Gérer les risques d’un projet : identifier, évaluer, traiter et suivre

Les projets comportent tous une part d’incertitude. La planification trace un chemin sans embûches, mais la réalité est souvent différente, et il est parfois nécessaire de prévoir et d’anticiper les accidents de parcours.

Des événements impactant le projet peuvent survenir. Ils peuvent ralentir l’avancement, impacter les coûts ou remettre en cause les objectifs. Dans les cas les plus critiques, ils peuvent même conduire à l’échec du projet. D’autres, au contraire, peuvent créer des opportunités et améliorer ses résultats.

La question n’est donc pas de savoir s’il y aura des risques, mais comment les gérer.

Dans la pratique, cette gestion est souvent perçue comme complexe ou réservée à des démarches très formalisées. Pourtant, elle peut rester simple et directement utile au pilotage du projet.

Cet article propose de clarifier ce qu’est un risque et de présenter les quatre étapes clés de la gestion des risques : identifier, évaluer, traiter et suivre.

Qu’est-ce qu’un risque ?

Un risque est un événement incertain qui, s’il se réalise, va impacter le projet.

Lorsque l’impact est négatif, on parle de risque au sens classique. Lorsqu’il est positif, on parle d’opportunité. Dans les deux cas, il s’agit d’une incertitude qui peut influencer le projet, que ce soit sur ses délais, ses coûts, sa qualité ou ses objectifs.

Dans la suite de cet article, le terme “risque” sera utilisé au sens large. Les principes présentés s’appliquent donc autant aux risques qu’aux opportunités.

La formule
Dans sa forme la plus simple, le risque ( r ) est évalué selon deux dimensions :

• la probabilité d’occurrence ( p ), c’est-à-dire la chance que l’événement se produise; 
• l’impact de l’événement ( I ) , c’est-à-dire ses conséquences sur le projet.

Le risque peut alors être exprimé comme le produit de ces deux termes :

r = p × I

Dans des cas plus complexes, d’autres dimensions peuvent être ajoutées, comme par exemple la vélocité, qui représente la vitesse à laquelle un événement peut se matérialiser. Mais on sort ici du cadre de cet article : dans la majorité des projets, ces deux dimensions sont largement suffisantes.

La difficulté : la mise en pratique
La théorie est simple. La difficulté, en pratique, réside dans l’estimation de la probabilité et de l’impact.

Dans un cas théorique, si mon objectif est de faire “pile” lors d’un lancer de pièce, le risque est de faire “face”. La probabilité est facilement estimable à 0,5, et l’impact peut être considéré comme maximal puisqu’il entraîne l’échec de l’objectif.

Mais en pratique, estimer la probabilité de prendre du retard, de perdre un fournisseur ou de faire face à une crise majeure est beaucoup plus complexe. On évolue dans un environnement incertain.

La gestion des risques
L’estimation de la probabilité comme celle de l’impact est donc, dans la majorité des cas, davantage qualitative que quantitative.

Maintenant que l’on a défini ce qu’est un risque, il faut comprendre ce que signifie gérer les risques.

La gestion des risques est un processus qui permet de les maîtriser tout au long du projet.

On peut la simplifier en quatre étapes principales :

• identifier les risques ;
• les évaluer ;
• les traiter ;
• puis les suivre dans le temps.

Ces étapes sont complémentaires et s’inscrivent dans un cycle.

Un projet évoluant en permanence, la gestion des risques doit elle aussi être dynamique.

Identifier les risques

Pour pouvoir gérer les risques, il faut avant tout savoir lesquels ils sont.

C’est pour cela qu’il est nécessaire de répertorier les événements qui peuvent impacter le projet, en bien comme en mal. L’objectif n’est pas d’être exhaustif à tout prix, mais de faire émerger les principaux éléments susceptibles d’influencer le projet.

En revanche, oublier un risque important peut avoir des conséquences significatives. On ne peut ni gérer un risque, ni saisir une opportunité, si on ne les a pas identifiés.

Cette identification peut se faire de plusieurs manières et avec différents outils. Les risques peuvent également être catégorisés pour faciliter ce travail, par exemple :

• risques liés aux ressources humaines ;
• risques techniques ;
• risques liés à la gestion du projet ;
• risques organisationnels ;
• risques externes.

Impliquer tout le monde
Un point clé est d’impliquer les différentes parties prenantes, qu’elles soient proches ou plus éloignées du projet. Cela permet de couvrir au mieux les sources de risques. Chaque acteur dispose d’une vision partielle, et c’est la confrontation de ces points de vue qui enrichit l’identification.

