Les organisations évoluent dans un environnement où les risques sont omniprésents et parfois difficiles à anticiper. Pour y faire face, il ne suffit plus d’identifier ces risques, il faut mettre en place un système d’évaluation des risques : pour les évaluer, les hiérarchiser et décider des actions à engager en fonction de leur criticité.
C’est cette démarche d’évaluation des risques que nous vous présentons. Si elle vous intéresse, découvrez notre module de gestion des risques pour vous accompagner dans sa mise en place et son pilotage.
Introduction à l’évaluation des risques
Définir un cadre commun
Avant de se lancer dans une gestion des risques, il est essentiel de définir un cadre commun pour :

- apporter de l’uniformité en définissant des critères d’évaluation identiques pour l’ensemble des services et des départements, afin de rendre les résultats comparables
- garantir l’objectivité grâce à une méthode de mesure partagée
- comparer les risques de manière cohérente selon les différents projets ou services
- prioriser les risques en tenant compte du contexte de l’organisation
Le tout implique alors de disposer d’un langage commun entre les parties prenantes et donc d’un système d’évaluation standardisé.
Qu’est-ce qu’un système d’évaluation des risques ?
Un système d’évaluation des risques consiste à mesurer un risque en s’appuyant généralement sur deux dimensions : la gravité (l’impact potentiel du risque) et la vraisemblance (la probabilité qu’il survienne). Ces deux critères vont permettre de construire une vue matricielle et donc de situer la criticité de chaque risque au regard de l’ensemble de l’organisation.
Pour obtenir cette matrice des risques, il y a des étapes préalables à définir collectivement pour avoir des éléments comparables et qui seront intégrés dans le cadre commun.
C’est donc en positionnant et en analysant les risques dans la matrice de criticité qu’on pourra prioriser les risques à traiter et les actions à mettre en place pour les mitiger.
La matrice des risques n’est pas une finalité, mais un outil stratégique pour orienter les décisions et piloter efficacement la gestion des risques.
Le processus du management des risques
La norme ISO 31000
La norme ISO 31000 est la norme internationale de référence en matière de management du risque, adoptée par de nombreuses organisations à travers le monde. Elle propose un cadre générique, applicable à tous types de risques (stratégiques, opérationnels, financiers, juridiques, environnementaux, etc.) et à toute organisation, quelle que soit sa taille ou son secteur d’activité.
L’objectif principal de la norme est de fournir des principes et des lignes directrices du management des risques ainsi que les processus de mise en œuvre au niveau stratégique et opérationnel. C’est d’ailleurs sur cette norme que nous nous sommes basés pour développer notre module de gestion des risques : PYX4 Risk.
Cette norme ISO 31000 nous présente ainsi le cadre de mise en place d’un processus de management des risques. Sur le schéma ci-dessus, on comprend qu’avant même de passer à la phase d’identification, d’analyse et d’évaluation des risques, il est essentiel d’établir le contexte de l’organisation.
Établissement du contexte
Un même risque peut avoir une probabilité et un impact différents selon l’organisation, son secteur d’activité, sa taille et son contexte. C’est pourquoi il est impossible de simplement “copier-coller” un système d’évaluation d’une autre organisation et qu’il faut impérativement analyser soit-même son contexte qui est propre à l’organisation.
Lorsque l’entreprise fait cette analyse, elle essaye d’affiner sa connaissance sur son secteur et les facteurs réglementaires liés à ce secteur d’activité, ainsi que des dysfonctionnements internes qui existent.
Cette première phase est donc essentielle pour :
- intégrer les facteurs externes et les dépendances
- mettre en cohérence les impacts qui peuvent être applicables à l’organisation
- aligner la gestion des risques avec la stratégie de l’organisation et les obligations vis-à-vis des parties prenantes
Nous avons d’ailleurs rédigé un article dédié à l’établissement du contexte avec les outils à utiliser.
Une fois le contexte compris et partagé, l’organisation doit trouver des variables d’évaluation des risques avec des critères applicables à l’ensemble de l’organisation (environnementaux, humains, sociaux, financiers…).
💡 Il est impossible de gérer ses risques en prenant en compte un seul critère.
Il faut aussi définir le niveau d’acceptabilité des risques qui doit être défini dans le cadre de la mise en place d’un système d’évaluation des risques.
Ce qui rend le système d’évaluation pertinent et cohérent, c’est avant tout cette analyse du contexte. Sans cette étape, impossible de construire un dispositif objectif et aligné avec la réalité de l’organisation.
Pourquoi ? Parce qu’en l’absence de cadre commun, chaque service risque d’évaluer les impacts selon sa propre perspective. Par exemple : un collaborateur en production se concentrera sur la continuité des opérations, alors qu’un autre, plus sensibilisé aux enjeux environnementaux, pointera l’impact écologique d’une activité énergivore.
La mise en place d’un système d’évaluation des risques
Le choix des variables d’identification
Dans la plupart des organisations, deux variables sont suffisantes pour évaluer un risque :
- la gravité (ou l’impact)
- la vraisemblance (ou la probabilité)
En multipliant ces deux variables, on obtient alors la criticité du risque. Cet indicateur permet de prioriser les risques selon leur niveau d’urgence.
💡 En fonction du secteur d’activité ou de la complexité de l’organisation, il est possible d’ajouter d’autres variables comme la détectabilité par exemple.
Les critères d’évaluation
Une fois les variables définies, l’organisation doit les clarifier en leur donnant du sens. En effet, il ne suffit pas d’identifier des niveaux de vraisemblance et de gravité : encore faut-il que chacun comprenne ce qu’ils signifient concrètement.
