GH GambleHub

Carte thermique des risques

1) Destination et valeur

La carte des risques thermiques (Risk Heatmap) est un outil visuel de classement et de communication des risques selon la matrice Probabilité × Impact, lié aux contrôles, aux mesures et aux plans d'action.

Objectifs :
  • un seul langage de hiérarchisation (entreprises, blocs juridiques) ;
  • des décisions transparentes sur la LEP et les investissements ;
  • suivi de la dynamique (avant/après mesures), préparation « audit-ready ».

2) Taxonomie et zone de couverture

Domaines recommandés :
  • Réglementation/Licences, Confidentialité/Données, IB/Processus techniques, Paiements/AML/KYC, Opérations/Accessibilité, Marketing/Publicité responsable, Fournisseurs/VRM.
Sections :
  • Juridictions/Marchés, Secteurs d'activité/Produits, Services/Plateformes, Fournisseurs critiques.

3) Échelles de probabilité et d'influence

3. 1 Probabilité (exemple d'échelle à 5 niveaux)

1. Rarement (une fois tous les> 3 ans/p <5 %)

2. Faible (tous les 1 à 3 ans)

3. Moyenne (annuelle)

4. Élevé (trimestriel)

5. Très élevé (mensuel/plus fréquent)

3. 2 Effet (multifactoriel)

Évaluer selon le maximum des critères :
  • Finances : pertes directes/pénalités/chargeback.
  • Licences/Conséquences juridiques : suspensions, interdictions, enquêtes.
  • Vie privée/Données : portée des IPI, notifications, mesures de surveillance.
  • Opérations/Aptyme : MTTR, SLO, sorties interrompues, RTO/RPO.
  • Réputation : médias, réseaux sociaux, sanctions de partenariat.
  • Échelle 1-5 avec seuils clairs (par exemple 1 : <10k €, 5 :> 1m €).

4) Scoring et niveaux de risque

Risque individuel : 'Score = Likelihood × Impact' (1-25).

Catégories :
  • 20-25 - Critique (rouge)
  • 12-19 - Haut (orange)
  • 6-11 - Médium (jaune)
  • 1-5 - Low (vert)
  • Risque résiduel : après prise en compte des contrôles en cours (efficacité confirmée par ToD/ToE/CCM).
  • Risque ciblé (Target) : après les mesures prévues ; la date de réalisation est fixée.

5) Sources de données et communication avec les contrôleurs

Registre de la GRC : descriptions des risques, propriétaires, évaluations en cours/ciblées.
SSM/métriques : taux-passe des règles de contrôle, incidents, KRI.
Vendeurs/VRM : certificats, SLA, incidents, modifications des emplacements de données.
Finances/Paiements : pénalités, chargeback ratio, fraud loss %.
Toutes les valeurs qui affectent les échelles doivent avoir des références evidence (logs/rapports) et des timstamps.

6) Agrégation et consolidation

Bottom-up : des services/juridictions aux domaines et à l'entreprise.
Règles d'agrégation : maximum par Impact, Percentile par Likelihood, ou médiane pondérée (en volume d'affaires).
Couches individuelles (layers) : Inherent (sans contrôles), Residual (avec contrôles), Target (après CAPA).
Partagez les risques corrélatifs (p. ex. vulnérabilité globale des infrastructures) et indépendants.

7) Visualisation

Matrice 5 × 5 avec codage couleur ; points-risques interactifs avec cartes pop-up (description, propriétaire, contrôleurs, CAPA).
Commutateurs de calque : Inherent/Residual/Target.
Filtres : juridiction, produit, domaine, fournisseur, période.
Tendances « avant/après » mesures et « dérive » (drift) en 30 à 90 jours.

8) Rôles et RACI

ActivitéRACI
Méthodologie et échellesRisk Office / Compliance EngHead of RiskLegal/DPO, FinanceInternal Audit
Intégration des évaluationsRisk OwnersHead of FunctionControl OwnersCommittee
Lien avec les contrôles/KRICompliance EngHead of ComplianceSecOps/DataInternal Audit
Publication de dashboardsCompliance AnalyticsHead of ComplianceBI/Data PlatformExec/Board
Revue et solutionsRisk & Compliance CommitteeExecutive SponsorAll DomainsBoard

9) KRI et seuils d'escalade

Exemples de KRI (attacher aux risques sur la carte) :
  • Confidentialité : dsar_response_p95, suppression par TTL, plaintes/ombudsman.
  • Sécurité : vulnérabilités p95 TTR, proportion de règles CCM « rouges » critiques, violation SoD.
  • Payments : chargeback ratio, fraud loss %, win-rate appels.
  • Opérations : taux de rupture SLO, incidents p1/p2, tests RTO/RPO.
  • Escalade : Amber au-delà des seuils d'avertissement, Red est un CAPA obligatoire et « stop-the-line » pour les zones critiques.

10) Prise de décision et communication avec CAPA

Pour chaque point « rouge », un plan d'action est obligatoire : Corrective/Preventive, propriétaire, délai, budget, KPI de succès.

