Les Risques : définition, types, évaluation et gestion

26 juillet 2020 Risques et rapport B/R

Guide relatif aux risques :

  1. Définition et notions utiles
  2. Principes de gestion des risques
  3. Les différents types de risques

Définitions de Risque & notions associées

définition de risque

Définition de risque

Par définition un risque représente un dommage qui « pourrait » survenir.

Un risque se caractérise selon deux paramètres :
  1. Sa gravité : l’ampleur des dommages potentiels
  2. Sa probabilité d’occurrence : « à quel point il est probable de subir le dommage »

Ce couple de valeurs permet d’estimer un niveau de risque.

Notez qu’un risque n’est pas une réalité physique, c’est un indicateur entièrement défini selon votre façon de voir les choses.

Le risque zéro n’existe pas !

C’est un effet de la définition du risque : le risque zéro n’existe pas. Qu’il concerne la probabilité ou la gravité le zéro annule le risque, qui devient un dommage impossible ou une possibilité sans dommage…

Des risques estimés puis constatés

La notion de risque connait deux phases de vie distinctes :

  1. Une première phase lors des estimations avant survenue possible du risque (ex : en pré-projet) les estimations se font selon l’état de l’art, les probabilités d’occurrence et les gravités estimées sont des hypothèses.
  2. Une seconde phase lorsque le risque peut survenir / survient (ex : après commercialisation d’un produit, après le début d’une épidémie…) les données sont factuelles, issues des activités de surveillance. Les probabilités sont de vraies statistiques, les dommages de vrais constats.

Autres notions

  • Danger :  la cause d’un risque
  • Aléa : des dangers imprévisibles
  • Situation dangereuse : la situation qui expose les gens/l’environnement/la société/… au danger.
  • Risque majeur : un risque dont le niveau est supérieur à un seuil que vous (ou le contexte) avez défini
  • Catastrophe : un risque incontrôlable
  • Gestion des risques : toutes les étapes allant de l’identification jusqu’au suivi des risques, en passant par leur maitrise
  • Identification des risques : imaginer les risques qui peuvent survenir, cette identification est constamment mise à jour
  • Estimation des risques : attribuer un niveau à chaque risque, en fonction de sa probabilité et de sa gravité
  • Évaluation des risques : évaluer le « caractère acceptable » des risques, en fonction des estimations et des critères d’acceptabilité préalablement définis
  • Maitrise des risques : toutes les actions mises en œuvre pour réduire les risques identifiés. Idéalement, les risques sont totalement prévenus (ils sont éliminés), sinon ils sont réduits en fréquence et/ou en gravité.
  • Risques résiduel : le niveau d’un risque après mise en œuvre de toutes les mesures de maitrise
  • Communication : entre les différentes parties concernées, au service de la gestion des risques
  • Suivi : activités de surveillance, qui alimentent en permanence la gestion des risques

Des risques «favorables» ?

Dernière subtilité : depuis que l’ISO 9001 est alignée à la structure HLS, une nouvelle notion est utilisée dans le monde de la qualité : celle d’opportunité, un risque «favorable».

Ceci permet de mettre en œuvre des analyses par forces et faiblesses (la méthode SWOT) / par risques et opportunités, mais cela ajoute surtout du flou à la confusion.

Retenez qu’un risque favorable est un bénéfice. On pourra le caractériser comme un risque, avec une probabilité d’occurrence et une importance de l’incidence positive (à l’image de la gravité d’un risque).


Gérer les risques

Gestion des risques

Planifier la gestion des risques

Il faut dans un premier temps clairement définir les tâches à accomplir et établir les responsabilités :

  • en matière de politique d’acceptation des risques (les critères) qui revient « au plus haut gradé » : la direction dans une entreprise.
  • concernant toutes les taches nécessaires à la gestion des risques, qui sont décrites ci-après

Identifier les risques

La qualité de votre analyse dépendra directement de votre connaissance du contexte, il est conseillé de le décrire en spécifiant :

  • Les personnes / l’environnement / les équipements… impliqués
  • Les différents dangers
  • Les scénarios menant aux situations dangereuses
  • Les dommages potentiels

Cela passe nécessairement par une revue de l’état de l’art :

  • les risques déjà connus,
  • les maitrises déjà mises en œuvre,
  • les bonnes pratiques (guides, normes, spécifications, réglementation …)
  • les possibilités techniques et les limites qui sont associées

