37 méthodologies de risque, une seule plateforme
Du FAIR quantitatif au TCFD climatique, en passant par EBIOS RM, MEHARI, HAZOP, OCTAVE, COSO ERM — ResiPlan couvre toutes les approches avec une UI unifiée et des croisements automatiques entre méthodes.
Qualitative(6)
ISO 31000
Cadre ERM — portée au-delà du cyber.
Idéal pour : Gestion des risques à l'échelle de l'entreprise
ISO 27005
Référentiel gestion des risques sécurité de l'information, aligné ISO 27001.
Idéal pour : Gestion des risques de sécurité de l'information
MEHARI
Méthode structurée basée sur l'audit, maintenue par le CLUSIF.
Idéal pour : Revues de sécurité pilotées par l'audit
OCTAVE Allegro
Méthodologie Carnegie Mellon centrée sur les actifs informationnels.
Idéal pour : Évaluation de sécurité centrée sur les actifs
NIST SP 800-30
Référentiel fédéral US pour l'évaluation des risques SI.
Idéal pour : Alignement fédéral US et NIST CSF
ISO 27036
Gestion des risques de sécurité dans les relations fournisseurs.
Idéal pour : Gouvernance de la sécurité fournisseurs et tiers
Quantitative(5)
FAIR + Monte Carlo
Quantification financière avec moteur Monte Carlo intégré.
Idéal pour : Risque cyber et sécurité de l'information
Monte Carlo
Moteur Monte Carlo générique pour tout scénario.
Idéal pour : Simuler l'incertitude sur de nombreux risques
VaR (Value at Risk)
VaR par méthodes historique, variance-covariance, Monte Carlo.
Idéal pour : Risque de marché sur portefeuilles financiers
Risk Quantification
Courbes de perte, valeur attendue, distributions de probabilité.
Idéal pour : Mettre un chiffre sur un registre existant
CVaR / Expected Shortfall
Conditional Value at Risk — perte attendue au-delà du seuil VaR.
Idéal pour : Risque extrême sur portefeuilles financiers
Scénario(10)
EBIOS Risk Manager
Référence française, 5 ateliers : cadrage → traitement.
Idéal pour : Organisations françaises et secteur public
Bow-Tie Analysis
Menace → événement redouté → conséquences avec barrières.
Idéal pour : Visualiser les barrières autour d'un événement critique
HAZOP
Étude de danger et d'opérabilité industrielle avec mots-guides.
Idéal pour : Sécurité des procédés industriels
FMEA / FMECA
AMDEC avec cotation RPN.
Idéal pour : Prioriser les modes de défaillance technique
Kinney Method
Score Kinney (P × E × C) — sécurité/industriel.
Idéal pour : Santé et sécurité au travail
Insider Threat
Analyse du risque malveillant/accidentel employé/prestataire.
Idéal pour : Malveillance ou négligence interne
Social Engineering
Phishing, pretexting, baiting — cartographie d'exposition.
Idéal pour : Exposition aux attaques par le facteur humain
Change Risk
Évaluation pré-changement IT, organisationnel, stratégique.
Idéal pour : Évaluer un changement avant de le faire
Dynamic Attack Graph
Simule les chemins d'attaque sur le graphe réel de dépendances entre actifs.
Idéal pour : Voir comment un attaquant se déplace latéralement
Fault Tree Analysis
Analyse de défaillance déductive descendante avec portes logiques booléennes.
Idéal pour : Remonter à la cause d'une défaillance critique
Sectorielle(7)
COSO ERM
Cadre ERM pour sociétés cotées US (SOX).
Idéal pour : ERM au niveau board et alignement SOX
Credit Risk
Modélisation PD / LGD / EAD crédit — banque.
Idéal pour : Exposition au risque de crédit bancaire
ALM (Asset-Liability)
Risque taux + liquidité au bilan.
Idéal pour : Risque de taux et de liquidité au bilan
Concentration
Indice Herfindahl-Hirschman pour concentration + stress.
Idéal pour : Repérer la dépendance à trop peu de contreparties
Systemic Risk
Défaillance en cascade entre entités interconnectées.
Idéal pour : Contagion entre entités interconnectées
Legal & Regulatory
Litiges, sanctions, évolutions réglementaires.
