Si vous avez bien suivi les précédents articles, vous avez désormais une cartographie de votre infrastructures et de vos processus, leurs interdépendances, et surtout, une liste des menaces qui pèsent sur votre activité. Mais toutes les menaces ne représentent pas le même risque. En effet, le risque d’avalanche ne sera pas le même si votre entreprise est au cœur des Alpes ou au centre de Paris !
L’étape suivante consiste ainsi à hiérarchiser les risques afin de concentrer les efforts là où ils sont réellement nécessaires. Dans un contexte de continuité et de reprise d’activité, un risque correspond à la combinaison de deux facteurs :
-
la probabilité qu’un événement survienne
-
l’impact de cet événement sur le fonctionnement de l’organisation.
L’objectif n’est pas d’éliminer tous les risques – ce qui est impossible – mais de définir une stratégie adaptée pour y faire face, limiter les perturbations, réduire le temps d’arrêt, protéger les données, les clients, et préserver la résilience globale de l’entreprise.
Risque = impact x probabilité
Mesurer l’impact de chaque menace
L’impact représente les conséquences qu’aurait un événement sur l’activité, les services, les ressources, les clients, ou encore l’image de l’entreprise. Il ne s’agit pas uniquement d’un impact technique, mais bien d’un impact global sur l’organisation.
Pour l’évaluer, il est indispensable de se poser plusieurs questions :
-
Quels systèmes sont affectés ?
-
Quels services deviennent indisponibles ?
-
Quelle est la durée estimée de l’interruption ?
-
Y a-t-il une perte de données, d’information ou de documents ?
-
Les clients ou partenaires sont-ils impactés ?
-
L’événement entraîne-t-il un arrêt total ou partiel de l’activité ?
Sur cette base, chaque menace peut être notée selon une échelle d’impact, par exemple de 1 à 5 :
| 1 – Insignifiant | Peu d’impact sur des éléments peu critiques |
| 2 – Mineur | Impact sur plusieurs éléments peu critiques |
| 3 – Modéré | Impact sur des éléments importants mais non vitaux |
| 4 – Majeur | Impact sur des éléments critiques ou de nombreux services |
| 5 – Catastrophique | Arrêt de l’activité, perte majeure, crise globale |
Evaluer la probabilité de chaque menace
La probabilité mesure les chances qu’un événement survienne sur une période donnée. Elle dépend de nombreux facteurs :
-
localisation du site,
-
environnement géographique et industriel,
-
historique des incidents,
-
niveau de sécurité,
-
organisation interne,
-
dépendance à des prestataires ou ressources externes.
Tous les sites d’une entreprise ne sont pas exposés aux mêmes risques. C’est pourquoi cette analyse doit être réalisée site par site, et non de manière globale.
Pour les risques géographiques et naturels, n’oubliez pas de vous appuyer sur l’excellente carte interactive réalisée par le gouvernement. Elle vous permet notamment d’évaluer la proximité de sites industriels dangereux (nucléaires, Seveso), de canalisations (gaz, hydrocarbures…), la qualité des sols (argile, cavités, mouvements de terrain, séismes…) et de l’environnement (pollution, feux, inondations, avalanches…).
La probabilité peut être notée sur une échelle de 1 à 5, par exemple sur un horizon de cinq ans :
| 1 – Très faible | < 0,05% : la menace a peu de chance de se produire. Ex: risque sismique, attentat, circonstances exceptionnelles… |
| 2 – Faible | > 0,05% : la menace peut occasionnellement se produire. Ex : inondation, section de câbles lors de travaux, départ de feu, cambriolage, crise sociale… |
| 3 – Moyenne | > 0,5% : la menace se produira vraisemblablement. Ex : Tempête, fuite de canalisation, arrêt des serveurs… |
| 4 – Forte | > 5% la menace a de fortes chances de se produire. Ex : coupure électrique, cyberattaque, températures extrêmes, indisponibilité d’une application critique… |
| 5 – Très forte | > 50% : la menace est quasi certaine. Ex : bug matériel, erreur humaine, problème opérateur, problème prestataire… |
Calculer le risque
Une fois l’impact et la probabilité définis, il est possible de calculer un niveau de risques en multipliant ces deux valeurs. Ce niveau permet de déterminer :
- quelles menaces traiter en priorité,
- quels scénarios intégrer dans le plan de continuité d’activité,
- quels risques nécessitent un plan de reprise d’activité détaillé.
Vous pouvez comprendre la note obtenue ainsi :
| 1 à 4 : Faible | Risque acceptable, surveillance nécessaire |
| 5 à 9 : Moyen | Mesures à prévoir |
| 10 à 20 : Élevé | Traitement prioritaire |
| 20 à 25 : Extrême | PCA / PRA indispensable |
Les risques élevés et extrêmes devront faire l’objet de procédures documentées, de tests réguliers, et de moyens concrets pour faire face à une crise.
Les risques en pratique dans mon PCA PRA
Dans la pratique, un tableau de suivi (Excel, Google Sheets ou outil dédié) est souvent suffisant pour centraliser :
-
la liste des menaces,
-
leur impact,
-
leur probabilité,
-
le niveau de risque,
-
les actions prévues.
Ce document devient un élément clé du plan, au même titre que les documents de procédures, et doit être maintenu à jour. L’analyse des risques n’est pas figée : elle évolue avec l’organisation, les technologies, les usages, le contexte général et les décisions prises à la suite de ce travail. Car l’analyse des risques ne doit pas rester théorique. Elle doit se traduire par des décisions concrètes, notamment le choix des objectifs de reprise, et la définition des temps de reprise acceptables. C’est la que vont intervenir les notions de RTO et RPO, que nous verrons dans le prochain article !
⏮️ Retournez au 1er article de la série
◀️Retrouvez ici le 5ème article de cette série l’identification de l’ensemble des menaces potentielles.
Retrouvez ici le 7ème article de cette série sur la définition des objectifs de continuité et de reprise. ▶️