Introduction
La criticité des risques est aujourd’hui un levier essentiel pour piloter efficacement les risques en entreprise. Dans la réalité opérationnelle, le défi n’est pas d’identifier les risques, la plupart des organisations en ont déjà une vision plus ou moins exhaustive, mais bien de savoir lesquels traiter en priorité.
Face à des ressources limitées, un DSI ou un risk manager doit être capable de distinguer les risques critiques de ceux qui peuvent être acceptés ou surveillés. C’est précisément le rôle de la criticité des risques. En combinant la probabilité d’occurrence d’un événement avec la gravité de ses conséquences, elle permet de transformer une liste brute de risques en un plan d’action structuré, hiérarchisé et justifiable.
Cette approche est d’autant plus stratégique dans un contexte de transformation digitale, de contraintes réglementaires et de menaces cyber croissantes. Grâce à des outils commeEKIALIS Explore, il devient possible d’industrialiser ce pilotage en reliant la criticité aux actifs du système d’information et aux processus métiers.
Qu'est-ce que la criticité des risques ?
Définition : le score qui hiérarchise les risques
La criticité des risques correspond à un indicateur qui permet de hiérarchiser les risques en fonction de leur importance. Elle repose sur une combinaison entre la probabilité qu’un événement se produise et l’impact qu’il pourrait générer sur l’organisation.
Plus ce score est élevé, plus le risque doit être traité rapidement. Cette logique constitue la base de nombreuses démarches structurées de gestion des risques, qu’il s’agisse de qualité, de cybersécurité, de continuité d’activité ou encore de gestion de projet. Elle permet de passer d’une approche descriptive à une approche décisionnelle, centrée sur les priorités.
Criticité brute vs criticité résiduelle : une distinction essentielle
Il est essentiel de distinguer deux niveaux d’analyse. La criticité brute correspond au niveau de risque sans tenir compte des dispositifs de maîtrise existants. Elle permet d’évaluer le risque dans un scénario théorique.
La criticité résiduelle, en revanche, intègre les mesures déjà en place pour réduire le risque. Elle reflète donc la réalité opérationnelle et constitue l’indicateur clé pour orienter les décisions. Dans une logique de pilotage, c’est toujours la criticité résiduelle qui doit être suivie en priorité.
À quoi sert le calcul de la criticité dans la prise de décision ?
Le calcul de la criticité permet de structurer la prise de décision en apportant une base objective. Il aide à prioriser les investissements, à arbitrer entre différentes actions et à justifier les choix auprès de la direction.
Il permet également de définir les risques acceptables, de construire des plans d’action cohérents et d’alimenter des dispositifs comme les PCA ou PRA. Sans cette hiérarchisation, la gestion des risques reste théorique et difficilement exploitable.
Comment calculer la criticité des risques : les formules et méthodes
La formule de base : Criticité = Probabilité × Impact
La méthode la plus courante repose sur une formule simple : la criticité est égale à la probabilité multipliée par l’impact. La probabilité est généralement évaluée sur une échelle allant de rare à quasi certain, tandis que l’impact est mesuré de mineur à catastrophique.
Prenons un cas concret dans le système d’information : une panne de serveur ERP. Si la probabilité est estimée à 3 et l’impact à 4, la criticité brute atteint 12 sur 25. Ce score permet de positionner le risque dans une logique de priorisation.
La formule enrichie : intégrer la maîtrise et la détectabilité
Dans certains contextes, notamment industriels ou cyber, il est pertinent d’ajouter des critères complémentaires. La maîtrise du risque, qui correspond à l’efficacité des mesures en place, permet d’ajuster la criticité brute.
La détectabilité, utilisée dans des méthodes comme l’AMDEC, mesure la capacité à identifier un problème avant qu’il ne produise ses effets. Ces approches permettent d’affiner l’analyse et d’obtenir une vision plus réaliste des risques.
Combien d'impacts considérer ? L'approche multi-critères
L’évaluation de l’impact peut être simplifiée ou détaillée selon les besoins. Une approche multi-critères est généralement recommandée pour obtenir une analyse plus robuste.
Elle consiste à distinguer plusieurs types d’impacts, comme les impacts financiers, opérationnels, juridiques ou réputationnels. Pour un DSI, les critères liés à la disponibilité, à l’intégrité et à la confidentialité des données sont particulièrement structurants.
