Évaluation des risques et hiérarchisation

1) Objectif et résultats

• comparables (échelles et formules uniques),
• transparents (sources de données et hypothèses documentées),
• mesurables (métriques et KRI liés aux contrôles et aux incidents),
• exécutables (chaque risque correspond à un plan CAPA/waiver avec une date d'expiration).

Sorties : registre unique des risques, backlog des mesures, cartes thermiques, rapports sur les risques résiduels, artefacts « audit-ready ».

2) Termes et niveaux de risque

Risque Inherent - risque sans tenir compte des contrôles.
Risque résidentiel - risque en tenant compte des contrôles actuels (vérifiés par ToD/ToE/CCM).
Risque cible - niveau cible après la LEP/mesures compensatoires.
Likelihood (L) est la probabilité d'un scénario dans l'horizon d'évaluation.
Impact (I) est le plus important de : finances, licences/droit, vie privée/données, opérations/SLO, réputation.
L'IRC est un indicateur de risque qui affecte L/I (p. ex., dsar_response_p95, chargeback ratio).

3) Échelles et modèles de base

3. 1 Matrice discrète (5 × 5 ou 4 × 4)

Score = L × I → la plage 1-25 (ou 1-16).

• 20–25 = Critical, 12–19 = High, 6–11 = Medium, 1–5 = Low.
• Les seuils sont publiés dans la « Politique de notation » et s'appliquent invariablement à tous les domaines.

• 1 - une fois tous les> 3 ans ; 2 fois tous les 1 à 3 ans ; 3 - chaque année ; 4 - tous les trimestres ; 5 - mensuels/plus fréquents.

• 1 — <€10k; 2 — €10–100k; 3 — €100–300k; 4 — €300k–€1m; 5 — >€1m; en cas de risque légal ou de permis, le niveau passe à un minimum de 4-5.

3. 2 Modèles quantitatifs

ALE (Annualized Loss Expectancy) : 'ALE = SLE × ARO', où 'SLE' est le dommage moyen par événement, 'ARO' est la fréquence attendue par an.
Approche FAIR (en simplification) : nous modélisons la fréquence (Fréquence de l'événement de Threat) et la quantité de perte (Magnitude de Loss), en utilisant les percentiles (p50/p95) pour prendre une décision.
Monte Carlo : distributions pour la fréquence et les dommages (lognorm/gamma, etc.), 10-100k runs → courbes de perte (loss exceedance curve). Appliquer pour les risques les plus coûteux/critiques réglementaires.

Recommandation : 80 % des cas sont matriciels 5 × 5, 20 % (risques supérieurs) - ALE/FAIR/Monte Carlo.

4) Risque résiduel et ciblé

1. Calculer Inherent selon les hypothèses « sans contrôle ».
2. Tenir compte de l'efficacité des contrôles existants (testés par ToD/ToE/CCM) → Residual.
3. Déterminer la cible en tenant compte des mesures compensatoires et des dates prévues de la LEP.
4. Si Target ≤ le seuil de tolérance (risk appetite) - ok ; dans le cas contraire, waiver est requis avec une date d'expiration et des contrôles compensatoires.

5) Sources de données et preuves

Métriques et KRI (dashboards, logs, rapports d'incidents).
Résultats des tests de contrôle (CCM), des audits (internes/externes).
Rapports des fournisseurs : SLA/certificats/incidents/modifications des emplacements de données.
Analyse financière : pénalités, chargeback, fraud loss %.
Chaque évaluation est accompagnée de références à l'evidence avec un délai et un reçu de hachage (WORM).

6) Hiérarchisation des initiatives (transfert des risques → action)

6. 1 RICE (adaptation à risque)

`RICE = (Reach × Impact_adj × Confidence) / Effort`

Reach - Combien de clients/transactions/juridictions sont concernés.
Impact_adj - converti I (ou ALE/perte p95).
Confiance - validité des estimations (0. 5/0. 75/1. 0).
Effort - semaines-personnes/coût.
Trier par RICE → gains rapides en haut.

6. 2 WSJF corrigé des risques

`WSJF = Cost of Delay / Job Size`, где

`Cost of Delay = Risk Reduction + Time Criticality + Business Value`.

La réduction des risques est une diminution prévue de la Residual/ALE.
Time Criticality est la date limite des régulateurs/audits.
Business Value - revenus/économies, confiance des clients.

6. 3 Priorité réglementaire

Si le risque est lié aux licences/à la loi et qu'il y a une date limite rigide - il entre automatiquement dans Critical/High indépendamment du scoring « économique ».

7) Règles de seuil et escalade

Critical : triage immédiat, CAPA ≤ 30 jours, re-audit après 60-90 jours ; un comité hebdomadaire.
High : CAPA ≤ 60 jours, suivi 90 jours.
Medium : inclusion dans le plan trimestriel.
Low : surveillance + possibilité de « tech debt » slot.
Seuils KRI : Amber (avertissement) et Red (escalade obligatoire et CAPA).

