70 ans de regards sur les risques opérationnels - Gestion des risques et des crises

Chaque organisation évolue aujourd’hui dans un environnement où se croisent incendies, sinistres naturels, cyberattaques, malveillance, crises sanitaires, défaillances opérationnelles, tensions sociales… Depuis l’après‑guerre, une discipline s’est progressivement imposée pour coiffer cet ensemble : la gestion des risques et des crises, bien au‑delà de la seule sécurité ou de l’assurance.

En 70 ans, le monde s’est complexifié : globalisation des chaînes logistiques, révolution numérique, chocs géopolitiques, dérèglement climatique, exigences sociétales accrues en matière de transparence et de responsabilité. Conséquence : les risques se propagent d’un domaine à l’autre, se combinent, se renforcent. Gérer les risques, c’est désormais comprendre ce maillage, prioriser l’action et se préparer à affronter des crises aux contours parfois inédits.

En parallèle, les pouvoirs publics structurent la réponse aux catastrophes : en France, le premier plan ORSEC est instauré dès 1952 pour organiser les secours en cas de désastre majeur. Les grandes catastrophes industrielles des années 1970‑80 (Seveso 1976, Bhopal 1984, Tchernobyl 1986) vont accélérer le mouvement. En Europe, la directive Seveso I (1982) impose aux sites à hauts risques des dispositifs de prévention des accidents majeurs et de planification d’urgence. En France, la loi de 1987 sur la sécurité civile consacre dans la loi le dispositif ORSEC et introduit la notion de plans d’urgence spécialisés, tandis que le décret de 1988 formalise les premiers POI (plans d’opération interne) et PPI (plans particuliers d’intervention) autour des sites sensibles.

Dans le même temps, la fin de Bretton Woods et les chocs pétroliers font émerger les risques financiers (taux, change, matières premières). Les entreprises pionnières développent des méthodes d’analyse (scénarios, arbres de décision, premières simulations Monte Carlo) et créent les premiers postes de risk managers pour piloter ces risques. Le risk management quitte peu à peu le seul terrain technique pour entrer dans la boîte à outils stratégique.

Les années 1990 marquent l’essor de la gestion des risques intégrée (ERM). Sous l’effet de la mondialisation et des premiers scandales financiers, les régulateurs imposent une approche plus structurée : accords de Bâle I & II pour les banques, puis Solvabilité II pour les assureurs, qui lient capital réglementaire et niveau de risque. La gouvernance d’entreprise se dote de comités des risques, et le métier de risk manager se professionnalise – en France, CNPP sera le premier organisme fin des années 90 à créer la version française des ARM (Associate in Risk Management), formation diplomante à destination des risk managers.

C’est aussi l’époque où se diffusent les cartographies des risques. D’abord tournées vers les risques financiers et opérationnels, elles s’étendent progressivement aux dimensions juridiques, humaines, stratégiques. L’adoption de la Loi de sécurité financière (2003) et les recommandations de l’AMF (2007) poussent les grandes entreprises françaises à décrire leurs principaux risques et dispositifs de contrôle : la cartographie devient un outil central du contrôle interne.

En parallèle, plusieurs crises d’ampleur – tempête de 1999, inondations, explosion d’AZF (2001), canicule de 2003, attentats du 11 septembre 2001, crise financière de 2008 – révèlent la nécessité de passer d’une simple analyse des risques à une véritable gestion de crise et de continuité d’activité.

Quelques jalons clés :

• 2004 : loi de modernisation de la sécurité civile en France, qui refond le dispositif ORSEC et crée le Plan Communal de Sauvegarde (PCS) pour les communes exposées aux risques majeurs.
• Années 2000 : généralisation des Plans blancs dans les hôpitaux, première génération de guides Plan de Continuité d'Activités (PCA) (SGDSN, banques, opérateurs critiques…).
• 2007‑2012 : standard BS 25999 puis norme ISO 22301 sur les systèmes de management de la continuité d’activité.
• 2009 : publication de l’ISO 31000 qui harmonise les bonnes pratiques de management du risque et entérine une vision transversale, non plus en silos.

La notion de gestion des risques d’entreprise s’installe : il ne s’agit plus seulement de réduire la sinistralité assurantielle, mais de relier les risques aux objectifs et à la stratégie, en intégrant aussi bien le risque opérationnel que les risques financiers, de réputation, de conformité, etc.

Depuis 2010, l’accélération est nette. La généralisation du numérique fait émerger le risque cyber comme menace systémique : la loi de Programmation militaire, la directive NIS, puis NIS2, obligent les opérateurs d’importance vitale et de services essentiels à renforcer leur sécurité et leur continuité numérique, tandis que le RGPD impose des obligations de sauvegarde et de disponibilité des données.

Dans le même temps, l’exigence de conformité et d’éthique fait basculer la cartographie des risques dans une nouvelle dimension :

• la loi Sapin II (2016) impose une cartographie des risques de corruption ;
• la loi sur le devoir de vigilance (2017) contraint les grands groupes à cartographier les risques d’atteinte aux droits humains, à la sécurité des personnes et à l’environnement dans leurs chaînes de valeur ;
• la loi Climat & Résilience (2021) renforce la place du risque climatique dans la gouvernance.

