L’ère des risques concomitants : pourquoi la gestion des risques devient une fonction stratégique

Les entreprises entrent dans une ère de « risques concomitants ». Autrement dit : les chocs ne se succèdent plus, ils se superposent analyse l’expert en communication de crise Florian Silnicki, Président Fondateur de l’agence LaFrenchCom. Une cyberattaque ne vient plus seule ; elle coïncide avec une tension sur la chaîne d’approvisionnement, une crise sociale, une flambée des coûts de l’énergie, une défaillance d’un prestataire critique ou un épisode climatique extrême. L’incertitude n’est plus un bruit de fond : elle devient le cadre. Dans ce nouvel environnement, la fonction risques change de dimension. Longtemps cantonnée au contrôle, à la conformité ou à la cartographie annuelle, elle est appelée à devenir une capacité centrale de pilotage – au même titre que la stratégie, la finance ou les opérations.

Cette transformation n’est pas qu’une affaire d’organigramme. C’est une affaire de méthode. Car face à des risques multiples, corrélés et rapides, l’entreprise ne peut plus se contenter de réagir : elle doit prévenir, analyser et gérer la crise comme un continuum. Ce triptyque n’a rien d’abstrait. Il se traduit par des choix concrets : architecture des systèmes d’information, politique fournisseurs, gouvernance des données, préparation des équipes, scénarios, entraînements, communication, arbitrages budgétaires. La question n’est plus « comment éviter tout incident ? », objectif irréaliste. Elle devient : comment limiter l’impact, accélérer la décision et réduire le temps de retour à la normale, quand plusieurs crises se déclenchent en même temps.

Du risque isolé au risque concomitant : quand la corrélation devient le vrai danger

La plupart des dispositifs de gestion des risques ont été conçus pour un monde où les menaces étaient relativement séparées : un risque financier d’un côté, un risque industriel de l’autre, un risque juridique ailleurs. Chacun avec ses spécialistes, ses plans, ses indicateurs. Cette logique « en silos » a fonctionné tant que les événements restaient ponctuels et que le temps de réaction permettait d’absorber le choc.

Le problème, aujourd’hui, n’est pas seulement la hausse du nombre de risques. C’est leur interdépendance. Un incident informatique peut entraîner un arrêt de production, puis une rupture de livraison, puis une pénalité contractuelle, puis un emballement médiatique, puis une baisse de confiance des clients, puis des tensions internes. La crise ne se propage pas en ligne droite : elle se diffuse dans un réseau de dépendances.

Dans cette ère de risques concomitants, trois caractéristiques dominent :

1. La vitesse : l’information circule instantanément, les décisions doivent être prises sous pression, les délais de tolérance se réduisent.
2. La complexité : les causes sont multiples, les effets secondaires nombreux, les responsabilités distribuées.
3. La simultanéité : plusieurs événements surviennent ensemble, saturant les capacités de l’organisation.

C’est ce cocktail qui met à l’épreuve les entreprises, davantage encore que la gravité intrinsèque d’un incident. Une organisation peut encaisser un choc majeur si le reste fonctionne. Elle peut vaciller sous des chocs « moyens » s’ils arrivent en même temps.

La fonction risques change d’ère : du « gardien » au copilote

Dans beaucoup d’entreprises, la fonction risques a longtemps été perçue comme une fonction de garde-fou : elle alerte, documente, vérifie, produit des rapports. Utile, mais rarement centrale. La montée des risques concomitants rebat les cartes : la direction des risques (ou ses équivalents) est appelée à devenir un copilote de la performance, capable de relier événements opérationnels, expositions financières, contraintes réglementaires et enjeux d’image.

Ce basculement impose un repositionnement :

• De la conformité vers la résilience : ne plus viser seulement « être conforme », mais « continuer à fonctionner ».
• Du reporting vers l’anticipation : ne plus décrire le risque, mais détecter ses signaux faibles.
• Du catalogue vers la dynamique : ne plus lister les risques, mais comprendre comment ils se combinent.
• De l’expertise isolée vers l’orchestration : coordonner IT, production, juridique, finance, RH, communication.

Un directeur des risques le résume souvent ainsi (dans des termes qui reviennent de plus en plus) : « Je ne peux plus être celui qui dit non à la fin. Je dois être celui qui aide à décider au début. » Cette phrase dit tout : la valeur de la fonction risques se mesure désormais à sa capacité à rendre la décision possible, pas à sa capacité à produire un document.

