Quels sont les cadres de gestion des risques les plus courants ?

Les cadres de gestion des risques les plus utilises sont : ISO 31000 (usage general, applicable a tout type de risque), NIST Risk Management Framework (axe sur la cybersecurite, d'origine gouvernementale americaine), COSO ERM (gestion des risques d'entreprise pour la gouvernance d'entreprise), ISO 27005 (gestion des risques lies a la securite de l'information, en complement d'ISO 27001), et FAIR (analyse quantitative des cyber-risques). Le bon choix depend de votre secteur, de vos exigences reglementaires et de la portee des risques.

Quelle est la difference entre ISO 31000 et NIST RMF ?

ISO 31000 est un cadre large, base sur des principes, applicable a tout type de risque (financier, operationnel, strategique, conformite). NIST RMF est specifiquement axe sur les systemes d'information et le risque cyber, avec des etapes prescriptives pour les systemes federaux. ISO 31000 vous indique comment penser le risque ; NIST RMF vous dit exactement quoi faire pour les systemes informatiques. De nombreuses organisations utilisent ISO 31000 comme cadre global et NIST RMF pour les processus specifiques a la cybersecurite.

Comment les cadres de gestion des risques sont-ils lies a NIS2 et DORA ?

L'article 21 de NIS2 exige des organisations qu'elles mettent en oeuvre des politiques d'analyse des risques et de securite des systemes d'information, rendant ainsi un cadre de gestion des risques obligatoire de fait. Les articles 5 a 16 de DORA exigent des entites financieres qu'elles etablissent des cadres complets de gestion des risques TIC. Les deux reglementations attendent des processus documentes d'evaluation des risques, des revues regulieres et des preuves de prise de decision basee sur les risques. L'utilisation d'un cadre etabli comme ISO 27005 ou NIST RMF aide a demontrer la conformite.

Ai-je besoin d'un cadre de gestion des risques si j'ai deja ISO 27001 ?

ISO 27001 inclut la gestion des risques comme exigence fondamentale (clause 6.1), mais ne prescrit pas de methodologie specifique. De nombreuses organisations associent ISO 27001 a ISO 27005 (qui fournit des orientations detaillees pour l'evaluation des risques lies a la securite de l'information) ou adoptent ISO 31000 pour les risques d'entreprise au-dela de la securite de l'information. Votre SMSI contient deja un processus de gestion des risques — un cadre le formalise et l'etend.

Qu'est-ce que le cadre de gestion des risques FAIR ?

FAIR (Factor Analysis of Information Risk) est un cadre quantitatif de gestion des risques qui exprime le cyber-risque en termes financiers. Contrairement aux cadres qualitatifs qui utilisent des notations eleve/moyen/faible, FAIR calcule la frequence probable et l'ampleur des evenements de perte en valeurs monetaires. Il aide les organisations a prioriser les investissements en comparant le cout des controles a la reduction de perte attendue.

Comment choisir le bon cadre de gestion des risques ?

Considerez quatre facteurs : (1) Exigences reglementaires — NIS2, DORA et SOX attendent chacun des approches specifiques ; (2) Portee des risques — securite de l'information uniquement (ISO 27005, NIST RMF) ou a l'echelle de l'entreprise (ISO 31000, COSO ERM) ; (3) Maturite de l'organisation — les cadres bases sur des principes (ISO 31000) offrent de la flexibilite tandis que les cadres prescriptifs (NIST RMF) offrent un guide etape par etape ; (4) Secteur — les services financiers utilisent souvent COSO ERM plus les exigences specifiques DORA, tandis que les entreprises technologiques adoptent generalement NIST CSF ou ISO 27005.

Peut-on utiliser plusieurs cadres de gestion des risques ?

Oui, et la plupart des organisations le font. Une approche courante consiste a utiliser ISO 31000 comme cadre global de risque d'entreprise, ISO 27005 ou NIST RMF pour le risque cyber, et FAIR pour l'analyse quantitative de risques specifiques a fort impact. L'essentiel est d'etablir une gouvernance claire pour que les cadres se completent plutot que de se contredire.

Cadres de gestion des risques : guide complet pour 2026

Published 7 mars 2026

Updated 9 avr. 2026

By Emre Salmanoglu

Cadres de gestion des risques : guide complet pour 2026

Q: Qu'est-ce qu'un cadre de gestion des risques ?

