L'application de la matrice de risques de Farmer dans les audits de sécurité physique
- 22 déc. 2025
- 9 min de lecture
La matrice de risques de Farmer est l'un des outils les plus utilisés en gestion des risques. Dans le domaine de la sécurité physique, elle occupe une place centrale : elle permet de passer d'un inventaire de menaces à une cartographie priorisée, directement exploitable pour décider où concentrer les efforts de protection.
Encore faut-il savoir l'utiliser correctement — et connaître ses limites. Car dans un audit de sécurité physique, la matrice de Farmer n'est pas une fin en soi. C'est un outil d'aide à la décision, puissant lorsqu'il est bien alimenté, trompeur lorsqu'il repose sur des données mal construites.
Origine et principe de la matrice de Farmer
La matrice de Farmer — également appelée diagramme de Farmer ou matrice de criticité — a été développée initialement dans le domaine de la sûreté industrielle et nucléaire pour représenter graphiquement le niveau de risque associé à un événement en croisant deux paramètres :
la probabilité d'occurrence : quelle est la vraisemblance que l'événement se produise ?
la gravité des conséquences : quel serait son impact sur les personnes, les biens ou l'activité ?
Le croisement de ces deux axes produit un score de criticité, qui permet de positionner chaque risque dans une zone colorée — verte (risque acceptable), orange (risque à surveiller), rouge (risque inacceptable nécessitant une action prioritaire).
Ce principe simple est ce qui fait la force de l'outil : il rend les risques comparables, visualisables et communicables à des décideurs qui n'ont pas nécessairement une formation technique en sécurité.
La grille de lecture : construire la matrice
Dans un audit de sécurité physique, la matrice est généralement construite sur une échelle 5×5, croisant cinq niveaux de probabilité et cinq niveaux de gravité.
Échelle de probabilité :
Niveau | Qualification | Description |
1 | Très improbable | Événement quasi-impossible dans le contexte de l'organisation |
2 | Improbable | Événement rare, moins d'une occurrence connue sur 5 ans |
3 | Possible | Événement déjà survenu dans le secteur ou sur des sites comparables |
4 | Probable | Événement régulièrement observé, contexte propice |
5 | Quasi-certain | Événement prévisible à court terme si rien n'est fait |
Échelle de gravité :
Niveau | Qualification | Description |
1 | Négligeable | Impact limité, sans conséquence durable |
2 | Modéré | Impact localisé, gestion en interne possible |
3 | Significatif | Perturbation notable de l'activité ou atteinte aux personnes |
4 | Grave | Conséquences sérieuses : blessés, arrêt d'activité, dommages importants |
5 | Catastrophique | Atteintes graves aux personnes, destruction d'actifs majeurs, crise réputationnelle |
La matrice résultante :
Gravité → 1 2 3 4 5
Négl. Modéré Signif. Grave Catastro.
Probabilité ↓
5 Quasi-certain 🟡 🔴 🔴 🔴 🔴
4 Probable 🟢 🟡 🔴 🔴 🔴
3 Possible 🟢 🟡 🟡 🔴 🔴
2 Improbable 🟢 🟢 🟡 🟡 🔴
1 Très improbable 🟢 🟢 🟢 🟡 🟡
🟢 Risque acceptable 🟡 Risque à surveiller 🔴 Risque prioritaireLa criticité de chaque risque est obtenue en multipliant les deux scores : un risque "probable" (4) avec des conséquences "graves" (4) obtient une criticité de 16 — clairement dans la zone rouge, nécessitant une réponse immédiate.
Les quatre étapes d'application dans un audit de sécurité physique
Étape 1 — Identifier les actifs à protéger
Avant de pouvoir évaluer des risques, il faut savoir ce qu'on cherche à protéger. Dans un audit de sécurité physique, cette cartographie des actifs est toujours la première action.
Les actifs à prendre en compte incluent :
les personnes : personnel, visiteurs, prestataires, public accueilli
les locaux et infrastructures : bâtiments, accès, zones techniques, périmètres
les équipements et matériels : systèmes de production, serveurs, véhicules, stocks
les données et informations : dossiers sensibles, données personnelles, secrets industriels
la réputation et la continuité d'activité : capacité à fonctionner normalement après un incident
Chaque actif est évalué en fonction de sa valeur intrinsèque (ce qu'il représente pour l'organisation) et de son exposition (sa visibilité et son accessibilité aux menaces potentielles).
Étape 2 — Recenser les menaces pertinentes
L'inventaire des menaces ne doit pas être exhaustif au sens absolu — il doit être contextuel. Une menace générique comme "intrusion" se décline en dizaines de scénarios différents selon le secteur, la localisation, le type de site.