La prévention : passer d’une logique de protection à une logique de réduction de vulnérabilité

Prévenir, dans un monde instable, ne signifie pas construire une forteresse. Cela signifie réduire les vulnérabilités là où l’entreprise est la plus exposée, et augmenter ses marges de manœuvre. C’est une logique de design, pas uniquement de contrôle.

Identifier les « points de rupture » plutôt que les risques génériques

La cartographie traditionnelle classe les risques par probabilité et impact. Elle a une utilité, mais elle devient insuffisante quand les risques se combinent. L’approche la plus efficace consiste à partir de la question : quels sont nos points de rupture ?

• Qu’est-ce qui, s’il s’arrête, bloque tout ?
• Quelles ressources sont irremplaçables à court terme ?
• Quels systèmes sont critiques ?
• Quelles dépendances externes sont invisibles (sous-traitants de rang 2 ou 3, cloud, prestataires de paiement, logistique) ?

Cette cartographie des dépendances fait apparaître un fait souvent dérangeant : l’entreprise a parfois davantage investi dans la protection de ce qui est visible que dans la robustesse de ce qui est vital.

Construire de la redondance intelligemment (et l’assumer économiquement)

La redondance a longtemps été suspecte : elle coûte, elle « duplique », elle semble inefficiente. Mais dans l’ère des risques concomitants, la redondance devient une assurance opérationnelle. L’enjeu n’est pas de dupliquer partout : c’est de choisir où la redondance est stratégique.

Exemples de redondance utile :

• fournisseurs alternatifs homologués ;
• stocks tampons sur des composants critiques (pas sur tout) ;
• capacités de production de secours ou sous-traitance activable ;
• architectures IT résilientes (segmentation, sauvegardes isolées, plans de reprise).

Cette redondance doit être arbitrée comme un investissement, non comme une dépense. Elle se calcule : coût d’option vs coût d’arrêt.

Mettre la prévention « by design » dans les projets

Les crises naissent souvent d’un détail négligé : une dépendance logicielle, une clause contractuelle, un processus sans contrôle, une absence d’alerte. La prévention efficace consiste à intégrer les exigences de résilience dans les projets dès le départ : achats, SI, industrialisation, M&A, développement international.

La méthode la plus robuste consiste à exiger, à chaque projet structurant :

• une analyse d’impact opérationnel (que se passe-t-il si ça tombe ?) ;
• un plan de continuité (comment on opère en mode dégradé ?) ;
• un plan de reprise (comment on rétablit ?) ;
• une responsabilité claire (qui décide, qui arbitre ?) ;
• des tests (pas uniquement des documents).

L’analyse : passer du tableau annuel à la détection en continu

Dans un environnement stable, un exercice annuel de cartographie suffit à créer un langage commun. Dans un environnement instable, il faut un système nerveux, capable de capter des signaux, d’émettre des alertes et de déclencher des décisions.

Du KPI au KRI : des indicateurs de performance aux indicateurs de risque

La plupart des entreprises savent piloter la performance (KPI). Beaucoup pilotent mal le risque (KRI). La différence : un KRI ne décrit pas ce qui a été fait, il indique ce qui pourrait mal tourner.

Un KRI utile est :

• relié à un point de rupture ;
• mesurable et mis à jour fréquemment ;
• associé à des seuils d’action ;
• relié à une décision concrète (quand le seuil est franchi, on fait quoi ?).

Exemples :

• taux de dépendance à un fournisseur unique sur une pièce critique ;
• délai moyen de livraison d’un composant clé (en dérive) ;
• volume d’incidents IT récurrents sur un système critique ;
• turnover dans une équipe clé ;
• exposition à une zone géopolitique sous tension.

Passer d’une vision « liste de risques » à une vision « scénarios »

L’erreur fréquente consiste à accumuler des risques dans un registre, sans tester leur combinaison. Or, l’ère des risques concomitants impose un changement : raisonner par scénarios.

Un bon scénario n’est pas un roman catastrophe. C’est une hypothèse de rupture qui force l’entreprise à répondre à trois questions :

1. Qu’est-ce qui tombe ?
2. Qu’est-ce qui tient ?
3. Comment décide-t-on sous contrainte ?

La force des scénarios n’est pas de prédire. Elle est de préparer. Ils révèlent des angles morts, des incohérences, des dépendances ignorées.

Utiliser l’analytique et l’IA… sans transformer le risque en boîte noire

La tentation est grande : plus de données, plus d’outils, plus d’algorithmes. Mais l’analyse du risque doit garder une règle simple : ce qui déclenche une décision doit être compréhensible.

