01
Qualifier le contexte
Actifs critiques, événements redoutés, dépendances, exposition et contraintes d'exploitation.
Risques
Analyse de risques EBIOS RM et ISO 27005
Une analyse de risques doit aider à choisir quoi traiter avant quoi. Le travail relie scénarios, actifs, impacts métier, mesures existantes et décisions de traitement.
DSI / RSSIDirection métierResponsables risquesOps / DevSecOps
Méthode
Une mission courte, cadrée et prouvable
02
Construire les scénarios
Sources de risque, chemins d'attaque, vraisemblance, impacts et mesures existantes.
03
Prioriser les traitements
Backlog d'actions, acceptation de risque, preuves attendues et indicateurs de suivi.
Livrables
Ce qui reste exploitable après la restitution
scénarios de risque
registre risques
KPI/KRI
plan de traitement
Adapté si
- Les vulnérabilités et demandes s'empilent.
- Les arbitrages budget manquent de base.
- Les équipes ont besoin d'une priorisation défendable.
Pas adapté si
- Vous voulez un scoring automatique sans atelier.
- Les métiers ne sont pas disponibles.
- Le besoin est un pentest isolé.
Ressources liées
Préparer la discussion avec des guides courts
Audit cyber
Audit cyber PME : comment préparer un diagnostic utile et actionnable
Préparer un audit cyber PME : périmètre, documents, preuves, accès, risques prioritaires et livrables attendus.
Lire le guideVulnérabilités
Prioriser les vulnérabilités exploitées : arrêter de piloter uniquement au CVSS
Méthode terrain pour prioriser les vulnérabilités : CISA KEV, exposition Internet, criticité métier, exploitabilité réelle et preuves de remédiation.
Lire le guideCyberRange / KYPO
CyberRange KYPO : scénariser un exercice cyber réaliste et mesurable
Synthèse publique enrichie d'un mémoire CNAM CyberRange : choix KYPO, architecture OpenStack/KVM, KYPO Lite, scénarios, recette, logs et preuves exploitables.
Lire le guideAudit découverte