan de traitement des risques (PTR) est le document opérationnel qui traduit votre risk assessment en actions concrètes. C'est un livrable central de NIS2 (Article 21) et d'ISO 27001 (Annexe A). Voici comment le construire.
Structure d'un plan de traitement des risques
| Colonne | Contenu |
|---|---|
| Risque identifié | Description claire du risque (ex : ransomware sur serveur ERP) |
| Score initial | Probabilité × Impact avant traitement |
| Stratégie | Réduire / Transférer / Accepter / Éviter |
| Mesures | Actions concrètes (ex : déployer EDR + sauvegardes offline) |
| Responsable | Nom + fonction |
| Échéance | Date cible de mise en œuvre |
| Budget estimé | Coût de la mesure |
| Score résiduel | Score après mise en œuvre des mesures |
| Statut | À faire / En cours / Terminé / Accepté |
Priorisation des mesures
Traitez en priorité les risques avec :
- Score ≥ 12 (probabilité × impact)
- Actifs critiques (données clients, systèmes de production)
- Risques couverts par une obligation réglementaire (NIS2, DORA)
Fréquence de révision
- Revue complète : annuelle minimum (NIS2 et ISO 27001 l'exigent)
- Revue partielle : après chaque incident significatif
- Mise à jour : après tout changement majeur du SI (nouveau prestataire, migration cloud)