Comment mettre en place un système d’évaluation des risques ?

Publié le : 4 juillet 2025 9 min

Les organisations évoluent dans un environnement où les risques sont omniprésents et parfois difficiles à anticiper. Pour y faire face, il ne suffit plus d’identifier ces risques, il faut mettre en place un système d’évaluation des risques : pour les évaluer, les hiérarchiser et décider des actions à engager en fonction de leur criticité.

C’est cette démarche d’évaluation des risques que nous vous présentons. Si elle vous intéresse, découvrez notre module de gestion des risques pour vous accompagner dans sa mise en place et son pilotage. 

Introduction à l’évaluation des risques 

Définir un cadre commun 

Avant de se lancer dans une gestion des risques, il est essentiel de définir un cadre commun pour : 

Découvrez les tendances et pratiques des professionnels de la Qualité
Téléchargez le Baromètre
  • apporter de l’uniformité en définissant des critères d’évaluation identiques pour l’ensemble des services et des départements, afin de rendre les résultats comparables
  • garantir l’objectivité grâce à une méthode de mesure partagée
  • comparer les risques de manière cohérente selon les différents projets ou services
  • prioriser les risques en tenant compte du contexte de l’organisation

Le tout implique alors de disposer d’un langage commun entre les parties prenantes et donc d’un système d’évaluation standardisé. 

Qu’est-ce qu’un système d’évaluation des risques ? 

Un système d’évaluation des risques consiste à mesurer un risque en s’appuyant généralement sur deux dimensions : la gravité (l’impact potentiel du risque) et la vraisemblance (la probabilité qu’il survienne). Ces deux critères vont permettre de construire une vue matricielle et donc de situer la criticité de chaque risque au regard de l’ensemble de l’organisation.

Pour obtenir cette matrice des risques, il y a des étapes préalables à définir collectivement pour avoir des éléments comparables et qui seront intégrés dans le cadre commun. 

C’est donc en positionnant et en analysant les risques dans la matrice de criticité qu’on pourra prioriser les risques à traiter et les actions à mettre en place pour les mitiger.

La matrice des risques n’est pas une finalité, mais un outil stratégique pour orienter les décisions et piloter efficacement la gestion des risques.

Le processus du management des risques 

La norme ISO 31000

La norme ISO 31000 est la norme internationale de référence en matière de management du risque, adoptée par de nombreuses organisations à travers le monde. Elle propose un cadre générique, applicable à tous types de risques (stratégiques, opérationnels, financiers, juridiques, environnementaux, etc.) et à toute organisation, quelle que soit sa taille ou son secteur d’activité. 

L’objectif principal de la norme est de fournir des principes et des lignes directrices du management des risques ainsi que les processus de mise en œuvre au niveau stratégique et opérationnel. C’est d’ailleurs sur cette norme que nous nous sommes basés pour développer notre module de gestion des risques :  PYX4 Risk. 

Cette norme ISO 31000 nous présente ainsi le cadre de mise en place d’un processus de management des risques. Sur le schéma ci-dessus, on comprend qu’avant même de passer à la phase d’identification, d’analyse et d’évaluation des risques, il est essentiel d’établir le contexte de l’organisation. 

Établissement du contexte 

Un même risque peut avoir une probabilité et un impact différents selon l’organisation, son secteur d’activité, sa taille et son contexte. C’est pourquoi il est impossible de simplement “copier-coller” un système d’évaluation d’une autre organisation et qu’il faut impérativement analyser soit-même son contexte qui est propre à l’organisation. 

Lorsque l’entreprise fait cette analyse, elle essaye d’affiner sa connaissance sur son secteur et les facteurs réglementaires liés à ce secteur d’activité, ainsi que des dysfonctionnements internes qui existent.

Cette première phase est donc essentielle pour : 

  • intégrer les facteurs externes et les dépendances
  • mettre en cohérence les impacts qui peuvent être applicables à l’organisation
  • aligner la gestion des risques avec la stratégie de l’organisation et les obligations vis-à-vis des parties prenantes

Nous avons d’ailleurs rédigé un article dédié à l’établissement du contexte avec les outils à utiliser. 

Une fois le contexte compris et partagé, l’organisation doit trouver des variables d’évaluation des risques avec des critères applicables à l’ensemble de l’organisation (environnementaux, humains, sociaux, financiers…). 

💡 Il est impossible de gérer ses risques en prenant en compte un seul critère.

Il faut aussi définir le niveau d’acceptabilité des risques qui doit être défini dans le cadre de la mise en place d’un système d’évaluation des risques.  

Ce qui rend le système d’évaluation pertinent et cohérent, c’est avant tout cette analyse du contexte. Sans cette étape, impossible de construire un dispositif objectif et aligné avec la réalité de l’organisation.

