La cartographie des risques reste, dans la majorité des entreprises françaises – et particulièrement les PME et ETI, un exercice conduit par périmètre séparé : le cyber d’un côté, la conformité réglementaire de l’autre, les risques opérationnels traités par les achats ou la direction industrielle. Or les crises d’entreprise ne respectent pas les organigrammes, et les incidents les plus coûteux naissent précisément aux intersections que cette fragmentation laisse sans surveillance. Une cartographie réellement intégrée, couvrant l’ensemble du spectre auquel est exposée une entreprise dans un environnement réglementé, est une tout autre démarche — et un autre niveau d’utilité pour la direction.
La gestion des risques en entreprise s’est longtemps organisée autour de silos fonctionnels dont la coexistence, plus que la coordination, constituait le modèle dominant : la direction des systèmes d’information traitait les risques cyber, la direction juridique pilotait la conformité, les achats géraient les dépendances fournisseurs, et la DRH administrait ce que l’on désigne parfois de façon trop générale sous le terme de risques humains. Cette architecture a produit des entreprises capables de gérer chacune de ces dimensions séparément, mais structurellement aveugles aux interdépendances qui font précisément qu’un événement se transforme en crise : la défaillance d’un prestataire informatique qui cumule un accès aux systèmes et une connaissance approfondie des procédures opérationnelles sensibles ; une procédure de recrutement insuffisamment sécurisée qui introduit dans l’organisation une personne dont les intérêts sont extérieurs à l’entreprise ; un contrat stratégique fragilisé simultanément par une clause réglementaire et par la dépendance à un seul interlocuteur côté client.
La cartographie des risques, au sens d’un outil de pilotage réellement intégré, oblige l’organisation à poser sur une même représentation des vulnérabilités qui, par tradition ou par découpage fonctionnel, ne se rencontrent jamais dans les réunions habituelles. Son utilité principale pour un dirigeant n’est pas dans la production d’une liste de risques mais dans la révélation des effets de chaîne que la fragmentation habituelle maintient invisibles.
Un spectre de risques plus large que ce que les approches standard couvrent
Le premier angle mort des démarches de cartographie conduites sans vision d’ensemble est précisément la question du périmètre. La majorité des frameworks disponibles partent d’une conception relativement étroite du risque, structurée autour des catégories classiques : risques financiers, risques opérationnels, risques de conformité, risques informatiques. Cette grille est légitime, mais elle laisse hors champ des dimensions dont l’importance pour une PME industrielle, et a fortiori pour une entreprise évoluant sur des marchés sensibles ou réglementés, est souvent plus déterminante que n’importe quel indicateur de liquidité.
Le risque d’intelligence économique en est l’exemple le plus systématiquement sous-estimé. Depuis 2020, les alertes à la sécurité économique transmises par la DGSI aux entreprises françaises ont été multipliées par trois, portant sur des tentatives de captation de savoir-faire, de débauchage ciblé de compétences clés, ou de prises de participation dans des structures dont le positionnement stratégique justifie un intérêt extérieur. Une PME sous-traitante de la BITD, un cabinet d’ingénierie spécialisé dans des procédés industriels brevetés, un opérateur de services pour une infrastructure critique : autant d’organisations dont la cartographie devrait intégrer une analyse de leur exposition informationnelle et de leur attractivité pour des acteurs dont les intérêts ne coïncident pas avec les leurs.
Le risque humain, que le baromètre QBE-OpinionWay 2026 place en tête des préoccupations déclarées par les PME et ETI françaises (75 % des répondants), recouvre lui-même des réalités distinctes qu’une cartographie sérieuse ne peut pas traiter sous une seule étiquette : la dépendance opérationnelle à des personnes clés dont le départ ou l’incapacité prolongée déstabiliserait une activité entière, la gestion des accès à des informations sensibles dans un contexte de rotation des équipes, la vulnérabilité aux ingénieries sociales dans des fonctions exposées à des tiers extérieurs — prestataires, partenaires, clients institutionnels dont les relations impliquent des échanges réguliers d’informations à valeur stratégique. Ces dimensions appellent des réponses différentes, et leur regroupement approximatif dans une même catégorie ne permet pas de les traiter sérieusement.
La sûreté physique constitue une dimension que les cartographies des PME et ETI industrielles intègrent rarement de façon structurée, alors qu’elle conditionne en partie l’efficacité des dispositifs de protection cyber et informationnels. La protection des sites, le contrôle des accès aux zones sensibles, la sécurisation des personnes qui détiennent des informations critiques ou des habilitations stratégiques, la gestion des flux de visiteurs et de prestataires dans des environnements où des actifs physiques ou intellectuels sensibles sont présents : ces questions relèvent de la sûreté, et leur traitement insuffisant crée des vecteurs d’entrée que les dispositifs purement numériques ne compensent pas. Dans les entreprises relevant de la BITD ou opérant sur des sites industriels sensibles, la dimension sûreté a souvent été structurée en premier — et elle est paradoxalement l’une des moins révisées, alors que les menaces évoluent et que les périmètres à protéger se sont étendus avec la généralisation du travail hybride et l’externalisation de certaines fonctions support.
