Comment faire un risk assessment cyber dans une PME ?
Publié le 1er juin 2026 · Lecture : 8 min
Le risk assessment cyber est l'étape fondatrice de toute démarche GRC. Sans cartographie des risques, impossible de prioriser les investissements de sécurité ni de répondre aux exigences NIS2 ou ISO 27001. Voici la méthode adaptée aux PME.
Étape 1 — Inventaire des actifs
Listez tous les actifs qui ont de la valeur pour votre organisation :
- Données : clients, contrats, données personnelles, propriété intellectuelle
- Systèmes : ERP, CRM, messagerie, serveurs, postes de travail
- Prestataires critiques : hébergeur cloud, MSP, sous-traitants avec accès SI
- Processus métier critiques : facturation, production, logistique
Étape 2 — Identification des menaces
Pour chaque actif, identifiez les menaces réalistes :
- Ransomware : chiffrement des données et demande de rançon
- Phishing : compromission de comptes via email frauduleux
- Accès non autorisé : exploitation de mots de passe faibles ou d'accès tiers mal gérés
- Fuite de données : exfiltration par un employé malveillant ou un prestataire compromis
- Indisponibilité : panne système, attaque DDoS, défaillance hébergeur
Étape 3 — Évaluation des risques
Scorez chaque risque sur deux dimensions :
| Dimension | Échelle | Critères |
|---|---|---|
| Probabilité | 1 à 4 | 1 = très improbable / 4 = quasi-certain |
| Impact | 1 à 4 | 1 = négligeable / 4 = critique (arrêt activité) |
| Score risque | P × I | Score 12-16 = risque critique à traiter en priorité |
Étape 4 — Plan de traitement
Pour chaque risque scoré, choisissez une stratégie de traitement :
- Réduire : mettre en place des contrôles techniques (MFA, EDR, sauvegarde)
- Transférer : souscrire une assurance cyber
- Accepter : risque faible, coût de traitement disproportionné
- Éviter : arrêter l'activité ou le système générateur du risque
Livrables attendus
- Registre des risques (Excel ou plateforme GRC) avec score et statut
- Plan de traitement sur 12 mois avec responsables et budgets
- Revue trimestrielle du registre