Le risk manager, copilote de la stratégie : quand la gestion des risques devient un levier de résilience et d’opportunités

Pendant longtemps, le risk manager a été perçu comme un “technicien” : celui qui tient à jour une cartographie des risques, sécurise les assurances, anime des comités et alerte quand un indicateur passe au rouge. Utile, certes. Mais rarement central. Depuis quelques années, et plus encore depuis la crise sanitaire, la fonction change de dimension. Elle s’installe au cœur du pilotage : non plus seulement pour protéger l’entreprise, mais pour l’aider à décider, à arbitrer et à tenir dans la durée autrement dit, pour rendre la stratégie exécutable dans un monde instable.

Ce mouvement n’est pas un simple effet de mode. Il répond à une transformation plus profonde de la nature même des risques analyse l’expert en communication de crise Florian Silnicki, Président Fondateur de l’agence LaFrenchCom. Ils sont devenus plus systémiques (interconnectés, globaux), plus rapides (propagation instantanée), plus politiques (sanctions, fragmentation) et plus “opérationnels” (cyber, dépendances technologiques, supply chain). Le risk manager ne peut plus se contenter d’additionner des risques dans un registre : il doit les relier, les hiérarchiser, les traduire en décisions et en capacités concrètes de résilience.

La crise de la Covid-19 a joué le rôle de révélateur. Peu d’organisations avaient réellement scénarisé un choc sanitaire mondial d’une telle ampleur. Pourtant, celles qui disposaient déjà de routines de gestion de crise, de plans de continuité d’activité, de circuits d’escalade et de reporting structurés ont gagné un temps précieux. Les enquêtes menées côté profession montrent que les risk managers ont été très présents dans la réponse : plus de 30% des répondants disent avoir participé à la mise en place du dispositif de crise Covid de leur organisation, et 17% l’avoir dirigé.

Puis la situation s’est intensifiée. La guerre en Ukraine, les tensions énergétiques, la réorganisation des chaînes de valeur, la multiplication des cyberattaques, la pression réglementaire, l’accélération climatique : l’entreprise européenne s’est retrouvée au contact de risques qu’elle pensait parfois “externes”, donc gérables par le seul jeu du marché. Dans cet environnement, la maturité progresse : intégrer le risque à la stratégie devient une condition de compétitivité, et parfois un catalyseur de changement de business model. La gestion des risques bascule alors d’une logique défensive (éviter des pertes) vers une logique de “risques et opportunités”, plus globale et plus holistique — un langage commun pour piloter l’incertitude.

Le tournant Covid : quand les process faits pour “autre chose” servent à l’essentiel

La Covid n’a pas “inventé” la gestion des risques. Mais elle a mis en évidence un point crucial : l’efficacité de la fonction ne dépend pas d’avoir “prédit” le scénario exact, mais d’avoir construit une méthode et une organisation capables d’absorber l’inattendu.

Dans les entreprises matures, les dispositifs existants — plans de continuité, exercices de crise, gouvernance de décision, procédures de communication — n’étaient pas conçus pour une pandémie. Ils étaient parfois orientés vers des sinistres industriels, une rupture d’approvisionnement, une indisponibilité IT, une crise réputationnelle. Pourtant, ils ont fourni une ossature : qui décide, sur quelles informations, selon quels seuils, avec quelles priorités, et comment l’organisation bascule en mode dégradé sans perdre son pilotage.

C’est là que le rôle du risk manager s’est distingué. Pas parce qu’il aurait eu une boule de cristal, mais parce qu’il maîtrise un savoir-faire rare dans l’entreprise : structurer l’incertitude. Définir des hypothèses, organiser l’information, construire un tableau de bord, faire converger des points de vue contradictoires, formaliser des arbitrages. Dans l’urgence, ces compétences deviennent un avantage compétitif.

La leçon la plus durable de la Covid tient en une phrase : la continuité n’est pas qu’un plan, c’est une capacité. Ce glissement est important. Un plan peut rester dans un classeur. Une capacité implique des tests, des entraînements, une culture, des redondances, des contrats, des “chemins de traverse” opérationnels. C’est exactement l’esprit des référentiels de continuité d’activité : ISO 22301, par exemple, vise à renforcer la résilience et la continuité des opérations face à des perturbations, en structurant préparation, réponse et amélioration continue.

