Pourquoi la gestion des risques n'est pas optionnelle
Beaucoup de projets traitent la gestion des risques comme une formalité administrative réalisée une fois en début de projet, remplie pour cocher une case, puis jamais revisitée. Cette approche passe à côté de l'essentiel : les risques évoluent avec le projet. Un risque identifié comme mineur au lancement peut devenir critique trois mois plus tard si le contexte change — nouveau fournisseur, contrainte réglementaire, départ d'une personne clé.
À l'inverse, une gestion des risques active et régulièrement mise à jour permet d'anticiper les problèmes avant qu'ils ne deviennent coûteux à résoudre, et de prendre des décisions éclairées plutôt que réactives.
Identifier les risques
L'identification des risques doit mobiliser plusieurs sources : l'expérience de projets similaires, les retours de l'équipe projet, les échanges avec les parties prenantes, et une analyse du contexte externe (marché, réglementation, dépendances techniques). Un atelier d'identification en début de projet, complété par des points réguliers, donne de meilleurs résultats qu'une réflexion isolée d'une seule personne.
- Risques techniques : complexité, dépendances, dette technique
- Risques organisationnels : disponibilité des ressources, turnover
- Risques externes : fournisseurs, réglementation, marché
- Risques liés au périmètre : ambiguïté du besoin, dérive de périmètre
Évaluer et prioriser : probabilité et impact
Chaque risque identifié doit être évalué selon deux critères combinés : sa probabilité d'occurrence, et l'impact qu'il aurait sur le projet s'il se matérialisait (délai, coût, qualité). Une matrice probabilité/impact, même simple (faible/moyen/élevé sur chaque axe), permet de visualiser rapidement quels risques méritent une attention prioritaire.
Un risque à la fois probable et à fort impact doit être traité en priorité. Un risque improbable mais catastrophique mérite tout de même un plan de contingence, même sans action immédiate. Un risque fréquent mais mineur peut souvent être accepté sans traitement spécifique.
Une matrice 3x3 (probabilité faible/moyenne/élevée × impact faible/moyen/élevé) suffit dans la grande majorité des projets — une granularité plus fine complexifie l'exercice sans forcément améliorer la qualité des décisions.
Les quatre stratégies de traitement d'un risque
Une fois un risque évalué, quatre stratégies de traitement sont possibles. Éviter : modifier le plan du projet pour éliminer le risque à la source. Réduire : agir pour diminuer la probabilité ou l'impact sans l'éliminer totalement. Transférer : reporter la conséquence du risque sur un tiers, par exemple via une assurance ou une clause contractuelle. Accepter : ne rien faire de particulier, en connaissance de cause, généralement pour les risques à faible impact.
- Éviter — supprimer la cause du risque
- Réduire — diminuer la probabilité ou l'impact
- Transférer — reporter la conséquence sur un tiers
- Accepter — assumer le risque en connaissance de cause
Le suivi continu via un registre des risques
Un registre des risques centralise l'ensemble des risques identifiés, leur évaluation, la stratégie retenue et le responsable du suivi. Ce registre doit être revu à chaque jalon important du projet — pas seulement lors de sa création — pour ajouter de nouveaux risques, réévaluer ceux existants, et clôturer ceux qui ne sont plus pertinents.
Un registre des risques qui n'est jamais mis à jour après sa création perd rapidement toute utilité : il devient un artefact administratif plutôt qu'un outil de pilotage réel.
Pour aller plus loin
Questions fréquentes
À quelle fréquence faut-il revoir le registre des risques ?
Au minimum à chaque jalon important du projet, et idéalement lors de chaque comité de pilotage. Un projet à fort enjeu ou évoluant dans un contexte instable peut justifier une revue plus fréquente.
Qui doit être responsable du suivi d'un risque ?
Chaque risque du registre devrait avoir un responsable nommé, chargé de suivre son évolution et de déclencher le plan de traitement si nécessaire. Sans responsable clair, un risque a tendance à être suivi de façon diffuse, donc mal suivi.
Comment distinguer un risque d'un problème ?
Un risque est un événement incertain qui pourrait se produire dans le futur. Un problème est un événement qui s'est déjà produit et qui a un impact avéré sur le projet. Un risque non traité qui se matérialise devient un problème.
Faut-il documenter tous les risques, même mineurs ?
Pas nécessairement dans le détail. Les risques mineurs à faible impact peuvent être mentionnés brièvement, sans plan de traitement élaboré, pour ne pas alourdir inutilement le registre au détriment du suivi des risques prioritaires.
La gestion des risques diffère-t-elle en contexte agile ?
Le principe reste le même, mais le rythme change : en agile, les risques sont souvent réévalués à chaque sprint plutôt qu'à des jalons plus espacés, ce qui permet une détection plus rapide des risques émergents.
Quel est le risque le plus souvent sous-estimé dans les projets ?
La dérive de périmètre (scope creep) est fréquemment sous-estimée : chaque demande de changement paraît mineure isolément, mais leur cumul peut significativement affecter le délai et le budget sans qu'aucune alerte formelle n'ait été déclenchée.
Faut-il prévoir une réserve de contingence dans le budget pour les risques ?
C'est une pratique courante et recommandée : une réserve financière ou de délai, dimensionnée selon l'exposition globale du projet aux risques identifiés, absorbe les conséquences des risques qui se matérialisent sans nécessiter systématiquement une renégociation du budget global.
← Comment devenir Product Owner ?
Article suivant : Comment préparer PMP ou PRINCE2 avec des flashcards ? →