Comment suivre les risques en 2025 : un guide avec des exemples et des meilleures pratiques

Une perspective pratique sur la gestion des risques dans la planification stratégique en utilisant la norme ISO 31000 comme guide.

Principales tendances façonnant le paysage de la gestion des risques en 2025/2026

Nous suivons activement les tendances émergentes en planification stratégique, en particulier leur impact sur la gestion des risques.

Voici les évolutions de la gestion des risques que nous prévoyons pour 2025/2026 :

• Davantage de réglementations incluent explicitement des exigences pour les pratiques de gestion des risques. Le concept de parties prenantes devient plus répandu dans la gestion des risques.
• La tendance GRC est en hausse, avec un passage visible du reporting des risques à la gestion active des risques. Par exemple, nous voyons les registres de risques traditionnels être complétés par une documentation des risques centrée sur les objectifs plus pratique.
• La gouvernance de l’IA est largement adoptée pour atténuer les risques associés à l’IA générative émergente.
• Des violations de données notables (comme la panne de CrowdStrike) ont suscité un intérêt accru pour la validation des fournisseurs tiers.
• Les tendances continues d’instabilité économique et politique poussent les organisations à élargir leurs modèles de risque, en particulier dans le domaine de la chaîne d’approvisionnement.
• Les événements météorologiques extrêmes ont élargi l’intérêt pour la reprise après sinistre au-delà des TI fondamentales.

Le risque est un sujet tendance dans la communauté professionnelle. Nous voyons de plus en plus de conférences sur le risque et le GRC à travers les États-Unis et l’Europe. Nous partagerons notre expérience pratique en gestion des risques à travers des interventions en conférences prévues.

Introduction : Définir le risque au-delà de la probabilité et de l’impact

La norme directrice dans le domaine de la gestion des risques est l’ISO 31000. Il est intriguant d’observer l’évolution de la définition du risque par cette norme au fil du temps :

• L’ancienne définition ISO du risque : « Une chance ou probabilité de perte. »
• La définition selon l’ISO 31000:2018 : « L’effet de l’incertitude sur les objectifs. »

Qu’est-ce qui a changé ?

• L’ancienne définition mentionnait « perte« ; la nouvelle utilise le terme « effet. » Ce changement implique des effets potentiels positifs et négatifs, ainsi que l’importance des intangibles comme la perception des clients.
• L’ancienne définition utilisait « chance » et « probabilité » pour décrire la probabilité des occurrences. Dans la définition moderne, nous rencontrons « l’effet de l’incertitude« , également expliqué comme l’effet de la connaissance incomplète. Cette approche permet plus de flexibilité dans la définition des risques, allant au-delà du modèle « probabilité x impact ».
• L’ajout du terme « objectif » à la nouvelle définition souligne que les risques sont définis dans un contexte spécifique, évitant ainsi un potentiel désalignement avec la stratégie globale.

Explorons l’application pratique de la gestion des risques dans la planification stratégique en utilisant les principes directeurs de la norme ISO.

1. Évaluation des risques : systématique et consciente des parties prenantes

Cartographier les risques possibles à travers une analyse systématique des forces motrices et de leurs indicateurs de signes précoces dans le contexte de la stratégie de l’organisation et des intérêts des parties prenantes.

La directive générale de la norme ISO souligne que l’évaluation des risques doit être systématique et prendre en compte les points de vue des différentes parties prenantes.

Que signifie-t-il en pratique ?

Évaluation des risques : Systématique

Le concept d’évaluation des risques « systématique » varie selon les industries. Essentiellement, il implique de suivre des processus et des normes déterminés, tels que :

• Régularité de l’évaluation des risques
• Quantification du risque
• Attribuer des personnes responsables

Ci-dessous, nous discutons de la manière dont cela peut être mis en œuvre au niveau opérationnel.

Évaluation des risques : Vue des parties prenantes

Similaire à d’autres domaines d’activité (considérons, par exemple, la directive de reporting sur la durabilité), la norme ISO se concentre sur la définition des parties prenantes et exige de prendre en compte les points de vue des parties prenantes lors de la gestion des risques.

En pratique, cela signifie que les organisations doivent :

• Effectuer une analyse des parties prenantes pour définir les parties intéressées impliquées.
• Prendre en compte les intérêts des parties prenantes lors de la création d’un modèle de risque dans le contexte des objectifs.

Cette exigence standard s’aligne bien avec l’approche que nous préconisons à travers notre système de mise en œuvre de la stratégie.

Les utilisateurs de BSC Designer trouveront le modèle d’analyse des parties prenantes dans leurs comptes.

• La liste des parties prenantes peut être définie via Réglages > Organisation > Stratégie.
• Les parties prenantes de la liste seront incluses dans la liste ‘Responsable‘ et peuvent être assignées à un objectif, un risque ou un plan d’atténuation des risques.

