.
Guide pilier · Cartographie des risques

Cartographie des risques : méthode, matrice, acteurs et livrables

La démarche Twist pour identifier, évaluer et prioriser les risques de votre organisation. Méthode en 6 étapes compatible ISO 31000, applicable aux entreprises, collectivités et établissements de santé.

Lire le guide Parler à un consultant

Une cartographie des risques n'est pas un document Excel rangé dans un dossier partagé. C'est l'outil qui permet à une organisation de voir clair sur ce qui peut la déstabiliser, d'en parler collectivement et de prioriser ses investissements de protection. Mal construite, elle devient un exercice bureautique sans effet. Bien construite et surtout bien animée, elle devient le socle de la culture du risque, du plan de gestion de crise et de la stratégie globale. Cette page détaille la méthode Twist pour produire, animer et faire vivre une cartographie des risques utile.

L'essentiel à retenir

  • La cartographie des risques est une démarche vivante, pas un livrable figé.
  • Elle repose sur quatre temps : identifier, évaluer, cartographier, traiter.
  • La matrice probabilité / gravité est l'outil central, à condition que les échelles soient calibrées.
  • Le risk manager porte la méthode, mais les pilotes de risque (métiers) portent le fond.
  • Une cartographie isolée du plan de gestion de crise et de la stratégie n'a pas d'effet opérationnel.

Sommaire du guide

1Définition 2Trois raisons de cartographier 3Méthode en 6 étapes 4La matrice P × G 5Acteurs & gouvernance 6Erreurs classiques 7À qui s'adresse 8FAQ
Définition

Qu'est-ce que la cartographie des risques ?

La cartographie des risques est une démarche structurée qui consiste à identifier les événements susceptibles d'affecter une organisation, à les évaluer selon leur probabilité d'occurrence et leur gravité potentielle, puis à les représenter visuellement pour prioriser les actions de traitement. Elle couvre tous les types de risques : stratégiques, opérationnels, financiers, juridiques, humains, technologiques, environnementaux et réputationnels.

Elle se distingue de l'audit des risques par sa logique anticipative : on parle de ce qui pourrait arriver, pas seulement de ce qui s'est déjà produit. Elle se distingue aussi de la gestion de crise : la cartographie prépare, la gestion de crise réagit.

La norme de référence est ISO 31000 (management du risque, principes et lignes directrices). Pour les organisations cotées et les grands groupes, le référentiel COSO ERM complète ISO 31000 avec une logique plus gouvernance et stratégie. Pour les collectivités, le DICRIM (Document d'Information Communal sur les Risques Majeurs) constitue un livrable réglementaire adossé à une logique de cartographie.

À retenir

Une cartographie des risques répond à trois questions simples : que peut-il arriver ? à quel point est-ce grave et probable ? que fait-on pour s'y préparer ?

Enjeux

Trois raisons de cartographier ses risques

1. Voir l'invisible avant qu'il ne devienne urgent

La plupart des crises ne sont pas des surprises absolues. Elles étaient connues, pressenties, signalées, mais jamais formalisées à un niveau où la direction pouvait les arbitrer. La cartographie transforme des inquiétudes dispersées en objets de décision collective. Selon l'Allianz Risk Barometer 2024, les cyberattaques, les interruptions d'activité et les risques climatiques sont les trois préoccupations prioritaires des dirigeants, loin devant les risques macroéconomiques.

2. Prioriser des investissements de protection limités

Aucune organisation ne peut se protéger de tout, à tout moment, au même niveau. Cartographier, c'est accepter de classer, donc de choisir : quels risques accepter, lesquels réduire en priorité, lesquels transférer (assurance, sous-traitance), lesquels éviter par un arrêt d'activité.

3. Aligner la direction, les métiers et les fonctions support

La cartographie devient un langage commun. Un directeur financier, un responsable production et un DSI ne voient pas les mêmes risques, ni avec les mêmes échelles. Construire ensemble la cartographie oblige à expliciter ces regards croisés et à produire une vision partagée, indispensable pour un arbitrage en comex et pour la cohérence des plans d'action.