Estimer les risques

C’est là que les choses se compliquent, il faut estimer – au moins qualitativement si ce n’est quantitativement – des probabilités et des gravités, or :

  • Ces estimations concernent une pleine échelle gigantesque (ex :des probabilités qui varient de 1/1’000’000 à 50% ; une perte d’argent d’1€ à 1M€ ; un dommage pour la santé allant d’une simple gène à la mort…) qui sont difficiles à appréhender
  • Vous n’avez pas la moindre idée des estimations

En première approche les estimations sont clairement « à la louche », elles sont ensuite affinées avec les données issues :

  • De l’état de l’art
  • D’expérimentation
  • De modélisation
  • Du terrain

Estimations du niveau de risque par matrice probabilité/gravité

La plupart des analyses sont réalisées avec des matrices, classiquement, une matrice 3×3 (voire 5×5) donne un niveau de risque en fonction du couple gravité/probabilité, exemple :

GRAVITÉ PROBABILITÉ
FAIBLE MOYENNE HAUTE
SIGNIFICATIVE Risque Moyen Risque Élevé Risque Élevé
MODÉRÉE Risque Acceptable Risque Moyen Risque Élevé
NÉGLIGEABLE Risque Acceptable Risque Acceptable Risque Acceptable

Estimations quantitatives des risques

  • Les probabilités sont exprimées en %
  • Les dommages sont quantifiés lorsque possible (exemple : analyse financière) ou estimés selon une échelle, par exemple : 5 : max, 4 : critique, 3 : très élevé, 2 : élevé, 1 : moyen, 0 : faible, -1 : très faible …
Voir en annexe des exemples d’échelles de probabilité, gravité et de niveau de risque, dans des contextes variés.

Maitriser les risques

Principes

L’idée est de définir des mesures de réduction des risques. Beaucoup d’approches s’offrent à vous, il faut néanmoins les appliquer par ordre d’efficacité :

  1. Suppression totale du risque
  2. Utilisation de moyens de protection
  3. Mise en place d’une prévention, passant par l’information des parties prenante
  4. Compensation du risque s’il n’est pas réduit

Quand arrêter la maitrise des risques ?

C’est une des grandes subtilités en gestion des risques : savoir quand arrêter les maitrises. Les risques sont considérés suffisamment maitrisés quand… vos critères le disent !

Il-y-a deux approches :

  1. Une théorique : la maitrise est arrêtée quand le risque résiduel est plus petit qu’un seuil prédéfini
  2. Une pratique : la maitrise est arrêté quand on ne peut plus maitriser

L’approche théorique est dictée par les normes et les règlementations, qui hésitent entre deux concepts :

  • réduction AFAP : “As Far As Possible” : autant que possible, ce qui n’a aucun sens (on pourra toujours faire plus) et est source d’innombrables prises de têtes avec les autorités.
  • réduction ALARP : “As Low As Reasonably Practicable” : autant que raisonnablement possible, vous comprendrez que la notion de raisonnable n’est pas objective, cette philosophie est impraticable

En pratique la réduction se fait AFACP : “As Far As Contextually Possible” la maitrise s’arrête quand vous êtes conforme à l’état de l’art. Notez que ceci pousse à mettre à jour la maitrise dès que le contexte évolue.

Évaluer l’acceptabilité des risques résiduels

Vos risques ont été identifiés, un niveau de risque initial a été estimé pour le fun, vous avez réduit les risques AFACP, un niveau de risque résiduel a été estimé.

Reste à faire une revue :

  • Des activités de maitrise,
  • Des niveaux de risques résiduels,
  • Des mesures planifiées pour le suivi et la mise à jour de la gestion des risques

Et de conclure sur l’acceptabilité des risques.

L’acceptabilité doit être maintenue dans le temps, les activités de surveillance assureront cela.

Informer / Communiquer / Sensibiliser

Il faudra communiquer pour :

  • Sensibiliser sur les niveaux de risques résiduels.
  • Faire comprendre les mesure de maitrise des risques reposant sur le destinataire.
  • Sensibiliser sur le besoin de remonter les informations (et surtout les problèmes).

Surveiller les risques

Il est capital de correctement choisir les indicateurs qui vont permettre de surveiller les risques connus et de détecter les risques émergents. La définition des indicateurs n’est jamais figée, elle évolue avec votre compréhension des risques.Le risque observé sera à l’image des indicateurs choisis, avec tous les problèmes d’imprécisions, de biais et de mauvaises interprétation possibles.

