Cadres de gestion des risques : guide complet pour 2026
Comparez ISO 31000, NIST RMF, COSO ERM, COBIT 2019, ISO 27005 et FAIR — les principaux cadres de gestion des risques pour NIS2, DORA et ISO 27001 en 2026.
Cadres de gestion des risques : guide complet pour 2026
Un cadre de gestion des risques offre a votre organisation une methode structuree pour identifier, évaluer et traiter les risques — au lieu de prendre des décisions ad hoc chaque fois qu'un probleme survient. Que vous mettiez en oeuvre ISO 27001, que vous vous prepariez a NIS2 ou que vous construisiez un programme de risque d'entreprise, vous avez besoin d'un cadre adapte a votre contexte réglementaire et a la maturité de votre organisation.
Ce guide couvre les principaux cadres, leur comparaison et comment choisir le bon.
Vous voulez le guide complet ? Lisez notre article pilier détaillé Cadres de gestion des risques : le guide complet 2026 (7 comparés) — avec la ventilation complète ISO 31000 / NIST RMF / COSO ERM / COBIT / FAIR / ISO 27005 / ENISA, un guide de décision par secteur et taille, et la correspondance de l'article 21 de NIS2 et de l'article 6 de DORA avec ISO 27005.
Qu'est-ce qu'un cadre de gestion des risques ?
Un cadre de gestion des risques est un ensemble de principes, de processus et de pratiques pour gerer les risques de manière systematique. Il definit :
- Comment identifier les risques — ce qui peut mal tourner et ou
- Comment évaluer les risques — probabilite, impact et priorite
- Comment traiter les risques — accepter, attenuer, transferer ou eviter
- Comment surveiller les risques — suivi et revue continus
- Comment rendre compte des risques — communication aux parties prenantes et aux regulateurs
Sans cadre, la gestion des risques devient incoherente — differentes équipes evaluent les risques differemment, des lacunes documentaires apparaissent et les preuves réglementaires sont difficiles a produire.
Les principaux cadres de gestion des risques
ISO 31000 : Management du risque — Principes et lignes directrices
Ideal pour : les organisations qui ont besoin d'une approche universelle de gestion des risques applicable a tous les types de risques.
ISO 31000 est la norme internationale pour la gestion des risques, applicable a toute organisation quelle que soit sa taille, son secteur ou son domaine. Elle fournit des principes et un processus generique — pas de contrôles prescriptifs.
Elements cles :
- Integration dans la gouvernance et la prise de décision
- Processus d'évaluation des risques : identification → analyse → évaluation
- Traitement des risques avec surveillance et revue continues
- Communication et consultation tout au long du processus
Forces : flexible, independant du secteur, largement reconnu. Fonctionne comme un cadre global.
Limites : haut niveau — ne dit pas quels contrôles specifiques implementer. Doit etre complete pour des domaines specifiques.
NIST Risk Management Framework (RMF)
Ideal pour : les organisations gerant des systemes d'information, en particulier celles alignees sur les normes de cybersecurite americaines ou le NIST CSF.
Le NIST RMF (SP 800-37) fournit un processus structure en sept etapes pour integrer la sécurité et la gestion des risques dans les systemes d'information :
- Preparer — Etablir le contexte et les priorites
- Categoriser — Classifier les systemes d'information par niveau d'impact
- Selectionner — Choisir les contrôles de sécurité dans le NIST SP 800-53
- Implementer — Deployer les contrôles
- Evaluer — Evaluer l'efficacite des contrôles
- Autoriser — Decision basee sur le risque pour la mise en service
- Surveiller — Évaluation et réponse continues
Forces : prescriptif, bien documente, s'integre au NIST CSF et au catalogue de contrôles SP 800-53. Gratuit et accessible publiquement.
Limites : centre sur les Etats-Unis. Peut etre complexe pour les petites organisations. Principalement axe sur les systemes d'information plutot que sur le risque à l'échelle de l'entreprise.
COSO ERM (Enterprise Risk Management)
Ideal pour : les organisations axees sur la gouvernance d'entreprise, le reporting financier et la supervision des risques au niveau du conseil d'administration.
