Dans le cadre d’une analyse de risques conforme aux référentiels tels qu’ISO 27005, la directive NIS2 ou encore la méthode eBIOS RM, il est essentiel de définir une échelle de gravité permettant d’évaluer l’impact potentiel des incidents identifiés. Cette échelle constitue un outil de référence pour qualifier les conséquences possibles d’un événement sur les actifs critiques de l’organisation. Elle permet d’établir des seuils clairs et homogènes, facilitant ainsi la priorisation des traitements et la prise de décisions adaptées.
L’objectif est d’introduire une gradation mesurable — par exemple de « mineur » à « critique » — afin de catégoriser la gravité des impacts selon différents critères : financiers, opérationnels, juridiques, réputationnels ou encore relatifs à la confidentialité, l’intégrité et la disponibilité des informations. Cette démarche, intégrée au processus global d’analyse de risques, favorise une compréhension partagée des niveaux de sévérité et renforce la cohérence des évaluations au sein de l’organisation.
| | Critique | Grave | Significatif | Mineur |
| Impact financier | > 30M€ | > 5M€ | 1 M€ – 5 M€ | 150 K€ – 1 M€ |
| Impact réputation | Couverture médiatique nationale Perte durable de réputation | Couverture médiatique régionale Perte durable de réputation | Couverture médiatique locale | Plainte localisée |
| Impact juridique | Contentieux et /ou provision > 30 M€ | Contentieux > 5M€ | Contentieux entre 1 M€ et 5M€ | Contentieux entre 150 K€ et 1M€ |
| Impact réglementaire | Sanction majeure | Sanction pénale | Sanction administrative | Avertissement ou blâme par une autorité |
| Impact opérationnel | Heures supplémentaires > 100% de la masse salariale d’une direction (mensuel) | Heures supplémentaires > 50% de la masse salariale d’une direction (mensuel) | Heures supplémentaires > 10% de la masse salariale d’une direction (mensuel) | Heures supplémentaires > 5% de la masse salariale d’une direction (mensuel) |
| Impact productivité | Arrêt d’activité pour >50% du personnel d’au moins une entité/direction | Arrêt d’activité entre 25% et 50% du personnel d’au moins une entité/direction | Arrêt d’activité pour 25% à 50% du personnel d’une entité/direction | Arrêt d’activité pour 15% à 25% du personnel d’une entité/direction |
| Impact projet | Abandon d’un projet majeur pour lequel les dépenses engagées dépassent 5M€ | Retard > 18 mois projets majeurs | Retard >12 mois projets majeurs | Retard >6 mois projets majeurs |
| Impact données | Défaut de confidentialité d’une donnée sensible >20% des données impactées sur un système | Défaut de confidentialité d’une donnée sensible >10% des données impactées sur un système | Défaut de confidentialité d’une donnée sensible >5% des données impactées sur un système | Défaut de confidentialité d’une donnée sensible >1% des données impactées sur un système |
| Gouvernance | Escalade immédiate au Comité de Revue de Direction | Escalade au de Sécurité Numérique | Escalade au Comité de Sécurité Numérique | Escalade au responsable de la fonction concernée |
Vous avez besoin d’autres exemples pour rédiger votre SMSI, votre analyse de risques ou votre PSSI ?
