Les Risques : définition, types, évaluation et gestion
Guide relatif aux risques :
- Définition et notions utiles
- Principes de gestion des risques
- Les différents types de risques
Définir le Risque
Définition de risque
Par définition un risque représente un dommage qui « pourrait » survenir.
- Sa gravité : l’ampleur des dommages potentiels
- Sa probabilité d’occurrence : « à quel point il est probable de subir le dommage »
Ce couple de valeurs permet d’estimer un niveau de risque.
Notez qu’un risque n’est pas une réalité physique, c’est un indicateur entièrement défini selon votre façon de voir les choses.
Le risque zéro n’existe pas !
C’est un effet de la définition du risque : le risque zéro n’existe pas. Qu’il concerne la probabilité ou la gravité le zéro annule le risque, qui devient un dommage impossible ou une possibilité sans dommage…
Des risques estimés puis constatés
La notion de risque connait deux phases de vie distinctes :
- Une première phase lors des estimations avant survenue possible du risque (ex : en pré-projet) les estimations se font selon l’état de l’art, les probabilités d’occurrence et les gravités estimées sont des hypothèses.
- Une seconde phase lorsque le risque peut survenir / survient (ex : après commercialisation d’un produit, après le début d’une épidémie…) les données sont factuelles, issues des activités de surveillance. Les probabilités sont de vraies statistiques, les dommages de vrais constats.
Autres définitions
- Danger : la cause d’un risque
- Aléa : des dangers imprévisibles
- Situation dangereuse : la situation qui expose les gens/l’environnement/la société/… au danger.
- Risque majeur : un risque dont le niveau est supérieur à un seuil que vous (ou le contexte) avez défini
- Catastrophe : un risque incontrôlable
- Gestion des risques : toutes les étapes allant de l’identification jusqu’au suivi des risques, en passant par leur maitrise
- Identification des risques : imaginer les risques qui peuvent survenir, cette identification est constamment mise à jour
- Estimation des risques : attribuer un niveau à chaque risque, en fonction de sa probabilité et de sa gravité
- Évaluation des risques : évaluer le « caractère acceptable » des risques, en fonction des estimations et des critères d’acceptabilité préalablement définis
- Maitrise des risques : toutes les actions mises en œuvre pour réduire les risques identifiés. Idéalement, les risques sont totalement prévenus (ils sont éliminés), sinon ils sont réduits en fréquence et/ou en gravité.
- Risques résiduel : le niveau d’un risque après mise en œuvre de toutes les mesures de maitrise
- Communication : entre les différentes parties concernées, au service de la gestion des risques
- Suivi : activités de surveillance, qui alimentent en permanence la gestion des risques
Des risques «favorables» ?
Dernière subtilité : depuis que l’ISO 9001 est alignée à la structure HLS, une nouvelle notion est utilisée dans le monde de la qualité : celle d’opportunité, un risque «favorable».
Ceci permet de mettre en œuvre des analyses par forces et faiblesses (la méthode SWOT) / par risques et opportunités, mais cela ajoute surtout du flou à la confusion.
Retenez qu’un risque favorable est un bénéfice. On pourra le caractériser comme un risque, avec une probabilité d’occurrence et une importance de l’incidence positive (à l’image de la gravité d’un risque).
Gérer les risques
Planifier la gestion des risques
Il faut dans un premier temps clairement définir les tâches à accomplir et établir les responsabilités :
- en matière de politique d’acceptation des risques (les critères) qui revient « au plus haut gradé » : la direction dans une entreprise.