Méthode Twist

La méthode en six étapes

Démarche compatible ISO 31000, applicable à toute organisation quelle que soit sa taille. 3 à 6 mois pour une première cartographie, puis actualisation annuelle plus rapide.

01

Cadrer le périmètre

Entités, activités, horizon temporel, objectifs, livrables attendus. Étape la plus négligée.

02

Identifier les risques

Ateliers métiers, entretiens dirigeants, analyse documentaire. 80 à 200 risques bruts.

03

Évaluer P & G

Probabilité et gravité sur échelles calibrées. 4 niveaux recommandés (faible à critique).

04

Cartographier

Matrice visuelle + référentiel tableau : intitulé, description, pilote, plan d'action.

05

Prioriser & traiter

Accepter, réduire, transférer, éviter. Chaque risque rouge reçoit un pilote et un budget.

06

Maintenir

Revue annuelle, revue post-incident, revue stratégique à chaque décision majeure.

Étape 1. Cadrer le périmètre et les objectifs

Avant d'identifier le moindre risque, définir ce que la cartographie va couvrir et ne pas couvrir. Une cartographie groupe consolidée n'est pas une cartographie site par site. Une cartographie « risques majeurs » ne se confond pas avec une cartographie « risques opérationnels courants ». Formaliser le périmètre (entités, activités, horizon temporel), l'objectif (conformité, aide à la décision, intégration stratégique) et les livrables attendus. Cette étape est négligée dans la plupart des premiers exercices et produit des cartographies ingérables parce que trop vastes.

Étape 2. Identifier les risques

Trois techniques complémentaires à mobiliser. Ateliers métiers : sessions de 2 heures avec les responsables opérationnels, technique de brainstorming cadré par une grille de familles de risques. Entretiens dirigeants : 30 à 45 minutes avec le COMEX, qui apporte la vision stratégique et les risques émergents. Analyse documentaire : RETEX internes, rapports d'audit, incidents passés, presse sectorielle, bases de données sinistres. L'objectif est d'obtenir une liste brute de 80 à 200 risques identifiés, que l'on consolidera à l'étape suivante.

Étape 3. Évaluer probabilité et gravité

Pour chaque risque identifié, deux évaluations. Probabilité : quelle est la chance que l'événement se produise sur l'horizon retenu (souvent 12 ou 36 mois). Gravité : quel serait l'impact si l'événement se produisait, selon plusieurs dimensions (financière, humaine, réputationnelle, réglementaire, continuité d'activité). Les échelles doivent être calibrées et écrites, pas laissées à l'appréciation de chaque évaluateur. Une échelle à 4 niveaux (faible, modéré, élevé, critique) est le meilleur compromis entre finesse et reproductibilité.

Étape 4. Cartographier visuellement

Reporter les risques sur une matrice à deux axes (probabilité en abscisse, gravité en ordonnée). Cette représentation visuelle est l'outil de décision central. Elle se lit immédiatement : la zone rouge regroupe les risques à traiter en priorité absolue, la zone verte les risques acceptables en l'état. Produire en parallèle un référentiel des risques sous forme de tableau, qui reprend pour chaque risque : intitulé, description, catégorie, probabilité, gravité, dispositifs existants, pilote, plan d'action.

Étape 5. Prioriser et traiter

Quatre stratégies de traitement possibles pour chaque risque. Accepter (le risque est faible ou la réduction serait plus coûteuse que l'exposition). Réduire (mettre en place des dispositifs de prévention et de protection). Transférer (assurance, sous-traitance, externalisation). Éviter (ne pas engager ou arrêter l'activité génératrice du risque). Chaque risque de la zone rouge doit recevoir une décision explicite, datée, avec un pilote nommé et un budget. Sans cette étape, la cartographie reste un document, jamais un outil. Ce travail d'arbitrage est au cœur de notre service cartographie des risques et des parties prenantes.