Dans la pratique d'un audit de sûreté, les menaces sont catégorisées selon leur nature :
Menaces intentionnelles extérieures : cambriolage, braquage, intrusion malveillante, vandalisme, agression
Menaces intentionnelles intérieures : vol interne, fraude, sabotage, menace par un employé
Menaces accidentelles : incendie, dégât des eaux, panne électrique, accident de personne
Menaces contextuelles : violences urbaines, manifestations, menace terroriste selon le contexte géographique
Pour chaque menace identifiée, on évalue sa probabilité d'occurrence en tenant compte du contexte local, de l'historique d'incidents, du profil des personnes accueillies et des données disponibles sur le secteur.
Étape 3 — Évaluer les vulnérabilités
C'est l'étape la plus déterminante et la plus technique. Elle consiste à identifier, pour chaque menace, les points de faiblesse qui permettraient à cette menace de se concrétiser ou d'aggraver ses conséquences.
Les vulnérabilités peuvent être :
physiques : absence ou défaillance de dispositifs de protection (contrôle d'accès, clôtures, éclairage, vidéosurveillance)
organisationnelles : procédures inexistantes ou mal appliquées, formation insuffisante des équipes, absence de supervision
humaines : comportements à risque, méconnaissance des consignes, insuffisance de la culture de sécurité
L'évaluation des vulnérabilités modifie parfois significativement le positionnement d'un risque dans la matrice. Un risque de probabilité "improbable" peut devenir prioritaire si les vulnérabilités de l'organisation le rendraient catastrophique en cas de survenue — et inversement, un risque "probable" peut rester en zone verte si des dispositifs solides en limitent les conséquences.
Étape 4 — Construire la matrice et prioriser
Une fois les actifs, les menaces et les vulnérabilités identifiés, chaque risque est positionné dans la matrice. Les risques en zone rouge constituent les priorités d'action immédiates : ils appellent des mesures correctives dans les délais les plus courts. Les risques en zone orange sont à planifier dans un second temps. Les risques verts sont à maintenir sous surveillance sans action urgente.
Cette hiérarchisation est ce qui donne à la matrice sa valeur opérationnelle : elle permet de sortir d'une liste indifférenciée de risques pour produire une feuille de route concrète, défendable auprès des décideurs et réaliste au regard des contraintes budgétaires.
Exemples sectoriels : la matrice en action
Dans un établissement de santé
Dans un hôpital ou une clinique, les actifs prioritaires incluent les patients (notamment en situation de vulnérabilité), le personnel soignant, les équipements médicaux et les zones à accès réglementé comme les pharmacies ou les blocs opératoires.
Une menace comme l'agression du personnel sera positionnée selon le contexte du service : aux urgences d'un CHU en milieu urbain tendu, la probabilité sera élevée (4 ou 5) et les conséquences graves (atteinte physique, perturbation des soins). La criticité sera maximale. Dans un cabinet médical de ville, la même menace pourra être évaluée différemment.
Les vulnérabilités à examiner incluront l'absence de sas d'entrée, la présence de points d'accès non contrôlés, le manque de formation des personnels d'accueil, l'absence de procédure d'alerte opérationnelle.
Dans un commerce ou une grande surface
Les actifs prioritaires sont les personnes (clients, personnel de caisse), les liquidités, les stocks à forte valeur et les systèmes de paiement.
La démarque inconnue (vols à l'étalage et vols internes) et le braquage sont deux menaces aux profils très différents en termes de probabilité et de gravité. La matrice permet de les comparer objectivement et de ne pas concentrer tous les moyens sur le scénario le plus spectaculaire au détriment du plus fréquent.
Les vulnérabilités à analyser porteront sur la configuration des rayons (zones d'angle mort), la qualité des dispositifs anti-intrusion, les procédures de remise des fonds et la formation du personnel aux situations de tension.
Dans un site industriel ou logistique
Les actifs critiques sont l'outil de production, les stocks de matières premières ou de produits finis, les données de process et le personnel spécialisé.
Des menaces comme le vol de fret, l'espionnage industriel ou le sabotage d'équipements seront évaluées en tenant compte du contexte économique, de la valeur des marchandises transportées et de l'historique du secteur. La probabilité d'un incendie criminel dans un entrepôt non surveillé de nuit peut être très différente de celle dans un site sous vidéosurveillance active avec gardiennage.
Les limites de la matrice de Farmer — et comment les dépasser
La matrice de Farmer est un outil puissant, mais pas infaillible. Plusieurs limites méritent d'être connues.
La subjectivité des scores. L'attribution des niveaux de probabilité et de gravité repose sur le jugement de l'auditeur. Deux auditeurs peuvent positionner le même risque différemment. C'est pourquoi la méthode gagne en fiabilité quand elle s'appuie sur des données historiques d'incidents, des statistiques sectorielles et un référentiel de notation partagé.
L'indépendance supposée des risques. La matrice traite chaque risque isolément. Elle ne représente pas bien les effets dominos : une intrusion peut déclencher un incendie, une panne électrique peut faciliter un vol. Les risques interdépendants nécessitent une analyse complémentaire.