Idéal pour : Exposition aux litiges et changements réglementaires
Human Reliability (HRA)
Nucléaire / aviation / santé — quantifie l'erreur humaine.
Idéal pour : Quantifier l'erreur humaine en opérations critiques
Stratégique(16)
Third-Party Risk
Questionnaires fournisseur, due diligence, réévaluation.
Idéal pour : Chaîne d'approvisionnement et gestion des fournisseurs
Supply Chain Risk
Cartographie multi-tier, single-source, concentration géo.
Idéal pour : Exposition de la chaîne d'approvisionnement multi-tier
Vendor Questionnaires
Templates SIG, CAIQ, évaluations personnalisées.
Idéal pour : Collecter l'assurance fournisseur à grande échelle
TCFD Climate
Risques physiques + transition sous RCP et NGFS.
Idéal pour : Risque climatique physique et de transition
Geopolitical
Notations 200+ pays, sanctions, supply chain.
Idéal pour : Exposition pays, sanctions et conflits
PESTEL
Balayage Politique, Économique, Social, Techno, Environ., Légal.
Idéal pour : Balayer l'environnement macro
Risk-Based Approach
Approche par les risques LCB-FT pour conformité financière.
Idéal pour : Conformité LCB-FT
Threat Intelligence
Flux CVE, suivi menaces sectorielles, gestion IOC.
Idéal pour : Suivre les menaces en temps réel
KRI / KPI Dashboards
Indicateurs clés de risque avec seuils, alertes, tendances.
Idéal pour : Piloter le risque dans la durée
Risk Appetite
Définir l'appétit par catégorie + seuils de tolérance.
Idéal pour : Définir le risque que vous acceptez
Appetite Exposure
Surveillance exposition vs appétit temps réel.
Idéal pour : Surveiller l'exposition face à votre appétit
Reputational Risk
Surveillance d'exposition de marque avec analyse média, social, sentiment parties prenantes.
Idéal pour : Exposition de la marque et sentiment des parties prenantes
Strategic Risk
Risques niveau board sur modèle économique, position marché, pression concurrentielle.
Idéal pour : Risque board sur le modèle économique
Business Process Risk
Cartographie des risques par processus métier avec scoring d'efficacité des contrôles.
Idéal pour : Cartographie risques et contrôles par processus
Project Risk
Registre de risque projet avec owner, probabilité, impact, mitigation par jalon.
Idéal pour : Risque sur un projet ou programme
Model Risk (SR 11-7)
Risque de perte sur décisions basées sur sorties de modèles incorrects — réglementation bancaire.
Idéal pour : Valider les modèles qui fondent vos décisions
Pourquoi ça compte
Aucune méthodologie unique ne couvre tous vos cas. Les organisations matures combinent 4 à 8 méthodes selon le contexte.
Chacun utilise sa méthode préférée
L'équipe cyber adore FAIR, le BCM utilise HAZOP, le RSSI veut EBIOS. Fini les silos — toutes les méthodes dans un référentiel.
Croisement automatique
Un risque modélisé en FAIR apparaît automatiquement dans le registre ISO 27005. Les scénarios EBIOS alimentent les arbres Bow-Tie.
Reporting cohérent
Les tableaux de bord direction agrègent vues qualitatives + quantitatives. Traduit les montants FAIR € en heat map ISO pour régulateurs.
37 méthodologies face au marché
La plupart des suites GRC embarquent une poignée de méthodes. ResiPlan vous donne la boîte à outils complète — qualitative, quantitative, par scénarios, sectorielle et stratégique — qui alimente un registre unique.
Questions fréquentes
Faut-il utiliser les 37 ?
Non — choisissez les méthodes adaptées à votre secteur et votre maturité. Elles alimentent toutes le même registre, vous pouvez en ajouter au fil du temps.
Par laquelle commencer ?
ISO 31000 ou ISO 27005 pour une base générale ; EBIOS RM pour le cyber ; FAIR ou Monte Carlo quand la direction veut du risque chiffré en euros.
Un risque peut-il utiliser plusieurs méthodes ?
Oui — modélisez un risque une fois et superposez FAIR, Bow-Tie ou une matrice de scoring ; les résultats se consolident dans des tableaux de bord prêts pour le board.