Alain Rees · 10-07-2026 · 9 min leestijd
Il existe un article que tout gestionnaire des risques devrait avoir lu au moins une fois, ne serait-ce que pour s'en agacer. En 2009, Michael Power, professeur à la London School of Economics, a publié un essai au titre venimeux, « The risk management of nothing », la gestion des risques du néant. Sa thèse : en pleine crise financière, la gestion des risques moderne avait échoué à maîtriser les risques parce qu'elle s'était mise à faire autre chose, à savoir produire de la reddition de comptes. Quiconque vend un SMSI ou une plateforme GRC, comme moi, ne doit pas balayer cette critique, mais la traverser de part en part. Car Power a raison sur le problème, et les recherches des années suivantes indiquent assez précisément où passe la frontière entre une gestion des risques qui protège et une gestion des risques qui ne fait que rassurer.
Cet article est l'un des approfondissements accompagnant le modèle derrière Kantyra et touche les quatre phases, car la question de savoir si le dispositif fonctionne précède chaque phase.
L'analyse de Power comporte trois strates. La première : dans la pratique, la gestion des risques en est venue à obéir à la logique de la piste d'audit. Ce n'est pas la question « comprenons-nous ce risque ? » qui guide le travail, mais la question « pouvons-nous montrer que nous avons suivi un processus ? ». Il avait déjà décrit la deuxième strate en 2004. Les organisations et les professionnels se préoccupent de plus en plus de ce qu'il appelle la gestion secondaire des risques, la couverture de leur propre exposition au blâme. Le registre des risques devient alors un dossier de défense : si les choses tournaient mal, nous pourrions prouver que nous avons suivi le processus. La troisième strate est sa critique de la notion d'appétence au risque, qui, dans les conseils d'administration, s'est étiolée en un document statique fait de pourcentages, alors qu'elle devrait être un processus organisationnel vivant. Terje Aven a plus tard disséqué la notion de manière formelle et est parvenu au même verdict : les définitions des cadres courants sont ambiguës et confondent acceptation, disposition et objectifs.
Quiconque a lu l'article de base reconnaîtra ici la théorie institutionnelle. Dès 1977, Meyer et Rowan décrivaient comment les organisations adoptent des structures formelles comme un rituel, pour acquérir de la légitimité, puis découplent ces structures du travail réel. La gestion des risques du néant de Power, c'est ce découplage, appliqué au risque.
On s'attendrait à ce que cette question soit amplement tranchée après vingt ans d'enterprise risk management. Il n'en est rien, et c'est en soi un constat. Bromiley et ses collègues ont conclu, dans leur revue de la littérature managériale, que les preuves sont minces. Les chercheurs mesurent la présence d'une gestion des risques à l'aide d'approximations faibles, comme le fait de savoir si un Chief Risk Officer a été nommé, et les résultats sur les effets de performance sont mitigés. Les hypothèses fondamentales de l'ERM, comme l'idée que tous les risques d'une organisation seraient additionnables et quantifiables, sont selon eux largement non testées.
Les études qui existent dessinent un schéma cohérent. Gordon, Loeb et Tseng ont constaté que la gestion des risques n'est corrélée à de meilleures performances que lorsque sa conception s'accorde à l'organisation, c'est-à-dire à son environnement, sa taille, sa complexité et sa surveillance. Une conception générique n'apporte rien. McShane et ses collègues ont constaté, chez les assureurs, que la valeur d'une entreprise augmente avec la qualité de la gestion des risques ordinaire et professionnelle par domaine, mais que le passage au niveau le plus élevé, l'ERM holistique, n'ajoutait aucune valeur supplémentaire démontrable. Et Aven a montré, dans sa revue des fondements scientifiques, que les descriptions de risque fondées sur les probabilités sous-estiment structurellement l'importance de la solidité des connaissances sous-jacentes, un point qui revenait aussi dans l'article sur la matrice des risques.
Le bilan est plus nuancé que ne le présentent les brochures comme les cyniques. Une gestion des risques qui s'accorde à l'organisation et s'exécute avec professionnalisme est corrélée à de meilleurs résultats. La gestion des risques comme édifice générique, monté pour la forme, ne montre aucun effet. L'instrument n'est pas vide ; c'est l'application rituelle qui est vide.