Pour choisir les indicateurs de suivi, on considérera :

  • Les besoins pour améliorer l’estimation des risques connus,
  • Les moyens de détecter des risques émergents,
  • La disponibilité d’indicateur sur des risques comparables ou corrélés,
  • La facilité d’interprétation des indicateurs,
  • Leur forme, les moyens de collecte des données, les modalités d’analyse, les moyens de présentation des données …

Les grands types de risques

Les grands types de risques

Risques naturels

Des risques ayant pour cause des phénomènes naturels, qui peuvent créer des dommages pour la population, des équipements ou des ouvrages.
Ils sont gérés par les autorités et peuvent impliquer des acteurs privés.

Exemples de risques naturels :
  • Canicule
  • Grand froid, neige, grêle
  • Inondation
  • Sécheresse
  • Feux de forêts
  • Tempête
  • Tsunami
  • Avalanches
  • Mouvement de terrain
  • Retrait / gonflement des argiles
  • Cyclones
  • Éruption volcanique
  • Séisme

Risques sanitaires

Les risques sanitaires peuvent atteindre la population (et/ou les animaux).
Ces risques sont maitrisés par les autorités et au besoin par des acteurs privés.

Les risques sanitaires concernent historiquement les problèmes de contamination, mais ils sont aussi étendus aux technologies, aux risques naturels …

Un risque sanitaire devient une catastrophe sanitaire lorsqu’il n’est plus maitrisé.

Exemples de dangers (risques de contamination) :
  • Biologiques (virus, parasites, bactéries…)
  • Chimiques (hydrocarbures, métaux lourds…)
  • Physiques (rayonnement, température, matériaux dangereux…)

Exemple de situation dangereuses (risques de contamination) :

  • Exposition via voie digestive
  • Exposition via voie respiratoire
  • Exposition via les muqueuses

Catégories de risques sanitaires en santé animale en France :

  1. 1ʳᵉ catégorie : peut porter atteinte à la santé publique
  2. 2ᵉ catégorie : peut porter atteinte à l’économie
  3. 3ᵉ catégorie : maitrise implique des acteurs privés

Risques médicaux

Ces risques concernent essentiellement les patients, voire leur entourage et les professionnels de santé. Ils peuvent survenir dans le cadre d’une prise en charge médicale.

Ces risques sont à maitriser par les professionnels du secteur (industriels et professionnels de santé) sous la surveillance des autorités compétentes.

Statuer sur l’acceptabilité des risques médicaux nécessite d’impliquer le patient.

Exemple de dommages :
  • Décès
  • Handicap permanent
  • Handicap temporaire
  • Douleur importante
  • Gène

Exemples de dangers :

  • Mauvais geste technique
  • Mauvaise organisation
  • Infection nosocomiale
  • Mauvaise prescription
  • Problème matériel

Exemples de mesures de maitrise :

  • Formation des professionnels de santé
  • Mise en place d’un système qualité
  • Suppression des risques par conception des dispositifs, des produits, des protocoles
  • Ajout de moyens de protection
  • Information, sensibilisation, prévention

Risques professionnels / en entreprise / pour la santé au travail

Les risques professionnels peuvent impacter les salariés, ils sont maitrisés par l’employeur.

Ceci constitue une obligation légale (voir le code du travail).

Exemples de dangers :
  • Amiante
  • Travaux en hauteur
  • Risques psychosociaux (voir ci-après)
  • Troubles musculosquelettiques
  • Pénibilité
  • Chaleur Froid
  • Travaux routiers
  • Bruit
  • Espaces confinés
  • Exposition à des substances dangereuses (amiante peinture plomb soudure…)

Voir une liste complète

Les risques sont à évaluer selon un DUER dont la forme reste libre.

Risques psychosociaux

Les risques psychosociaux font partie de la famille des « risques pour la santé au travail ».

Ils désignent des risques de dommage physique ou psychiques, ils sont essentiellement causés par l’Homme, sur l’Homme.

Exemples de dommages :
  • Stress (causes possibles : horaires management fluctuant interruptions…)
  • Violence / Harcèlement moral physique ou sexuel (causé par des employés et/ou des personnes externes des usagers…)
  • Épuisement professionnel (causes possibles : surcharge de travail, mauvaise planification, mauvais management…)

Risques technologiques

Les risques technologies accompagnent l’innovation et peuvent impacter la population, ses infrastructures, son environnement.