Étape 6. Maintenir et actualiser

Une cartographie qui n'est pas revue régulièrement perd rapidement sa valeur. Trois moments de mise à jour. Revue annuelle complète pilotée par le risk manager. Revue après incident sur les risques concernés par un événement significatif. Revue stratégique à chaque décision majeure (acquisition, nouvelle activité, changement de périmètre). La fréquence est moins importante que la discipline : une revue annuelle tenue vaut mieux qu'une revue trimestrielle théorique et jamais réalisée.

Une cartographie des risques qui ne change jamais est une cartographie morte. Les risques évoluent, les parades vieillissent, les priorités se déplacent. L'outil ne vaut que par la conversation qu'il provoque, pas par la beauté du fichier.

Matrice

La matrice probabilité × gravité : lire, construire, utiliser

Le cœur visuel de la cartographie. Mal calibrée, elle produit des décisions faussées. Bien calibrée, elle devient un outil de dialogue direction / métiers.

Matrice 4 × 4 · Gravité (ordonnée) × Probabilité (abscisse)

Critique
Élevé
Critique
Critique
Critique
Élevée
Modéré
Élevé
Élevé
Critique
Modérée
Faible
Modéré
Élevé
Élevé
Mineure
Faible
Faible
Modéré
Modéré
Rare Peu probable Probable Très probable
Faible · VertAcceptation documentée, revue annuelle.
Modéré · JauneVigilance, dispositifs existants à vérifier.
Élevé · OrangePlan d'action prioritaire, suivi trimestriel.
Critique · RougeAction immédiate, reporting direction générale.

Construire les axes

L'axe probabilité va de « rare » (moins d'une fois tous les 10 ans) à « très probable » (plusieurs fois par an). L'axe gravité va de « mineur » (perte inférieure à un seuil défini, continuité préservée) à « critique » (menace vitale sur l'organisation). Les échelles doivent être chiffrées pour être appropriables : « impact financier supérieur à 10 % du chiffre d'affaires » est plus utile qu'« impact majeur ».

Lire la matrice

Quatre zones conventionnelles. Rouge (critiques) : action immédiate, reporting direction générale. Orange (élevés) : plan d'action prioritaire, suivi trimestriel. Jaune (modérés) : vigilance, dispositifs existants à vérifier. Vert (acceptables) : acceptation documentée, revue annuelle.

Utiliser la matrice en comité

La valeur de la matrice n'est pas dans sa production, mais dans sa présentation en comité des risques. C'est là que les arbitrages se font, que les désaccords remontent et que les plans d'action sont validés. Une matrice qui ne passe jamais en comité est une matrice qui ne sert pas.

Gouvernance

Les acteurs et la gouvernance de la démarche

Une cartographie implique plusieurs rôles, à clarifier avant de démarrer. Cinq acteurs s'articulent, du sponsor institutionnel à la base contributrice.

Le sponsor

Direction générale ou présidence. Légitime la démarche, valide le périmètre, reçoit les livrables. Sans sponsor, la cartographie n'a pas d'effet d'entraînement.

Le risk manager

Pilote la méthode, anime les ateliers, consolide les évaluations, produit les livrables, organise la revue annuelle. Rôle dédié dans les grandes structures, porté par un DGA ou directeur des opérations ailleurs.

Les pilotes de risque

Responsables métiers désignés comme référents d'un risque ou d'une famille de risques. Ils apportent la connaissance opérationnelle, pilotent les plans d'action et rendent compte en comité.

Le comité des risques

Instance qui se réunit 2 à 4 fois par an, revoit la cartographie, valide les plans d'action, arbitre les investissements. Idéalement présidé par la direction générale.

Les contributeurs

Ensemble des collaborateurs invités à signaler des risques, proposer des améliorations, remonter les incidents. Sans cette base large, la cartographie est aveugle aux signaux faibles.

Lien aux autres dispositifs

La cartographie alimente le plan de gestion de crise, le PCA, le programme d'exercices et la communication de crise. Un couplage direct évite les silos.

