Comment réaliser une évaluation des risques

Une évaluation des risques est un processus structuré permettant d'identifier les risques susceptibles d'affecter vos objectifs, d'apprécier leur gravité et de décider des mesures à prendre. Il s'agit du même processus fondamental, que vous évaluiez la cybersécurité, la sécurité au travail, les risques de projet ou les risques commerciaux.

La norme internationale de management des risques est ISO 31000:2018. Elle décrit un processus générique (identifier, analyser, évaluer, traiter, surveiller) applicable à toute organisation et à tout type de risque. Elle n'est pas certifiable, mais elle constitue la référence sur laquelle s'appuient d'autres normes (ISO 27001, NIS2, DORA).

En Suède, la gestion systématique de l'environnement de travail (SAM) est réglementée par les dispositions de l'Autorité suédoise pour l'environnement de travail AFS 2001:1. L'employeur est tenu d'enquêter, d'évaluer, de traiter et d'assurer le suivi de l'environnement de travail en continu — non pas comme un projet ponctuel, mais comme un cycle permanent.

L'évaluation des risques doit être rédigée par écrit (dès lors que l'entreprise compte plus de dix salariés), révisée au moins une fois par an, et toujours avant tout changement significatif : nouveau matériel, nouvelle organisation, nouvelles tâches, déménagement ou acquisitions ayant une incidence sur le travail.

• Enquêter

  Cartographier les conditions de travail. Les visites de sécurité, les enquêtes auprès des employés, les statistiques d'absentéisme maladie et les rapports d'incidents constituent des sources typiques.

• Évaluer

  Apprécier chaque risque identifié selon sa probabilité et sa gravité. Les risques physiques, ergonomiques, chimiques, biologiques, psychosociaux et organisationnels doivent tous être couverts.

• Traiter

  Plan d'action écrit mentionnant l'action, le responsable, l'échéance et le suivi. Tout ce qui n'est pas corrigé immédiatement est intégré au plan.

• Assurer le suivi

  Vérifier que les actions ont été réalisées et ont produit l'effet escompté. Réviser l'évaluation lors de tout changement ou au moins une fois par an.

La participation du représentant à la sécurité est obligatoire. Si l'entreprise dispose d'un représentant à la sécurité, celui-ci doit être associé à l'évaluation (loi suédoise sur l'environnement de travail, ch. 6 § 4). La documentation doit être disponible pour inspection par l'Autorité pour l'environnement de travail.

Les risques liés au milieu de travail et les risques liés à la sécurité de l'information se recoupent souvent (par exemple, stress lors d'incidents, exigences GDPR en matière de surveillance du lieu de travail). Une évaluation intégrée permet de gagner du temps, mais requiert une expertise transfonctionnelle.

• Soutien de la direction

  Une évaluation des risques sans l'appui de la direction devient un document que personne ne lira jamais. Assurez-vous qu'un membre de la direction est responsable du processus. Une politique de gestion des risques d'une page signée par le PDG suffit.

• Définir le périmètre

  Que doit-on évaluer ? L'ensemble de l'entreprise, un domaine spécifique, un projet, un processus particulier (par exemple, le traitement des données personnelles) ?

• Définir la tolérance au risque

  Quels risques êtes-vous prêt à accepter ? Lesquels nécessitent une action ? Définissez trois ou quatre niveaux (par exemple, score 1–3 = accepter, 4–7 = surveiller, 8–14 = plan d'action, 15–25 = action immédiate).

• Réunir les bonnes personnes

  Une évaluation des risques réalisée par une seule personne ne reflète que l'opinion de cette personne. Invitez 3 à 6 personnes clés ayant des perspectives différentes : opérations, finance, informatique, relation client.

Il s'agit de l'étape la plus importante. Un risque non détecté est plus dangereux qu'un risque mal évalué.

Quelques techniques d'identification des risques :

• Brainstorming structuré

  Réunissez le groupe et parcourez les domaines d'activité un par un. Posez la question : « Que peut-il se passer ici ? »

• Suggestions de l'IA comme point de départ

  Des outils comme RiskNote utilisent l'IA pour suggérer 5 risques pertinents par secteur d'activité pour chaque analyse. Utile pour détecter des risques que vous n'avez jamais rencontrés.

• Examiner les incidents passés

  Qu'est-ce qui a déjà mal tourné ? Pour vous, pour vos concurrents, dans le secteur ?

• Consulter les listes normatives

  ISO 27005 propose des catalogues de risques typiques liés à la sécurité de l'information. Les réglementations en matière de sécurité au travail fournissent des exemples de risques professionnels. Utilisez-les comme listes de contrôle.

• Revue de processus

  Parcourez un processus critique (par exemple, facturation, recrutement, exploitation des systèmes) étape par étape et demandez-vous : « Que peut-il se passer ici ? »

Pour chaque risque identifié, évaluez la probabilité et la conséquence. La pratique standard repose sur une matrice 5x5 (probabilité 1–5 × conséquence 1–5 = score 1–25).

L'essentiel est une application cohérente de l'échelle. Définissez chaque niveau en amont afin que toutes les personnes participant à l'évaluation partagent la même compréhension.

• Probabilité 1–5

  1 = rare (une fois tous les 10 ans), 3 = possible (une fois tous les 2 à 3 ans), 5 = quasi certain (plusieurs fois par an).

• Conséquence 1–5

  1 = négligeable (géré dans le cadre des opérations courantes), 3 = modérée (nécessite une intervention de la direction), 5 = catastrophique (menace existentielle).

• Évaluer en groupe

  L'évaluation d'une seule personne est subjective. En groupe, vous obtenez nuance et consensus.

• Documenter le raisonnement

  Rédigez une ligne expliquant pourquoi vous avez retenu un niveau P et C donné. Cela facilite les révisions ultérieures.

Une fois chaque risque doté d'un score, comparez-le à votre tolérance au risque. Les risques critiques (par exemple, score 15–25) nécessitent un plan d'action immédiat. Les risques élevés (8–14) appellent une réponse structurée. Les risques moyens et faibles peuvent être surveillés.

Méfiez-vous des cygnes noirs, c'est-à-dire des risques à faible probabilité mais aux conséquences catastrophiques (P=1, C=5 donne un score de 5, qui paraît faible mais peut être existentiel). Faites appel au jugement qualitatif, pas seulement au score.

• Accepter

  Le risque est dans les limites de tolérance. Documentez et passez à la suite.

• Réduire (atténuer)

  Prenez des mesures pour réduire la probabilité ou la conséquence. C'est le choix le plus courant. Documentez l'action, le responsable et l'échéance.

• Transférer

  Assurance, externalisation ou clauses contractuelles permettant de transférer le risque. Remarque : certains risques (par exemple, la réputation) ne peuvent pas être transférés.

• Éviter

  Renoncer à l'activité qui génère le risque. Parfois, c'est le seul choix raisonnable.

Les risques évoluent. De nouveaux apparaissent, d'anciens deviennent obsolètes, les actions modifient le tableau d'ensemble. Une évaluation des risques est périssable.

Bonne pratique : révision trimestrielle pour les risques opérationnels, annuelle pour les risques stratégiques. Les risques de projet sont mis à jour à chaque sprint ou réunion de pilotage. En cas de changement majeur (nouveau fournisseur, évolution réglementaire, changement de système), une nouvelle évaluation s'impose toujours.