Évaluer les risques

Les risques ont été identifiés, il faut maintenant les évaluer, c’est-à-dire leur donner une valeur.

L’objectif de cette étape est de comprendre leur importance relative afin de pouvoir prioriser les actions. Tous les risques ne se valent pas, et il n’est ni possible ni pertinent de tous les traiter de la même manière.

Comprendre la criticité 
Évaluer un risque revient à estimer :

• la probabilité que l’événement se produise ;
• l’impact que cet événement aurait sur le projet.

La combinaison de ces deux éléments permet d’apprécier la criticité d’un risque. Plus un risque est probable et impactant, plus il mérite une attention particulière.

À l’inverse, un événement peut avoir un impact très élevé mais une probabilité extrêmement faible. Par exemple, la chute d’une météorite sur les bureaux de l’équipe projet aurait des conséquences majeures, mais sa probabilité est tellement faible qu’il ne sera pas pertinent de la prendre en compte.

Une estimation souvent qualitative
En pratique, cette évaluation est rarement précise. Contrairement à des situations théoriques, il est souvent difficile d’estimer une probabilité ou un impact de manière chiffrée. On part généralement d’estimations qualitatives, basées sur l’expérience, le jugement et la perception des parties prenantes.

On ne sera pas dans une situation où l’on peut dire que la probabilité de perdre un fournisseur est de 0,65 et son impact de 0,3. Au mieux, on estimera que la probabilité est forte et l’impact moyen.

Cohérence des échelles
C’est tout à fait normal d’être dans des estimations qualitatives et cela constitue une première étape. Pour pouvoir comparer les risques entre eux, il est toutefois nécessaire de traduire ces estimations en valeurs comparables, en utilisant une échelle commune.

Une solution simple consiste à utiliser une échelle symbolique. Par exemple, estimer la probabilité et l’impact selon trois niveaux : faible, moyen et fort.

On peut ensuite associer des valeurs à ces niveaux (par exemple : faible = 1, moyen = 2, fort = 3) afin d’obtenir une estimation du risque.

Cela revient à définir une matrice de risque, dans ce cas une matrice 3x3. Il est possible d’affiner cette échelle (par exemple avec une matrice 5x5), mais chercher une précision excessive peut être contre-productif.

Complexifier l’évaluation quand l’information est incertaine revient souvent à ajouter de l’incertitude à l’incertitude. Dans la plupart des cas, la simplicité est préférable.

Relier le risque au coût
Pour l’impact, une autre approche consiste à le quantifier en termes de coût lié à la réalisation de l’événement. L’avantage est de pouvoir comparer ce coût avec celui des actions mises en place pour traiter le risque.

Cette estimation reste toutefois difficile et dépend fortement du contexte du projet.

Cette logique s’applique également aux opportunités. Il s’agit alors d’évaluer leur probabilité de survenue et le gain potentiel qu’elles peuvent apporter au projet.

Traiter les risques

Que faire une fois que les risques sont connus ? Il faut prendre des décisions. Identifier un risque ne suffit pas. Il faut décider s’il faut agir ou vivre avec.

L’objectif n’est pas de traiter tous les risques, mais de choisir la stratégie la plus adaptée à chaque situation, en fonction de leur criticité et du contexte du projet.

Les stratégies
Il existe quatre stratégies principales pour traiter les risques :

• Prévenir : agir à la source pour supprimer le risque.
• Atténuer : réduire la probabilité ou l’impact du risque.
• Transférer : déléguer la responsabilité à un tiers (assurance, sous-traitance).
• Accepter : assumer le risque lorsque son impact reste maîtrisé ou que le coût de traitement est trop élevé.

Des stratégies avec une logique inverse s’appliquent aux opportunités :

• Exploiter : s’assurer que l’opportunité se réalise. 
• Renforcer : augmenter la probabilité ou l’impact. 
• Partager : transférer l’opportunité à un tiers plus apte à la capter. 
• Accepter : profiter de l’opportunité si elle se présente, sans investir de ressources pour autant la provoquer.

L'arbitrage
Le choix entre ces stratégies repose sur un arbitrage permanent entre la criticité du risque et l'effort nécessaire pour le maîtriser. Les ressources étant limitées, il n’est ni possible ni pertinent de tout traiter.

L'arbitrage ne doit pas être purement mathématique. Une approche sensée au premier abord, serait de définir un seuil d’acceptabilité du risque. En dessous de ce seuil, on accepte le risque, au-dessus on met en place une stratégie.

