Gestion des risques en 2026 : quand l'incertitude devient la norme

Introduction : nous ne gérons plus des risques isolés

Pendant longtemps, la gestion des risques en entreprise reposait sur une logique relativement linéaire : identifier les risques, les évaluer, mettre en place des mesures de prévention, contrôler. Une approche raisonnée, structurée, efficace dans un monde où les risques se manifestaient de façon séquentielle.

Ce monde-là n'existe plus vraiment.

En 2024, selon le baromètre QBE-OpinionWay, près de 89 % des entreprises françaises ont dû faire face à au moins deux types de risques simultanément — un record depuis la création de cet indicateur. Le baromètre AMRAE 2025 sur le risque géopolitique révèle que 92 % des risk managers interrogés déclarent que ce sujet fait désormais l'objet de discussions régulières au sein des comités exécutifs. Metametris Et selon International SOS, 65 % des professionnels du risque estiment que les risques ont augmenté au cours de l'année écoulée, avec 69 % anticipant des impacts significatifs liés aux seuls défis géopolitiques en 2025. Internationalsos

Ce que ces chiffres décrivent n'est pas une crise passagère. C'est une transformation durable de l'environnement dans lequel évoluent les organisations. Les risques ne s'accumulent plus — ils s'imbriquent, s'alimentent mutuellement et produisent des effets de cascade que les approches traditionnelles en silos ne savent pas traiter.

C'est dans ce contexte que la gestion des risques, et plus particulièrement la gestion des risques de sécurité et de sûreté physique, doit être repensée.

Risque et incertitude : une distinction toujours fondamentale

C'est à Frank Knight que l'on doit la première théorie rigoureuse du risque. Dans Risk, Uncertainty and Profit, publié en 1921, il établit une distinction que les praticiens de la gestion des risques gagneraient à ne pas oublier.

Selon Knight, le risque désigne une situation où les possibilités futures sont connues et probabilisables — on ne sait pas ce qui va arriver, mais on connaît les scénarios possibles et leur probabilité relative. L'incertitude, elle, désigne une situation où l'on ignore à la fois les scénarios et leur probabilité d'occurrence. On ne sait pas ce qu'on ne sait pas.

Cette distinction n'est pas seulement philosophique. Elle a des implications opérationnelles directes.

Un vol avec effraction dans un entrepôt mal sécurisé, c'est un risque : on peut le probabiliser, le modéliser, le prévenir par des mesures ciblées. Une attaque hybride combinant ingénierie sociale, cyberattaque et intrusion physique coordonnée par un acteur étatique — c'est une incertitude : les scénarios sont partiellement inconnus, les probabilités difficilement calculables, et les mesures de prévention classiques insuffisantes.

Le piège pour les organisations est de traiter des incertitudes comme des risques — c'est-à-dire d'appliquer des grilles d'analyse probabilistes à des menaces dont la nature même échappe à la probabilisation. La pandémie de COVID-19 en a été l'illustration la plus récente et la plus douloureuse. Mais en 2026, les nouvelles incertitudes s'appellent menaces hybrides, instabilité géopolitique et ruptures technologiques liées à l'intelligence artificielle.

Le paysage des risques en 2026 : ce qui a changé

Trois grandes évolutions reconfigurent la gestion des risques pour les organisations, quels que soient leur taille et leur secteur.

Les menaces sont devenues hybrides. La menace numérique n'est plus uniquement cyber — les attaquants exploitent désormais divers moyens combinés pour déstabiliser leurs cibles, mêlant cyberattaques, désinformation et actions économiques, portées par les tensions géopolitiques croissantes. LeMagIT Pour les responsables de sécurité physique, cela signifie que les frontières entre leur périmètre et celui du RSSI s'effacent progressivement. Une cyberattaque peut préparer ou faciliter une intrusion physique. Un acte de sabotage interne peut servir de couverture à une exfiltration de données. Les deux domaines doivent se parler.

Le géopolitique est devenu un risque d'entreprise. Loin de se limiter à la seule présence dans des zones à risque, l'exposition aux nouvelles menaces géopolitiques s'étend désormais à l'ensemble de la chaîne de valeur et à tous les secteurs d'activité. Deloitte Les ruptures d'approvisionnement, les tensions sur les matières premières, les actes de déstabilisation économique touchent des entreprises qui ne se percevaient pas comme exposées. Le risque géopolitique est désormais une réalité durable pour le commerce mondial, contraignant les entreprises à s'adapter à un environnement multipolaire qui bouleverse leurs chaînes d'approvisionnement. Coface

La réglementation impose une approche systémique. Les directives NIS2 et REC, transposées en droit français, ne sont pas de simples obligations de conformité cyber. Elles exigent une gestion des risques qui intègre explicitement les dimensions physiques, organisationnelles et humaines. Pour les entités concernées — opérateurs d'importance vitale, entités essentielles et importantes au sens de NIS2 — la gestion des risques doit désormais couvrir l'ensemble du spectre des menaces, des accidents aux actes malveillants, du sabotage physique à la cyberattaque.