Des termes comme “très forte”, “significatif”, ou “mineure” peuvent être interprétés de manière très différente selon les personnes et les services. Par exemple : qu’est-ce qu’une vraisemblance forte ? Qu’implique une gravité majeure ? Il s’agit donc de donner un sens commun des termes utilisés pour l’évaluation des risques pour que chacun parle le même langage.
Pour être le plus objectif possible, l’entreprise peut adopter des variables quantifiables ou bien des variables avec des données non quantifiables, mais qui ont quand même une certaine qualité, permettant de bien la mesurer.
Les échelles de cotation des risques
Pour donner du sens aux termes utilisés dans les variables d’évaluation, il est nécessaire de construire des échelles de cotation. Cela comprend :
- la confirmation des niveaux et leur quantification (mineur, important, majeur…)
- la définition de chaque critère choisi (financier, qualité / temporel, probabilité)
L’idée est de permettre à chaque membre de l’entreprise de comprendre précisément ce que signifient ces termes.
Par exemple, pour une organisation, une vraisemblance “très forte” pourrait correspondre à une probabilité de plus de 50 %, ou à un événement qui survient plus d’une fois par semaine selon le critère temporel. De même, une gravité “importante” pourrait être définie, d’un point de vue financier, comme un impact situé entre 400 000 et 1 million d’euros.
Ces échelles doivent être spécifiques à chaque organisation et adaptées à son contexte. Il n’est pas question d’appliquer un modèle standard “clé en main” : la pertinence de l’analyse repose sur cette personnalisation.
La limite d’acceptabilité
Pour répondre à la question : qu’est-ce qu’un risque “supportable” ou “intolérable” ? Il est indispensable de définir la limite d’acceptabilité.
Cette limite peut prendre la forme d’une courbe ou d’une ligne. L’idée est qu’elle va séparer la matrice en deux zones :
- celle des risques que l’organisation peut potentiellement accepter
- celle des risques que l’organisation ne peut pas accepter
En fonction de la zone où un risque est positionné, il sera plus facile de déterminer :
- les priorités d’action
- le type de mesures à mettre en œuvre pour le maîtriser
💡Maîtriser les risques, ce n’est pas tenter de les annuler, c’est chercher à les ramener en deçà de la limite d’acceptabilité.
Exemple de mise en place d’un système d’évaluation
Prenons le cas concret d’un risque de cyberattaque visant un hôpital public. Les causes et conséquences possibles sont multiples et illustrent bien l’importance d’un système d’évaluation structuré.
Causes :
- Failles techniques (logiciels obsolètes, mises à jour non appliquées)
- Erreur humaine (phishing, absence de formation)
- Réseau mal segmenté, prestataires non sécurisés
- Budget cybersécurité insuffisant
Conséquences :
- Soins retardés ou interrompus (plus d’accès aux dossiers médicaux)
- Arrêt des systèmes, désorganisation logistique, perte de temps
- Perte de confiance des patients et partenaires
- Non-conformité RGPD, poursuites potentielles
- Coûts de récupération, rançon, perte d’activité
Une fois ce contexte analysé, on va évaluer la gravité et la vraisemblance de ce risque via l’analyse des différents impacts. Pour la gravité, comme évoqué précédemment, on va regarder différents impacts :
- Humain : 64 (majeur) : soins interrompus, risque vital
- Opérationnel : 64 (majeur) : interruption de soins
- Financier : 16 (important) : coûts de rétablissement, pertes nettes
- Juridique : 16 (important) : perte ou vol de données de santé
- Réputationnel : 16 (important) : perte de confiance du public
On retient le score le plus élevé pour définir la gravité globale : ici, 64 (majeur).

En combinant les deux : Gravité (64) x Vraisemblance (4) = Criticité 256
Sur la matrice des risques, ce score se situe au-dessus de la limite d’acceptabilité. Le risque est donc jugé inacceptable et nécessite une action immédiate.
Pour cela, nous allons nous appuyer sur un petit tableau qui permet de définir, de la manière la plus objective possible, à partir de quelle fréquence (par exemple annuelle) ou de quelle probabilité d’occurrence un risque devient faible, modéré, probable ou très probable.
On peut donc dire que dans le contexte géopolitique actuel, avec des systèmes parfois vulnérables – notamment dans certains hôpitaux où le personnel médical n’est pas toujours sensibilisé aux enjeux de cybersécurité – on peut estimer que la vraisemblance de ce type de risque est aujourd’hui relativement élevée.
Il pourrait par exemple :
- mettre à jour tous les systèmes et les maintenir à jour
- segmenter le réseau et sécuriser les accès
- former le personnel aux risques numériques
- réaliser des audits réguliers
C’est quoi un bon système d’évaluation des risques ?
Un bon système d’évaluation des risques s’appuie sur :
- une compréhension claire du contexte (stratégie, processus, acteurs, environnement)
- des échelles partagées et bien définies
- une matrice lisible pour faciliter la comparaison des risques
- une revue périodique pour ajuster en fonction de l’évolution des enjeux et contexte organisationnel.
Mettre en place un système d’évaluation des risques, ce n’est pas juste remplir une matrice. C’est outiller l’organisation pour mieux décider, anticiper et protéger ses ressources.
Lorsque le système est bien défini, il doit permettre de :
- comparer objectivement les risques entre eux
- aligner l’analyse avec les enjeux réels (stratégiques, opérationnels, réglementaires)
- rendre possible une priorisation des efforts et des plans d’action
- faciliter une communication claire entre les équipes, la Direction et les parties prenantes
Une organisation qui évalue bien ses risques est une organisation qui décide mieux, plus vite et plus sereinement.
Image à la Une : Gerd Altmann – Odan