Identification des risques dans le contexte des objectifs

La prochaine étape de l’évaluation des risques est de nommer le risque spécifique. La nouvelle norme ISO exige que les risques soient définis dans le contexte des objectifs. L’objectif de la norme est d’améliorer l’alignement entre le risque et le contexte commercial.

Michael Rasmussen, un analyste GRC renommé, a partagé sa perspective sur la gestion des risques pour la création de valeur par rapport à la gestion des risques pour la conformité :

• « [Un bon outil de gestion des risques] commence par les objectifs de l’entreprise et cartographie et gère les risques dans le contexte de ces objectifs (vrai ISO 31000). »

Dans la planification stratégique, au lieu d’avoir un tableau de bord des risques séparé, intégrez les risques dans les tableaux de bord stratégiques.

Lors de la décomposition de la stratégie basée sur la valeur, nous détaillons les ambitions stratégiques des parties prenantes en objectifs et sous-objectifs plus spécifiques. À ce stade, nous quantifions les objectifs et définissons les risques pour mieux comprendre le contexte commercial auquel nous faisons face.

La plupart des outils que nous utilisons pour analyser l’environnement commercial (voir le segment Analyse de la Stratégie sur le diagramme) aideront naturellement à l’identification des risques.

Pour définir un risque dans BSC Designer :

• Sélectionnez un objectif existant ou créez-en un nouveau.
• Choisissez Ajouter un risque dans le menu du bouton Ajouter.
• Remplissez les facteurs pertinents dans le champ de description et utilisez la section Documents pour télécharger tout document justificatif.

Pour entrer les résultats de l’analyse des risques :

1. Sélectionnez l’indicateur Probabilité.
2. Entrez l’estimation initiale du risque dans le champ Inhérent.
3. Entrez le risque acceptable dans le champ Acceptable.
4. Entrez l’estimation actuelle du risque dans le champ Résiduel.

Répétez les étapes pour l’indicateur Impact.

Définir des indicateurs de signes précoces

La cause profonde du risque est ce qui est désigné dans l’ISO comme l’effet d’une « connaissance incomplète ».

Comment pouvons-nous améliorer nos modèles de risque dans le contexte des forces motrices ?

En plus des indicateurs de probabilité, définissez des indicateurs de signes précoces. Par exemple, ceux-ci pourraient être des indicateurs d’alerte précoce de crises économiques ou même de guerres. En traduisant les forces motrices générales en facteurs plus spécifiques, nous augmentons la chance de trouver un indicateur d’alerte précoce fiable.

Dans la planification stratégique, nous distinguons ces indicateurs prédictifs/avancés alignés avec les facteurs de succès des indicateurs qui mesurent les résultats (indicateurs retardés).

Pour créer un indicateur prédictif de signes précoces dans BSC Designer :

• Créer un nouvel indicateur.
• Passer à l’onglet Contexte.
• Changer le type d’indicateur en « Avancé ».

Changer le type d'indicateur en Avancé. Source : Exemple de gestion des risques.

Cet indicateur ne sera pas pris en compte lors du calcul de la performance de son objectif parent, mais nous pouvons le suivre et l’utiliser pour quantifier la découverte de risques ou les initiatives d’atténuation des risques.

2. Analyse des risques : Probabilité, impact, vulnérabilité

Rendez les risques plus spécifiques en quantifiant des attributs tels que la probabilité, l’impact et la vulnérabilité.

L’analyse des risques est une pratique large axée sur la compréhension des risques et de leurs effets potentiels sur l’organisation. Ci-dessous, nous fournissons des suggestions pour l’analyse des risques dans le cadre de la planification stratégique.

Définir l’indicateur de probabilité/Probabilité

L’indicateur de probabilité peut être défini :

• Qualitativement, par exemple, sur l’échelle [Bas, Moyen, Haut] ou
• Quantitativement, par exemple, sur l’échelle [0 à 100%].

L’échelle quantitative convient aux cas où l’événement à risque dispose de données empiriques suffisantes pour estimer sa probabilité sur une certaine période de temps.

Une échelle quantitative pour mesurer la probabilité du risque. Source : Exemple de gestion des risques.

Les utilisateurs de BSC Designer peuvent définir des unités de mesure qualitatives (une échelle personnalisée [« Rare, Improbable, Possible, Probable, Certain »]) que le logiciel peut convertir en valeurs spécifiques.

Une échelle qualitative pour évaluer la probabilité du risque. Source : Exemple de gestion des risques.

Indicateur d’impact du risque

Semblable à l’indicateur de probabilité, nous pouvons définir l’indicateur de risque quantitativement sur une échelle de 0 à 100 %.

Une option alternative serait d’utiliser une échelle en dollars pour l’indicateur d’impact du risque.

