Avant de commencer, voici quelques définitions importantes :

• La probabilité: correspond à l'évaluation de la fréquence d'occurrences d'un risque. C'est un score évalué de manière empirique (note sur 5 traditionnellement). Chaque niveau de risque correspond à une fréquence d'apparition du risque.

• Impact: correspond à l'évaluation de la conséquence d'un évènement redouté sur l'entreprise.

• Risque courant: le niveau de risque tel qu'il est à l'instant T en fonction du niveau de remédiation de vos points de contrôles. Il est calculé de cette façon : {Risque courant} = {Risque résiduel} + ({Risque initial} - {Risque résiduel}) * {Taux de remédiation du risque}.

• Risque résiduel: c’est le risque subsistant après la mise en œuvre de dispositifs de maîtrise (contrôle interne).

• Risque initial (ou inhérent): c’est le risque théorique lié à l’activité. On peut aussi le définir comme le risque initial, avant toute mesure de maîtrise (contrôle interne). Il est calculé avec la multiplication de l'impact brut x par la probabilité brute.

• Evènement redouté: désigne l'événement incertain qu'on va caractériser en fréquence et gravité

• Risque: la combinaison entre un évènement redouté et l'évaluation de l'impact et de la probabilité sur un objet (traitement, acteur (sous-traitant), application ou entité). D'autres critères peuvent entrer en ligne de compte tels que les menaces (les types de risque à l'origine du risque) ou les sources (les supports ou localisation du risque).

• Point de contrôle: (ou dispositif de management des risques). La conformité aux points de contrôle est le moyen de remédier à 100% aux risques et donc de tendre vers un risque courant = risque résiduel. Dans Dastra, le listing des points de contrôle est managé au niveau de l'évènement redouté.

• Remédiation: il s'agit du pourcentage de conformité du plan de contrôle d'un risque. Ex: si 2 points de contrôles conformes sur 3 = 66% de taux de remédiation.