| 1 | Désigner un pilote/mettre en place la gouvernance | Pour gérer les risques, il est nécessaire de compter sur une personne ou une équipe dédiée. La tâche peut être longue et fastidieuse, il est important de confier cette tâche à une personne qui connaît le fonctionnement de l'organisation |
| 2 | Journal des évènements | Faire un état des lieux des évènements passés qui vous permettront d'évaluer les risques sur la base d'évènements passés |
| 3 | Configuration échelle de risques | Définissez votre échelle de risques et les conditions applicables à chaque niveau |
| 4 | Points de contrôle | Faites un état des lieux des mesures de sécurité ou objectifs de sécurité fixés dans votre organisation. Vous pouvez vous inspirer des mesures préconisées par la norme ISO 27001 (pour les risques de sécurité informatique) |
| 5 | Identification des risques | Commencez par identifier les risques concernant les actifs les plus critiques |
| 6 | Créer un type de risque | identifiez les évènements redoutés, les menaces, les sources etc. |
| 7 | Évaluez le risque | L'évaluation concerne le risque inhérent (c'est le risque théorique lié à l'activité. On peut aussi le définir comme le risque initial, avant toute mesure de maîtrise) et le risque résiduel (c'est le risque subsistant après la mise en œuvre de dispositifs de maîtrise) |
| 8 | Traitez le risque | Selon la réponse, le dispositif de maitrise pourra comporter la mise en œuvre de points de contrôle |
| 9 | Surveillez le risque | Le risque doit vivre avec l'activité qu'il couvre. Une surveillance des évolutions est mise en œuvre régulièrement |