Pourquoi ? Parce qu’en l’absence de cadre commun, chaque service risque d’évaluer les impacts selon sa propre perspective. Par exemple : un collaborateur en production se concentrera sur la continuité des opérations, alors qu’un autre, plus sensibilisé aux enjeux environnementaux, pointera l’impact écologique d’une activité énergivore.

La mise en place d’un système d’évaluation des risques 

Le choix des variables d’identification

Dans la plupart des organisations, deux variables sont suffisantes pour évaluer un risque : 

  • la gravité (ou l’impact) 
  • la vraisemblance (ou la probabilité) 

En multipliant ces deux variables, on obtient alors la criticité du risque. Cet indicateur permet de prioriser les risques selon leur niveau d’urgence. 

💡 En fonction du secteur d’activité ou de la complexité de l’organisation, il est possible d’ajouter d’autres variables comme la détectabilité par exemple. 

Les critères d’évaluation

Une fois les variables définies, l’organisation doit les clarifier en leur donnant du sens. En effet, il ne suffit pas d’identifier des niveaux de vraisemblance et de gravité : encore faut-il que chacun comprenne ce qu’ils signifient concrètement.

Des termes comme “très forte”, “significatif”, ou “mineure” peuvent être interprétés de manière très différente selon les personnes et les services. Par exemple : qu’est-ce qu’une vraisemblance forte ? Qu’implique une gravité majeure ? Il s’agit donc de donner un sens commun des termes utilisés pour l’évaluation des risques pour que chacun parle le même langage. 

Pour être le plus objectif possible, l’entreprise peut adopter des variables quantifiables ou bien des variables avec des données non quantifiables, mais qui ont quand même une certaine qualité, permettant de bien la mesurer.

Les échelles de cotation des risques 

Pour donner du sens aux termes utilisés dans les variables d’évaluation, il est nécessaire de construire des échelles de cotation. Cela comprend : 

  • la confirmation des niveaux et leur quantification (mineur, important, majeur…)
  • la définition de chaque critère choisi (financier, qualité / temporel, probabilité)

L’idée est de permettre à chaque membre de l’entreprise de comprendre précisément ce que signifient ces termes. 

Par exemple, pour une organisation, une vraisemblance “très forte” pourrait correspondre à une probabilité de plus de 50 %, ou à un événement qui survient plus d’une fois par semaine selon le critère temporel. De même, une gravité “importante” pourrait être définie, d’un point de vue financier, comme un impact situé entre 400 000 et 1 million d’euros. 

Ces échelles doivent être spécifiques à chaque organisation et adaptées à son contexte. Il n’est pas question d’appliquer un modèle standard “clé en main” : la pertinence de l’analyse repose sur cette personnalisation.

La limite d’acceptabilité

Pour répondre à la question : qu’est-ce qu’un risque “supportable” ou “intolérable” ? Il est indispensable de définir la limite d’acceptabilité. 

Cette limite peut prendre la forme d’une courbe ou d’une ligne. L’idée est qu’elle va séparer la matrice en deux zones : 

  • celle des risques que l’organisation peut potentiellement accepter
  • celle des risques que l’organisation ne peut pas accepter 

En fonction de la zone où un risque est positionné, il sera plus facile de déterminer : 

  • les priorités d’action
  • le type de mesures à mettre en œuvre pour le maîtriser

💡Maîtriser les risques, ce n’est pas tenter de les annuler, c’est chercher à les ramener en deçà de la limite d’acceptabilité. 

Exemple de mise en place d’un système d’évaluation

Prenons le cas concret d’un risque de cyberattaque visant un hôpital public. Les causes et conséquences possibles sont multiples et illustrent bien l’importance d’un système d’évaluation structuré. 

Causes : 

  • Failles techniques (logiciels obsolètes, mises à jour non appliquées)
  • Erreur humaine (phishing, absence de formation)
  • Réseau mal segmenté, prestataires non sécurisés
  • Budget cybersécurité insuffisant

Conséquences :

  • Soins retardés ou interrompus (plus d’accès aux dossiers médicaux)
  • Arrêt des systèmes, désorganisation logistique, perte de temps
  • Perte de confiance des patients et partenaires
  • Non-conformité RGPD, poursuites potentielles
  • Coûts de récupération, rançon, perte d’activité

Une fois ce contexte analysé, on va évaluer la gravité et la vraisemblance de ce risque via l’analyse des différents impacts.  Pour la gravité, comme évoqué précédemment, on va regarder différents impacts : 

  • Humain : 64 (majeur) : soins interrompus, risque vital 
  • Opérationnel : 64 (majeur) : interruption de soins
  • Financier : 16 (important) : coûts de rétablissement, pertes nettes 
  • Juridique : 16 (important) : perte ou vol de données de santé
  • Réputationnel : 16 (important) : perte de confiance du public

On retient le score le plus élevé pour définir la gravité globale : ici, 64 (majeur).