Aujourd’hui, dans de nombreuses entreprises, ce que l’on appelle “risk management” englobe de plus en plus explicitement la gestion de crise, la continuité, l’anticipation, et — surtout — l’opérationnalisation : transformer les risques prioritaires en actions, budgets, plans et compétences.

Ukraine et retour du politique : le risque n’est plus un bruit de fond

Après la crise sanitaire, l’Europe a subi un choc géopolitique d’ampleur avec la guerre en Ukraine. Pour les organisations, l’effet n’a pas été seulement moral ou diplomatique : c’est une onde de choc logistique, énergétique, financière, juridique. Sanctions, dépendances, volatilité, sécurité des personnes, risques de réputation et de conformité : la géopolitique est entrée dans la salle de réunion.

Le World Economic Forum parle désormais d’une “ère de compétition” et place la “confrontation géoéconomique” parmi les risques les plus sévères à court terme dans son rapport 2026 — une confrontation où tarifs douaniers, restrictions d’investissement, contrôle de ressources et technologies deviennent des instruments de puissance.

Pour le risk manager, cette séquence a accéléré un changement de posture : passer d’une cartographie relativement stable à un travail de veille, d’analyse et de scénarisation en continu. La question n’est plus seulement “quel est le risque ?”, mais “à quelle vitesse évolue-t-il ?” et “quelles décisions devons-nous prendre avant que l’information soit parfaite ?”.

C’est aussi un moment où les interdépendances deviennent évidentes. Le risque géopolitique n’est pas isolé : il se traduit en risques d’approvisionnement, en risques de coûts (énergie), en risques de conformité (sanctions), en risques cyber (conflits hybrides), en risques sociaux (tensions internes), en risques commerciaux (retrait de marchés). Dans ce maillage, le risk manager utile n’est pas celui qui “possède” le sujet, mais celui qui fait travailler ensemble les compétences : achats, juridique, sécurité, IT, RH, finance, opérations. Un rôle de chef d’orchestre plus que d’expert unique.

De la cartographie à la conduite : le risk manager devient “chef d’orchestre” de la gouvernance

C’est un trait marquant des évolutions récentes : le risk manager s’éloigne d’une fonction de compilation pour devenir une fonction d’orchestration. La fédération européenne FERMA parle même, dans son enquête 2022, d’un passage vers un rôle de “risk conductor”, consolidant l’information issue d’autres fonctions pour la rendre lisible et actionnable au plus haut niveau.

Cette évolution n’est pas anecdotique. La cartographie des risques — exercice utile — a ses limites : elle fige souvent un instant T, et peut favoriser une logique de conformité (“nous avons notre matrice”) plutôt qu’une logique de décision (“nous assumons tel risque, nous investissons sur tel autre”). Or, la réalité contemporaine exige des arbitrages rapides et structurés, et donc une gouvernance plus fluide.

Les enquêtes plus récentes montrent que le périmètre du risk manager déborde largement du strict “risk management”. Dans l’enquête globale FERMA 2024, 88% des répondants déclarent assumer des responsabilités au-delà de la gestion des risques au sens classique. Autrement dit : la fonction se rapproche du pilotage, de la stratégie, de la transformation, parfois de la durabilité ou de la résilience opérationnelle.

Il faut lire cette montée en puissance comme un effet de la complexité : quand les risques deviennent transverses, quelqu’un doit organiser la transversalité. Et cette organisation suppose des méthodes, des rituels, un langage commun — plus que des expertises isolées.

Un métier qui change de grammaire : du “risque” à “l’incertitude” et aux “opportunités”

La transformation la plus structurante est peut-être sémantique : le risk manager ne parle plus uniquement de menaces, mais d’incertitudes — et, de plus en plus, d’opportunités. Cela ne signifie pas “positiver” les crises. Cela signifie intégrer une réalité : les décisions stratégiques se prennent sous incertitude, et le risque est l’autre face de la création de valeur.

