Tous les risques ne se valent pas : ils ne vont pas impacter le projet de la même manière. Certains feront l'objet d'une vigilance particulière alors que d'autres, mineurs, seront simplement ignorés. La priorisation des risques identifiés est indispensable pour tracer les contours de votre stratégie de prévention.
Classez les risques : la matrice de criticité
Pour vous guider dans cette priorisation, vous pouvez utiliser une matrice afin de classer les risques identifiés selon les critères de probabilité et de gravité. In fine, c’est le produit de ces deux notions qui indiquera la criticité du risque. Plus la criticité sera élevée, plus le risque sera à considérer.
Et on l’a vu au tout début de ce cours, pour qu’un risque soit bien un risque, il doit être quantifiable.
Probabilité (ou fréquence)
Quand vous regardez un bulletin de Météo France et qu’on vous annonce que le weekend prochain il tombera des cordes, avec un indice de confiance de 4 sur 5, vous ne sortirez pas sans votre K-Way… Cet indice de confiance est l’expression d’une probabilité — ici, celle de vous mouiller sous la pluie.
Dans notre contexte, définir une probabilité, c’est évaluer la possibilité que le risque devienne un problème.
Vous exprimerez cette probabilité sur une échelle arbitraire, par exemple entre 1 (très peu probable) et 5 (extrêmement probable). Votre estimation sera alimentée par votre connaissance du projet et de son contexte. Vous remarquez de nouveau à quel point les outils de description du projet vous aideront à faire des choix éclairés.
Ainsi, si mon weekend est prévu en juillet à Séville, je peux estimer une probabilité de pluie à 1. En revanche, si c’est à Glasgow en octobre, je peux raisonnablement envisager un 5. 😉
Gravité
Je poursuis sur mon exemple météorologique. Envisager qu’il va pleuvoir, c’est une chose. Mais subir un léger crachin, ce n’est pas faire face à un vrai déluge. Dans le premier cas, je serai convaincu que je devrai faire des photos sous un ciel gris ; dans le second, je peux carrément décider d’annuler mon weekend.
Le contexte peut également influer sur la gravité : si je suis déjà enrhumé, se retrouver trempé n’est probablement pas la meilleure idée du monde…
La gravité exprime l’impact du risque devenu problème sur le déroulement du projet.
On utilisera une échelle similaire à celle définie pour la probabilité : de 1 (anodin) à 5 (extrêmement préjudiciable), par exemple.
Criticité
La criticité représente comment le risque peut influer sur le projet. Elle est le produit de ces deux évaluations :
Si l’échelle choisie pour l’estimation de vos probabilité et gravité va de 1 à 5, vous obtiendrez des valeurs possibles pour la criticité de vos risques entre 1 (minimum) et 25 (maximum).
Un risque critique (criticité élevée) sera à traiter dès le début du projet. On cherchera par tous les moyens à réduire sa criticité. Cela fera l’objet de la dernière partie de ce cours.
Identifier rapidement les risques à prioriser avec une matrice de criticité
Pour identifier rapidement et visuellement les risques qui seront à considérer dans votre projet, la matrice de criticité fait les calculs à votre place.
Pour chaque risque, vous allez estimer sa probabilité (« Quelle est la probabilité pour que ce risque se transforme en problème ? ») et sa gravité (« Quels seraient les impacts de ce problème sur mon projet ? »). Vous le positionnerez dans la matrice, selon sa criticité.
Vous positionnerez tous les risques identifiés dans une seule et même matrice.
Remarquez une chose : la progression de la criticité n’est pas linéaire, et la progression des impacts possibles sur le projet est exponentielle.
La criticité donne une vision plus réaliste de la façon dont un risque pourra perturber le projet, s’il se concrétise.
Vous pouvez considérer qu’une criticité supérieure ou égale à 10 est une criticité élevée et nécessite des actions immédiates de prévention. En effet, si les difficultés liées à ces risques apparaissent, les conséquences sur le projet pourraient être dramatiques !
Les zones de risques
Il est important de repérer les risques que vous positionnerez dans les quatre coins de la matrice. Ils sont à traiter (ou pas…) de façon spécifique.
Les risques perturbateurs
Un risque extrêmement probable mais de très faible gravité, c’est un problème à résoudre. Si vous ne le faites pas, vous vous exposez à des perturbations régulières qui, même si leur impact est très faible, viendront parasiter le déroulement de votre projet.