En combinant les deux : Gravité (64) x Vraisemblance (4) = Criticité 256

Sur la matrice des risques, ce score se situe au-dessus de la limite d’acceptabilité. Le risque est donc jugé inacceptable et nécessite une action immédiate.

Pour cela, nous allons nous appuyer sur un petit tableau qui permet de définir, de la manière la plus objective possible, à partir de quelle fréquence (par exemple annuelle) ou de quelle probabilité d’occurrence un risque devient faible, modéré, probable ou très probable.

On peut donc dire que dans le contexte géopolitique actuel, avec des systèmes parfois vulnérables – notamment dans certains hôpitaux où le personnel médical n’est pas toujours sensibilisé aux enjeux de cybersécurité – on peut estimer que la vraisemblance de ce type de risque est aujourd’hui relativement élevée.

Il pourrait par exemple : 

  • mettre à jour tous les systèmes et les maintenir à jour
  • segmenter le réseau et sécuriser les accès
  • former le personnel aux risques numériques
  • réaliser des audits réguliers 

C’est quoi un bon système d’évaluation des risques ?

Un bon système d’évaluation des risques s’appuie sur : 

  • une compréhension claire du contexte (stratégie, processus, acteurs, environnement)
  • des échelles partagées et bien définies
  • une matrice lisible pour faciliter la comparaison des risques
  • une revue périodique pour ajuster en fonction de l’évolution des enjeux et contexte organisationnel.

Mettre en place un système d’évaluation des risques, ce n’est pas juste remplir une matrice. C’est outiller l’organisation pour mieux décider, anticiper et protéger ses ressources. 

Lorsque le système est bien défini, il doit permettre de : 

  • comparer objectivement les risques entre eux
  • aligner l’analyse avec les enjeux réels (stratégiques, opérationnels, réglementaires)
  • rendre possible une priorisation des efforts et des plans d’action
  • faciliter une communication claire entre les équipes, la Direction et les parties prenantes

Une organisation qui évalue bien ses risques est une organisation qui décide mieux, plus vite et plus sereinement. 

Image à la Une : Gerd Altmann – Odan

Photo of author

Amanda Wanderley

https://www.linkedin.com/in/awanderley/
Consultante Senior BPM & Risques
Amanda est consultante, spécialisée dans la cartographie des processus et des risques, la mise en œuvre d’outil BPM et d’audit. Elle accompagne les organisations dans le suivi de leurs projets, le déploiement des solutions PYX4 et la formation de leurs équipes.

Blog Focus performance

À lire aussi...

PYX4 - Gestion des risques : ce que disent les chiffres
[Infographie] Gestion des risques : ce que disent les chiffres
Selon les résultats du Baromètre de la Performance des Organisations 2024, la gestion des risques est le deuxième sujet qui devrait prendre de l’ampleur dans ...
PYX4 - Lexique métiers qualité, amélioration continue, risques et performance
Lexique des métiers de la Qualité / Performance / Amélioration continue / Risques
Amélioration continue / Performance / Qualité / Risques Amélioration continue Consultant Amélioration continue : Souvent externe à l’organisation, il intervient pour l’aider à optimiser ses ...
PYX4 - 13 articles à lire sur la gestion de risques
Gestion des risques : 13 articles à lire
Pour une organisation, bien gérer ses risques, c’est avoir toujours un coup d’avance – par rapport aux concurrents, à la conjoncture, au marché – et ...
PYX4 - Bonnes pratiques de la gestion des risques dans le secteur public
Les bonnes pratiques de la gestion des risques dans le secteur public
Aujourd’hui plus que jamais, les organisations évoluent dans un environnement incertain et mouvant et sont confrontées à une multitude de risques. Les entités publiques ne ...
PYX4 - Logotype de la marque PYX4 pour les fêtes de noel en couleur

Notre suite logicielle permet aux organisations de s’adapter aux transformations perpétuelles qu’impose leur marché en s’appuyant sur une méthodologie simple et intuitive privilégiant une implication de tous les collaborateurs.

Nos solutions
Découvrir la plateforme
PYX4 Process
PYX4 Improver
PYX4 Risk
PYX4 Store
VOS Besoins
Gérer le système qualité
Maîtriser les risques
Modéliser les processus
Voir tous les enjeux
Voir tous les métiers
Ressources
Blog PYX4
Cas clients
Qui est PYX4 ?
Nous rejoindre
Essayer PYX4 Process
Contactez-nous
Partenaires
Nos soutiens

PYX4 est soutenu par la région Auvergne Rhône Alpes

PYX4 - logo de l'Union Européenne et du FEDER

Le logiciel PYX4 est cofinancé par l’Union Européenne.
L’Europe s’engage à la Réunion avec le FEDER (Fonds Européen de Développement Economique et Régional)

Made with ❤️ in Lyon & Montréal

C.G.V Mentions légales Confidentialité Status