COSO ERM est le cadre dominant pour la gestion des risques d'entreprise dans les contextes de gouvernance d'entreprise. Mis à jour en 2017, il organise la gestion des risques autour de cinq composantes :
- Gouvernance et culture — Supervision du conseil et culture du risque
- Strategie et definition des objectifs — Appetence au risque et alignement de la strategie commerciale
- Performance — Identification, évaluation et réponse aux risques
- Revue et revision — Surveillance et amelioration
- Information, communication et reporting — Communication aux parties prenantes
Forces : fort accent sur la gouvernance et le niveau du conseil d'administration. Largement adopte dans les services financiers et les entreprises cotees. S'aligne sur les exigences de conformité SOX.
Limites : large et axe sur la gouvernance — nécessite un complement pour des domaines specifiques comme la cybersecurite. Peut etre abstrait pour les équipes opérationnelles.
ISO 27005 : Gestion des risques lies à la sécurité de l'information
Ideal pour : les organisations mettant en oeuvre ou maintenant ISO 27001.
ISO 27005 fournit des orientations detaillees pour la gestion des risques lies à la sécurité de l'information, concue pour completer ISO 27001. Elle couvre :
- Etablissement du contexte (portee, critères, organisation)
- Identification des risques (actifs, menaces, vulnerabilites, impacts)
- Analyse des risques (qualitative, quantitative ou semi-quantitative)
- Évaluation des risques (comparaison avec les critères d'acceptation)
- Traitement des risques (selection des contrôles et acceptation du risque residuel)
- Surveillance et revue des risques
Forces : soutient directement les exigences de la clause 6.1 d'ISO 27001. Pratique et specifique à la sécurité de l'information. Methodologie bien etablie.
Limites : limite à la sécurité de l'information — ne couvre pas les risques d'entreprise. Necessite le contexte ISO 27001 pour etre le plus utile.
FAIR (Factor Analysis of Information Risk)
Ideal pour : les organisations qui doivent quantifier le cyber-risque en termes financiers pour le reporting au conseil d'administration ou les décisions d'investissement.
FAIR est un cadre d'analyse quantitative des risques qui exprime le risque comme une perte financiere probable :
- Frequence des événements de perte — A quelle frequence un événement de menace entraine une perte
- Ampleur de la perte — Combien coute chaque événement de perte
FAIR decompose ces elements en facteurs mesurables : frequence des événements de menace, vulnerabilite, perte primaire/secondaire et couts de réponse.
Forces : produit des metriques financieres que les conseils d'administration et les dirigeants comprennent. Permet l'analyse cout-benefice des investissements en sécurité. Complete les cadres qualitatifs.
Limites : nécessite des données fiables pour etre precis. Plus complexe a mettre en oeuvre que les approches qualitatives. Fonctionne mieux en complement d'un cadre structurel, pas de manière autonome.
COBIT 2019 : gouvernance et gestion des technologies de l'information
Ideal pour : les organisations qui ont besoin d'une gouvernance informatique structuree — notamment les entites financieres soumises a DORA, ou toute organisation ou l'alignement de la strategie IT avec les objectifs metier est une priorite du conseil d'administration.
COBIT 2019, publie par l'ISACA, est le cadre de référence pour la gouvernance et la gestion des technologies de l'information. Contrairement aux cadres precedents qui abordent la gestion des risques de manière generale, COBIT porte specifiquement sur la creation et la protection de valeur par l'IT. Il comprend 40 objectifs de gouvernance et de gestion structures en cinq domaines [1] :
- EDM — Evaluer, Diriger, Surveiller : L'organe de gouvernance (conseil d'administration) evalue les options strategiques, dirige leur mise en oeuvre et surveille la performance. Inclut l'optimisation du risque (EDM03).
- APO — Aligner, Planifier, Organiser : Structure la strategie IT, la gestion des risques et l'allocation des ressources. APO12 porte directement sur la gestion des risques d'entreprise.
- BAI — Construire, Acquerir, Implementer : Encadre l'acquisition, le developpement et l'integration des solutions IT dans les processus metier.
- DSS — Livrer, Servir, Supporter : Traite la livraison opérationnelle, la gestion des incidents et la continuite des activités.
- MEA — Surveiller, Evaluer, Apprécier : Couvre le suivi des performances et l'évaluation de la conformité réglementaire.
COBIT et DORA : DORA exige des entites financieres des cadres de gestion des risques TIC avec une responsabilite au niveau de la direction, des structures de gouvernance documentees et une surveillance continue. Les domaines EDM et APO de COBIT 2019 repondent directement a ces exigences. L'ISACA a publie en 2025 des lignes directrices specifiques sur l'utilisation de COBIT pour les exigences NIS2 et DORA [2].