Un cadre de gestion des risques est une approche structuree pour identifier, evaluer, traiter et surveiller les risques au sein d'une organisation. Il fournit des principes, des processus et une terminologie qui aident les organisations a prendre des decisions coherentes et eclairees concernant les risques. Les exemples courants incluent ISO 31000, NIST RMF, COSO ERM et ISO 27005.

Comparez ISO 31000, NIST RMF, COSO ERM, COBIT 2019, ISO 27005 et FAIR — les principaux cadres de gestion des risques pour NIS2, DORA et ISO 27001 en 2026.

Gestion des risques

Cadres

ISO 31000

NIST RMF

COSO ERM

COBIT

ISO 27005

Conformite

Cadres de gestion des risques : guide complet pour 2026

Un cadre de gestion des risques offre a votre organisation une methode structuree pour identifier, evaluer et traiter les risques — au lieu de prendre des decisions ad hoc chaque fois qu'un probleme survient. Que vous mettiez en oeuvre ISO 27001, que vous vous prepariez a NIS2 ou que vous construisiez un programme de risque d'entreprise, vous avez besoin d'un cadre adapte a votre contexte reglementaire et a la maturite de votre organisation.

Ce guide couvre les principaux cadres, leur comparaison et comment choisir le bon.

Qu'est-ce qu'un cadre de gestion des risques ?

Un cadre de gestion des risques est un ensemble de principes, de processus et de pratiques pour gerer les risques de maniere systematique. Il definit :

Comment identifier les risques — ce qui peut mal tourner et ou
Comment evaluer les risques — probabilite, impact et priorite
Comment traiter les risques — accepter, attenuer, transferer ou eviter
Comment surveiller les risques — suivi et revue continus
Comment rendre compte des risques — communication aux parties prenantes et aux regulateurs

Sans cadre, la gestion des risques devient incoherente — differentes equipes evaluent les risques differemment, des lacunes documentaires apparaissent et les preuves reglementaires sont difficiles a produire.

Les principaux cadres de gestion des risques

ISO 31000 : Management du risque — Principes et lignes directrices

Ideal pour : les organisations qui ont besoin d'une approche universelle de gestion des risques applicable a tous les types de risques.

ISO 31000 est la norme internationale pour la gestion des risques, applicable a toute organisation quelle que soit sa taille, son secteur ou son domaine. Elle fournit des principes et un processus generique — pas de controles prescriptifs.

Elements cles :

Integration dans la gouvernance et la prise de decision
Processus d'evaluation des risques : identification → analyse → evaluation
Traitement des risques avec surveillance et revue continues
Communication et consultation tout au long du processus

Forces : flexible, independant du secteur, largement reconnu. Fonctionne comme un cadre global.

Limites : haut niveau — ne dit pas quels controles specifiques implementer. Doit etre complete pour des domaines specifiques.

NIST Risk Management Framework (RMF)

Ideal pour : les organisations gerant des systemes d'information, en particulier celles alignees sur les normes de cybersecurite americaines ou le NIST CSF.

Le NIST RMF (SP 800-37) fournit un processus structure en sept etapes pour integrer la securite et la gestion des risques dans les systemes d'information :

Preparer — Etablir le contexte et les priorites
Categoriser — Classifier les systemes d'information par niveau d'impact
Selectionner — Choisir les controles de securite dans le NIST SP 800-53
Implementer — Deployer les controles
Evaluer — Evaluer l'efficacite des controles
Autoriser — Decision basee sur le risque pour la mise en service
Surveiller — Evaluation et reponse continues

Forces : prescriptif, bien documente, s'integre au NIST CSF et au catalogue de controles SP 800-53. Gratuit et accessible publiquement.

Limites : centre sur les Etats-Unis. Peut etre complexe pour les petites organisations. Principalement axe sur les systemes d'information plutot que sur le risque a l'echelle de l'entreprise.

COSO ERM (Enterprise Risk Management)

Ideal pour : les organisations axees sur la gouvernance d'entreprise, le reporting financier et la supervision des risques au niveau du conseil d'administration.