- concernant toutes les taches nécessaires à la gestion des risques, qui sont décrites ci-après
Identifier les risques
La qualité de votre analyse dépendra directement de votre connaissance du contexte, il est conseillé de le décrire en spécifiant :
- Les personnes / l’environnement / les équipements… impliqués
- Les différents dangers
- Les scénarios menant aux situations dangereuses
- Les dommages potentiels
Cela passe nécessairement par une revue de l’état de l’art :
- les risques déjà connus,
- les maitrises déjà mises en œuvre,
- les bonnes pratiques (guides, normes, spécifications, réglementation …)
- les possibilités techniques et les limites qui sont associées
Estimer les risques
C’est là que les choses se compliquent, il faut estimer – au moins qualitativement si ce n’est quantitativement – des probabilités et des gravités, or :
- Ces estimations concernent une pleine échelle gigantesque (ex :des probabilités qui varient de 1/1’000’000 à 50% ; une perte d’argent d’1€ à 1M€ ; un dommage pour la santé allant d’une simple gène à la mort…) qui sont difficiles à appréhender
- Vous n’avez pas la moindre idée des estimations
En première approche les estimations sont clairement « à la louche », elles sont ensuite affinées avec les données issues :
- De l’état de l’art
- D’expérimentation
- De modélisation
- Du terrain
Estimations du niveau de risque par matrice probabilité/gravité
La plupart des analyses sont réalisées avec des matrices, classiquement, une matrice 3×3 (voire 5×5) donne un niveau de risque en fonction du couple gravité/probabilité, exemple :
GRAVITÉ | PROBABILITÉ | ||
---|---|---|---|
FAIBLE | MOYENNE | HAUTE | |
SIGNIFICATIVE | Risque Moyen | Risque Élevé | Risque Élevé |
MODÉRÉE | Risque Acceptable | Risque Moyen | Risque Élevé |
NÉGLIGEABLE | Risque Acceptable | Risque Acceptable | Risque Acceptable |
Estimations quantitatives des risques
- Les probabilités sont exprimées en %
- Les dommages sont quantifiés lorsque possible (exemple : analyse financière) ou estimés selon une échelle, par exemple : 5 : max, 4 : critique, 3 : très élevé, 2 : élevé, 1 : moyen, 0 : faible, -1 : très faible …
Maitriser les risques
Principes
L’idée est de définir des mesures de réduction des risques. Beaucoup d’approches s’offrent à vous, il faut néanmoins les appliquer par ordre d’efficacité :
- Suppression totale du risque
- Utilisation de moyens de protection
- Mise en place d’une prévention, passant par l’information des parties prenante
- Compensation du risque s’il n’est pas réduit
Quand arrêter la maitrise des risques ?
C’est une des grandes subtilités en gestion des risques : savoir quand arrêter les maitrises. Les risques sont considérés suffisamment maitrisés quand… vos critères le disent !
Il-y-a deux approches :
- Une théorique : la maitrise est arrêtée quand le risque résiduel est plus petit qu’un seuil prédéfini
- Une pratique : la maitrise est arrêté quand on ne peut plus maitriser
L’approche théorique est dictée par les normes et les règlementations, qui hésitent entre deux concepts :
- réduction AFAP : “As Far As Possible” : autant que possible, ce qui n’a aucun sens (on pourra toujours faire plus) et est source d’innombrables prises de têtes avec les autorités.
- réduction ALARP : “As Low As Reasonably Practicable” : autant que raisonnablement possible, vous comprendrez que la notion de raisonnable n’est pas objective, cette philosophie est impraticable
En pratique la réduction se fait AFACP : “As Far As Contextually Possible” la maitrise s’arrête quand vous êtes conforme à l’état de l’art. Notez que ceci pousse à mettre à jour la maitrise dès que le contexte évolue.
Évaluer l’acceptabilité des risques résiduels
Vos risques ont été identifiés, un niveau de risque initial a été estimé pour le fun, vous avez réduit les risques AFACP, un niveau de risque résiduel a été estimé.
Reste à faire une revue :
- Des activités de maitrise,
- Des niveaux de risques résiduels,
- Des mesures planifiées pour le suivi et la mise à jour de la gestion des risques
Et de conclure sur l’acceptabilité des risques.
L’acceptabilité doit être maintenue dans le temps, les activités de surveillance assureront cela.
Informer / Communiquer / Sensibiliser
Il faudra communiquer pour :
- Sensibiliser sur les niveaux de risques résiduels.
- Faire comprendre les mesure de maitrise des risques reposant sur le destinataire.
- Sensibiliser sur le besoin de remonter les informations (et surtout les problèmes).
Surveiller les risques
Il est capital de correctement choisir les indicateurs qui vont permettre de surveiller les risques connus et de détecter les risques émergents. La définition des indicateurs n’est jamais figée, elle évolue avec votre compréhension des risques.Le risque observé sera à l’image des indicateurs choisis, avec tous les problèmes d’imprécisions, de biais et de mauvaises interprétation possibles.