COBIT et NIS2 : L'objectif de gestion des risques APO12 de COBIT soutient l'exigence de l'article 21(2)(a) de NIS2 relative aux politiques d'analyse des risques. Les organisations utilisant COBIT peuvent mettre en correspondance leurs objectifs de gouvernance existants avec les dix mesures de gestion des risques de NIS2.
Forces : portee complete de la gouvernance IT. Alignement clair sur les exigences réglementaires dont DORA et NIS2. Fort accent sur la gouvernance au niveau du conseil. 40 objectifs bien documentes avec des resultats mesurables.
Limites : complexe a implementer completement — les 40 objectifs ne sont pas tous pertinents pour chaque organisation. Axe sur l'IT, nécessite un complement par ISO 31000 pour les risques non-IT. L'accès aux lignes directrices completes requiert une adhesion ISACA ou un achat.
Comparaison des cadres
| Cadre | Portee | Approche | Ideal pour | Alignement réglementaire |
|---|---|---|---|---|
| ISO 31000 | Tous types de risques | Base sur des principes | Programme de risque à l'échelle de l'entreprise | General (supporte toute reglementation) |
| NIST RMF | Systemes d'information | Prescriptif, etape par etape | Gestion des risques cyber | NIST CSF, FedRAMP, CMMC |
| COSO ERM | Risque d'entreprise | Axe sur la gouvernance | Supervision des risques au niveau du conseil | SOX, gouvernance d'entreprise |
| COBIT 2019 | Gouvernance et gestion IT | Base sur des objectifs, 40 objectifs | Conformité DORA, gouvernance IT | DORA, NIS2, SOX (contrôles IT) |
| ISO 27005 | Sécurité de l'information | Axe sur la methodologie | Implementation ISO 27001 | ISO 27001, NIS2, DORA |
| FAIR | Cyber-risque (quantitatif) | Base sur les données, financier | Quantification des risques et ROI | Reporting au conseil, décisions d'investissement |
Comment les cadres de gestion des risques se connectent aux reglementations
NIS2
L'article 21(2)(a) de NIS2 exige explicitement des « politiques d'analyse des risques et de sécurité des systemes d'information ». Cela signifie que les organisations concernees doivent disposer d'un processus documente de gestion des risques. ISO 27005 ou NIST RMF soutient directement cette exigence.
Au-dela de l'analyse des risques, les dix mesures de gestion des risques de NIS2 (article 21) definissent les domaines de contrôle que votre cadre doit couvrir. L'objectif APO12 de COBIT 2019 fournit un processus structure pour implementer ces mesures et constituer les preuves d'audit attendues par les autorites de supervision NIS2.
DORA
Les articles 5 a 16 de DORA imposent un cadre complet de gestion des risques TIC pour les entites financieres. DORA est plus prescriptif que NIS2 — il specifie les exigences de gouvernance (responsabilite de l'organe de direction, article 5), les processus d'identification des risques (article 8) et les obligations de surveillance continue (article 10). Des exigences de test distinctes apparaissent plus loin dans DORA, notamment aux articles 24–25.
Les entites financieres utilisent generalement COBIT 2019 pour la couche de gouvernance et de gestion (domaines EDM et APO), combine avec ISO 27005 ou NIST RMF pour le processus d'évaluation des risques TIC. Les lignes directrices ISACA 2025 sur DORA constituent un bon point de repere pour cartographier les exigences de gouvernance des articles 5 et 6, mais COBIT doit etre presente comme une option adaptee plutot que comme un modèle formellement impose [2].
ISO 27001
La clause 6.1 d'ISO 27001 exige des organisations qu'elles « determinent les risques et opportunites » et planifient des actions pour y repondre. Elle ne prescrit pas de methodologie specifique d'évaluation des risques — c'est la ou ISO 27005 comble le vide.
SOC 2
Les critères de services de confiance de SOC 2 exigent une évaluation des risques dans le cadre des critères communs. Les organisations utilisent souvent les concepts COSO ERM pour la couche de gouvernance et NIST ou ISO 27005 pour l'évaluation technique des risques.
