Approche par la conformité vs approche par les risques : quelles différences concrètes ?

Dans beaucoup d’équipes, le débat revient sans cesse : faut-il piloter la cybersécurité par la conformité ou par les risques ?

La confusion est fréquente, et elle produit souvent de mauvais choix. Certaines organisations empilent des mesures pour “être conformes” sans vraie priorisation. D’autres se concentrent sur des scénarios de risques très fins, mais peinent à transformer leurs conclusions en plan d’action stable et mesurable.

En réalité, les deux approches ne répondent pas au même besoin. L’approche par la conformité structure l’exécution. L’approche par les risques aide à prioriser. Le NIST CSF 2.0 résume bien cette logique en expliquant que les organisations doivent identifier, organiser et prioriser leurs actions cyber en les alignant à la fois sur leur mission, leurs obligations légales et leurs attentes de gouvernance. ISO 27001, de son côté, indique explicitement que le standard permet d’établir un système de management de la sécurité de l’information et d’appliquer un processus de gestion des risques adapté à la taille et aux besoins de l’organisation.

Pourquoi cette distinction pose autant de problèmes

Sur le terrain, beaucoup d’entreprises mélangent trois sujets différents :

1. la sécurité réelle ;
2. la conformité à un référentiel ;
3. la priorisation par les risques.

Le résultat est classique : les équipes parlent de la même chose avec des logiques différentes. Les responsables conformité veulent une couverture claire des exigences. Les équipes sécurité veulent traiter les scénarios les plus critiques. La direction veut comprendre quoi faire en premier et pourquoi.

Quand cette distinction n’est pas claire, les projets cyber deviennent vite inefficaces :

1. trop de mesures ouvertes en parallèle ;
2. manque de hiérarchie ;
3. documents propres mais peu reliés aux risques réels ;
4. analyses de risques intéressantes mais difficiles à faire vivre ;
5. arbitrages mal compris entre métiers, sécurité et conformité.

L’approche par la conformité : une logique descendante

L’approche par la conformité part d’un référentiel externe ou interne :

1. ISO 27001 ;
2. NIS2 ;
3. guides ANSSI ;
4. exigences clients ;
5. cadre sectoriel ;
6. politique groupe.

La logique est descendante : on part d’un ensemble d’exigences, puis on cherche à mettre en place les mesures attendues pour couvrir ces exigences.

L’objectif principal est clair : obtenir une couverture structurée et démontrable.

Concrètement, cette approche pousse à se poser des questions comme :

1. quelles mesures sont attendues ;
2. quelles exigences couvrons-nous déjà ;
3. quels écarts restent ouverts ;
4. quelles preuves pouvons-nous produire ;
5. où en est notre niveau de conformité.

C’est une approche très utile, car elle donne un cadre stable. Elle permet aussi de parler un langage commun avec un auditeur, un client, un partenaire ou un régulateur. ENISA travaille d’ailleurs explicitement à développer des cadres communs de risk management, security measures and incident reporting qui puissent être utilisés de manière cohérente au-delà d’un seul texte, notamment sous NIS2 et DORA.

Son principal avantage

L’approche conformité est simple à structurer, mesurable et pilotable.

Elle aide à répondre à des questions très concrètes :

1. avons-nous mis en place la mesure demandée ;
2. quelle exigence couvre-t-elle ;
3. quelle preuve avons-nous ;
4. quel écart reste à traiter.

C’est pour cela qu’elle est souvent très efficace pour démarrer, cadrer un programme ou rendre le pilotage lisible.

Sa limite

Utilisée seule, elle peut devenir trop théorique.

Une organisation peut avoir une belle matrice d’exigences et beaucoup de mesures “couvertes”, tout en restant mal priorisée. Elle risque alors de traiter des sujets attendus par le référentiel sans distinguer suffisamment :

1. ce qui est critique pour l’activité ;
2. ce qui est le plus exposé ;
3. ce qui mérite d’être traité en premier.

Autrement dit, la conformité seule peut structurer, mais pas toujours hiérarchiser intelligemment.

L’approche par les risques : une logique ascendante

L’approche par les risques part du terrain, pas du référentiel.

