Méthode d’évaluation
Gëstu Risk utilise la méthode standard Probabilité × Impact pour calculer le score de criticité de chaque risque.
Score = Probabilité × Impact
Score minimum : 1 × 1 = 1
Score maximum : 5 × 5 = 25
Échelle de probabilité
| Niveau | Libellé | Fréquence indicative |
|---|
| 1 | Très rare | Moins d’une fois tous les 5 ans |
| 2 | Rare | Une fois tous les 2 à 5 ans |
| 3 | Possible | Une fois par an |
| 4 | Probable | Plusieurs fois par an |
| 5 | Quasi certain | Régulièrement ou en cours |
Échelle d’impact
| Niveau | Libellé | Exemples |
|---|
| 1 | Négligeable | Gêne mineure, résolution en quelques heures |
| 2 | Mineur | Impact limité sur un service, résolution en 1-2 jours |
| 3 | Modéré | Interruption significative, impact financier ou réputationnel |
| 4 | Majeur | Impact sévère, données sensibles compromises, sanctions possibles |
| 5 | Catastrophique | Menace sur la continuité de l’activité, impact existentiel |
Risque inhérent vs risque résiduel
Gëstu Risk distingue deux niveaux d’évaluation :
Risque inhérent — Le risque brut, sans tenir compte des contrôles en place. C’est le niveau de risque si aucune mesure n’existait.
Risque résiduel — Le risque après application des mesures de contrôle existantes. C’est le niveau de risque réel auquel l’organisation est exposée.
Pour chaque risque, vous pouvez renseigner les deux évaluations. La matrice affiche par défaut le risque résiduel.
Un risque inhérent élevé avec un risque résiduel faible indique que vos contrôles sont efficaces. Documentez ces contrôles comme preuves de maîtrise.
Révision périodique
Les risques doivent être réévalués régulièrement. Gëstu Risk permet de définir une fréquence de révision par risque :
- Mensuelle
- Trimestrielle
- Semestrielle
- Annuelle
Les risques dont la date de révision est dépassée apparaissent en rouge dans la liste et génèrent une alerte pour le propriétaire du risque.
Documentation de l’évaluation
Chaque évaluation doit être justifiée. Le champ Justification permet de documenter :
- Les sources d’information utilisées (incidents passés, benchmarks sectoriels)
- Les hypothèses retenues
- Les facteurs aggravants ou atténuants
Cette documentation est incluse dans les rapports et constitue une preuve lors des audits externes.