Comment choisir le bon cadre
Etape 1 : Identifiez vos moteurs réglementaires
| Si vous devez vous conformer a... | Envisagez... |
|---|---|
| NIS2 | ISO 27005 + ISO 31000 |
| DORA | COBIT 2019 + ISO 27005 |
| ISO 27001 | ISO 27005 |
| SOX | COSO ERM |
| NIST CSF | NIST RMF |
| Plusieurs reglementations europeennes | ISO 31000 (cadre global) + COBIT 2019 + ISO 27005 |
Etape 2 : Determinez la portee de vos risques
- Sécurité de l'information uniquement → ISO 27005 ou NIST RMF
- Gouvernance et gestion IT → COBIT 2019 (notamment pour les entites soumises a DORA)
- A l'echelle de l'entreprise → ISO 31000 ou COSO ERM
- Quantification financiere → Ajoutez FAIR comme approche complementaire
Etape 3 : Considerez votre maturité
- Debutant : ISO 27005 fournit l'approche la plus structuree et pratique pour ISO 27001 et NIS2
- Intermediaire : ISO 31000 comme cadre global avec COBIT pour la gouvernance IT et ISO 27005 pour la sécurité de l'information
- Avance : Approche multi-cadres avec COBIT 2019 au niveau gouvernance et FAIR pour l'analyse quantitative
Erreurs courantes
-
Traiter l'évaluation des risques comme un exercice de case a cocher. Les évaluations annuelles des risques qui restent dans un tiroir ne reduisent pas les risques. Les cadres efficaces integrent la gestion des risques dans les operations quotidiennes et la prise de décision.
-
Utiliser un seul cadre pour tout. Le risque d'entreprise, le risque de sécurité de l'information et le risque financier ont des dynamiques differentes. Une approche en couches (cadre global + cadres specifiques au domaine) est plus efficace.
-
Confondre cadres et contrôles. Un cadre vous indique comment gerer les risques. Les contrôles (comme le MFA, le chiffrement ou les politiques de sauvegarde) sont ce que vous implementez pour traiter des risques specifiques. Ne sautez pas le cadre pour passer directement aux contrôles.
-
Ne pas relier la gestion des risques aux preuves de conformité. Votre registre des risques, vos plans de traitement et vos décisions de risque residuel sont des preuves de conformité. S'ils ne sont pas documentes et accessibles, les regulateurs et les auditeurs ne peuvent pas verifier votre approche.
Du cadre aux preuves opérationnelles
L'ecart entre disposer d'un cadre de gestion des risques et le demontrer aux parties prenantes — clients, auditeurs, regulateurs — est l'endroit ou de nombreuses organisations echouent. Un cadre sur papier doit etre soutenu par :
- Un registre des risques vivant avec des évaluations actuelles
- Des décisions de traitement documentees et leur justification
- Des preuves de revue reguliere et de supervision au niveau du conseil
- La preuve que l'appetence au risque est alignee sur la pratique reelle
C'est la qu'un Trust Center devient la couche de preuves orientee vers l'exterieur — publiant votre posture de sécurité, votre statut de conformité et votre approche de gestion des risques pour les parties prenantes qui ont besoin de les voir.
Comment Orbiq soutient la gestion des risques
- Trust Center : Publiez votre posture de sécurité, vos certifications et votre statut de conformité sous forme de dossier de preuves prêt pour les acheteurs
- Surveillance continue : Suivez l'efficacite de vos contrôles et detectez les changements qui affectent votre paysage de risques
- Gestion des preuves : Collecte automatisee des preuves de conformité pour les audits et les inspections réglementaires
- Surveillance des risques fournisseurs : Evaluez et surveillez les risques tiers dans le cadre de votre gestion des risques de la chaîne d'approvisionnement
Pour aller plus loin
- Conformité NIS2 : le guide complet — Exigences de gestion des risques sous NIS2
- Guide de conformité DORA — Gestion des risques TIC pour les services financiers
- Qu'est-ce qu'un Trust Center ? — Couche de preuves externe pour votre programme de risques
- Logiciel de questionnaire de sécurité — Comment les cadres de risque structurent les évaluations fournisseurs modernes
Sources et références
- ISACA - COBIT 2019 Framework: Introduction and Methodology
- ISACA - Resilience and Security in Critical Sectors: Navigating NIS2 and DORA Requirements
- Parlement europeen, « Directive (UE) 2022/2555 (NIS2) », article 21, eur-lex.europa.eu
- Parlement europeen, « Reglement (UE) 2022/2554 (DORA) », articles 5–16, eur-lex.europa.eu
- ISO, « ISO 31000:2018 Management du risque — Lignes directrices », iso.org
- ISO, « ISO/IEC 27005:2022 Gestion des risques lies à la sécurité de l'information », iso.org
Ce guide est maintenu par l'équipe Orbiq. Derniere mise à jour : avril 2026.