Pièges

Les erreurs classiques

Les RETEX croisés sur plusieurs années font remonter les mêmes écueils, indépendants de la taille ou du secteur.

  • La cartographie figée : produite une fois, archivée, jamais actualisée. Elle vieillit en quelques mois et devient un document de façade.
  • Les échelles floues : « probable », « grave » sans définition écrite. Chaque évaluateur interprète différemment, la matrice n'est pas reproductible.
  • Le biais du récent : les risques évalués fort sont ceux dont on a entendu parler la semaine précédente. Les risques structurels sont sous-évalués.
  • L'exhaustivité illusoire : 400 risques identifiés, aucun plan d'action. La cartographie devient illisible.
  • L'absence de lien avec le plan de gestion de crise : la cartographie identifie les risques, mais aucun scénario de crise n'est préparé pour les risques critiques. Le dispositif est incomplet.
  • L'outil bureautique sans ownership : Excel ou PowerPoint sans pilote nommé, personne ne met à jour, la démarche meurt lentement.
  • L'oubli des risques émergents : cyber, climatiques, géopolitiques, réputationnels sur les réseaux sociaux restent sous-représentés dans les cartographies construites sur d'anciennes grilles.
  • La confusion entre risque et incident : un incident est un événement passé, un risque un événement potentiel. Les mélanger produit une cartographie descriptive, pas anticipative.
Stress test

Mettez votre cartographie des risques à l'épreuve du réel

Parcours Twist ou serious game pour stress-tester vos scénarios critiques, identifier les angles morts et muscler vos décisions.

Prendre rendez-vous
Publics

À qui s'adresse cette méthode

Toute organisation qui veut passer d'une gestion des risques informelle à une démarche structurée, sans basculer dans la bureaucratie.

Direction générale & financière

Intégrer les risques majeurs à la stratégie et au reporting, consolider les risques groupe.

Direction QSE & sûreté

Structurer l'identification, l'évaluation et le traitement des risques opérationnels et HSE.

Direction risques & conformité

Produire la cartographie consolidée, animer le comité, répondre aux exigences ISO 31000 / COSO.

Élus & directeurs de collectivités

Articuler la cartographie avec le DICRIM, le Plan Communal de Sauvegarde et la communication sur les risques majeurs.

Dirigeants de PME & ETI

Mettre en place une démarche proportionnée, sans se doter d'un département risques complet.

Établissements de santé

Répondre aux exigences HAS, structurer la gestion des risques associés aux soins comme des risques institutionnels.

Questions fréquentes

FAQ cartographie des risques

Les questions que nous posent le plus régulièrement risk managers, directions générales et élus.

Qu'est-ce qu'une cartographie des risques ?

Une démarche structurée d'identification, d'évaluation et de représentation des événements susceptibles d'affecter une organisation. Elle produit trois livrables principaux : un référentiel des risques (liste détaillée), une matrice probabilité / gravité (représentation visuelle) et un plan d'action associé aux risques prioritaires. Elle couvre risques stratégiques, opérationnels, financiers, juridiques, humains, technologiques et réputationnels.

Quelle différence entre cartographie des risques et analyse des risques ?

L'analyse des risques étudie un risque ou une famille en profondeur : causes, conséquences, dispositifs, scénarios. La cartographie consolide l'ensemble des risques d'une organisation, les évalue sur des échelles communes et les représente visuellement. L'analyse alimente la cartographie. La cartographie sans analyse reste superficielle. L'analyse sans cartographie produit des éclairages isolés sans vision d'ensemble.

Combien de temps pour faire une cartographie des risques ?

Pour une première cartographie dans une organisation de taille moyenne, compter 3 à 6 mois de travail effectif, étalés sur 6 à 9 mois calendaires. Cadrage : 2 à 3 semaines. Identification (ateliers + entretiens) : 4 à 8 semaines. Évaluation et consolidation : 3 à 4 semaines. Livrables et présentation en comité : 2 à 3 semaines. Les actualisations ultérieures sont plus rapides : 4 à 6 semaines en revue annuelle.