Ils peuvent avoir un impact important sur les ressources impliquées dans le projet et sur la sécurisation des délais.
✅Identifiez les causes de ce risque et supprimez-les.
Les risques négligeables
Un événement très peu probable et avec un impact minimal sur le projet ne devrait pas vous inquiéter. Si vous avez identifié un risque que vous positionnez en bas à gauche de votre matrice, considérez qu’il est négligeable.
✅ Ne tenez pas compte des risques négligeables.
Les risques de gravité
Un risque de gravité représente un événement qui serait dramatique mais qui a très peu de chances de se produire. Par exemple, qu’une météorite vienne décimer votre équipe projet est toujours possible. Vous n’envisagez pas de changer de planète pour autant.
Vous devrez vivre avec les risques de gravité, d’autant qu’une parade ne sera pas toujours possible.
✅ Ne tenez pas compte des risques de gravité.
Les risques intolérables
Un risque très probable et extrêmement grave est en soi un problème sérieux. « Intolérable » signifie que le projet n’est pas acceptable avec ce niveau de risque. Sans moyen d’action identifié pour réduire la criticité, vous pourrez être amené à refuser le projet.
Il est aussi possible de modifier le projet afin de faire disparaître ce risque.
✅ Face à un risque intolérable, il faut modifier le projet ou l’annuler.
En ayant positionné sur cette grille l’ensemble des risques que vous aurez identifiés, et tenu compte des quatre cas particuliers dont nous venons de parler, vous aurez hiérarchisé les risques de votre projet et identifié ceux que vous devrez traiter en priorité.
La plupart du temps, pour un projet digital, la matrice de criticité sera largement suffisante pour effectuer votre priorisation des risques.
Affinez le calcul de criticité en tenant compte de la déterminabilité d’un risque
Pour être complet, sachez qu’il existe une méthode courante, appelée AMDEC (Analyse des modes de défaillance, de leurs effets et de leur criticité) qui utilise la même approche. Elle a été développée par l’armée américaine dans les années 40.
L’AMDEC propose de déterminer la criticité d’un mode de défaillance, tout comme nous venons de calculer la criticité de nos risques, mais elle ajoute un facteur supplémentaire au produit :
la fréquence est équivalente à la probabilité que nous avons définie plus haut ;
la gravité, de la même façon, représente l’impact potentiel ;
l’indéterminabilité permet de tenir compte de la probabilité de ne pas détecter l’incident transformant le risque en problème. En effet, plus un incident sera détectable rapidement, plus on peut supposer pouvoir limiter les incidences sur le projet.
Imaginez que je prenne mon vélo pour une petite randonnée nocturne 🚲. Par précaution, j’utiliserai un éclairage fixé sur mon guidon. Un des risques auxquels je m’expose pourrait être que mon système d’éclairage tombe en panne parce que les piles sont usées.
Si ce système d’éclairage dispose d’un indicateur de charge des piles, l’indéterminabilité sera plus faible, et par conséquent la criticité également.
Avec cet outil également, on utilise des échelles arbitraires pour quantifier les trois facteurs (de 1 à 5 ou de 1 à 10, par exemple)
La plupart du temps, les organisations vont déterminer un seuil d’acceptabilité du risque, basé sur cette criticité. On ne déclenchera alors des actions pour réduire la criticité que lorsque ce seuil sera atteint.
En dessous de ce seuil, les risques seront considérés comme acceptables, et ne feront pas l’objet d’actions préventives spécifiques.
En bref
les risques peuvent être hiérarchisés selon leur criticité ;
la criticité est le produit de la probabilité par la gravité ;
une matrice de criticité permet de positionner les risques du projet et de visualiser leurs criticités relatives ;
les risques perturbateurs sont des problèmes à résoudre ;
les risques négligeables ou de gravité seront ignorés ;
les risques intolérables peuvent conduire à l’annulation du projet ;
la criticité induit un seuil d’acceptabilité du risque, au-delà duquel des actions préventives sont obligatoires.
C’est sur ces notions que nous clôturons cette deuxième partie du cours. Vous savez maintenant identifier les risques dans vos projets, et les hiérarchiser grâce à leur criticité. Contrôlez vos acquis dans le quiz à suivre (une formalité…).
Je vous retrouve ensuite pour la troisième et dernière partie de ce cours où nous verrons comment limiter les risques, construire un plan de prévention et communiquer sur votre démarche de gestion des risques.