Les grands référentiels poussent dans cette direction. ISO 31000 définit la gestion des risques comme un ensemble structuré de pratiques : identifier, analyser, évaluer, traiter, surveiller et communiquer les risques à l’échelle de l’organisation. L’intérêt de ce type de cadre est moins la norme elle-même que la discipline qu’elle installe : un cycle continu, articulé à la gouvernance.

Le cadre COSO ERM insiste, lui, sur l’intégration avec la stratégie et la performance : le risque n’est pas une annexe, mais une dimension du choix stratégique et de son exécution. Cette idée s’impose dans les comités de direction : une stratégie qui ne tient pas compte des risques majeurs — et de la capacité réelle de l’organisation à les absorber — devient une stratégie théorique.

Dans cette grammaire, le risk manager joue un rôle clé : traduire l’incertitude en décisions. Non pas en disant “non” à tout, mais en aidant à formuler les conditions du “oui” : quels garde-fous, quelles limites, quelles hypothèses, quels plans de repli, quels investissements de résilience.

Le passage à l’holistique : connecter les silos sans les écraser

La modernité du risk management se joue dans la capacité à faire dialoguer des “silos” qui, historiquement, ne se parlaient pas : cyber, conformité, sécurité, finance, RH, opérations, supply chain, durabilité, sûreté, réputation, etc. L’entreprise a longtemps géré les risques “par métier”. Mais les crises récentes démontrent que le risque “par métier” est devenu insuffisant.

Un modèle de gouvernance de plus en plus mobilisé est celui des “trois lignes” (Three Lines Model) de l’Institute of Internal Auditors, mis à jour en 2020. Il clarifie la logique : le management en première ligne (qui possède et gère les risques), les fonctions de second niveau (risk, conformité, contrôle) qui soutiennent et challengent, et l’audit interne qui apporte une assurance indépendante.

Dans cette architecture, le risk manager d’aujourd’hui n’est pas le “propriétaire” de tous les risques. Il est le garant de la cohérence : il fait en sorte que les risques soient définis de manière comparable, que les responsabilités soient claires, que les arbitrages soient documentés, que les alertes soient remontées, et que les décisions s’appuient sur des scénarios.

Ce travail de connexion est autant politique que technique. Il nécessite de la pédagogie (pour diffuser une culture), de la diplomatie (pour éviter les guerres de territoire), et une capacité à parler plusieurs langues : celle du directeur industriel (pannes, rendements, sécurité), celle du CFO (cash, capex/opex, covenants), celle du DSI (vulnérabilités, dépendances, architecture), celle des RH (compétences, tensions sociales), celle des juristes (sanctions, obligations, contentieux). Le risk manager devient un traducteur.

Du registre de risques au pilotage : multi-horizons, scénarios et “stress tests”

C’est ici que “la méthode” s’impose. Le risk manager qui pèse dans l’entreprise de 2026 n’est pas celui qui produit le document le plus complet, mais celui qui installe des mécanismes de décision robustes. On peut résumer les évolutions méthodologiques en quatre piliers.

Travailler sur plusieurs horizons de temps

Les risques ne se manifestent pas tous au même rythme. Les cyberattaques ou les crises géopolitiques se jouent parfois en heures ou en jours. Les risques climatiques et de transition se déploient sur des années. La difficulté est de piloter simultanément le court terme (continuité, incidents) et le long terme (stratégie, investissements, trajectoires).

La profession en a pris conscience : l’enquête FERMA 2024 met en avant l’importance de gérer différents horizons temporels. Dans les risques jugés majeurs à court terme (12 mois), figurent notamment les cyberattaques et les incertitudes géopolitiques.

Passer des risques “listés” aux risques “scénarisés”

Les cartographies traditionnelles sont souvent basées sur une matrice probabilité/impact. Utile, mais parfois trompeur : certains risques sont très incertains en probabilité, mais catastrophiques en impact ; d’autres sont très probables mais absorbables. Surtout, la probabilité n’est pas toujours estimable.

