Analyse des risques

Calcul criticité d’un risque

Évaluez rapidement la criticité brute et résiduelle d’un risque à partir de la probabilité, de la gravité, de l’exposition et du niveau de maîtrise existant. Ce calculateur est utile pour une matrice de risques en QHSE, sécurité, continuité d’activité, cybersécurité ou gestion de projet.

Nom du risque

Saisissez une description courte du risque à évaluer.

Domaine

Permet de contextualiser le résultat et la recommandation.

Probabilité

Probabilité de survenue sur une échelle de 1 à 5.

Gravité

Impact potentiel sur les personnes, les actifs, l’activité ou la conformité.

Exposition

Fréquence d’exposition au danger ou au scénario de risque.

Niveau de maîtrise existant

40%

0% = aucun contrôle efficace, 100% = maîtrise théorique totale.

Commentaires

Ajoutez un contexte métier pour enrichir l’analyse résiduelle.

Guide expert du calcul de criticité d’un risque

Le calcul de criticité d’un risque est une méthode d’aide à la décision qui permet de hiérarchiser les menaces, d’affecter les ressources au bon endroit et de documenter les arbitrages de management. En pratique, une organisation ne traite jamais tous les risques avec la même intensité. Elle cherche d’abord à identifier ceux qui combinent une probabilité de survenue élevée, un impact important et une exposition significative. C’est précisément l’objet de la criticité.

Dans les démarches QHSE, industrielles, hospitalières, logistiques, informatiques ou de gestion de projet, la criticité sert à construire une matrice de risques exploitable. Elle apporte une vue synthétique sur des situations très différentes : accident du travail, arrêt machine, non-conformité réglementaire, retard de livraison, interruption SI, erreur qualité, incident de cybersécurité ou atteinte environnementale. Un bon calcul de criticité transforme une liste de dangers en plan d’actions priorisé.

Formule simple utilisée dans ce calculateur : criticité brute = probabilité × gravité × exposition. Ensuite, la criticité résiduelle est ajustée selon le niveau de maîtrise existant : criticité résiduelle = criticité brute × (1 – niveau de maîtrise / 100).

Pourquoi calculer la criticité d’un risque

Sans méthode de cotation, les décisions sont souvent guidées par l’intuition, les incidents récents ou la pression du moment. Cela conduit à surestimer certains sujets visibles et à sous-estimer des scénarios moins fréquents mais potentiellement dévastateurs. Le calcul de criticité apporte au contraire une logique commune, reproductible et défendable. Il permet :

de comparer objectivement plusieurs risques de nature différente ;
de déterminer quels risques doivent être traités immédiatement ;
de justifier un budget de prévention, de protection ou de redondance ;
de suivre l’effet réel des mesures de maîtrise dans le temps ;
de faciliter les audits, revues de direction et reportings au comité de pilotage.

Les trois dimensions essentielles de la criticité

La probabilité mesure la chance qu’un événement survienne. Elle peut être estimée à partir d’historiques d’incidents, de retours d’expérience, d’analyses d’experts ou de conditions d’exploitation. Une note de 1 à 5 est couramment utilisée, de très improbable à très probable.

La gravité mesure les conséquences si le risque se matérialise. Dans certaines entreprises, cette dimension est ventilée en sous-impacts : humain, financier, réglementaire, réputationnel, environnemental ou opérationnel. La note de gravité doit reposer sur des seuils clairs afin d’éviter des évaluations subjectives.

L’exposition traduit la fréquence de présence face au danger ou au scénario. Deux risques avec la même probabilité et la même gravité ne se traitent pas forcément de la même manière si l’un n’existe que quelques jours par an, alors que l’autre concerne chaque poste ou chaque transaction.

Différence entre criticité brute et criticité résiduelle

La criticité brute représente le niveau intrinsèque du risque avant prise en compte des moyens de maîtrise. La criticité résiduelle, elle, mesure le risque restant après les dispositifs existants : procédures, formations, protections collectives, EPI, sauvegardes, contrôles automatiques, double validation, segmentation réseau, plans de reprise, maintenance préventive, etc.