Exemples de risques technologiques :
  • Transport et stockage de matières dangereuses
  • Accident industriel (ex : AZF)
  • Accident nucléaire
  • Rupture de barrage
  • Risques miniers
  • Pollution des sols
  • Émissions de polluants et de GES dans l’atmosphère
  • Pollution des réseaux et canalisations
  • Industrie des hydrocarbures
  • Déchets dangereux
  • Silos

Voir la nomenclature ICPE.

En France, les risques technologiques sont maitrisés dans le cadre de PPRT : des Plans de Prévention des Risques Technologiques, notamment pour les risques d’inondation et les risques de sécheresse (lien).

Risques numériques / risques en cybersécurité

Les risques numériques peuvent impacter des produits et/ou leurs utilisateurs, ils sont à maitriser par les concepteurs des solutions numériques.

De nos jours, l’accent est mis sur les risques de cybersécurité de tous les domaines sensibles.

Exemples dommages :
  • Violation de confidentialité
  • Atteinte à l’intégrité
  • Atteinte à la disponibilité
  • Propagation de fausse nouvelles
  • Incitation à la haine
  • Abrutissement des masses

Exemples de dangers (attaquants / pirates) :

  • Organisation étatique
  • Organisation terroriste
  • Personne interne à l’organisation ciblée
  • Attaquant isolé
  • Hobbyiste / passionné
  • Robot

En France, l’ANSSI porte l’analyse des risques selon la méthode EBIOS.

Risques sociaux

Les risques sociaux sont extrêmement larges, ils peuvent impacter la population et leurs causes sont très diverses.

Exemples de risques sociaux :
  • Risques pour la santé:
    • Risques pour de maladie (ex : SIDA)
    • Risques d’accident (ex : accidents au travail)
    • Risque d’invalidité (ex : accidents de la route)
    • Risque de décès (ex : pollution grave)
    • Risques pour la maternité (ex : baisse fécondité, mortalité infantile, mortalité en couche …)
    • Risque de vieillesse (beaucoup de risques sont corrélés à l’âge)
  • Risques de nature financière / économique / emploi (pauvreté, emploi précaire, chômage, retraite…)
  • Risques d’inégalité / d’exclusion (sociale, professionnelle… selon le sexe, l’âge, l’origine, le culte …)
  • Risque pour la famille
  • Risque associés au logement (prix, densité, équipements…)
  • Risques liés à la démographie, à l’immigration, à l’émigration
  • Risques associés aux compétences (insuffisance, obsolescence…)

Risques financiers

Les risques financiers se traduisent par une perte d’agent, pour un individu ou un organisme, dans le cadre d’opérations financières.

Les causes sont multiples, la maitrise est individuelle et, le cas échéant, assurée par les autorités.

Exemples de dangers :
  • Fluctuation du marché
  • Fluctuation des taux
  • Mauvaise gestion
  • Crédit non remboursable
  • Météo (et oui)

Risques géographiques

Le monde de la géographie parlera d’aléa (le danger), et de facteur de vulnérabilité (la vulnérabilité au dommage).

Les aléas pourront être naturels, causés par l’homme, par ses technologies…

Exemples de vulnérabilités :
  • Sous-équipement
  • Surpeuplement
  • Dépendance aux technologies
  • Sous-compétences
  • Sous-estimation / mauvaise estimation du risque
  • Maitrise non-planifiée

Risques géopolitiques

Ces risques affectent les relations entre les états, ils sont le plus souvent causés par ces derniers, qui devront les maitriser. C’est le dernier niveau de risque, avant les risques climatiques.

Exemples de dangers :
  • Conflits armés
  • Guerres commerciales
  • Indépendantisme, Nationalisme (ex : Brexit)
  • Idéologie spécifique (ex : terrorisme)
  • Accès aux ressources naturelles (ex : eau, pétrole)
  • Inégalités (ex : inégalités des richesses, inégalités en santé)
  • Exportation de troubles (ex : décès de George Floyd)
  • Catastrophe sanitaire (ex : covid-19)

Risques climatiques

Essentiellement causés par les activités de l’Homme, ils impactent les populations, la faune, la flore et l’ensemble des écosystèmes.

