Alain Rees · 10-07-2026 · 12 min leestijd
Ouvrez n'importe quel registre des risques et vous y trouverez la matrice de probabilité multipliée par impact, le plus souvent cinq par cinq, avec des cases vertes, jaunes et rouges. La matrice des risques est l'instrument le plus utilisé en gestion des risques, de l'ingénierie de la sécurité à l'audit et de la santé à la sécurité de l'information. Kantyra en a également une au cœur de son module de risques. C'est précisément pourquoi je dois être honnête sur une chose que peu de fournisseurs disent à voix haute. La littérature scientifique est en effet remarquablement critique envers cet instrument. Dans cet article, je place cette critique à côté de la pratique et montre comment, malgré ses limites, vous pouvez travailler de manière responsable avec une matrice.
Cet article s'appuie sur la base scientifique du modèle, dans lequel je fonde les quatre phases Détecter, Évaluer, Résoudre et Démontrer. La matrice des risques appartient à la phase Évaluer et mérite le même traitement honnête.
La critique la plus fondamentale vient de Tony Cox, un scientifique américain des risques qui lui a consacré deux articles, l'un avec des collègues en 2005 et l'autre seul en 2008, devenus depuis des classiques. Son analyse dans Risk Analysis, la revue de référence du domaine, est de nature mathématique et se résume en trois constats.
Premièrement, une matrice a un pouvoir de discrimination grossier. Parce que la probabilité et l'impact sont comprimés dans une poignée de catégories, des risques qui diffèrent fortement en termes chiffrés reçoivent la même couleur, et une matrice ne peut, pour deux risques choisis au hasard, dire correctement lequel des deux est le plus grand que dans une part limitée des cas. Deuxièmement, une matrice commet des erreurs de classement démontrables, car il existe des situations où un risque numériquement plus petit se retrouve pourtant dans une case plus élevée qu'un risque plus grand. Troisièmement, et c'est la conclusion la plus dure, pour les risques où la probabilité et l'impact sont corrélés négativement, c'est-à-dire où les événements rares sont précisément les plus graves, une matrice ne fait, dans le pire des cas, pas mieux que le hasard. Cox emploie à cet égard la formule désormais célèbre selon laquelle la matrice est alors « worse than useless » (pire qu'inutile).
Des chercheurs du secteur pétrolier et gazier ont ensuite affiné cela. Thomas, Bratvold et Bickel ont montré en 2014 que les choix de conception de la matrice elle-même, comme le nombre de catégories, la division des échelles et les scores attachés aux cases, modifient également en profondeur le classement final des risques. Deux organisations qui évaluent exactement les mêmes risques mais utilisent une disposition de matrice différente aboutissent à une liste de priorités différente, sans que personne ait commis d'erreur. Le classement qui en résulte est ainsi en partie une conséquence de l'instrument et non uniquement de la réalité.
La deuxième ligne de critique ne porte pas sur les mathématiques mais sur l'humain qui remplit les cases. David Ball et John Watt ont étudié en 2013 comment différents évaluateurs situent le même danger sur une matrice. La dispersion s'est révélée importante, et n'a pas non plus disparu après réflexion et explication. Les différences ne provenaient d'ailleurs pas de négligence, mais de visions du monde et de convictions divergentes qui viennent rarement sur la table lors d'une séance sur les risques.
S'y ajoute un problème de langage. Des termes comme « probable », « rare » et « considérable » signifient quelque chose de différent pour chacun. David Budescu et ses collègues ont fait traduire en chiffres, à des sujets d'expérience, des expressions de probabilité tirées des rapports du GIEC, le groupe d'experts sur le climat des Nations unies. Même avec les définitions officielles à côté, les interprétations divergeaient fortement. Celui qui dit « probable » peut évoquer trente pour cent chez l'un et quatre-vingt-dix chez l'autre. Toute matrice des risques qui fonctionne avec de tels mots hérite de ce problème.
Et sous tout cela se trouve le plus ancien enseignement de ce domaine. Amos Tversky et Daniel Kahneman ont décrit dès 1974 comment les gens estiment les probabilités à l'aide de règles empiriques qui produisent des erreurs de raisonnement systématiques : nous surestimons ce qui est récent ou frappant, nous nous ancrons sur le premier chiffre qui passe et nous sommes structurellement trop sûrs de notre propre jugement. Une séance sur les risques où des experts choisissent des cases sans autre soutien est vulnérable à tous ces effets.
Non, et ce n'est pas mon jugement mais celui de cette même littérature. Nijs Jan Duijm, rattaché à l'Université technique du Danemark, a publié en 2015 un aperçu équilibré des faiblesses assorti de recommandations concrètes pour la conception et l'usage. L'essentiel de ses recommandations est que la matrice est utilisable comme instrument pour hiérarchiser et pour structurer la conversation sur les risques, tant que vous ne la traitez pas comme un instrument de mesure et que vous définissez les catégories avec soin en les ancrant dans des chiffres.
