Identifier ne sert à rien si on ne traite pas.
Voici comment décider.
Le plan de traitement transforme votre liste de risques en décisions opérationnelles datées. Pour chaque risque : réduire, accepter, transférer, ou éviter. Ce chapitre vous donne les 4 stratégies, la matrice de décision, et le format de plan attendu en audit COFRAC.
« J'ai mes 18 risques classés. Pour chacun je dois prendre une décision. Le DG me demande : "On peut pas tout réduire ? C'est plus prudent." Je lui montre le coût : pour réduire les 18 risques à zéro, il faut 280 k€ et 18 mois. On n'a ni l'argent ni le temps. Il faut donc arbitrer. Le plan de traitement, c'est cet arbitrage formalisé. »
Ce chapitre vous donne le langage exact pour défendre vos arbitrages devant l'auditeur.
1. Les 4 stratégies de traitement (à connaître par cœur)
ISO 27001 (clause 6.1.3) reconnaît 4 stratégies. Tomberont à l'examen LA/IA. L'auditeur les utilise constamment — apprenez-les avec leurs synonymes anglais.
Réduire
Reduce / Mitigate
Le risque est trop élevé pour être accepté. Vous mettez en place une mesure pour faire baisser la vraisemblance ET/OU la gravité.
R-002 (compromission compte admin AWS, score 20). Décision : déployer MFA TOTP imposée. Nouveau score : 8 (vraisemblance descend à 2).
Accepter
Accept / Retain
Le risque est suffisamment faible pour être supporté tel quel. Vous le notez, le DG le valide formellement, vous passez à autre chose.
R-005 (vol matériel site Paris, score 4). Décision : accepter — coût d'un nouveau PC = 1 200 €, fréquence quasi nulle. Pas de mesure spécifique.
Transférer
Transfer / Share
Vous faites porter le risque (ou ses conséquences financières) par un tiers. Typiquement : assurance cyber, outsourcing, contrat avec clause de responsabilité.
R-001 (ransomware, score 20 → 12 après EDR). Le risque résiduel de 12 est transféré à l'assurance cyber AXA (couverture 500 k€, prime 14 k€/an).
Éviter
Avoid
Le risque est trop critique et impossible à réduire à un niveau acceptable. Vous renoncez à l'activité qui génère le risque.
R-009 (cyberscan d'un client OIV avec données classifiées). Décision : refuser le contrat — la mise en conformité serait disproportionnée. Coût : perte de 80 k€ de CA annuel.
2. Comment choisir : la matrice de décision en 4 questions
Pour chaque risque (avec son score V × G), posez les 4 questions dans cet ordre. La réponse vous dit quelle stratégie appliquer.
Le risque est-il sous le seuil d'acceptation défini par la direction (ex: score < 6) ?
Existe-t-il un contrôle (Annexe A ISO 27002) ou une mesure technique qui peut faire baisser le score ?
Le risque résiduel (après les mesures évidentes) reste-t-il intolérable ?
Pouvons-nous arrêter l'activité génératrice du risque ?
3. Le plan de traitement : modèle exact à copier-coller
Voici le format minimal que les auditeurs COFRAC attendent. Excel suffit. 1 ligne par risque identifié au chapitre 5. Doit être daté et signé.
| ID | Score | Stratégie | Action / Mesure | Réf. Annexe A | Owner | Échéance | Score résid. | Statut |
|---|---|---|---|---|---|---|---|---|
| R-001 | 20 | Réduire+Transférer | EDR + assurance cyber 500 k€ | A.8.7 | RSSI | 2026-03-15 | 8 | Implémenté |
| R-002 | 20 | Réduire | MFA TOTP imposée tous comptes admin | A.8.5 | DSI | 2026-02-28 | 8 | Implémenté |
| R-003 | 8 | Surveiller | Audit accès Github trimestriel | A.5.16 | CTO | 2026-Q1 | 8 | Récurrent |
| R-004 | 5 | Surveiller | Détection incendie + extincteurs | A.7.5 | OOff. RH | 2026-04-30 | 5 | Existant |
| R-005 | 4 | Accepter | — | — | DG | — | 4 | Accepté formellement |
| R-006 | 15 | Réduire urgent | Tests restauration trimestriels | A.8.13 | DSI | 2026-02-15 | 6 | Implémenté |
| R-007 | 12 | Réduire | Plateforme phishing simulée + module e-learning | A.6.3 | RH | 2026-03-31 | 6 | En cours |
| R-008 | 12 | Réduire | MFA Conditional Access M365 | A.8.5 | DSI | 2026-02-28 | 6 | Implémenté |
| R-009 | 18 | Éviter | Refuser contrats clients OIV jusqu'à certif renforcée | — | DG | 2026-01-15 | 0 | Décision actée CODIR |
4. Le risque résiduel : ce qui reste après traitement
Le risque résiduel est le risque qui subsiste APRÈS application de votre mesure. Aucune mesure n'élimine 100 % d'un risque. Le risque résiduel doit être évalué, documenté, et accepté formellement par la direction.
Exemple : R-002 avant et après
Compromission compte admin AWS sans MFA → accès complet à la production
MFA TOTP imposée + accès JIT via 1Password + alerte anomalie Datadog
5. L'acceptation formelle : qui signe quoi (et pourquoi)
Tout risque qui n'est pas réduit à zéro doit être accepté formellementpar la direction. C'est exigé par la clause 6.1.3.f. Voici qui signe quoi.
6. Les 5 erreurs qui font fail votre plan de traitement
7. Les 4 vérités tacites du plan de traitement
Récapitulatif du chapitre 6
- 4 stratégies (R-A-T-A) : Réduire / Accepter / Transférer / Éviter.
- Seuil d'acceptation défini par la direction AVANT traitement.
- Risque résiduel calculé pour chaque risque traité, jamais 0.
- Acceptation formelle DG obligatoire pour risques résiduels ≥ 10.
- Plan de traitement aligné avec la SOA : double référence.
- Revue annuelle obligatoire — un plan figé est un signal d'alerte.
Vérifiez votre compréhension
Vous avez votre plan de traitement. Le chapitre 7 vous montre comment il alimente la SOA.