Indicateur d'impact mesuré sur une échelle en dollars. Source : Exemple de gestion des risques.

Semblable à l’indicateur de probabilité, nous pouvons définir une échelle quantitative personnalisée pour l’impact :

Échelle qualitative pour l'indicateur d'impact du risque. Source : Exemple de gestion des risques.

Indicateur de vulnérabilité

L’estimation de la probabilité du risque et de son impact possible ne prend pas en compte la sensibilité de l’organisation à ce type de risque.

Lors de la discussion sur les indicateurs de signes précoces, nous avons quantifié des aspects de l’environnement commercial pouvant prédire le développement de certaines forces motrices. Dans le cas de la vulnérabilité, nous menons une analyse similaire mais nous concentrons sur l’organisation et son infrastructure.

Par exemple, nous pourrions évaluer les vulnérabilités existantes en matière de cybersécurité à travers des jeux de guerre ou des simulations d’attaques. Des exemples plus spécifiques peuvent être trouvés dans l’article sur la cybersécurité.

La “vulnérabilité” peut être quantifiée selon le CVSS sur une échelle de 0 à 10 avec la fonction d’optimisation de « Minimisation ».

Aligner le risque avec l’efficacité des contrôles internes

Une façon d’estimer la probabilité ou l’impact d’un risque est d’évaluer l’efficacité des contrôles internes.

L’efficacité des contrôles est validée par des indicateurs retardés. Si ceux-ci sont dans la zone verte, nous pouvons nous attendre à une estimation de risque plus faible.

Suivre les facteurs de temps

Le changement constant des forces motrices, ainsi que les initiatives de prévention des risques, entraînent des changements dans les estimations des risques.

Suivez l’évolution du risque dans le temps et notez les idées pertinentes pour le cycle d’apprentissage et d’amélioration.

Pour automatiser cela dans BSC Designer :

• Établissez un intervalle de mise à jour pour les indicateurs de risque.

• Utilisez le calendrier interne et le champ Valeur pour mettre à jour l’indicateur avec des données récentes.
• Utilisez le bouton de commentaire pour ajouter des notes pertinentes à la mise à jour.

3. Traitement du risque : Décider comment répondre au risque

Mettre en œuvre des plans d’atténuation pour les risques et suivre le succès de la mise en œuvre avec les statuts des initiatives et des indicateurs d’atténuation des risques.

Selon les seuils établis de risques acceptables et en suivant les résultats de l’analyse des risques, les décideurs formulent une stratégie de réponse pour le risque avec des options possibles comme :

• Éliminer les risques comme non pertinents
• Surveiller dans le cadre du modèle de risque existant
• Introduire un plan de traitement du risque
• Remettre en question l’analyse des risques
• Remettre en question le contexte (objectif ou ambition des parties prenantes)

Dans BSC Designer :

• Utilisez les initiatives de Plan d’atténuation des risques pour rédiger des plans de traitement des risques.
• Alignez l’indicateur de progrès avec l’initiative d’atténuation des risques.
• Utilisez le champ de statut du risque pour indiquer son statut actuel selon le flux de gestion des risques accepté.

Suivre le statut de l'initiative d'atténuation des risques. Source : Exemple de gestion des risques.

• Ajouter des éléments supplémentaires via la boîte de dialogue Initiatives (nouveaux risques, initiatives, justifications, hypothèses, résultats attendus)
• Ajouter des données pertinentes pour le traitement des risques, telles que le budget, le calendrier, l’indicateur de progrès, les personnes responsables
• Télécharger des documents de soutien pertinents

4. Suivi des risques : Un nouveau regard sur l’exposition au risque

Suivez l’évolution de l’exposition au risque au fil du temps avec des indicateurs clés de risque et des tableaux de bord.

Les indicateurs que nous avons utilisés pour définir les risques sont configurés pour un certain intervalle de mise à jour. Les personnes garantes assignées aux indicateurs de risque recevront des notifications sur les prochains intervalles de mise à jour et les mises à jour manquées.

Il est également possible de visualiser sur le tableau de bord les indicateurs qui n’ont pas été mis à jour à temps.

Les détails de toutes les mises à jour (personne qui a mis à jour, quand la mise à jour a été effectuée, si la valeur précédente a été modifiée) peuvent être visualisés via le journal d’audit pour les indicateurs.

Au niveau du tableau de bord de gouvernance, l’analyse régulière des risques peut être quantifiée par un indicateur dédié :

• Ajouter le « Effectuer une évaluation systématique des risques » au tableau de bord de gouvernance.
• Configurer l’indicateur pour être mis à jour trimestriellement ou annuellement.
• Assigner la personne/équipe responsable de l’analyse régulière des risques en tant que responsable de cet indicateur pour recevoir des rappels par email sur les mises à jour à venir.
• Aligner cet indicateur avec les indicateurs correspondants des niveaux inférieurs qui quantifient les évaluations des risques effectuées dans des domaines spécifiques.