Enfin, la pandémie de Covid‑19 (2020) agit comme un gigantesque stress‑test. Beaucoup d’organisations découvrent alors les limites de PCA trop théoriques, ou l’absence pure et simple de plans. Les retours d’expérience conduisent à renforcer les exigences : loi Matras (2021) sur la sécurité civile, nouveaux arrêtés « post‑Lubrizol » imposant des Plans de Défense Incendie (PDI) aux entrepôts et sites Seveso, généralisation des exercices de crise, montée en puissance de la notion de résilience organisationnelle.

En parallèle du risk management « amont », la gestion de crise s’est elle aussi fortement professionnalisée.

Historiquement cantonnée à la sécurité civile, elle s’est structurée autour : 

Depuis une quinzaine d’années, de nouveaux outils complètent cet arsenal pour des risques très opérationnels :

• le PDI organise les moyens de lutte contre un feu majeur sur un site industriel ou logistique ;
• les PSBC (Plans de Sauvegarde des Biens Culturels) prévoient la protection et l’évacuation des œuvres en cas de sinistre ;
• le SOSI (Schéma d’Organisation de la Sécurité Incendie) est obligatoire dans les établissements de santé (type U), pour organiser alerte, interventions et transferts horizontaux des patients ;
• le SOGS (Schéma d’Organisation Globale de la Sécurité) s’impose aux grands commerces (type M) et articule sécurité incendie, sûreté‑malveillance et gestion de foule.

La logique est claire : pré‑orchestrer la réponse pour que, le jour J, chacun sache qui fait quoi, avec quels moyens et dans quel ordre, dès les premières minutes.

Aujourd’hui, gestion des risques (ERM) et gestion de crise sont les deux faces d’une même médaille : la résilience. L’une vise à réduire la probabilité et l’impact des événements indésirables ; l’autre organise la réponse quand, malgré tout, la crise survient.

Un incendie majeur, une cyberattaque paralysante, une rupture d’approvisionnement ou un mouvement social violent peuvent mettre à genoux une entreprise non préparée. 

À l’inverse, les organisations qui disposent :

• d’une cartographie des risques à jour,
• de PCA réalistes,
• de plans de crise testés,
• et d’équipes entraînées

redémarrent plus vite, limitent leurs pertes et consolident la confiance de leurs clients, partenaires, investisseurs.

La résilience n’est plus seulement un coût de conformité ; elle devient un argument de crédibilité commerciale et financière. Dans nombre d’appels d’offres, la capacité à démontrer sa maîtrise des risques et sa continuité d’activité est désormais un critère de sélection.

Depuis les années 1980, la loi et les normes ont progressivement rattrapé les pratiques pionnières. 

Quelques exemples marquants :

Résultat : la gestion des risques et des crises est passée du statut de « bonne pratique » à celui de devoir de conformité dans de nombreux secteurs, avec à la clé des enjeux de responsabilité civile, pénale et d’image pour les dirigeants.

Enfin, intégrer le risque dans la stratégie permet de mieux décider. Un système de gestion des risques robuste (ERM) offre aux dirigeants une vision consolidée :

• des menaces majeures,
• de leur niveau de maîtrise,
• des arbitrages à rendre (investir, transformer, se retirer d’un marché…).

La fonction de risk manager d’entreprise  n’est plus un simple acheteur d’assurance, mais un partenaire du COMEX, au carrefour de la finance, de l’opérationnel, de la conformité et des systèmes d’information.

En parallèle, la culture du risque doit irriguer toute l’organisation : chacun, du terrain au top management, a un rôle à jouer dans la remontée d’alertes, l’application des procédures, la gestion des premiers instants d’un incident… et l’apprentissage collectif après coup.

Créé en 1956 dans l’orbite des assureurs pour mieux comprendre et prévenir le risque incendie, CNPP a très tôt pris la mesure du caractère systémique des risques. D’un feu industriel majeur à une intrusion malveillante, d’une défaillance de système de sécurité à une crise médiatique, chaque événement raconte une histoire où se mêlent technique, organisation, facteur humain et gouvernance.

Au fil des décennies, CNPP a progressivement élargi son périmètre :

• de l’incendie à la sûreté‑malveillance,
• de la sécurité des biens à la sécurité des personnes,
• de la prévention technique à la gestion de crise,
• puis à la cybersécurité, à la SST et aux enjeux environnementaux.

Cette trajectoire en fait aujourd’hui un acteur rare capable de porter un regard transversal sur l’ensemble des risques opérationnels.

CNPP n’est pas seulement observateur ; il est co‑constructeur des cadres de référence :

• participation à la rédaction de textes clés de la sécurité incendie et de sûreté ;
• élaboration de référentiels APSAD et de guides méthodologiques (analyse des risques, continuité d’activité, sûreté, cyber…) utilisés par de nombreux risk managers ;
• contribution à des groupes de travail nationaux et internationaux utilisant les normes ISO 31000, ISO 22301, référentiels sectoriels, etc. ;
• rôle de tiers de confiance via CNPP Cert., qui certifie produits, systèmes et services de sécurité.