D’où le retour en force des scénarios : “que se passe-t-il si… ?”. Le rôle du risk manager est de construire des scénarios pertinents (pas des dystopies gratuites), d’expliciter les hypothèses, de tester la chaîne de valeur, et de faire émerger les points de rupture : dépendances critiques, fournisseurs uniques, contraintes réglementaires, fragilités logistiques, concentration géographique, dépendance à une technologie.

Définir l’appétit au risque, et le rendre opérationnel

On ne pilote pas ce qu’on ne limite pas. L’appétit au risque (risk appetite) est devenu un outil de dialogue avec la direction générale et le conseil : quels risques l’entreprise est-elle prête à prendre pour atteindre ses objectifs ? Quelles limites ne doit-elle pas franchir ? Quels risques sont acceptables s’ils créent de la valeur, et lesquels menacent la viabilité ?

Le risque manager apporte une “grammaire” : seuils, tolérances, limites, indicateurs. Là encore, la méthode prime sur l’illusion de précision : l’appétit au risque n’est pas un chiffre magique, c’est un cadre d’arbitrage.

Installer des indicateurs avancés et un monitoring continu

Le monde change trop vite pour attendre le reporting trimestriel. Les entreprises construisent des “signaux faibles” et des indicateurs avancés (KRI) : concentration fournisseur, dépendance à un pays, taux de vulnérabilités non corrigées, délais de reprise, tension sur les talents, exposition énergétique, contentieux, incidents répétés, etc.

C’est ici que la technologie change la donne : plateformes GRC, automatisation, data externe, “risk intelligence”. Mais l’enjeu n’est pas de se noyer sous la donnée : c’est de sélectionner les indicateurs qui déclenchent des décisions.

Cyber, résilience opérationnelle : une pression réglementaire qui structure la fonction

Un autre moteur de la montée en puissance du risk manager est la réglementation, qui pousse les entreprises à formaliser leur gouvernance des risques — et à démontrer leur capacité à résister.

Sur le cyber, la directive NIS2 impose aux États membres de transposer dans le droit national des exigences renforcées de cybersécurité (gestion des risques, reporting d’incidents, gouvernance) et fixe une date butoir de transposition au 17 octobre 2024. Les entreprises concernées doivent, de fait, structurer des politiques, des mesures, des contrôles. Le risk manager est souvent le point de convergence : il articule le cyber (technique) avec le risque d’entreprise (stratégique), et avec les obligations de gouvernance.

Dans la finance, le règlement DORA (Digital Operational Resilience Act) est entré en application le 17 janvier 2025 et vise à renforcer la résilience numérique des entités financières (gestion des risques ICT, tests, gestion des prestataires tiers, reporting d’incidents). Même lorsqu’il ne s’applique pas directement hors secteur financier, DORA agit comme un standard de référence : cartographie des dépendances technologiques, gestion du risque “third party”, contractualisation, tests.

La logique est la même partout : les entreprises sont incitées à prouver qu’elles ne subissent pas seulement les crises, mais qu’elles se préparent, qu’elles testent, qu’elles corrigent. Le risk manager se transforme alors en architecte de dispositifs : pas seulement “évaluer” mais “construire”.

ESG et climat : de nouveaux risques, mais surtout une nouvelle manière de raisonner

La durabilité constitue un second grand basculement, car elle oblige l’entreprise à parler explicitement de risques et d’opportunités, et à relier performance et impacts.

La directive CSRD, qui structure le reporting de durabilité en Europe, exige des entreprises concernées de publier des informations sur les risques et opportunités liés aux enjeux sociaux et environnementaux, et sur les impacts de leurs activités. Au-delà du reporting, c’est une mise en ordre : l’entreprise doit formaliser, documenter, et — de plus en plus — faire assurer certaines informations (avec une montée graduelle des exigences d’assurance).

Signe des débats en cours, la Commission européenne a engagé des mesures de simplification (“omnibus”), et un mécanisme dit “stop-the-clock” a été acté pour repousser l’entrée en application des exigences de reporting pour certaines vagues d’entreprises initialement prévues sur les exercices 2025 ou 2026. L’important, du point de vue du risk manager, n’est pas d’anticiper chaque ajustement technique, mais d’intégrer une réalité durable : la matérialité extra-financière devient une matérialité de gestion.