La gestion des risques : un cadre à ancrer dans la réalité

L'ISO 31000, dans sa version 2018, définit le risque comme "l'effet de l'incertitude sur l'atteinte des objectifs". Cette définition, délibérément large, a le mérite de couvrir tous les types de risques — stratégiques, opérationnels, financiers, sécuritaires. Elle rappelle aussi que la gestion des risques n'est pas une fin en soi, mais un outil au service des objectifs de l'organisation.

Dans la pratique, les experts s'accordent sur quelques étapes incontournables : identifier les risques, les évaluer selon leur gravité et leur probabilité, définir des mesures de traitement adaptées, les mettre en œuvre, et capitaliser sur l'expérience accumulée au fil des incidents et des exercices.

Mais entre le cadre normatif et la réalité opérationnelle, il y a souvent un écart significatif. Les cartographies de risques restent trop souvent des exercices documentaires, déconnectés des pratiques quotidiennes. Les plans de continuité d'activité (PCA) sont élaborés mais non testés. Les responsabilités sont définies sur le papier mais floues dans les faits. Et les risques de sécurité physique et de sûreté sont traités séparément, dans des silos qui se parlent peu.

C'est précisément cet écart que la gestion des risques doit combler — pas en produisant davantage de documentation, mais en développant une capacité d'anticipation et de réponse qui soit réellement opérationnelle.

L'approche CARINEL : auditer avant de former, modéliser avant d'agir

Chez CARINEL, notre approche de la gestion des risques de sécurité et de sûreté repose sur un principe que nous défendons avec conviction : on n'organise pas de formation avant d'avoir réalisé un diagnostic. Cette séquence — comprendre d'abord, agir ensuite — peut paraître évidente. Elle est pourtant rarement respectée dans les faits, où les formations précèdent souvent les audits, et où les plans de prévention sont construits sur des hypothèses plutôt que sur des constats.

Notre méthodologie s'appuie sur trois outils complémentaires.

Les Red Traffic Analyses (RTA) constituent le socle de notre évaluation des risques. Cette approche cartographie les vulnérabilités en distinguant systématiquement ce qui relève du risque accidentel (sécurité) et ce qui relève de la menace intentionnelle (sûreté), tout en identifiant les zones d'interface où les deux se croisent et s'alimentent. La RTA permet d'aller au-delà des listes de risques génériques pour produire une analyse ancrée dans la réalité du site, de l'organisation et de son environnement.

Le Security Circle Model (SCM) structure la protection en cercles concentriques intégrés. Plutôt que d'additionner des mesures sectorielles, le SCM organise un dispositif global où chaque niveau de protection s'articule avec les autres — du périmètre extérieur aux espaces sensibles, de la protection physique aux procédures humaines. Cette approche systémique évite les angles morts que génèrent invariablement les approches fragmentées.

Le Triangle de Résilience des Organisations (TRO) complète ce dispositif en évaluant la capacité de l'organisation à absorber les chocs, à maintenir sa continuité d'activité et à rebondir après un incident. La résilience ne s'improvise pas — elle se construit, se teste et s'entretient.

Ensemble, ces trois méthodologies permettent de produire une évaluation des risques qui soit à la fois rigoureuse, opérationnelle et adaptée aux contraintes réelles de chaque organisation. L'objectif n'est pas d'atteindre un niveau de sécurité théorique parfait — c'est de construire une protection proportionnée, cohérente et soutenable dans la durée.

Du risque subi au risque maîtrisé : une question de posture

Le baromètre AMRAE 2025 souligne une urgence collective : passer d'une logique de réaction à une culture d'anticipation, nécessitant un engagement fort des dirigeants pour professionnaliser la gestion des risques. Metametris Ce constat vaut pour tous les types de risques, mais il est particulièrement vrai pour les risques de sécurité et de sûreté physique, souvent sous-estimés jusqu'à ce qu'un incident vienne révéler les vulnérabilités.

La différence entre une organisation qui subit ses risques et une organisation qui les maîtrise ne tient pas à l'absence de menaces — elle tient à la qualité de la préparation. Un diagnostic sérieux, des procédures testées, des équipes formées à partir de scénarios réels, une gouvernance qui fait dialoguer les responsables sécurité, sûreté et systèmes d'information : ce sont ces éléments qui construisent une résilience durable, face aux risques connus comme aux incertitudes que l'on ne sait pas encore nommer.

Conclusion

La gestion des risques n'a jamais été une discipline simple. Elle est devenue plus complexe encore dans un contexte marqué par la multiplication des crises, l'hybridation des menaces et la pression réglementaire croissante. Mais cette complexité n'est pas une raison de renoncer à la rigueur — c'est au contraire une invitation à structurer davantage la réflexion, à sortir des silos et à construire des approches qui correspondent à la réalité des risques d'aujourd'hui.

C'est ce que nous faisons, chaque jour, sur le terrain.

Vous souhaitez évaluer votre niveau de protection et identifier vos vulnérabilités prioritaires ?

Nos experts CARINEL vous proposent un premier échange gratuit pour faire le point sur votre gestion des risques de sécurité et de sûreté.

📅 Prenez rendez-vous gratuitement 📞 01 89 71 59 06 ✉️ info@carinel.com 🌐 www.carinel.com