COSO ERM est le cadre dominant pour la gestion des risques d'entreprise dans les contextes de gouvernance d'entreprise. Mis a jour en 2017, il organise la gestion des risques autour de cinq composantes :

Gouvernance et culture — Supervision du conseil et culture du risque
Strategie et definition des objectifs — Appetence au risque et alignement de la strategie commerciale
Performance — Identification, evaluation et reponse aux risques
Revue et revision — Surveillance et amelioration
Information, communication et reporting — Communication aux parties prenantes

Forces : fort accent sur la gouvernance et le niveau du conseil d'administration. Largement adopte dans les services financiers et les entreprises cotees. S'aligne sur les exigences de conformite SOX.

Limites : large et axe sur la gouvernance — necessite un complement pour des domaines specifiques comme la cybersecurite. Peut etre abstrait pour les equipes operationnelles.

ISO 27005 : Gestion des risques lies a la securite de l'information

Ideal pour : les organisations mettant en oeuvre ou maintenant ISO 27001.

ISO 27005 fournit des orientations detaillees pour la gestion des risques lies a la securite de l'information, concue pour completer ISO 27001. Elle couvre :

Etablissement du contexte (portee, criteres, organisation)
Identification des risques (actifs, menaces, vulnerabilites, impacts)
Analyse des risques (qualitative, quantitative ou semi-quantitative)
Evaluation des risques (comparaison avec les criteres d'acceptation)
Traitement des risques (selection des controles et acceptation du risque residuel)
Surveillance et revue des risques

Forces : soutient directement les exigences de la clause 6.1 d'ISO 27001. Pratique et specifique a la securite de l'information. Methodologie bien etablie.

Limites : limite a la securite de l'information — ne couvre pas les risques d'entreprise. Necessite le contexte ISO 27001 pour etre le plus utile.

FAIR (Factor Analysis of Information Risk)

Ideal pour : les organisations qui doivent quantifier le cyber-risque en termes financiers pour le reporting au conseil d'administration ou les decisions d'investissement.

FAIR est un cadre d'analyse quantitative des risques qui exprime le risque comme une perte financiere probable :

Frequence des evenements de perte — A quelle frequence un evenement de menace entraine une perte
Ampleur de la perte — Combien coute chaque evenement de perte

FAIR decompose ces elements en facteurs mesurables : frequence des evenements de menace, vulnerabilite, perte primaire/secondaire et couts de reponse.

Forces : produit des metriques financieres que les conseils d'administration et les dirigeants comprennent. Permet l'analyse cout-benefice des investissements en securite. Complete les cadres qualitatifs.

Limites : necessite des donnees fiables pour etre precis. Plus complexe a mettre en oeuvre que les approches qualitatives. Fonctionne mieux en complement d'un cadre structurel, pas de maniere autonome.

COBIT 2019 : gouvernance et gestion des technologies de l'information

Ideal pour : les organisations qui ont besoin d'une gouvernance informatique structuree — notamment les entites financieres soumises a DORA, ou toute organisation ou l'alignement de la strategie IT avec les objectifs metier est une priorite du conseil d'administration.

COBIT 2019, publie par l'ISACA, est le cadre de reference pour la gouvernance et la gestion des technologies de l'information. Contrairement aux cadres precedents qui abordent la gestion des risques de maniere generale, COBIT porte specifiquement sur la creation et la protection de valeur par l'IT. Il comprend 40 objectifs de gouvernance et de gestion structures en cinq domaines [1] :

EDM — Evaluer, Diriger, Surveiller : L'organe de gouvernance (conseil d'administration) evalue les options strategiques, dirige leur mise en oeuvre et surveille la performance. Inclut l'optimisation du risque (EDM03).
APO — Aligner, Planifier, Organiser : Structure la strategie IT, la gestion des risques et l'allocation des ressources. APO12 porte directement sur la gestion des risques d'entreprise.
BAI — Construire, Acquerir, Implementer : Encadre l'acquisition, le developpement et l'integration des solutions IT dans les processus metier.
DSS — Livrer, Servir, Supporter : Traite la livraison operationnelle, la gestion des incidents et la continuite des activites.
MEA — Surveiller, Evaluer, Apprécier : Couvre le suivi des performances et l'evaluation de la conformite reglementaire.

COBIT et DORA : DORA exige des entites financieres des cadres de gestion des risques TIC avec une responsabilite au niveau de la direction, des structures de gouvernance documentees et une surveillance continue. Les domaines EDM et APO de COBIT 2019 repondent directement a ces exigences. L'ISACA a publie en 2025 des lignes directrices specifiques sur l'utilisation de COBIT pour les exigences NIS2 et DORA [2].

