La pandémie actuelle aura permis de mettre en exergue des failles dans les méthodes d’analyse et des erreurs de perception majeures. Si la menace était connue et prise en compte par les analystes, les impacts associés ont souvent mal été identifiés, sous-évalués ou volontairement écartés des dispositifs de gestion des risques par les organisations. Il convient donc de s’interroger sur la pertinence des méthodes d’analyse utilisées et d’envisager les ajustements méthodologiques nécessaires.

Il y a 8 ans, je présentais une cartographie des risques au Directoire d’une entreprise étrangère. L’analyse était issue de 31 entretiens réalisés avec des directeurs, responsables et experts internes. Les échanges avaient révélé 3 difficultés majeures :

1. Des difficultés pour les experts de transmettre leur connaissance,

2. Un sentiment de maîtrise lorsque le processus était externalisé,

3. Une volonté d’ajuster les évaluations selon les aspirations professionnelles de chacun.

La cartographie n’inspirait pas confiance et ne reflétait pas la réalité de l’exposition aux risques de l’entreprise. Une cartographie parallèle avait donc été réalisée pour mettre en avant les erreurs de perception et d’analyse collective. Elle faisait apparaître les incohérences de l’analyse et, pour la première fois, des liens entre les risques. Il s’agissait de démontrer qu’un risque de faible intensité pouvait entraîner la survenance de risques majeurs via des phénomènes de propagation internes et externes au système. A l’issue de la présentation, la décision avait été prise de conserver deux cartographies, l’une officielle (la première) qui serait présentée aux parties prenantes externes, et l’autre (officieuse) qui resterait au niveau du Directoire. Cette expérience m’avait permis de comprendre que nous ne savions pas et nous ne voulions pas adopter une approche systémique en analyse des risques. Par méconnaissance ou par confort, nous ne saurions donc pas réduire, ni maîtriser les risques majeurs auxquels nous serions susceptibles d’être exposés. Après 12 années de conseil en gestion des risques, je suis toujours convaincue que l’adoption d’une approche systémique en cartographie des risques est essentielle et que de nombreux ajustements méthodologiques doivent être réalisés dans ce sens.

L’entreprise doit mieux connaître son écosystème et ses règles de fonctionnement en adoptant une approche systémique. Cette approche permet de mieux comprendre les liens internes et externes de l’organisation, ses engagements, les flux circulant ainsi que leur temporalité. Elle s’appuie sur une compréhension fine de l’écosystème de l’organisation. Les parties prenantes internes et externes y sont clairement identifiées, qu’ils participent directement au déroulement du processus (experts internes, sous-traitants, partenaires) et/ou qu’ils permettent le traitement du sinistre quand le risque est matérialisé (experts externes, autorités publiques, pompiers, gendarmes, assureurs). Car de la résilience et de la performance de ces acteurs dépendront celles de l’entreprise. Adopter une approche systémique c’est mieux appréhender les menaces exogènes, diffuses et invisibles, qu’elles concernent directement l’entreprise ou ses partenaires. C’est mettre en relief les phénomènes de propagation et n’écarter aucun risque (de ceux connus du métier, aux risques de grande intensité, considérés comme peu probables).

Par conséquent, les cartographies réalisées sont relatives. Elles positionnent les risques les uns par rapport aux autres. Elles ne peuvent considérer chaque risque de manière isolée, tout incident pouvant entraîner la survenance de nouveaux impacts défavorables pour l’organisation.

L’évaluation de la probabilité d’occurrence du risque ne peut se satisfaire d’une approche exclusivement statistique des événements. Le monde évolue, les menaces et les vulnérabilités des organisations aussi. Elles se développent au rythme des évolutions technologiques et des liens de dépendances créés entre les acteurs. Considérer que la probabilité d’occurrence d’un risque se limite à son historique de sinistralité est un des biais majeurs des cartographies des risques actuelles. Le risque de demain ne peut prendre la forme de celui déjà survenu car les menaces sont différentes, l’entreprise s’est transformée et les impacts ont nécessairement évolué. L’organisation doit dorénavant plébisciter une approche projective du risque, s’éloigner parfois des modèles purement mathématiques et développer la capacité imaginative des analystes.

L’ensemble des protagonistes de la gestion des risques devront donc changer leur perception du risque et de la méthode, arrêter d’envisager l’étude des risques comme une science exacte, un corpus d’analyses contraignantes voire limitantes ou, au contraire, comme un outil de communication interne.

Sur la base du modèle de Reason, ils devront considérer qu’une crise est souvent liée à la survenance de multiples défaillances dans le « système entreprise ». Que pour appréhender au mieux ces défaillances il faudra, préalablement à toute analyse des risques, intégrer une étude de vulnérabilités du système. L’approche binaire risque brut / risque résiduel qui considère que nos dispositifs de contrôle viennent limiter le risque, est dépassée. Nous devons désormais considérer nos vulnérabilités pour comprendre dans quelles mesures elles amplifient les risques et aggravent les crises.

Notre regard sur les méthodes d’analyse des risques doit changer. Il devra désormais passer par une connaissance fine du fonctionnement de l’entreprise, de ses processus, spécificités organisationnelles, outils et moyens matériels mis à disposition au travers d’une modélisation éventuelle de ses processus. C’est à cette condition que les liens de dépendance et les vulnérabilités de l’organisation pourront être identifiés. Les ajustements méthodologiques devront, d’autre part, laisser plus de place à une approche systémique et une vision plus projective du risque pour une meilleure évaluation des impacts et une plus grande efficacité en gestion de crise.