L’analytique apporte de la valeur lorsqu’elle :

• réduit le temps entre signal et action ;
• améliore la qualité de la décision (moins d’intuition, plus d’éléments) ;
• automatise la détection (anomalies, tendances, seuils).

Mais elle peut créer un risque nouveau : la confiance excessive dans un modèle, l’oubli des biais, la dépendance à un outil. La méthode consiste à associer l’IA à une gouvernance : qui valide, qui surveille, qui explique.

La gestion de crise : une compétence managériale, pas un classeur sur une étagère

Quand les risques se superposent, la crise devient moins une exception qu’un mode de fonctionnement temporaire. L’entreprise doit donc traiter la gestion de crise comme une compétence managériale, au même titre que la conduite du changement ou le pilotage financier.

Créer une structure de crise qui fonctionne sous stress

Une cellule de crise efficace n’est pas un groupe d’experts réunis en urgence. C’est une structure prédéfinie, avec des rôles clairs :

• direction de crise (décision) ;
• coordination opérationnelle (exécution) ;
• communication interne/externe (cohérence) ;
• juridique & conformité (cadre) ;
• relations clients/partenaires (continuité) ;
• IT/sécurité/production (rétablissement).

Le point critique n’est pas l’organigramme : c’est le processus de décision. Qui arbitre ? À quelle fréquence ? Sur la base de quelles informations ? Avec quel pouvoir ?

Préparer le mode dégradé : la question qui change tout

Dans la plupart des crises, l’entreprise ne s’arrête pas totalement : elle fonctionne en mode dégradé. Le succès ne se mesure pas à l’absence de perturbation, mais à la capacité à maintenir un niveau minimal de service.

Cela suppose de définir à l’avance :

• quels produits/services sont prioritaires ;
• quels clients doivent être servis en premier ;
• quelles fonctions peuvent être ralenties ;
• quelles dérogations sont possibles (processus, contrôles) sans se mettre en danger.

Ces choix sont politiques autant qu’opérationnels. Ils doivent être décidés avant la crise, parce qu’en crise, le consensus se fissure.

S’entraîner : les crises ne s’improvisent pas

La différence entre un plan de crise et une capacité de crise tient souvent en un mot : exercice.

Les exercices utiles sont :

• réguliers (pas une fois tous les trois ans) ;
• réalistes (stress, information partielle, contradictions) ;
• transverses (IT, opérations, com, juridique, RH) ;
• suivis d’un retour d’expérience (ce qui a marché, ce qui a échoué, ce qu’on change).

L’objectif n’est pas de « réussir l’exercice ». L’objectif est de découvrir, sans dégâts, ce qui casserait en vrai.

Communiquer : gérer la confiance autant que l’incident

Dans les crises concomitantes, l’information circule vite, souvent avant que les faits soient stabilisés. L’entreprise doit donc gérer un risque particulier : la perte de confiance, interne et externe.

La méthode de communication de crise tient en trois principes :

• dire ce que l’on sait, dire ce que l’on ne sait pas, dire ce que l’on fait ;
• communiquer tôt, même partiellement, plutôt que laisser le vide ;
• aligner le discours interne et externe (les salariés sont des médias).

L’assurance et la finance : quand le risque devient une variable économique centrale

La multiplication des risques concomitants transforme aussi la relation à l’assurance et à la finance. Longtemps, l’assurance a été vue comme une protection standard. Mais lorsque les risques sont corrélés et systémiques, l’assureur, lui aussi, limite sa capacité, ajuste ses conditions, exige des preuves de maturité.

La conséquence : le risque devient une variable économique de premier plan. L’entreprise doit arbitrer :

• ce qu’elle transfère (assurance) ;
• ce qu’elle réduit (prévention) ;
• ce qu’elle accepte (appétence au risque) ;
• ce qu’elle finance (réserves, liquidité, options).

Cette approche impose un dialogue renforcé entre risques, finance et opérations. Le risque n’est plus « un sujet à part ». Il devient un facteur de compétitivité : une entreprise résiliente peut livrer quand les autres interrompent, maintenir la confiance, gagner des parts de marché.

La gouvernance : l’entreprise doit apprendre à décider dans l’incertain

Le cœur de la transformation est là : dans un monde stable, la gouvernance vise à optimiser. Dans un monde incertain, la gouvernance vise à tenir.