La réalité n’est pas si simple. Un risque jugé « faible » mérite parfois d'être traité s'il existe une solution simple, rapide et peu coûteuse pour le supprimer (on parle de "quick win"). À l'inverse, un risque plus important sera parfois simplement « accepté » si les moyens de l'atténuer sont hors de portée ou disproportionnés par rapport au budget du projet. Quelle que soit la stratégie appliquée, il faut évaluer les risques résiduels s’y rapportant. C’est-à-dire les risques qui restent ou qui apparaissent après l’application de la stratégie choisie.

Se préparer à l’action
Un point souvent sous-estimé dans le traitement des risques est la préparation à l’action. Au-delà du choix d’une stratégie, il est utile d’anticiper concrètement la réponse à mettre en œuvre si le risque se matérialise.

Cela passe par la définition de mesures de contingence : qui intervient, comment, avec quels moyens et dans quels délais. Cette préparation permet d’éviter de devoir décider dans l’urgence et rend la gestion des risques réellement opérationnelle.

Par exemple, si l'un de vos risques est l'incendie du bâtiment, vous pouvez décider de déménager les équipes dans des bureaux de remplacement. La mesure de contingence consistera alors à identifier à l’avance les lieux possibles et l’organisation du transfert.

Il est clair que de telles mesures ont un coût (temps de préparation, ressources, budget). Leur mise en œuvre demande donc, là encore, un arbitrage pour se limiter aux risques dont l'enjeu justifie un tel investissement.

Suivre et réévaluer

L’évaluation des risques n’est pas un exercice ponctuel limité à la phase d’initiation. C’est une démarche continue, itérative. Pourquoi ? Parce qu’un projet est vivant et que les risques évoluent :

• Certains disparaissent.
• De nouveaux apparaissent. 
• Ceux déjà identifiés varient.

Un processus continu
Pour cette raison, la gestion des risques nécessite un suivi dans le temps. Ce suivi peut prendre deux formes complémentaires :

• un processus périodique, avec des revues planifiées à intervalles réguliers.
• des événements déclencheurs (triggers), qui amènent à réévaluer les risques lorsque certaines conditions changent

Il est utile d’identifier les triggers et de définir une fréquence de réévaluation pour maintenir une analyse à jour et adapter les stratégies de réponse. Ces événements déclencheurs peuvent être variés : une modification du périmètre, un changement de ressources, une évolution du contexte ou encore une demande du client.

À quelle fréquence ?
Définir la bonne fréquence de réévaluation est un enjeu clé. Une fréquence trop faible peut conduire à perdre le contrôle, tandis qu’une fréquence trop élevée peut alourdir inutilement le projet. C’est la responsabilité du chef de projet de trancher avec le soutien de son équipe.

La fréquence dépend de plusieurs critères, par exemple : 

• La stabilité de l’environnement. 
• L’évolution des contraintes sur les ressources. 
• La variabilité des demandes du client.
•  ...

Il s’agit donc de trouver un équilibre, en fonction de ces critères.

Suivre les risques ne consiste donc pas uniquement à les surveiller, mais à maintenir une vision à jour et adaptée du projet tout au long de son déroulement

Petite réflexion
💡 Et si l’un des risques à évaluer était justement la volatilité des risques eux-mêmes ?

Un point intéressant est de considérer que l’évolution des risques elle-même peut être vue comme un risque. Certains risques sont très stables, d’autres beaucoup plus volatils.

Dans ce cas, la volatilité des risques devient un élément à prendre en compte dans l’analyse. Elle peut être évaluée et intégrée dans la stratégie de gestion.

La fréquence de suivi et les événements déclencheurs deviennent alors des réponses à ce risque, au même titre que les autres stratégies.

Conclusion

La gestion des risques, ce n’est pas chercher à tout prévoir, mais rester capable de s’adapter aux événements les plus probables et les plus impactants.

C’est mettre un peu d’agilité dans la gestion de projet, même lorsqu’elle est classique, pour éviter qu’un projet aille droit dans le mur à cause d’éléments que l’on aurait pu anticiper.

Identifier, évaluer, agir et suivre : ces quatre étapes permettent de structurer cette démarche sans la complexifier inutilement.

L’essentiel est de s’adapter au contexte du projet. Il faut veiller à ne pas complexifier outre mesure l’approche. Dans un environnement incertain, il est souvent plus pertinent de reconnaître que l’on ne sait pas plutôt que de chercher une précision artificielle à travers des hypothèses.

La première question reste finalement simple : le projet nécessite-t-il réellement une gestion des risques, et à quel niveau ?