La littérature récente rend le diagnostic concret. Bart Heerma van Voss et Ira Helsloot, ce dernier professeur de gouvernance de la sécurité à l'université Radboud, ont étudié pourquoi les États font systématiquement trop peu face aux risques rares et déstabilisateurs. Leur exemple le plus douloureux est la pandémie. Presque tous les pays l'avaient soigneusement inscrite dans leurs analyses de risques avant 2020, et presque aucun n'a pris les mesures de précaution peu coûteuses qui en découlaient. Le risque avait été évalué, enregistré et rapporté, et rien ne s'est passé. C'est le rituel dans sa forme la plus pure, avec l'analyse comme point d'arrivée plutôt que comme point de départ. Arjen Boin, de l'université de Leyde, a signalé avec Martin Lodge un problème apparenté. Les risques modernes traversent secteurs et frontières, et un dispositif qui ne surveille que son propre registre manque précisément l'imbrication que visait Power.
On peut dès lors nommer les symptômes : un registre plein de risques auxquels ne se rattache aucune décision ni aucune mesure, une appétence au risque restée intacte pendant quatre ans, des évaluations actualisées pour l'audit plutôt qu'après un incident, et, le plus perfide, un dispositif dans lequel personne ne trouve jamais quoi que ce soit qui déplaise à la direction. Van Asselt, alors professeure à Maastricht, et Renn ont résumé, dans leurs travaux sur la gouvernance des risques, ce qui manque en pareil cas. Pour les risques incertains et controversés, le dispositif ne vaut quelque chose que lorsqu'il organise la communication, l'implication et les valeurs qui s'affrontent, au lieu de les évacuer par le calcul.
La recherche pointe quatre caractéristiques qui font la différence. La première est l'adéquation. Concevez le dispositif à la mesure de votre organisation, et non à la mesure du cadre. La deuxième est la capacité de décision. Chaque risque du registre mérite une décision, à savoir le traiter, l'accepter, le transférer ou l'éviter, avec un propriétaire et une échéance, car un registre sans décisions est un dossier de défense. La troisième est le mouvement. L'évaluation change quand la réalité change, donc après des incidents, des exercices et des évolutions de l'environnement, et pas seulement lors de la revue annuelle. La quatrième est la contradiction. Un dispositif sain produit régulièrement des résultats inconfortables, et l'appétence au risque revient comme conversation sur la table du conseil au lieu de dormir en annexe dans un classeur.
Par souci d'exhaustivité, je précise que Kantyra, pour cette raison, ne traite pas les risques comme une liste, mais comme un nœud. Chaque risque est relié à des mesures, des incidents, des actifs, des fournisseurs et des moments d'évaluation, de sorte qu'il devient visible si quelque chose bouge dans le jugement, et un incident grave prépare automatiquement la réévaluation du risque touché. Le test de Power, à savoir si le dispositif produit de la compréhension ou seulement de la reddition de comptes, reste la bonne question à poser à votre propre organisation. La conséquence honnête, c'est que même la plus belle des plateformes ne peut empêcher le rituel ; elle peut seulement le rendre visible.
Si vous ne retenez qu'une chose de cet article, que ce soit la distinction de Power. Produire de la reddition de comptes n'est pas la même chose que maîtriser les risques, et le second exige parfois de rompre avec la logique du premier. Posez-vous trois questions. Pour vos cinq principaux risques, pouvez-vous indiquer la dernière décision prise à leur sujet, avec sa date et son propriétaire ? Votre appétence au risque s'est-elle manifestée quelque part, au cours de l'année écoulée, dans une décision concrète, par exemple en renonçant délibérément à quelque chose ? Et quand votre processus de gestion des risques a-t-il pour la dernière fois produit quelque chose qui a alarmé le conseil ? Qui répond oui trois fois fait de la gestion des risques. Qui répond non trois fois se contente de rassurer, et sait désormais au moins par où commencer.
Cet article est une synthèse étayée de recherches scientifiques existantes, et non une recherche indépendante évaluée par des pairs. Là où j'interprète ou j'explique, cette interprétation n'engage que moi.
In een demo van 30 minuten lopen we het model door aan de hand van jouw situatie.
Plan een demoMesurez, en tant que CISO, où en sont votre organisation et votre CISO Office, et découvrez comment piloter et corriger à temps grâce à une carte de score.
Comment piloter la gestion des vulnérabilités en tant que RSSI, de la politique jusqu'à la reddition de comptes à la direction.
Comment structurer vos tests d'intrusion, de la politique de pentest et du calendrier jusqu'au rapport et au suivi des constats.