COBIT et NIS2 : L'objectif de gestion des risques APO12 de COBIT soutient l'exigence de l'article 21(2)(a) de NIS2 relative aux politiques d'analyse des risques. Les organisations utilisant COBIT peuvent mettre en correspondance leurs objectifs de gouvernance existants avec les dix mesures de gestion des risques de NIS2.

Forces : portee complete de la gouvernance IT. Alignement clair sur les exigences reglementaires dont DORA et NIS2. Fort accent sur la gouvernance au niveau du conseil. 40 objectifs bien documentes avec des resultats mesurables.

Limites : complexe a implementer completement — les 40 objectifs ne sont pas tous pertinents pour chaque organisation. Axe sur l'IT, necessite un complement par ISO 31000 pour les risques non-IT. L'acces aux lignes directrices completes requiert une adhesion ISACA ou un achat.

Comparaison des cadres

Cadre	Portee	Approche	Ideal pour	Alignement reglementaire
ISO 31000	Tous types de risques	Base sur des principes	Programme de risque a l'echelle de l'entreprise	General (supporte toute reglementation)
NIST RMF	Systemes d'information	Prescriptif, etape par etape	Gestion des risques cyber	NIST CSF, FedRAMP, CMMC
COSO ERM	Risque d'entreprise	Axe sur la gouvernance	Supervision des risques au niveau du conseil	SOX, gouvernance d'entreprise
COBIT 2019	Gouvernance et gestion IT	Base sur des objectifs, 40 objectifs	Conformite DORA, gouvernance IT	DORA, NIS2, SOX (controles IT)
ISO 27005	Securite de l'information	Axe sur la methodologie	Implementation ISO 27001	ISO 27001, NIS2, DORA
FAIR	Cyber-risque (quantitatif)	Base sur les donnees, financier	Quantification des risques et ROI	Reporting au conseil, decisions d'investissement

Comment les cadres de gestion des risques se connectent aux reglementations

NIS2

L'article 21(2)(a) de NIS2 exige explicitement des « politiques d'analyse des risques et de securite des systemes d'information ». Cela signifie que les organisations concernees doivent disposer d'un processus documente de gestion des risques. ISO 27005 ou NIST RMF soutient directement cette exigence.

Au-dela de l'analyse des risques, les dix mesures de gestion des risques de NIS2 (article 21) definissent les domaines de controle que votre cadre doit couvrir. L'objectif APO12 de COBIT 2019 fournit un processus structure pour implementer ces mesures et constituer les preuves d'audit attendues par les autorites de supervision NIS2.

DORA

Les articles 5 a 16 de DORA imposent un cadre complet de gestion des risques TIC pour les entites financieres. DORA est plus prescriptif que NIS2 — il specifie les exigences de gouvernance (responsabilite de l'organe de direction, article 5), les processus d'identification des risques (article 8) et les obligations de surveillance continue (article 10). Des exigences de test distinctes apparaissent plus loin dans DORA, notamment aux articles 24–25.

Les entites financieres utilisent generalement COBIT 2019 pour la couche de gouvernance et de gestion (domaines EDM et APO), combine avec ISO 27005 ou NIST RMF pour le processus d'evaluation des risques TIC. Les lignes directrices ISACA 2025 sur DORA constituent un bon point de repere pour cartographier les exigences de gouvernance des articles 5 et 6, mais COBIT doit etre presente comme une option adaptee plutot que comme un modele formellement impose [2].

ISO 27001

La clause 6.1 d'ISO 27001 exige des organisations qu'elles « determinent les risques et opportunites » et planifient des actions pour y repondre. Elle ne prescrit pas de methodologie specifique d'evaluation des risques — c'est la ou ISO 27005 comble le vide.

SOC 2

Les criteres de services de confiance de SOC 2 exigent une evaluation des risques dans le cadre des criteres communs. Les organisations utilisent souvent les concepts COSO ERM pour la couche de gouvernance et NIST ou ISO 27005 pour l'evaluation technique des risques.