Clarifier l’appétence au risque… en termes opérationnels

Beaucoup d’entreprises définissent leur appétence au risque de manière conceptuelle. La méthode la plus efficace consiste à la traduire en règles opérationnelles :

• quel niveau d’arrêt de production est acceptable ?
• quelle perte maximale sur un incident ?
• quel délai de reprise attendu sur un système critique ?
• quel niveau de dépendance à un fournisseur est toléré ?

L’appétence au risque devient alors un cadre de décision, pas un slogan.

Renforcer le lien entre conseil d’administration et risques « réels »

Dans l’ère des risques concomitants, la responsabilité du conseil s’élargit : non pas pour gérer l’opérationnel, mais pour s’assurer que l’entreprise sait faire face.

Les conseils les plus avancés demandent :

• des scénarios concrets, pas seulement des matrices ;
• des indicateurs de résilience (temps de reprise, tests réalisés, maturité) ;
• des retours d’expérience sur les incidents (et les actions prises).

Mettre fin au « théâtre du contrôle » : privilégier les preuves

Une dérive fréquente des organisations est de produire des documents qui prouvent qu’elles ont un dispositif, sans prouver que ce dispositif fonctionne. Dans l’ère actuelle, la valeur vient des preuves :

• tests de restauration de sauvegardes ;
• audits de fournisseurs critiques ;
• exercices de crise ;
• capacité à basculer sur un plan B.

Le risque se pilote avec des faits, pas seulement avec des présentations.

Une feuille de route méthodologique : dix chantiers pour passer à l’échelle

Pour transformer la gestion des risques en capacité d’entreprise, voici une feuille de route en dix chantiers, centrée sur la méthode.

1. Cartographier les dépendances critiques (systèmes, fournisseurs, prestataires, flux).
2. Identifier les points de rupture (ce qui bloque tout) et prioriser.
3. Définir des seuils de tolérance (temps d’arrêt, pertes, délais de reprise).
4. Mettre en place des KRIs reliés à des décisions, avec des seuils d’action.
5. Bâtir des scénarios de risques concomitants et les actualiser régulièrement.
6. Institutionnaliser les exercices de crise (table-top, simulations, stress tests).
7. Formaliser le mode dégradé : priorités, dérogations, règles de continuité.
8. Renforcer la résilience IT et data (segmentation, sauvegardes, restauration testée).
9. Intégrer le risque « by design » dans les projets et les décisions d’investissement.
10. Installer une gouvernance de décision en incertitude : rôles, arbitres, cadence, communication.

Ces chantiers ont un point commun : ils déplacent l’entreprise d’une logique « déclarative » vers une logique opérationnelle.

La culture : l’enjeu invisible qui conditionne tout

La méthode, seule, ne suffit pas si la culture ne suit pas. Or, les risques concomitants révèlent souvent des fragilités culturelles :

• peur de remonter les signaux faibles ;
• dépendance à une personne « qui sait » ;
• décisions trop lentes car trop hiérarchiques ;
• silos qui empêchent la coordination.

Développer une culture de la résilience ne signifie pas vivre dans la peur. Cela signifie :

• autoriser l’alerte sans sanction ;
• valoriser la transparence sur les incidents ;
• apprendre vite, corriger vite ;
• considérer la préparation comme un acte de management.

Dans les organisations qui progressent, un basculement apparaît : on ne célèbre pas seulement les performances, on célèbre aussi les réductions de vulnérabilité.

Vers une nouvelle maturité : la résilience comme avantage compétitif

La question finale est simple : pourquoi investir autant dans la prévention, l’analyse et la crise ? Parce que l’entreprise ne se bat plus seulement sur les prix, la qualité ou l’innovation. Elle se bat aussi sur sa capacité à tenir quand le contexte vacille.

Dans une économie marquée par la simultanéité des chocs, la résilience devient une promesse faite aux clients, aux salariés, aux partenaires et aux actionnaires : nous pouvons traverser l’imprévisible sans nous effondrer. Et cette promesse, lorsqu’elle est crédible, produit une valeur très tangible : continuité de service, confiance, attractivité, accès au financement, capacité à se projeter.

L’ère des risques concomitants impose donc une nouvelle maturité : accepter que l’incertitude est la norme, et que la gestion des risques n’est plus un exercice de conformité, mais une discipline de pilotage. La prévention réduit la vulnérabilité ; l’analyse accélère la compréhension ; la gestion de crise protège la continuité et la confiance. Ensemble, elles ne suppriment pas le risque – elles permettent à l’entreprise de rester maîtresse de son destin, même quand plusieurs tempêtes éclatent en même temps.