Cette distinction est fondamentale. Beaucoup d’organisations pensent qu’un risque est faible parce qu’elles ont déjà mis en place des contrôles. Or, si ces contrôles sont mal déployés, mal testés ou peu respectés, le niveau résiduel peut rester élevé. L’objectif n’est donc pas seulement d’ajouter des barrières, mais d’en mesurer l’efficacité réelle.

Comment interpréter les scores

Avec une échelle de 1 à 5 sur trois dimensions, la criticité brute varie de 1 à 125. Plus le score se rapproche de 125, plus le risque mérite une réaction rapide et structurée. Une lecture pratique peut être la suivante :

1 à 10 : risque faible, surveillance simple et maintien des bonnes pratiques.
11 à 30 : risque modéré, actions d’amélioration ciblées à planifier.
31 à 60 : risque significatif, traitement prioritaire avec responsable et échéance.
61 à 90 : risque élevé, réduction rapide, arbitrage managérial et suivi renforcé.
91 à 125 : risque critique, action immédiate, arrêt possible de l’activité ou décision de contingence.

Exemple concret de calcul

Supposons un risque de fuite de données clients. L’équipe estime une probabilité de 4, une gravité de 5 et une exposition de 4. La criticité brute est donc de 4 × 5 × 4 = 80. L’entreprise dispose déjà d’un MFA, d’une politique de sauvegarde et de sensibilisations, mais le niveau de maîtrise est jugé à 35 %. La criticité résiduelle devient 80 × (1 – 0,35) = 52. Conclusion : le risque reste élevé malgré les contrôles en place. Il faut donc renforcer la détection, la journalisation, le cloisonnement et les revues d’accès.

Tableau comparatif 1 : exemples de statistiques réelles montrant pourquoi la hiérarchisation est essentielle

Source publique	Indicateur	Statistique	Ce que cela implique pour la criticité
BLS, États-Unis	Décès professionnels totaux en 2022	5 486 décès	La gravité humaine peut justifier des seuils de criticité très stricts sur certains scénarios, même si la probabilité locale paraît modérée.
BLS, États-Unis	Décès liés aux incidents de transport en 2022	2 066 décès	Les risques de mobilité et de logistique sont souvent sous-estimés ; l’exposition élevée augmente fortement la criticité globale.
BLS, États-Unis	Décès liés aux chutes, glissades et trébuchements en 2022	865 décès	Dans les activités terrain, la probabilité répétée de situations dangereuses justifie des plans d’action techniques et comportementaux.
BLS, États-Unis	Décès dans la construction en 2022	1 056 décès	Dans les secteurs exposés, la criticité doit être calculée au plus près des tâches, pas seulement au niveau du site.

Statistiques issues du Bureau of Labor Statistics américain, utilisées ici à titre de comparaison pour illustrer l’importance de prioriser les risques selon des données observables.

Tableau comparatif 2 : statistiques publiques en cybersécurité et lecture par la criticité

Source publique	Indicateur	Statistique	Lecture en gestion des risques
FBI IC3, 2023	Nombre de plaintes cyber enregistrées	880 418 plaintes	La fréquence élevée des incidents augmente la note de probabilité pour de nombreux scénarios numériques courants.
FBI IC3, 2023	Pertes financières déclarées	12,5 milliards de dollars	Lorsque les conséquences financières sont majeures, la gravité doit intégrer les coûts directs et indirects.
FBI IC3, 2023	Phishing ou spoofing	298 878 plaintes	Un risque peut être très banal mais rester prioritaire à cause d’une exposition quasi permanente des utilisateurs.
FBI IC3, 2023	Pertes liées à la fraude à l’investissement	4,57 milliards de dollars	La criticité doit tenir compte des scénarios moins fréquents mais très sévères sur le plan financier et réputationnel.