Pour choisir les indicateurs de suivi, on considérera :
- Les besoins pour améliorer l’estimation des risques connus,
- Les moyens de détecter des risques émergents,
- La disponibilité d’indicateur sur des risques comparables ou corrélés,
- La facilité d’interprétation des indicateurs,
- Leur forme, les moyens de collecte des données, les modalités d’analyse, les moyens de présentation des données …
Les grands types de risques
Risques naturels
Des risques ayant pour cause des phénomènes naturels, qui peuvent créer des dommages pour la population, des équipements ou des ouvrages.
Ils sont gérés par les autorités et peuvent impliquer des acteurs privés.
- Canicule
- Grand froid, neige, grêle
- Inondation
- Sécheresse
- Feux de forêts
- Tempête
- Tsunami
- Avalanches
- Mouvement de terrain
- Retrait / gonflement des argiles
- Cyclones
- Éruption volcanique
- Séisme
Risques sanitaires
Les risques sanitaires peuvent atteindre la population (et/ou les animaux).
Ces risques sont maitrisés par les autorités et au besoin par des acteurs privés.
Les risques sanitaires concernent historiquement les problèmes de contamination, mais ils sont aussi étendus aux technologies, aux risques naturels …
Un risque sanitaire devient une catastrophe sanitaire lorsqu’il n’est plus maitrisé.
- Biologiques (virus, parasites, bactéries…)
- Chimiques (hydrocarbures, métaux lourds…)
- Physiques (rayonnement, température, matériaux dangereux…)
Exemple de situation dangereuses (risques de contamination) :
- Exposition via voie digestive
- Exposition via voie respiratoire
- Exposition via les muqueuses
Catégories de risques sanitaires en santé animale en France :
- 1ʳᵉ catégorie : peut porter atteinte à la santé publique
- 2ᵉ catégorie : peut porter atteinte à l’économie
- 3ᵉ catégorie : maitrise implique des acteurs privés
Risques médicaux
Ces risques concernent essentiellement les patients, voire leur entourage et les professionnels de santé. Ils peuvent survenir dans le cadre d’une prise en charge médicale.
Ces risques sont à maitriser par les professionnels du secteur (industriels et professionnels de santé) sous la surveillance des autorités compétentes.
Statuer sur l’acceptabilité des risques médicaux nécessite d’impliquer le patient.
- Décès
- Handicap permanent
- Handicap temporaire
- Douleur importante
- Gène
Exemples de dangers :
- Mauvais geste technique
- Mauvaise organisation
- Infection nosocomiale
- Mauvaise prescription
- Problème matériel
Exemples de mesures de maitrise :
- Formation des professionnels de santé
- Mise en place d’un système qualité
- Suppression des risques par conception des dispositifs, des produits, des protocoles
- Ajout de moyens de protection
- Information, sensibilisation, prévention
Risques professionnels / en entreprise / pour la santé au travail
Les risques professionnels peuvent impacter les salariés, ils sont maitrisés par l’employeur.
Ceci constitue une obligation légale (voir le code du travail).
- Amiante
- Travaux en hauteur
- Risques psychosociaux (voir ci-après)
- Troubles musculosquelettiques
- Pénibilité
- Chaleur Froid
- Travaux routiers
- Bruit
- Espaces confinés
- Exposition à des substances dangereuses (amiante peinture plomb soudure…)
Voir une liste complète
Les risques sont à évaluer selon un DUER dont la forme reste libre.
Risques psychosociaux
Les risques psychosociaux font partie de la famille des « risques pour la santé au travail ».
Ils désignent des risques de dommage physique ou psychiques, ils sont essentiellement causés par l’Homme, sur l’Homme.
- Stress (causes possibles : horaires management fluctuant interruptions…)
- Violence / Harcèlement moral physique ou sexuel (causé par des employés et/ou des personnes externes des usagers…)
- Épuisement professionnel (causes possibles : surcharge de travail, mauvaise planification, mauvais management…)
Risques technologiques
Les risques technologies accompagnent l’innovation et peuvent impacter la population, ses infrastructures, son environnement.
- Transport et stockage de matières dangereuses
- Accident industriel (ex : AZF)
- Accident nucléaire
- Rupture de barrage
- Risques miniers
- Pollution des sols
- Émissions de polluants et de GES dans l’atmosphère
- Pollution des réseaux et canalisations
- Industrie des hydrocarbures
- Déchets dangereux
- Silos
Voir la nomenclature ICPE.