La photographie à un instant T. Une matrice produite lors d'un audit n'est valide qu'à la date de sa construction. Un changement d'activité, une rénovation des locaux, un événement extérieur (tensions sociales, modification du contexte criminel local) peut modifier significativement le positionnement de plusieurs risques. D'où l'importance d'une revue régulière.
L'absence de prise en compte de la détectabilité. La version standard de la matrice de Farmer croise probabilité et gravité, mais n'intègre pas la capacité de l'organisation à détecter un risque avant qu'il ne se concrétise. Un risque grave mais détectable tôt n'appelle pas les mêmes mesures qu'un risque de même gravité mais qui survient sans signal précurseur.
Pour dépasser ces limites, CARINEL complète systématiquement l'analyse par la matrice de Farmer avec son indice de vulnérabilité, qui intègre un troisième paramètre : la capacité de détection et de réaction de l'organisation. Un risque dont on ne voit pas les signaux précurseurs et face auquel les équipes ne sauraient pas quoi faire est structurellement plus dangereux qu'un risque de même criticité mais bien balisé dans les procédures.
La matrice de Farmer dans la méthode RTA de CARINEL
La méthode Red Traffic Analyses (RTA) développée par CARINEL intègre la matrice de Farmer comme brique centrale, mais l'enrichit de deux façons.
Premièrement, elle analyse les interactions entre vulnérabilités de sécurité et menaces de sûreté. Là où une matrice standard traite séparément les risques accidentels et les risques intentionnels, la RTA cartographie les zones d'interface — là où une faille de sécurité devient un levier pour une action malveillante, ou là où une défaillance de sûreté génère un accident. Cette vision convergente est particulièrement utile dans des environnements complexes (hôpitaux, sites industriels, établissements scolaires) où les deux dimensions se croisent constamment.
Deuxièmement, la RTA intègre une évaluation de la maturité organisationnelle : la matrice de Farmer mesure les risques bruts, mais elle ne dit rien de la capacité réelle de l'organisation à les gérer. Deux organisations avec des matrices identiques peuvent avoir des niveaux de risque résiduel très différents selon la qualité de leurs procédures, la formation de leurs équipes et la robustesse de leur culture de sécurité.
C'est cette couche supplémentaire d'analyse qui permet à CARINEL de ne pas se contenter de lister les risques, mais de produire des préconisations véritablement calibrées à la réalité de chaque organisation — et non des recommandations génériques copiées d'un secteur à l'autre.
De la matrice au plan d'action : ce qui change vraiment
La valeur finale d'un audit s'évalue moins à la qualité de la matrice produite qu'à la pertinence des préconisations qui en découlent et à leur faisabilité dans l'organisation.
Une matrice bien construite permet de hiérarchiser les investissements : plutôt que de dépenser le budget sécurité uniformément sur tous les risques identifiés, l'organisation concentre ses ressources sur les risques rouges et planifie les actions sur les risques oranges. C'est un levier d'efficacité considérable, particulièrement pour les organisations aux ressources contraintes.
Elle permet également de justifier les décisions auprès de la direction. Un responsable sécurité qui demande un budget pour renforcer le contrôle d'accès d'une zone particulière a beaucoup plus de chances d'être entendu s'il peut montrer que cette zone présente deux risques en zone rouge, avec une criticité de 16 et 20, que s'il présente une liste qualitative d'observations terrain.
Enfin, elle sert de référentiel de suivi dans le temps. En refaisant la matrice après mise en œuvre des mesures correctives, on mesure concrètement la réduction des risques — ce que nous appelons le risque résiduel. Ce suivi est indispensable pour évaluer le retour sur investissement d'un audit de sûreté et pour démontrer l'efficacité du dispositif de protection mis en place.
Ce que révèle la matrice dans les audits CARINEL
Dans notre pratique, la construction de la matrice de risques révèle systématiquement un même type de décalage : les organisations ont tendance à surestimer les risques spectaculaires (attentat, braquage armé, incendie criminel) et à sous-estimer les risques fréquents mais moins visibles (vol à l'étalage récurrent, accès non contrôlé aux zones sensibles, défaillance humaine dans l'application des procédures).
Ce biais n'est pas irrationnel — les risques rares mais dramatiques monopolisent l'attention médiatique et génèrent une anxiété naturelle. Mais il conduit parfois à des allocations de ressources sous-optimales : beaucoup de budget sur un scénario rare et peu sur des vulnérabilités quotidiennes qui, cumulées sur une année, représentent un coût bien plus élevé.
C'est précisément le rôle de l'auditeur externe : apporter une évaluation dépassionnée, fondée sur les données et le contexte réel de l'organisation, qui corrige ces biais et produit une cartographie fiable des priorités.
Vous souhaitez réaliser un audit de sécurité physique intégrant une analyse complète par la matrice de risques ?
Prenez rendez-vous avec nos experts pour un premier échange sans engagement :
En ligne : carinel.com/test-avec-nos-experts
Par téléphone : 01 89 71 59 06
Par email : info@carinel.com
Site : www.carinel.com
Commentaires