En formant depuis des décennies des responsables HSE, des gestionnaires de risques, des directeurs sûreté et des membres de cellules de crise, CNPP a accompagné la montée en maturité du risk management « à la française » à côté d’acteurs comme l’AMRAE.

Le plateau technique CNPP de Vernon (Eure) est un laboratoire vivant de la gestion des risques :

• halls d’essais au feu et nouvelles installations dédiées aux batteries lithium‑ion ;
• plateformes pédagogiques incendie/explosion et sûreté (intrusion, braquage, malveillance interne…) ;
• et, depuis 2025, un centre de gestion de crise high‑tech avec cellules de décision, espace média-training, simulateurs numériques.

Grâce à des outils numériques de dernière génération (mur d’images, solutions d’hypervision, plateformes d’alerte, redondance entre numérique et tableaux à remplir manuellement…), il permet de recréer des crises multi‑dimensionnelles mêlant incendie, pollution, cyberattaque, sûreté‑malveillance ou tension sociale). Les équipes sont ainsi plongées dans des situations immersives, très proches du réel, qui testent autant les procédures que la coordination et la prise de décision sous pression.

La première étape consiste à voir clair dans ses risques. CNPP accompagne les organisations dans :

• la définition du périmètre ERM 
• la construction ou la mise à jour de cartographies des risques lisibles, reliées aux objectifs de l’organisation et à son appétence au risque.

L’enjeu : disposer d’un outil de pilotage partagé par la direction générale, les métiers, la direction des risques/assurances, la DSI, la DAF, la conformité… et qui serve réellement les arbitrages, plutôt qu’un exercice purement documentaire.

Sur la base de ce diagnostic, CNPP aide, par ses missions de conseil et formation, à concevoir et articuler l’ensemble des plans d’urgence et de continuité :

• plans de gestion de crise (organisation de la cellule, procédures d’alerte, communication de crise) ;
• PCA/PRA couvrant l’ensemble des activités critiques, y compris IT ;
• plans réglementaires : accompagnement à l’élaboration de POI, contribution technique à la cohérence avec les PPI préfectoraux, appui aux communes pour leurs PCS ;
• dispositifs spécifiques : PDI pour les sites industriels ou logistiques, PSBC pour les sites patrimoniaux, SOSI pour les hôpitaux, SOGS pour les centres commerciaux, etc.

L’objectif est double : garantir la conformité réglementaire et surtout aboutir à des documents opérationnels, simples à activer, testés et compris de tous.

Une bonne stratégie ne vaut que si elle est appropriée par les équipes. CNPP :

• conseille sur le choix et le déploiement de solutions techniques (systèmes de sécurité certifiés, salles de crise, outils GRC, plateformes d’alerte…) ;
• forme l’ensemble des acteurs, du terrain au COMEX :
  • culture du risque pour les collaborateurs,
  • conduite d’analyses de risques pour les risk managers,
  • pilotage de la cellule de crise et media training pour les dirigeants ;
• organise des exercices : tests de POI ou PCS sur site, simulations de cybercrise, scénarios multi‑risques dans le centre de gestion de crise.

Ces mises en situation permettent d’identifier les angles morts et de consolider les réflexes individuels et collectifs.

Enfin, CNPP accompagne les organisations dans le retour d’expérience :

• audits post‑incident après une crise réelle ;
• débriefings structurés après exercices ;
• mise à jour régulière des cartographies de risques, plans et procédures.

La gestion des risques et des crises n’est pas un projet ponctuel, mais un cycle d’amélioration continue, où chaque incident – même mineur – devient une opportunité d’apprentissage.

En sept décennies, la gestion des risques et des crises est passée :

• d’une logique centrée sur l’assurance et la réaction,
• à une démarche intégrée qui relie prévention, continuité, gestion de crise et résilience.

Aujourd’hui, maîtriser ses risques, c’est à la fois éviter autant que possible l’incident et s’organiser lucidement pour y faire face lorsqu’il survient malgré tout. Prévention en amont et réaction à chaud sont indissociables si l’on veut protéger la pérennité et la réputation de son organisation.

Depuis 1956, les équipes de CNPP ont été témoins – et souvent acteurs – de cette transformation. Leur constat est sans ambiguïté :

Un risque maîtrisé est un risque que l’on comprend, que l’on accepte ou que l’on réduit en connaissance de cause, et pour lequel on s’est entraîné à répondre.

Les décennies à venir apporteront leur lot de défis – crise climatique, tensions géopolitiques, risques cyber‑physiques, ruptures technologiques – mais aussi d’outils nouveaux pour les affronter. Plus que jamais, la gestion des risques & des crises restera le fil rouge de la résilience des organisations. Et CNPP continuera d’être à leurs côtés pour les aider à prévenir et maîtriser ces risques, dans l’esprit qui l’anime depuis 70 ans.