Exemples de dangers :
  • Émission de GES
  • Déforestation
  • Pollution des sols
  • Pollution des mers

Exemples de dommages :

  • Montée des eaux
  • Hausse des températures
  • Extinction d’une partie de la faune
  • Extinction d’une partie de la flore
  • Risques technologiques
  • Risques sociaux
  • Risques sanitaires
  • Risques économiques
  • Risques géopolitiques

Annexes

Exemples de niveaux de probabilité, de gravité et de risque

Ces exemples sont donnés à titre informatif, chaque contexte utilisera sa propre échelle.

Échelle de probabilité

PROBABILITÉ
Niveau Description Valeur
5 systématique 100%
4 Très fréquent 10%
3 Fréquent 1%
2 Peu fréquent 1/1’000
1 Rare 0.1/1’000
0 Très rare 0.01/1’000
-1 Improbable 1/1000’000
-2 Seuil 1/10’000’000
< Seuil

Échelles de gravité des dommages

GRAVITÉ
Niveau Description Dommage naturel
Cyclone (Échelle de Saffir-Simpson)
Dommage médical
(selon score AIS)
Dommage professionnel Dommage psychosocial
(stress)
Dommage numérique
(grille ANSSI)
Dommage financier
(volatilité sur 5 ans)
5 Catastrophique Fortes crues, endommage considérablement les maisons et les bâtiments urbains Décès Décès Décès du conjoint Impacts lourds sur 10 000 000 personnes. Perte définitive d’une
infrastructure critique.
>25%
4 Critique Dégâts irréparables peuvent être causés aux petites habitations. Contusion cérébrale Séquelles permanentes Décès d’un proche parent Impacts lourds sur 1 000 000 personnes. Perturbation de l’économie nationale. Perte temporaire d’une infrastructure critique. Perte définitive d’une infrastructure majeure 15-25%
3 Grave Dégâts sévères à irréparables aux habitations précaires
inondations près des côtes
Fracture de fémur Séquelles provisoires Modification de la situation
financière
Impacts lourds sur 100 000 personnes. Perturbation de l’économie régionale. Perte temporaire
d’infrastructure majeure.
10-15%
2 Sérieux Dégâts structurels aux maisons. Dommages importants à la végétation Fractures de côtes Arrêt de travail Modification de la fréquence
des querelles avec le conjoint
Impacts lourds sur 10 000 personnes. Perturbation de l’économie locale 5-10%
1 Modéré Dommages limités aux maisons mobiles, à la végétation et aux panneaux de signalisation Plaie de l’oreille Accident bénin sans arrêt de travail Changement dans les responsabilités
au travail
Impacts lourds sur 1 000 personnes. 2-5%
0 Faible Beaucoup de pluie, dégâts négligeables Faible douleur Fatigue Changement dans l’exercice
d’activités récréatives
Impacts lourds sur moins de 1 000 personnes. 0.5-2%
-1 Minime Beaucoup de pluie, pas de dégâts matériels Simple gène Gêne Impacts faibles. <0.5%
-2 Seuil Imperceptible
< Seuil

Échelles de niveau de risque

NIVEAU DE RISQUE
Niveau Description Risque naturel
(niveau météo France)
Risque sanitaire
(risque biologique)
Risque technologique (incident nucléaire)
5 Catastrophique Effet étendu sur la santé et l’environnement
4 Critique Niveau rouge : phénomènes
dangereux d’intensité exceptionnelle
Niveau 4 : agents dangereux ou exotiques avec un fort risque de décès et une transmission par l’air, ou les agents similaires dont le risque de transmission est inconnu Rejet important susceptible d’exiger l’application intégrale des contre-mesures prévues
3 Grave Rejet limité susceptible d’exiger l’application partielle des contre-mesures prévues.
2 Élevé Niveau orange : phénomènes dangereux Niveau 3 :  agents indigènes ou exotiques dont la contagion peut se faire par l’air et qui peuvent avoir des conséquences sérieuses voire mortelles. Rejet mineur : exposition du public de l’ordre des limites prescrites.
1 Moyen Exposition du public représentant une fraction des limites prescrites.
0 Faible Niveau jaune : phénomènes dangereux ponctuels Niveau 2 :  agents associés à des maladies humaines dont la transmission se fait par blessure percutanée, ingestion, ou exposition à une muqueuse. Contamination importante ou surexposition d’un travailleur.
-1 Très faible Anomalie sortant du régime de fonctionnement autorisé.
-2 Seuil Niveau vert : RAS Niveau 1 :  agents ne causant généralement pas de maladie chez l’adulte en bonne santé Anomalie sans importance du point de vue de la sûreté.
< Seuil

Contenus connexes