Nous avons souvent entendu, chez nos clients ou dans les différents cabinets de conseil pour lesquels nous avons travaillé, des confusions de terminologie entre « analyse » et « appréciation » des risques, les termes étant employés de manière équivalente et symétrique. Or nous allons voir qu’il s’agit de deux choses différentes !

Pour les plus chanceux(ses) d’entre vous qui possèdent la norme ISO 31000 (gestion des risques) ou 27005 (gestion des risques de sécurité de l’information), vous verrez que ces deux termes apparaissent mais à des endroits différents. Pour être parfaitement précis, la phase d’analyse du risque fait partie intégrante du processus d’appréciation des risques. L’un est donc inclus dans l’autre.

Apprécier les risques, c’est d’abord faire un inventaire des scenarios de risques qui pourraient se produire (phase « identification »), valoriser ces risques en tenant compte de la possibilité qu’ils se produisent et de leur importance relative aux conséquences sur l’organisme (phase « analyse »). Cette valorisation amène à ce qu’on appelle un niveau de risque pour chaque risque. Enfin, une fois chaque risque valorisé, il s’agit alors de les classer afin de faciliter leur priorisation, en tenant compte des critères d’acceptation fixés par l’organisme (phase évaluation).