La profession, là encore, se réorganise. Le rapport FERMA 2024 souligne une intégration forte entre risk management et ESG : 81% des risk managers contribuent à l’analyse et à la cartographie des risques ESG, 62% participent à la définition d’un cadre de risque ESG, et la difficulté à quantifier ces risques reste un défi majeur.

Sur le climat, la montée en intensité des impacts physiques et financiers pousse les entreprises à sortir d’une approche déclarative. Les pertes économiques liées aux événements extrêmes — plus de 320 milliards de dollars en 2023 selon une analyse citée par Reuters — rappellent que le risque climatique n’est pas seulement une menace “future”. Là encore, le rôle du risk manager est méthodologique : aider à distinguer risque physique et risque de transition, construire des scénarios, tester l’exposition des actifs, intégrer ces éléments dans les décisions d’investissement, d’assurance, de supply chain, de localisation.

Supply chain : la résilience comme stratégie, pas comme repli

L’autre grande obsession post-Covid et post-Ukraine, c’est la chaîne d’approvisionnement. La tentation est connue : sécuriser en rapatriant, localiser, réduire la dépendance. Mais la résilience ne se résume pas au repli : elle exige un équilibre entre sécurité et performance.

L’OCDE insiste sur l’idée qu’une gestion du risque efficace est une voie plus robuste qu’une fermeture des échanges : diversifier, renforcer la visibilité, coopérer, ajuster plutôt que casser. Pour un risk manager, cela se traduit par des chantiers très concrets : cartographier les dépendances critiques (niveaux 2 et 3 de fournisseurs), définir des stocks stratégiques pour certains composants, contractualiser des capacités alternatives, organiser des tests de rupture (war games), intégrer des clauses de résilience, mettre en place des critères de criticité.

C’est précisément l’endroit où la fonction prend du poids : parce qu’elle transforme un discours (“il faut être résilient”) en une ingénierie de décisions (“sur quels composants, à quel coût, avec quelles priorités ?”).

Un rôle qui s’impose au sommet : mais encore à consolider dans la “boardroom”

La montée en puissance du risk manager se lit aussi dans sa proximité croissante avec les instances de gouvernance. Le rapport FERMA 2024 note une implication stratégique accrue, avec davantage d’interactions au niveau du board — tout en soulignant qu’il reste des marges pour établir une position plus claire dans la salle du conseil.

C’est logique : le conseil et les comités d’audit sont confrontés à des risques plus transverses, plus “non financiers”, mais tout aussi décisifs. La demande se transforme : on ne veut plus seulement une liste de risques, on veut comprendre la robustesse du modèle, la vulnérabilité à certains scénarios, et la capacité de réponse.

Dans cette relation au sommet, le risk manager apporte deux choses que peu d’autres fonctions apportent simultanément :

• Une vue transversale (croiser les expositions plutôt que les empiler).
• Une capacité d’arbitrage outillée (scénarios, seuils, plans de repli, indicateurs).

Il est souvent le seul à pouvoir dire : “Sur ce dossier, le risque n’est pas là où on le croit” — et à le démontrer.

Les compétences qui font la différence : moins de “technique”, plus de “pilotage”

À mesure que la fonction devient stratégique, le profil change. Le risk manager n’est plus uniquement un spécialiste de l’assurance, du contrôle ou de la conformité. Il devient un professionnel du pilotage sous incertitude.

Trois compétences montent en flèche.

La scénarisation et la pensée systémique

Comprendre les effets domino : un fournisseur critique, une sanction, un incident cyber, une rupture énergétique, et c’est une usine qui s’arrête, une promesse client qui n’est pas tenue, une réputation qui vacille. Le risk manager doit “voir le système”.