Règles de seuil (exemple) :
  • Critical : CAPA ≤ 30 jours, re-audit après 60-90 jours ; le comité est hebdomadaire.
  • High : CAPA ≤ 60 jours, suivi 90 jours.
  • Medium/Low : dans le plan trimestriel/semestriel.
  • Si vous ne pouvez pas descendre, waiver avec une date d'expiration et des contrôles compensatoires.

11) Dashboards (minimum)

Heatmap View : matrice actuelle + couches Residual/Target.
Risk Trend : dynamique des points, « avant/après CAPA ».
Controls Linkage : pass-rate CCM par risque, gates « rouges ».
Exposition réglementaire : risques par pays et par licence.
Vendor Risk : carte thermique des fournisseurs critiques (certificats, SLA, incidents).
Audit-Read....: evidence complète/reçus de hachage pour les risques.

12) Métriques d'efficacité

Indice de réduction des risques : ∆ de la moyenne pondérée des risques par trimestre.
CAPA à temps :% des mesures à temps (par severity).
Repeat Findings (12 mois) : proportion de répétitions sur les risques associés.
Evidence Completeness :% des risques avec un ensemble complet de preuves.
Drift After Fix : cas de retour en zone « rouge » après 30 à 90 jours.
Coverage : part des actifs de l'entreprise/des administrations reflétée sur la carte.

13) SOP (procédures standard)

SOP-1 : Initialisation de la méthode

Définir les échelles et les seuils → convenir au Comité → les fixer dans le référentiel (versioning).

SOP-2 : Cycle trimestriel

Collecte des données d'entrée/KRI → recalculation des estimations → la jalousie des propriétaires → les décisions des comités → la publication des dashboards → l'exportation du « paquet d'audit ».

SOP-3 : Incident déclencheur

Lors d'un incident Critical/High, une mise à jour non planifiée de la carte, un ancrage CAPA et un plan re-audit.

SOP-4 : Le circuit de Vendor

Enquête VRM/certificats → mise à jour des risques des fournisseurs → confirmation des mesures miroirs (Vendor Mirror).

SOP-5 : Archives et preuves

Snapshots heatmap (PDF/PNG/CSV) + reçus de hachage → archives WORM → liens vers la GRC.

14) Modèles d'artefacts

14. 1 Carte de risque (fragment)

ID/Nom, propriétaire, domaine/juridiction

Likelihood/Impact/Inherent/Residual/Target

Contrôles (ID, métriques, règles CCM)

KRI et valeurs réelles

CAPA/waivers, dates, budget, KPI

Liens Evidence et reçus de hachage

14. 2 Politique des échelles (extrait)


Likelihood:
1: p<5% / >3y
3: annual
5: monthly+
Impact (finance):
1: <€10k
3: €100k–€300k
5: >€1m
Escalation:
Critical: CAPA≤30d; Committee weekly
High: CAPA≤60d; Committee bi-weekly

14. 3 Rapport « avant/après »

Captures d'écran heatmap (Residual vs Target)

Tableau des ∆ par risque

Réalisé par CAPA, métriques de stabilité

15) Anti-modèles

« Belle image » sans lien avec les contrôles/KRI et CAPA.
Échelles floues → manipulation des estimations.
Pas de versioning/preuve de changement de score.
Sommation des risques non comparables sans règles d'agrégation.
Les mises à jour rares de la carte → ne reflètent pas la réalité.
Waivers sans délais ni mesures compensatoires.

16) Modèle de maturité (M0-M4)

M0 Ad-hoc : image unique, pas de méthodes/métriques.
M1 Planifié : échelles harmonisées, mises à jour trimestrielles.
M2 Contrôlable : lien avec les contrôles/KRI, CAPA, dashboards, archives WORM.
M3 Intégré : recalculation automatique (CCM), policy-/assurance-as-code, tranches par pays/fournisseur.
M4 Assurance continue : KRI prédictive, simulation scénique, « what-if », recommandations de priorités.

17) Articles wiki liés

Audit axé sur les risques (RBA)

KPI et métriques de conformité

Surveillance continue de la conformité (CCM)

Plans de réparation des infractions (CAPA)

Vérifications répétées et contrôle de l'exécution

Référentiel des règles et réglementations

La feuille de route de la conformité

Guide de conformité pour les partenaires/VRM

Résultat

La carte des risques thermiques n'est pas un rapport, mais un mécanisme de gestion : échelles uniques, communication avec les contrôles et les IRC, mises à jour régulières, décisions prouvables et contrôle de la durabilité après les mesures. Cette approche rend la hiérarchisation objective, accélère les décisions des comités et maintient une préparation permanente à l'audit.

Contact

Prendre contact

Contactez-nous pour toute question ou demande d’assistance.Nous sommes toujours prêts à vous aider !

Commencer l’intégration

L’Email est obligatoire. Telegram ou WhatsApp — optionnels.

Votre nom optionnel
Email optionnel
Objet optionnel
Message optionnel
Telegram optionnel
@
Si vous indiquez Telegram — nous vous répondrons aussi là-bas.
WhatsApp optionnel
Format : +code pays et numéro (ex. +33XXXXXXXXX).

En cliquant sur ce bouton, vous acceptez le traitement de vos données.