Quels outils pour cartographier ses risques ?

Quatre niveaux d'outillage. Bureautique (Excel, PowerPoint) : suffisant pour démarrer et pour les petites structures. Plateformes GRC (Mega, IBM OpenPages, LogicGate, RiskOnnect) adaptées aux grandes organisations. Logiciels métier sectoriels : collectivités, santé, industrie. Outils collaboratifs (Notion, Airtable, SharePoint). Le choix dépend moins de la maturité technique que de la taille et du nombre de contributeurs.

À quelle fréquence mettre à jour sa cartographie des risques ?

Trois rythmes. Revue annuelle complète, pilotée par le risk manager, validée en comité des risques. Revue après incident significatif sur les risques concernés. Revue stratégique lors de toute décision majeure : acquisition, nouvelle activité, réorganisation, crise, évolution réglementaire. Un trimestre de retard sur la revue annuelle est tolérable, deux ans sans revue rendent la cartographie obsolète.

Quel lien entre cartographie des risques et plan de gestion de crise ?

Les deux outils forment un couple indissociable. La cartographie identifie les risques critiques. Le plan de gestion de crise prépare les dispositifs de réponse pour ces risques. Chaque risque classé rouge devrait disposer d'un scénario préparé, d'une fiche réflexe et d'un exercice périodique. À l'inverse, un plan déconnecté de la cartographie prépare les mauvais scénarios. Les deux outils doivent être pilotés par les mêmes acteurs ou par des équipes fortement coordonnées.

Pour aller plus loin

Explorer les pages connexes

La cartographie des risques alimente plusieurs dispositifs Twist. Les briques qui s'articulent le mieux avec elle.

Gestion de crise

Le guide pilier : cadre, 4 phases, 12 familles, cellule, plans réglementaires, exercices, RETEX. La page mère de la cartographie.

Lire le pilier

Plan de gestion de crise

PGC, PCS, PICS, PCA, Plan Blanc. L'architecture de plans qui prend le relais de la cartographie pour les risques critiques.

Voir le service

Culture du risque

Réflexes partagés, acculturation, signaux faibles. La cartographie est un outil central de la culture du risque.

Voir le service

Communication de crise

Le pilier communication : 5 piliers, scénarios, messages clés. Chaque risque critique appelle une ligne de communication préparée.

Lire le pilier

Serious game Twist

Format ludo-pédagogique pour tester et faire vivre la cartographie sur des scénarios critiques. Idéal pour ancrer la culture.

Voir le service
Service Twist

Cartographie des risques & parties prenantes

Notre offre sur-mesure pour construire ou rénover votre cartographie : ateliers métiers, matrice P × G, référentiel, plan d'action, coaching du risk manager.

Voir l'offre

Risques climatiques

Risques émergents à intégrer à toute cartographie contemporaine : chaleur, submersion, sécheresse, chaînes d'approvisionnement.

Voir le service

Besoin d'un accompagnement sur-mesure ? Parler à un consultant  ·  Parcours Entreprise  ·  Parcours Territoire

Signature SCOPIC

Twist est la marque gestion de crise de SCOPIC, une équipe de 20 consultant·es, créatif·ves et chef·fes de projets qui accompagne les entreprises et les territoires dans leurs projets de transformation, de concertation et de communication responsables. Notre signature : ne jamais livrer un plan seul. Plan + exercice + culture, toujours articulés. Neutralité revendiquée, approche sur-mesure, ancrage territorial.

Construire ou faire vivre votre cartographie des risques ?

30 minutes pour cadrer vos enjeux, comprendre votre contexte et vous orienter vers le dispositif qui correspond à votre maturité. Gratuit et sans engagement.

BL

Benoît Labalette

Consultant en gestion de crise et culture du risque

benoit@scopic.fr 06 32 89 01 81
Prendre rendez-vous

Votre message à bien été envoyé