8) Rôles et RACI

9) Dashboards

Risk Heatmap : matrice 5 × 5, filtres par domaine/pays/fournisseurs.
Risk Funnel : Inherent → Residual → Target (delta en déclin).
Top-N par ALE/p95 Loss : risques quantitatifs.
Liste de surveillance KRI : indicateurs et seuils, alarmes Amber/Red.
Impact CAPA : baisse prévue/réelle ; progrès dans les délais.
Waivers : exceptions en vigueur, délais et mesures compensatoires.

10) Métriques d'efficacité

Indice de réduction des risques : ∆ de risque moyen pondéré (trimestre/trimestre).
CAPA à temps :% des mesures à temps (par severity).
Repeat Findings (12 mois) : proportion de violations répétées.
Evidence Completeness :% des risques avec un pack complet (objectif 100 % pour High +).
Prédiction Accuracy : divergence entre les pertes/fréquences estimées et réelles.
Time-to-Triage / Time-to-Plan / Time-to-Target.

11) SOP (procédures standard)

SOP-1 : Initialisation et échelles

Déterminer les échelles L/I et les seuils des catégories → approuver par le Comité → consigner dans le référentiel (versioning).

SOP-2 : Réévaluation trimestrielle

La collecte des KRI/incidents → la conversion L/I/ALE → ревью par les propriétaires → комитетная приоритизация → la publication Roadmap.

SOP-3 : Incident déclencheur

Lors d'un incident Critical/High - recalculation non planifiée, ajustement de l'APA et des priorités.

SOP-4 : Analyse quantitative (haut risque)

Établir les distributions d'entrée → Monte Carlo (≥10k des essais) → les courbes de perte → décision du Comité.

SOP-5 : Archives et preuves

Exportation de tranches (CSV/PDF) + reçus de hachage → archives WORM → liens dans les cartes de la GRC.

12) Modèles et « as-code »

12. 1 Politique de scoring (fragment)

scales:
likelihood:
1: ">3y / p<5%"
3: "annual"
5: "monthly+"
impact_finance:
1: "<€10k"
3: "€100k–€300k"
5: ">€1m"
categories:
critical: "score>=20 or regulatory_deadline<=60d"
high: "score>=12"
tolerance:
privacy_licensing: "min_impact=4"

12. 2 Carte de risque (YAML)

yaml id: RSK-PRIV-DSAR-001 title: "DSAR delinquency"
domain: "Privacy"
jurisdictions: ["EEA","UK"]
likelihood: 4 impact: 4 score: 16 model: "matrix_5x5"
ale_eur: 280000 # if controls were considered: ["CTRL-DSAR-SLA, ""CTRL-RET-DEL"]
kri:
- key: "dsar_response_p95_days"
warn: 18 red: 20 residual: 12 target: 6 capa:
- id: CAPA-123 action: "DSAR queue optimization, auto-prioritization, alerts"
due: "2025-02-15"
expected_delta: -6 waiver: null evidence: ["hash://.../metrics. csv","hash://.../ccm_report. pdf"]

12. 3 Priorité (exemple WSJF)

yaml initiative: "Automation DSAR queue"
cod:
risk_reduction: 8 time_criticality: 5 business_value: 3 job_size: 5 wsjf: 3. 2

13) Mesures compensatoires et waivers

• nous introduisons des contrôles compensatoires (contrôles manuels, limites, surveillance supplémentaire) avec des mesures d'efficacité ;
• formaliser le waiver avec la date d'expiration, le propriétaire et le plan de remplacement ;
• un re-audit obligatoire après 30-90 jours.

14) Anti-modèles

« Belle matrice » sans lien avec KRI/contrôles/incidents.
Échelles flottantes et « tuning manuel » pour le résultat souhaité.
Pas de versioning des calculs et des hypothèses.
Les révisions rares de la carte → ne reflètent pas la réalité.
Waivers sans date d'expiration et mesures compensatoires.
Absence d'analyse quantitative pour les risques supérieurs.

15) Modèle de maturité (M0-M4)

M0 Ad hoc : les scores « à l'œil », il n'y a pas de politique unique.
M1 Planifié : matrice 5 × 5, mises à jour trimestrielles, dashboards de base.
M2 Contrôlable : communication avec KRI/CCM, lien CAPA, WORM-evidence.
M3 Intégré : ALE/FAIR/Monte-Carlo pour le top risque, WSJF/RICE à Roadmap, gates CI/CD.
M4 Assurance continue : KRI prédictive, auto-recalculation, priorités de recommandation et « evidence-by-design ».

16) Articles wiki liés

Carte thermique des risques

Audit axé sur les risques (RBA)

KPI et métriques de conformité

Surveillance continue de la conformité (CCM)

Plans de réparation des infractions (CAPA)

Référentiel des règles et réglementations

La feuille de route de la conformité

Contrôles externes effectués par des auditeurs tiers

Résultat

Le scoring et la hiérarchisation des risques sont une discipline d'ingénierie et non un art : des échelles et des politiques stables, des données probables, des méthodes quantitatives pour les risques supérieurs, des seuils et des escalades explicites, et un lien direct avec le CAPA et la feuille de route. Cette approche rend les solutions prévisibles, accélère les rapprochements et réduit le risque global de l'entreprise.