La quantification pragmatique

Il ne s’agit pas de tout mettre en chiffres — la quantification parfaite n’existe pas — mais d’armer les arbitrages : ordres de grandeur, sensitivités, stress tests, impacts sur le cash, sur le délai de reprise, sur le coût total. Les grandes organisations s’inspirent d’approches de stress test pour rendre visibles des vulnérabilités, comme on le voit dans certaines analyses de portefeuilles face à des chocs climatiques ou technologiques.

La communication et l’influence

Le risk manager efficace sait raconter un risque : pas en termes catastrophistes, mais en termes décisionnels. “Voici le scénario, voici nos points de rupture, voici les options, voici les coûts, voici le plan B.” C’est de la stratégie appliquée.

Le cœur de la méthode : sept gestes qui résument le risk management “nouvelle génération”

Si l’on devait résumer, de manière opérationnelle, ce que fait un risk manager aujourd’hui (au-delà des organigrammes), on pourrait l’exprimer en sept gestes.

1. Clarifier l’ownership : chaque risque majeur a un propriétaire métier (le risque manager n’est pas propriétaire de tout). Il organise la responsabilité, il ne la remplace pas.
2. Définir une taxonomie commune : parler le même langage (catégories, impacts, criticité) pour éviter les comparaisons impossibles.
3. Travailler par “risques critiques” et non par liste exhaustive : la qualité d’un dispositif se mesure à sa capacité à traiter les 10-15 risques qui peuvent réellement changer la trajectoire, pas à recenser 200 items.
4. Installer une approche multi-horizons : incidents (jours), volatilité (mois), ruptures stratégiques (années). La même matrice ne suffit pas.
5. Organiser des exercices : crises, cyber, ruptures supply, indisponibilité IT, communication, décision. Sans répétition, la résilience est théorique.
6. Gérer les dépendances : fournisseurs, cloud, données, technologies, talents. Les risques majeurs sont souvent des dépendances mal connues.
7. Faire le lien stratégie–budget : une action de mitigation qui n’a ni sponsor ni budget n’existe pas. C’est le point de bascule entre reporting et pilotage.

Ce cadre méthodologique n’est pas “spectaculaire”. Il est même parfois ingrat. Mais il est ce qui rend l’entreprise plus robuste et plus rapide quand le choc arrive.

Les limites : le risk manager n’est pas un prophète — et ne doit pas devenir un bureaucrate

Il faut aussi le dire : la montée en puissance de la fonction comporte des risques… pour la fonction elle-même.

Le premier est celui de la bureaucratisation. À force de vouloir tout couvrir, tout documenter, tout “scorer”, on peut produire une gestion des risques qui ralentit l’entreprise sans augmenter réellement sa sécurité. Le meilleur risk manager est souvent celui qui simplifie : il identifie les quelques mécanismes qui font gagner en maîtrise, et il élimine le reste.

Le deuxième risque est celui de l’illusion de contrôle. Les crises récentes rappellent que certains événements resteront imprévisibles. La valeur du risk manager se joue donc moins sur la prédiction que sur la préparation : la capacité à absorber l’inattendu, à décider vite, à restaurer.

Enfin, troisième limite : l’équilibre avec l’innovation. Une entreprise ne peut pas se protéger au point de ne plus oser. La fonction mature est celle qui construit des “rails” : elle rend le risque “prenable”, elle sécurise l’audace.

Vers un nouveau contrat : la résilience comme avantage compétitif

Au fond, la montée en puissance du risk manager raconte une transformation du capitalisme d’entreprise : dans un monde de chocs, la performance ne se résume plus à l’optimisation. Elle inclut la robustesse. Et la robustesse s’organise.

Les entreprises qui prennent cette logique au sérieux ne cherchent pas à éliminer le risque — impossible — mais à le piloter. Elles acceptent qu’une partie de la création de valeur passera par des investissements de résilience : sécuriser des dépendances, tester des plans de continuité, diversifier des chaînes d’approvisionnement, renforcer le cyber, intégrer le climat, formaliser la gouvernance.

Le risk manager, dans cette dynamique, prend un rôle singulier : il n’est ni le gardien du temple, ni le simple contrôleur. Il devient le copilote qui aide à transformer l’incertitude en décisions. C’est une fonction de méthode — et, de plus en plus, une fonction de stratégie.