Comment choisir le bon cadre

Etape 1 : Identifiez vos moteurs reglementaires

Si vous devez vous conformer a...	Envisagez...
NIS2	ISO 27005 + ISO 31000
DORA	COBIT 2019 + ISO 27005
ISO 27001	ISO 27005
SOX	COSO ERM
NIST CSF	NIST RMF
Plusieurs reglementations europeennes	ISO 31000 (cadre global) + COBIT 2019 + ISO 27005

Etape 2 : Determinez la portee de vos risques

Securite de l'information uniquement → ISO 27005 ou NIST RMF
Gouvernance et gestion IT → COBIT 2019 (notamment pour les entites soumises a DORA)
A l'echelle de l'entreprise → ISO 31000 ou COSO ERM
Quantification financiere → Ajoutez FAIR comme approche complementaire

Etape 3 : Considerez votre maturite

Debutant : ISO 27005 fournit l'approche la plus structuree et pratique pour ISO 27001 et NIS2
Intermediaire : ISO 31000 comme cadre global avec COBIT pour la gouvernance IT et ISO 27005 pour la securite de l'information
Avance : Approche multi-cadres avec COBIT 2019 au niveau gouvernance et FAIR pour l'analyse quantitative

Erreurs courantes

Traiter l'evaluation des risques comme un exercice de case a cocher. Les evaluations annuelles des risques qui restent dans un tiroir ne reduisent pas les risques. Les cadres efficaces integrent la gestion des risques dans les operations quotidiennes et la prise de decision.
Utiliser un seul cadre pour tout. Le risque d'entreprise, le risque de securite de l'information et le risque financier ont des dynamiques differentes. Une approche en couches (cadre global + cadres specifiques au domaine) est plus efficace.
Confondre cadres et controles. Un cadre vous indique comment gerer les risques. Les controles (comme le MFA, le chiffrement ou les politiques de sauvegarde) sont ce que vous implementez pour traiter des risques specifiques. Ne sautez pas le cadre pour passer directement aux controles.
Ne pas relier la gestion des risques aux preuves de conformite. Votre registre des risques, vos plans de traitement et vos decisions de risque residuel sont des preuves de conformite. S'ils ne sont pas documentes et accessibles, les regulateurs et les auditeurs ne peuvent pas verifier votre approche.

Du cadre aux preuves operationnelles

L'ecart entre disposer d'un cadre de gestion des risques et le demontrer aux parties prenantes — clients, auditeurs, regulateurs — est l'endroit ou de nombreuses organisations echouent. Un cadre sur papier doit etre soutenu par :

Un registre des risques vivant avec des evaluations actuelles
Des decisions de traitement documentees et leur justification
Des preuves de revue reguliere et de supervision au niveau du conseil
La preuve que l'appetence au risque est alignee sur la pratique reelle

C'est la qu'un Trust Center devient la couche de preuves orientee vers l'exterieur — publiant votre posture de securite, votre statut de conformite et votre approche de gestion des risques pour les parties prenantes qui ont besoin de les voir.

Comment Orbiq soutient la gestion des risques

Trust Center : Publiez votre posture de securite, vos certifications et votre statut de conformite sous forme de dossier de preuves pret pour les acheteurs
Surveillance continue : Suivez l'efficacite de vos controles et detectez les changements qui affectent votre paysage de risques
Gestion des preuves : Collecte automatisee des preuves de conformite pour les audits et les inspections reglementaires
Surveillance des risques fournisseurs : Evaluez et surveillez les risques tiers dans le cadre de votre gestion des risques de la chaine d'approvisionnement

Pour aller plus loin

Conformite NIS2 : le guide complet — Exigences de gestion des risques sous NIS2
Guide de conformite DORA — Gestion des risques TIC pour les services financiers
Qu'est-ce qu'un Trust Center ? — Couche de preuves externe pour votre programme de risques
Logiciel de questionnaire de securite — Comment les cadres de risque structurent les evaluations fournisseurs modernes

Sources et references

ISACA - COBIT 2019 Framework: Introduction and Methodology
ISACA - Resilience and Security in Critical Sectors: Navigating NIS2 and DORA Requirements
Parlement europeen, « Directive (UE) 2022/2555 (NIS2) », article 21, eur-lex.europa.eu
Parlement europeen, « Reglement (UE) 2022/2554 (DORA) », articles 5–16, eur-lex.europa.eu
ISO, « ISO 31000:2018 Management du risque — Lignes directrices », iso.org
ISO, « ISO/IEC 27005:2022 Gestion des risques lies a la securite de l'information », iso.org

Ce guide est maintenu par l'equipe Orbiq. Derniere mise a jour : avril 2026.