Tableaux de bord

En plus de surveiller avec des indicateurs régulièrement mis à jour, envisagez d’ajouter un tableau de bord avec des diagrammes pertinents :

• Un diagramme avec une liste des risques, leurs statuts, l’avancement du traitement, les personnes responsables
• Des diagrammes dédiés aux risques les plus critiques
• Des diagrammes pour l’indice de risque et son évolution dans le temps.

Un tableau de bord avec des diagrammes de risque. Source : Exemple de gestion des risques.

Indice de risque pondéré

L’un des moyens populaires pour signaler les incidents de risque est d’utiliser un indice de risque pondéré. Un indice simple pourrait ressembler à ceci :

• Événements à faible impact (poids = 5 %)
• Événements à impact moyen (poids = 15 %)
• Événements à fort impact (poids = 30 %)
• Événements critiques (poids = 50 %)

L’utilisation de l’indice aide à prévenir la manipulation de l’indicateur en masquant les événements de grande valeur avec des corrections de faible valeur.

Un exemple d'indice de risque pondéré. Source : Exemple de gestion des risques.

Dans BSC Designer :

• Utilisez le bouton Ajouter pour créer une structure hiérarchique d’indicateurs.
• Utilisez la propriété Poids dans l’onglet Performance pour attribuer un poids pertinent aux indicateurs.

Gestion des risques à grande échelle : registre des risques vs. définitions des risques centrées sur les objectifs

Lorsqu’elles développent des pratiques liées aux risques, les organisations combinent généralement ces deux méthodes de gestion des risques pour équilibrer la visibilité des risques et l’alignement :

• Utiliser un tableau de bord registre des risques pour les risques généraux, et
• Se concentrer sur des définitions de risques centrées sur les objectifs pour des risques plus spécifiques.

Un exemple de registre des risques dans un tableau de bord fonctionnel automatisé par BSC Designer. Source : Registre des risques.

Analyse de risque complète – Méthode Bowtie

Ci-dessus, nous nous sommes concentrés sur l’analyse quantitative de risques spécifiques. Mais que faire si nous avons besoin d’une compréhension plus détaillée des incertitudes liées à un événement de risque particulier, qui implique plusieurs menaces et conséquences à travers diverses dimensions ?

Dans de tels cas, la méthode d’analyse de risque bowtie offre une vue claire et structurée de cet événement de risque spécifique, en cartographiant non seulement l’événement lui-même mais aussi ses contrôles de prévention et d’atténuation.

Diapositives

Session : 'Gestion des risques avec BSC Designer' est disponible dans le cadre du programme d'apprentissage continu de BSC Designer, proposé à la fois en atelier en ligne et sur site. En savoir plus....

Conclusion : intégrer le risque dans la planification stratégique

Nous ne parlons plus de disciplines distinctes de gestion des risques, conformité, et gouvernance. L’environnement commercial en évolution rapide oblige les organisations à rechercher un cadre GRC intégré.

Comme décrit dans notre Système de mise en œuvre stratégique, la mise en œuvre pratique comprend :

• Décomposer des problèmes complexes en domaines spécifiques, gérés par des tableaux de bord de stratégie et de fonction dédiés.
• Formuler des objectifs avec des définitions de risque appropriées, des indicateurs et des initiatives.
• Centrer les tableaux de bord sur des domaines d’intérêt, tels que la conformité, la cybersécurité ou la chaîne d’approvisionnement.

Utiliser le modèle Risk Management Example

BSC Designer aide les organisations à mettre en œuvre leurs stratégies complexes :

1. Inscrivez-vous pour un plan gratuit sur la plateforme.
2. Utilisez le modèle Risk Management Example comme point de départ. Vous le trouverez dans Nouveau > Nouveau tableau de bord > Plus de modèles.
3. Suivez notre Système de mise en œuvre stratégique pour aligner les parties prenantes et les ambitions stratégiques dans une stratégie globale.

Commencez dès aujourd'hui et voyez comment BSC Designer peut simplifier la mise en œuvre de votre stratégie !

Alexis Savkín

Alexis est un consultant en stratégie senior et PDG de BSC Designer, avec plus de 20 ans d’expérience en planification stratégique. Avec une formation en mathématiques appliquées et en technologies de l’information, il apporte une perspective analytique et orientée systèmes à la gestion de la stratégie et de la performance. Alexis a développé le « Système de mise en œuvre de la stratégie en 5 étapes » qui aide les entreprises à mettre en œuvre leurs stratégies de manière pratique. Il est un conférencier régulier lors de conférences industrielles et a écrit plus de 100 articles sur la stratégie et la gestion de la performance, ainsi que le livre « Système KPI en 10 étapes ». Son travail est fréquemment cité dans la recherche académique.