Données comparatives issues de rapports publics du FBI Internet Crime Complaint Center, utiles pour comprendre la différence entre fréquence d’occurrence et intensité d’impact.

Les erreurs fréquentes dans le calcul de criticité

Confondre exposition et probabilité : être souvent exposé à un danger n’implique pas automatiquement qu’un incident se produira, mais cela augmente les opportunités de matérialisation.
Surestimer l’efficacité des contrôles : un contrôle non testé, non tracé ou non respecté ne réduit pas réellement le risque.
Utiliser des échelles floues : si les critères de notation ne sont pas définis, deux évaluateurs attribueront des notes incompatibles.
Ignorer le coût de l’indisponibilité : certaines conséquences indirectes dépassent largement le dommage initial.
Ne pas réévaluer après changement : nouveau process, nouveau fournisseur, nouvel outil ou hausse d’activité modifient immédiatement la criticité.

Comment construire une matrice de risques robuste

Une matrice efficace repose sur des critères simples, compris par tous et liés à des seuils métiers. Par exemple, pour la gravité, vous pouvez définir des paliers financiers précis, des niveaux de blessure, de durée d’interruption, de volume de données impactées ou de non-conformité réglementaire. Pour la probabilité, vous pouvez utiliser des fréquences observées sur 12 à 36 mois. Pour l’exposition, vous pouvez mesurer le nombre de personnes concernées, de cycles de production, de postes, de transactions ou d’heures d’activité.

Ensuite, il faut associer à chaque zone de criticité une réponse standardisée. Un risque critique doit déclencher des actions différentes d’un risque modéré : validation de direction, budget spécifique, échéance courte, contrôle de second niveau, indicateurs de performance, voire arrêt de l’activité si le risque humain est inacceptable.

Bonnes pratiques pour améliorer la criticité résiduelle

Réduire la probabilité par la suppression des causes racines.
Réduire la gravité par la redondance, l’isolement, la limitation des dommages et les plans de secours.
Réduire l’exposition en diminuant le temps, le nombre de personnes ou la surface d’attaque concernée.
Renforcer la maîtrise par des contrôles préventifs, détectifs et correctifs testés régulièrement.
Suivre des indicateurs de performance : taux de conformité, incidents évités, temps de reprise, qualité des audits.

À quelle fréquence refaire le calcul

Le calcul de criticité n’est pas un exercice annuel figé. Il doit être révisé à chaque changement majeur : nouvelle ligne de production, migration cloud, réorganisation, externalisation, changement réglementaire, incident significatif, retour d’audit défavorable ou évolution du contexte géopolitique. En environnement stable, une revue trimestrielle ou semestrielle des risques majeurs est souvent pertinente. En environnement dynamique, la mise à jour peut être mensuelle.

Sources d’autorité utiles pour approfondir

OSHA.gov : référentiel public sur la prévention des risques professionnels, les contrôles et les bonnes pratiques de sécurité.
Ready.gov – Risk Assessment : ressources gouvernementales sur l’évaluation et la priorisation des risques dans une logique de résilience.
Princeton University – Risk Assessment : approche académique structurée de l’analyse de risque et de la hiérarchisation des contrôles.

En résumé

Le calcul de criticité d’un risque est un outil décisionnel puissant parce qu’il relie l’évaluation technique à l’action managériale. En combinant probabilité, gravité et exposition, puis en intégrant l’efficacité des contrôles existants, vous obtenez une vision réaliste du risque résiduel. Utilisé de manière régulière, documentée et cohérente, il améliore la sécurité, la conformité, la performance opérationnelle et la résilience globale de l’organisation.

Le plus important n’est pas seulement de produire un score, mais d’utiliser ce score pour décider : quels risques traiter en premier, quels contrôles renforcer, quel budget allouer, quel niveau de gouvernance appliquer et quels indicateurs suivre. Un calcul de criticité bien construit transforme la gestion des risques en avantage opérationnel concret.

Calcul Criticit D Un Risque