Cette question a également été travaillée à l'Université technique de Delft. Ben Ale, professeur émérite de sécurité et de gestion des catastrophes, a montré en 2015 avec des collègues que les diagrammes probabilité-conséquence ont une base mathématique légitime, mais deviennent trompeurs dès qu'ils sont utilisés sans connaissance des règles qui les accompagnent. Floris Goerlandt et Genserik Reniers, ce dernier également professeur à Delft, y ont ajouté en 2016 un point essentiel. Un point dans une matrice donne une impression de certitude, alors qu'un jugement repose sur des années de données d'incidents et un autre sur une première estimation faite lors d'une séance de travail. Ils plaident donc pour évaluer et rendre visible, à côté de la position dans la matrice, la force de la connaissance sous-jacente. Cet enseignement revient dans les habitudes pratiques plus loin, car la case dit peu de chose sans le raisonnement qui l'accompagne.
Des recherches expérimentales plus récentes du Winton Centre à Cambridge vont dans le même sens. Holly Sutherland et ses collègues ont testé, dans des expériences randomisées avec près de deux mille sept cents participants, comment les gens comprennent les matrices. Une matrice ne s'est pas révélée d'emblée meilleure qu'un texte ordinaire pour transmettre l'information sur les risques, et la présentation comptait beaucoup : pour des échelles qui n'augmentent pas de façon linéaire, un étiquetage qui le rend explicite aidait considérablement. Une étude de suivi de Rossa Proto et ses collègues de 2023 a examiné les couleurs elles-mêmes et a constaté que les bandes colorées faussent le jugement. Les participants accordaient plus de valeur aux réductions de risque qui franchissaient une frontière de couleur qu'à des réductions tout aussi importantes au sein de la même couleur. La frontière entre le jaune et l'orange se met alors à peser comme s'il s'agissait d'une propriété du risque, alors qu'elle est une propriété de l'image.
La somme de tout cela est que la matrice n'est pas un instrument de mesure et ne doit pas non plus être utilisée comme tel, mais qu'en tant que forme structurée de conversation et de hiérarchisation, elle a de la valeur, pour autant qu'elle soit bien conçue et que ses utilisateurs en connaissent les limites.
Les critiques scientifiques plaident presque tous pour la même alternative, à savoir calculer avec des chiffres plutôt qu'avec des cases. Douglas Hubbard et Richard Seiersen l'ont poussée le plus loin pour la sécurité de l'information. Ils montrent qu'avec peu de données également, vous pouvez exprimer probabilités et dommages en fourchettes, que vous pouvez entraîner des experts à faire des estimations calibrées, et que même un modèle quantitatif simple élimine en grande partie la distorsion de la matrice.
Pour une organisation disposant de sa propre équipe des risques et de suffisamment de données, c'est la meilleure voie. Mais ici revient la recherche sur les PME de mon article précédent. Pour la plupart des organisations sans service de sécurité à temps plein, une approche entièrement quantitative n'est pas réalisable à l'heure actuelle, et une quantification mal exécutée crée davantage de fausse certitude qu'une matrice bien comprise. Ce n'est donc pas un choix entre le pur et le coupable. La voie réaliste est une matrice bien conçue pour l'étendue du registre, avec un approfondissement quantitatif pour les quelques risques dont dépendent les plus grandes décisions.
De la littérature découlent cinq habitudes qui font la différence entre une matrice qui induit en erreur et une matrice qui aide.
Pour être complet, je signale que dans Kantyra, c'est également configuré ainsi. Les échelles de la matrice sont définissables par organisation, de sorte que vous pouvez les ancrer dans des chiffres. Chaque risque demande par défaut un raisonnement à côté du score (chaque organisation peut activer ou désactiver elle-même cette obligation), les incidents graves qui touchent un risque préparent automatiquement une réévaluation, et chaque modification est conservée avec l'utilisateur et l'horodatage dans le journal d'audit. La matrice elle-même reste ainsi ce que la littérature lui permet d'être, à savoir un instrument de hiérarchisation et de conversation, intégré dans une méthode de travail qui compense ses faiblesses.
Si vous ne retenez qu'une chose de cet article, que ce soit celle-ci : ne vous méfiez pas de la matrice, mais de la case nue. Un score sans définition chiffrée, sans deuxième évaluateur, sans raisonnement et sans réévaluation à l'arrivée de nouveaux signaux est exactement la gestion des risques symbolique contre laquelle la littérature met en garde. La même matrice, intégrée dans ces quatre habitudes, est un instrument défendable et praticable, même face à un auditeur critique qui a lu Cox.
Posez-vous donc trois questions. Les catégories de votre matrice sont-elles définies de manière chiffrée quelque part, ou « probable » signifie-t-il quelque chose de différent pour chacun chez vous ? Pouvez-vous retrouver, pour vos cinq plus grands risques, le raisonnement derrière le jugement ? Et quand ce jugement a-t-il été confronté pour la dernière fois à ce qui s'est réellement passé depuis ? Celui qui peut répondre à ces trois questions utilise la matrice comme la science le permet. Celui qui ne le peut pas n'a pas un problème de matrice mais un problème d'évaluation, et cela, heureusement, se résout.
Cet article est une synthèse étayée de recherches scientifiques existantes et non une recherche indépendante évaluée par des pairs. Là où j'interprète ou explique, cette interprétation relève de ma responsabilité.
In een demo van 30 minuten lopen we het model door aan de hand van jouw situatie.
Plan een demo