Elle commence par regarder :

1. les actifs critiques ;
2. les scénarios de menace ;
3. les vulnérabilités ;
4. les impacts métier ;
5. les dépendances ;
6. les probabilités ;
7. les conséquences en cas d’incident.

La logique est ascendante : on observe l’exposition réelle de l’organisation, puis on décide quelles mesures doivent être mises en place ou renforcées.

L’objectif principal est différent : prioriser les efforts là où ils réduisent le plus de risque utile.

Le NIST CSF 2.0 insiste justement sur cette notion de priorisation des actions de cybersécurité en fonction de la mission, des exigences légales et des attentes de gouvernance. Son guide d’ensemble précise aussi que le cadre aide les organisations à comprendre, évaluer, prioriser et communiquer leurs risques cyber.

Son principal avantage

L’approche risque est plus précise pour arbitrer.

Elle permet de répondre à des questions décisives :

1. quels scénarios menacent réellement l’activité ;
2. quels actifs sont les plus sensibles ;
3. quelles mesures réduisent le plus de risque ;
4. que faut-il traiter d’abord avec des ressources limitées.

C’est une approche très forte quand il faut éviter l’effet “checklist” et concentrer l’effort sur les sujets les plus importants.

Sa limite

Utilisée seule, elle peut être plus difficile à opérer et à maintenir.

Pourquoi ? Parce qu’une bonne analyse de risques produit souvent des décisions pertinentes, mais pas toujours un système de suivi simple. Sans structure de pilotage, on peut vite se retrouver avec :

1. des scénarios bien identifiés ;
2. des priorités définies ;
3. mais peu de lisibilité sur les mesures à suivre dans le temps ;
4. peu de rapprochement avec les exigences d’audit ou de conformité ;
5. et une difficulté à démontrer l’avancement de façon stable.

Autrement dit, le risque aide à décider, mais pas toujours à industrialiser.

Conformité vs risques : la différence concrète en une phrase

La différence la plus simple est la suivante :

1. L’approche conformité demande : “Que faut-il couvrir ?”
2. L’approche risque demande : “Que faut-il traiter en premier ?”

Les deux questions sont utiles. Elles ne servent simplement pas le même objectif.

Exemple concret

Prenons une PME ou un SaaS qui travaille sur la sécurité de ses accès.

Avec une approche conformité

L’équipe part d’ISO 27001, d’un guide ANSSI ou d’exigences clients.

Elle identifie qu’il faut :

1. gérer les habilitations ;
2. sécuriser les comptes à privilèges ;
3. revoir les droits ;
4. tracer les actions ;
5. protéger les accès critiques.

Le travail consiste alors à mettre en place ces mesures, documenter leur couverture et prouver leur mise en œuvre.

Avec une approche risque

L’équipe part de ses scénarios réels :

1. compromission de la messagerie ;
2. compte administrateur trop exposé ;
3. départ collaborateur mal géré ;
4. accès fournisseur trop large ;
5. élévation de privilèges non maîtrisée.

Elle priorise alors peut-être :

1. la MFA sur les comptes sensibles ;
2. la revue des comptes à privilèges ;
3. la révocation plus rapide des accès en sortie ;
4. la traçabilité sur quelques périmètres critiques.

Les deux lectures sont utiles. La première structure le cadre. La seconde donne l’ordre des priorités.

Pourquoi la conformité seule ne suffit pas

Beaucoup de programmes cyber échouent parce qu’ils appliquent trop littéralement les référentiels.

Le problème n’est pas le référentiel lui-même. Le problème est son usage. Un référentiel donne un cadre, pas un ordre universel d’exécution.

Sans lecture par les risques, une organisation peut :

1. lancer trop de chantiers en même temps ;
2. traiter des mesures secondaires avant des sujets plus critiques ;
3. produire des documents propres mais peu reliés aux menaces réelles ;
4. avoir du mal à expliquer à la direction pourquoi telle mesure passe avant telle autre.

Le NIST CSF 2.0 rappelle justement que les actions doivent être priorisées en cohérence avec la mission, les exigences légales et les attentes de gouvernance, pas seulement cochées comme une liste uniforme.