La matrice de criticité : l'outil visuel de hiérarchisation
Structure d'une matrice de criticité 5×5
La matrice de criticité est un outil visuel largement utilisé pour représenter les risques. Elle repose sur un croisement entre la probabilité et l’impact, généralement sur une grille 5×5.
Les zones sont souvent codées par couleur, du vert au rouge, afin de faciliter la lecture. Les risques les plus critiques se situent dans la partie supérieure droite de la matrice. Cette représentation permet une compréhension immédiate et facilite la communication auprès des décideurs.
Comment définir le seuil d'acceptabilité
Le seuil d’acceptabilité correspond au niveau à partir duquel un risque devient inacceptable pour l’organisation. Il dépend directement de l’appétence au risque définie par la direction.
Ce seuil joue un rôle structurant, car il permet de distinguer les risques à traiter en priorité de ceux qui peuvent être tolérés ou simplement surveillés. Il constitue un élément clé de gouvernance.
Exemples concrets de calcul de criticité des risques
Exemple 1 : Criticité d'un risque de cyberattaque par ransomware
Dans le cas d’une cyberattaque de type ransomware, la probabilité peut être élevée dans certains secteurs. L’impact financier et opérationnel est souvent critique, avec un arrêt du système d’information et des coûts importants.
Même avec des mesures de sécurité en place, la criticité résiduelle peut rester élevée, ce qui justifie des actions fortes comme la mise en place d’un PRA testé.
Exemple 2 : Criticité d'un risque de panne du serveur ERP
Un serveur ERP est un actif critique. Une panne peut avoir un impact majeur sur l’activité. Cependant, si des dispositifs de redondance et de sauvegarde sont en place, la criticité résiduelle peut être fortement réduite.
Dans ce cas, le risque reste maîtrisé et nécessite principalement un suivi.
Exemple 3 : Criticité d'un risque de non-conformité RGPD
Le risque de non-conformité RGPD dépend du niveau de maturité de l’organisation. Un registre des traitements incomplet ou absent augmente la criticité.
Ce type de risque nécessite des actions structurantes, notamment la formalisation des traitements et la mise en place d’une gouvernance adaptée
Les méthodes et référentiels pour structurer l'évaluation de la criticité
AMDEC (FMEA) : l'approche industrielle par la détectabilité
L’AMDEC est une méthode issue du monde industriel qui permet d’analyser les risques en intégrant la notion de détectabilité. Elle offre une vision fine mais peut être plus complexe à appliquer dans les systèmes d’information.
EBIOS Risk Manager : la méthode de l'ANSSI pour les risques cyber
EBIOS Risk Manager est une méthode française dédiée à la cybersécurité. Elle repose sur une analyse par scénarios de menace et sur l’identification des valeurs métier.
Elle est particulièrement adaptée pour relier les risques aux enjeux stratégiques de l’entreprise.
ISO 31000 et ISO 27005 : les normes internationales
Les normes ISO 31000 et ISO 27005 proposent un cadre structurant pour la gestion des risques. Elles permettent d’uniformiser les pratiques et d’assurer une cohérence dans l’évaluation de la criticité.
Comment piloter la criticité des risques dans la durée
Intégrer la criticité dans la cartographie des risques
La criticité doit être intégrée directement dans la cartographie des risques pour offrir une vision globale et hiérarchisée. Chaque risque doit être associé à un score clair et positionné dans une matrice.
Réévaluer régulièrement : le cycle itératif
La criticité évolue dans le temps. Les changements techniques, organisationnels ou réglementaires peuvent modifier la probabilité ou l’impact des risques.
Une réévaluation régulière est donc indispensable pour maintenir la pertinence de l’analyse.
Automatiser le suivi avec un logiciel dédié
Les outils traditionnels atteignent rapidement leurs limites pour piloter la criticité dans la durée. Ils ne permettent pas de relier dynamiquement les risques aux actifs du système d’information.
EKIALIS Explore permet de dépasser ces limites en reliant la criticité des risques aux processus métiers, aux applications et aux infrastructures. Chaque évolution est automatiquement prise en compte, offrant une vision fiable et actualisée pour le DSI.
👉 https://www.ekialis.com/solutions/ekialis-explore-outil-cartographie-si/
.png)