À ces risques s’ajoutent, pour un nombre croissant de PME et d’ETI, des risques géopolitiques que beaucoup considèrent encore comme le domaine réservé des grands groupes présents à l’international, mais qui affectent en réalité toute entreprise intégrée dans une chaîne de valeur mondiale, dépendante de composants ou de matières premières dont les marchés sont exposés à des tensions militaro politiques ou climatiques, ou travaillant avec des donneurs d’ordre dont les activités propres sont sensibles aux décisions de politique étrangère. Le cas du blocage du détroit d’Ormuz, consécutif aux opérations militaires en cours depuis quelques semaines, illustre à la perfection les réactions en cascade à un évènement géopolitique ayant lieu à plusieurs milliers de kilomètres de nos frontières.
La valeur des interdépendances
L’apport le plus difficile à obtenir d’une cartographie conduite de façon silotée est précisément celui qui produit le plus de valeur décisionnelle : la compréhension des liens entre des risques relevant de périmètres distincts.
Un exemple illustre ce point mieux que n’importe quelle grille théorique. Une ETI industrielle dont la croissance repose sur un contrat cadre avec un grand donneur d’ordre public peut identifier séparément, dans ses exercices habituels de gestion des risques, une dépendance critique au niveau de sa DSI sur deux profils techniques non remplaçables à court terme, une pression concurrentielle croissante sur ses prix de revient liée à la volatilité des matières premières, et une mise en conformité NIS2 à conduire avant la fin de l’exercice. Traitées de façon cloisonnée, ces trois réalités sont gérables chacune dans son registre. Mises en relation dans une cartographie intégrée, elles forment un engrenage dont la nature est sensiblement différente : une non-conformité NIS2 peut conduire à une remise en cause du contrat cadre par le donneur d’ordre public, qui exige désormais de ses fournisseurs un niveau de maturité cyber documenté ; la pression sur les marges réduit précisément la capacité d’investissement nécessaire à la mise en conformité ; et la dépendance aux deux profils techniques clés fragilise la fonction qui devrait piloter ce chantier. Ce n’est pas un risque isolé — c’est une trajectoire de crise, et c’est ce que seule une cartographie transversale permet de visualiser avant qu’elle se déclenche.
Cette lecture des interdépendances change la nature des décisions qui s’ensuivent. Plutôt qu’allouer des ressources à chacun des risques identifiés selon leur sévérité propre, la direction peut arbitrer en tenant compte des effets d’amplification et identifier les points de levier — ceux dont la résolution désamorce simultanément plusieurs trajectoires de vulnérabilité.
Les conditions d’une cartographie à valeur décisionnelle
La qualité d’une cartographie des risques ne tient pas principalement à la sophistication méthodologique — les outils disponibles, des matrices impact-probabilité les plus simples aux approches par scénarios de type EBIOS RM, sont généralement adaptés à l’échelle d’une PME ou d’une ETI sans qu’il soit nécessaire de sur-ingénier la démarche. Elle tient à trois conditions que les exercices conduits trop rapidement ne réunissent pas.
La première est la pluridisciplinarité réelle des participants. Une cartographie construite avec le seul CODIR reflète la représentation du risque qu’a la direction générale — ce qui, par construction, laisse hors champ les risques que les équipes opérationnelles vivent et que la hiérarchie n’a pas été amenée à formaliser. L’intégration des responsables de terrain, des directions fonctionnelles exposées (achats, DSI, juridique, commercial), et si nécessaire d’experts extérieurs capables d’apporter une lecture sur des dimensions spécialisées (sécurité économique, sûreté physique, risques géopolitiques sectoriels), est ce qui transforme un exercice de validation en un vrai outil de connaissance organisationnelle.
La deuxième condition est l’honnêteté dans l’évaluation des risques liés aux personnes et aux pratiques internes. La tentation d’en minorer la portée — puisque les formaliser engage la responsabilité de la direction à les traiter — est forte, et elle explique en partie pourquoi 75 % des PME et ETI déclarent les risques humains en tête de leurs préoccupations tout en produisant des cartographies où cette catégorie est la moins précisément documentée. Écrire que la continuité d’un département repose sur une personne dont les accès ne sont pas encadrés par des procédures, ou que tel prestataire de longue date dispose d’une connaissance des systèmes internes sans contrepartie contractuelle en cas de départ, est inconfortable non parce que ces réalités sont ignorées, mais parce que les nommer crée une obligation de décision.
La troisième condition est l’intégration de la cartographie dans les cycles de gouvernance. Un document produit annuellement, présenté en séance puis rangé jusqu’à la prochaine mise à jour, n’a pas de valeur opérationnelle indépendamment de la qualité du travail qui l’a produit. La cartographie des risques n’entre dans le pilotage réel de l’entreprise que lorsqu’elle est révisée en réponse aux événements significatifs, confrontée aux décisions de croissance ou d’investissement avant qu’elles soient arrêtées, et utilisée comme référentiel dans le dialogue avec les partenaires financiers et institutionnels qui demandent une lecture structurée de l’exposition de l’entreprise.
Conclusion
La cartographie des risques d’une PME ou d’une ETI, lorsqu’elle couvre réellement l’ensemble du spectre — opérationnel, humain, informationnel, sûreté, réglementaire, géopolitique — et qu’elle s’intéresse aux interdépendances autant qu’aux risques pris isolément, est un instrument de connaissance que peu d’autres outils de gouvernance peuvent remplacer. Elle ne supprime pas l’incertitude, mais elle organise la façon dont la direction s’y confronte : en substituant à une gestion réactive des crises successives une lecture anticipatrice de ce qui les précède.
La question que nous posons aux dirigeants qui engagent cette démarche avec nous n’est pas “quels sont vos risques ?” — ils en ont généralement une idée. C’est “quels sont ceux que vous évitez de formaliser, et pourquoi ?” C’est là que le travail commence.