En France, les risques technologiques sont maitrisés dans le cadre de PPRT : des Plans de Prévention des Risques Technologiques, notamment pour les risques d’inondation et les risques de sécheresse (lien).
Risques numériques / risques en cybersécurité
Les risques numériques peuvent impacter des produits et/ou leurs utilisateurs, ils sont à maitriser par les concepteurs des solutions numériques.
De nos jours, l’accent est mis sur les risques de cybersécurité de tous les domaines sensibles.
- Violation de confidentialité
- Atteinte à l’intégrité
- Atteinte à la disponibilité
- Propagation de fausse nouvelles
- Incitation à la haine
- Abrutissement des masses
Exemples de dangers (attaquants / pirates) :
- Organisation étatique
- Organisation terroriste
- Personne interne à l’organisation ciblée
- Attaquant isolé
- Hobbyiste / passionné
- Robot
En France, l’ANSSI porte l’analyse des risques selon la méthode EBIOS.
Risques sociaux
Les risques sociaux sont extrêmement larges, ils peuvent impacter la population et leurs causes sont très diverses.
- Risques pour la santé:
- Risques pour de maladie (ex : SIDA)
- Risques d’accident (ex : accidents au travail)
- Risque d’invalidité (ex : accidents de la route)
- Risque de décès (ex : pollution grave)
- Risques pour la maternité (ex : baisse fécondité, mortalité infantile, mortalité en couche …)
- Risque de vieillesse (beaucoup de risques sont corrélés à l’âge)
- Risques de nature financière / économique / emploi (pauvreté, emploi précaire, chômage, retraite…)
- Risques d’inégalité / d’exclusion (sociale, professionnelle… selon le sexe, l’âge, l’origine, le culte …)
- Risque pour la famille
- Risque associés au logement (prix, densité, équipements…)
- Risques liés à la démographie, à l’immigration, à l’émigration
- Risques associés aux compétences (insuffisance, obsolescence…)
Risques financiers
Les risques financiers se traduisent par une perte d’agent, pour un individu ou un organisme, dans le cadre d’opérations financières.
Les causes sont multiples, la maitrise est individuelle et, le cas échéant, assurée par les autorités.
- Fluctuation du marché
- Fluctuation des taux
- Mauvaise gestion
- Crédit non remboursable
- Météo (et oui)
Risques géographiques
Le monde de la géographie parlera d’aléa (le danger), et de facteur de vulnérabilité (la vulnérabilité au dommage).
Les aléas pourront être naturels, causés par l’homme, par ses technologies…
- Sous-équipement
- Surpeuplement
- Dépendance aux technologies
- Sous-compétences
- Sous-estimation / mauvaise estimation du risque
- Maitrise non-planifiée
Risques géopolitiques
Ces risques affectent les relations entre les états, ils sont le plus souvent causés par ces derniers, qui devront les maitriser. C’est le dernier niveau de risque, avant les risques climatiques.
- Conflits armés
- Guerres commerciales
- Indépendantisme, Nationalisme (ex : Brexit)
- Idéologie spécifique (ex : terrorisme)
- Accès aux ressources naturelles (ex : eau, pétrole)
- Inégalités (ex : inégalités des richesses, inégalités en santé)
- Exportation de troubles (ex : décès de George Floyd)
- Catastrophe sanitaire (ex : covid-19)
Risques climatiques
Essentiellement causés par les activités de l’Homme, ils impactent les populations, la faune, la flore et l’ensemble des écosystèmes.
- Émission de GES
- Déforestation
- Pollution des sols
- Pollution des mers
Exemples de dommages :
- Montée des eaux
- Hausse des températures
- Extinction d’une partie de la faune
- Extinction d’une partie de la flore
- Risques technologiques
- Risques sociaux
- Risques sanitaires
- Risques économiques
- Risques géopolitiques
Annexes
Exemples de niveaux de probabilité, de gravité et de risque
Ces exemples sont donnés à titre informatif, chaque contexte utilisera sa propre échelle.