Pourquoi le risque seul ne suffit pas non plus

À l’inverse, une approche purement risque peut devenir difficile à exploiter dans la durée.

Une organisation peut identifier correctement ses scénarios majeurs, mais rencontrer ensuite plusieurs difficultés :

1. transformer les décisions en mesures suivies ;
2. conserver une traçabilité claire ;
3. relier les actions à des référentiels attendus par les clients ou auditeurs ;
4. démontrer le niveau de couverture ;
5. tenir dans le temps une logique stable de pilotage.

ISO rappelle d’ailleurs que 27001 n’est pas seulement un standard documentaire : c’est un système de management qui applique un processus de gestion des risques adapté à l’organisation. L’idée centrale est bien de relier risk management et execution framework, pas de les opposer.

Pourquoi les deux approches sont complémentaires

C’est le point clé.

Il ne faut pas opposer approche conformité et approche par les risques. Il faut comprendre leur articulation.

Le risque alimente la conformité

L’analyse de risques aide à décider :

1. quelles mesures doivent passer en priorité ;
2. quels contrôles doivent être renforcés ;
3. quelles exceptions sont acceptables ou non ;
4. quels arbitrages sont justifiés.

Elle donne de l’intelligence au programme.

La conformité structure l’exécution

Le référentiel aide ensuite à :

1. organiser les mesures ;
2. suivre les écarts ;
3. rattacher les preuves ;
4. démontrer la couverture ;
5. tenir le pilotage dans le temps.

Elle donne de la stabilité au programme.

ENISA va précisément dans ce sens : sa guidance 2025 porte sur les cybersecurity risk management measures et montre que la logique européenne n’est pas de choisir entre gouvernance et gestion des risques, mais bien de les articuler dans un cadre opérationnel de mesures, d’évaluation et de preuves.

La bonne lecture pour une PME, un SaaS ou une équipe GRC

La bonne question n’est donc pas :

“Faut-il choisir la conformité ou le risque ?”

La bonne question est :

“Comment utiliser le risque pour prioriser, puis la conformité pour exécuter et démontrer ?”

C’est généralement la séquence la plus robuste :

1. comprendre les actifs, scénarios et impacts ;
2. prioriser les décisions ;
3. traduire ces décisions en mesures suivies ;
4. les relier à des référentiels et à des preuves ;
5. les faire vivre dans le temps.

Cette logique est d’ailleurs très cohérente avec le positionnement de CompliKey : pas un outil d’analyse de risques détaillée, mais un outil pour piloter les mesures issues des normes et des décisions prises, y compris celles qui viennent d’une analyse de risques, et faire vivre ces décisions dans la durée.

Tableau comparatif simple

FAQ

Quelle est la différence entre conformité et approche par les risques en cybersécurité ?

La conformité part d’exigences à couvrir. L’approche par les risques part des scénarios et impacts à prioriser. La première structure, la seconde hiérarchise.

L’ISO 27001 est-elle une approche conformité ou risque ?

Les deux, en pratique. ISO 27001 fournit un cadre structurant de système de management, mais il repose aussi explicitement sur un processus de gestion des risques adapté à l’organisation.

Pourquoi une approche conformité seule peut-elle être insuffisante ?

Parce qu’elle peut conduire à appliquer un référentiel sans distinguer clairement les mesures les plus critiques pour le contexte réel de l’organisation.

Pourquoi une approche risque seule peut-elle être difficile ?

Parce qu’elle aide à décider, mais pas toujours à suivre, démontrer et maintenir les mesures dans un cadre stable et auditable. C’est précisément pour cela que les cadres de gouvernance et de mesures restent nécessaires.

Conclusion

L’opposition entre conformité et risque est souvent un faux débat.

Une organisation mature n’utilise pas la conformité pour remplacer le risque, ni le risque pour contourner la conformité. Elle utilise les deux ensemble.

Le risque donne la priorité.

La conformité donne la structure.

Et le pilotage relie les deux dans le temps.

C’est exactement dans cet espace que la valeur se crée : non pas dans une analyse abstraite, mais dans la capacité à transformer des décisions de sécurité en mesures suivies, prouvées et tenues dans la durée.