Échelle de probabilité
Niveau | Description | Valeur |
---|---|---|
5 | systématique | 100% |
4 | Très fréquent | 10% |
3 | Fréquent | 1% |
2 | Peu fréquent | 1/1’000 |
1 | Rare | 0.1/1’000 |
0 | Très rare | 0.01/1’000 |
-1 | Improbable | 1/1000’000 |
-2 | Seuil | 1/10’000’000 |
… | < Seuil | … |
Échelles de gravité des dommages
GRAVITÉ | |||||||
---|---|---|---|---|---|---|---|
Niveau | Description | Dommage naturel Cyclone (Échelle de Saffir-Simpson) |
Dommage médical (selon score AIS) |
Dommage professionnel | Dommage psychosocial (stress) |
Dommage numérique (grille ANSSI) |
Dommage financier (volatilité sur 5 ans) |
5 | Catastrophique | Fortes crues, endommage considérablement les maisons et les bâtiments urbains | Décès | Décès | Décès du conjoint | Impacts lourds sur 10 000 000 personnes. Perte définitive d’une infrastructure critique. |
>25% |
4 | Critique | Dégâts irréparables peuvent être causés aux petites habitations. | Contusion cérébrale | Séquelles permanentes | Décès d’un proche parent | Impacts lourds sur 1 000 000 personnes. Perturbation de l’économie nationale. Perte temporaire d’une infrastructure critique. Perte définitive d’une infrastructure majeure | 15-25% |
3 | Grave | Dégâts sévères à irréparables aux habitations précaires inondations près des côtes |
Fracture de fémur | Séquelles provisoires | Modification de la situation financière |
Impacts lourds sur 100 000 personnes. Perturbation de l’économie régionale. Perte temporaire d’infrastructure majeure. |
10-15% |
2 | Sérieux | Dégâts structurels aux maisons. Dommages importants à la végétation | Fractures de côtes | Arrêt de travail | Modification de la fréquence des querelles avec le conjoint |
Impacts lourds sur 10 000 personnes. Perturbation de l’économie locale | 5-10% |
1 | Modéré | Dommages limités aux maisons mobiles, à la végétation et aux panneaux de signalisation | Plaie de l’oreille | Accident bénin sans arrêt de travail | Changement dans les responsabilités au travail |
Impacts lourds sur 1 000 personnes. | 2-5% |
0 | Faible | Beaucoup de pluie, dégâts négligeables | Faible douleur | Fatigue | Changement dans l’exercice d’activités récréatives |
Impacts lourds sur moins de 1 000 personnes. | 0.5-2% |
-1 | Minime | Beaucoup de pluie, pas de dégâts matériels | Simple gène | Gêne | Impacts faibles. | <0.5% | |
-2 | Seuil | Imperceptible | |||||
… | < Seuil |
Échelles de niveau de risque
NIVEAU DE RISQUE | ||||
---|---|---|---|---|
Niveau | Description | Risque naturel (niveau météo France) |
Risque sanitaire (risque biologique) |
Risque technologique (incident nucléaire) |
5 | Catastrophique | Effet étendu sur la santé et l’environnement | ||
4 | Critique | Niveau rouge : phénomènes dangereux d’intensité exceptionnelle |
Niveau 4 : agents dangereux ou exotiques avec un fort risque de décès et une transmission par l’air, ou les agents similaires dont le risque de transmission est inconnu | Rejet important susceptible d’exiger l’application intégrale des contre-mesures prévues |
3 | Grave | Rejet limité susceptible d’exiger l’application partielle des contre-mesures prévues. | ||
2 | Élevé | Niveau orange : phénomènes dangereux | Niveau 3 : agents indigènes ou exotiques dont la contagion peut se faire par l’air et qui peuvent avoir des conséquences sérieuses voire mortelles. | Rejet mineur : exposition du public de l’ordre des limites prescrites. |
1 | Moyen | Exposition du public représentant une fraction des limites prescrites. | ||
0 | Faible | Niveau jaune : phénomènes dangereux ponctuels | Niveau 2 : agents associés à des maladies humaines dont la transmission se fait par blessure percutanée, ingestion, ou exposition à une muqueuse. | Contamination importante ou surexposition d’un travailleur. |
-1 | Très faible | Anomalie sortant du régime de fonctionnement autorisé. | ||
-2 | Seuil | Niveau vert : RAS | Niveau 1 : agents ne causant généralement pas de maladie chez l’adulte en bonne santé | Anomalie sans importance du point de vue de la sûreté. |
… | < Seuil |