Qu'est-ce que l'analyse quantitative des risques ?

« On ne peut pas gérer ce qu'on ne peut pas mesurer. » 

Un classique du management et un faux. Peter Drucker ne l'a jamais dit. Ce qu'il a vraiment mis en garde était presque l'inverse, une idée plus proche de la critique articulée par V. F. Ridgway dans son article classique Dysfunctional Consequences of Performance Measurements (1956) : ce qui est mesuré est géré, même quand il est inutile de le mesurer et de le gérer. Sa préoccupation ne portait pas sur la mesure elle-même, mais sur l'illusion que les chiffres racontent toute l'histoire.

Pourtant, cette citation survit parce qu'elle nourrit une croyance réconfortante : si nous pouvons quantifier quelque chose, nous pouvons le contrôler. Mais la gestion des risques numériques peut-elle vraiment être quantitative, ou les chiffres ne font-ils qu'habiller nos peurs et nos espoirs ?

Elle le peut et elle le doit. Mais pas comme une science statique des faits. Il s'agit plutôt d'un exercice continu de modélisation, une discipline qui transforme les données, la perception et le contexte en perspicacité. 

La gestion quantitative des risques peut améliorer la préparation, mais elle ne devrait jamais promettre des résultats déterministes ; son pouvoir réside dans l'itération, pas dans l'illusion. Et l'esprit humain reste l'instrument de mesure le plus sophistiqué dont nous disposons. Nous sommes capables de percevoir des schémas qu'aucun ensemble de données ne peut saisir pleinement.

En termes pratiques, l'analyse quantitative des risques est l'effort de modélisation qui utilise des estimations numériques, souvent monétaires, pour évaluer la fréquence et l'ampleur de l'effet potentiel d'un risque, qu'il s'agisse d'une opportunité ou d'une menace. Cela rend les risques directement comparables avec d'autres éléments dans les arriérés de l'entreprise et donc plus faciles à prioriser.

Même si l'analyse quantitative reste coûteuse et partiellement basée sur le jugement, l'effort de modélisation des risques améliore la capacité de l'organisation à faire face à l'imprévu. Elle permet l'ajustement des capacités de contrôle des risques de l'entreprise pour gérer à la fois les opportunités et les menaces.

Les événements de risque fréquents sont mieux compris et plus facilement quantifiés, permettant aux organisations de renforcer leurs mesures défensives, tout comme l'architecture antisismique du Japon ou l'utilisation de la rareté statistique des précipitations extrêmes dans la planification de la protection civile. 

Pour relever ce défi, la gestion quantitative des risques s'appuie sur une décomposition conceptuelle, en décomposant un risque complexe et opaque en composants plus simples et plus génériques qui peuvent être estimés, modélisés et finalement comparés. Sans cet effort de modélisation, les risques rares demeurent insolubles, rendant impossible pour l'organisation d'évaluer de manière significative son exposition ou de prioriser ses investissements.

Une métaphore utile au sein de DARE25 - Digital Approach to Risk for Enterprise -  est celle d'un jeu compétitif, où l'Offense représente les acteurs qui tentent de défier ou de s'approprier un actif, et la Défense représente ceux qui sont responsables de sa protection. Il s'agit de rôles systémiques généraux qui décrivent comment les acteurs en interaction se positionnent autour d'un actif dans tout contexte organisationnel ou stratégique. Pourtant, il ne s'agit pas d'un jeu aux règles fixes : les forces en jeu peuvent évoluer dynamiquement à mesure que de nouveaux joueurs entrent en scène, et les deux camps adaptent leurs stratégies en temps réel. L'analyse quantitative, en ce sens, fournit l'objectif structuré à travers lequel ces dynamiques changeantes peuvent être modélisées.

Dans un tel contexte, la question clé devient : quelles capacités et contrôles chaque camp peut-il déployer pour augmenter à la fois la probabilité et l'ampleur de son succès ? Dans le monde numérique, le vainqueur probable est le camp qui détient des informations exploitables sur l'actif et son adversaire et peut absorber et traduire ces connaissances en actions pratiques.

Au départ, la Défense appliquera un contrôle de ségrégation pour dissimuler l'actif ou le rendre inaccessible. Elle peut également tenter d'influencer le dossier commercial de l'Offensive par des contrôles de dissuasion, en réduisant les avantages perçus de l'attaque et/ou en augmentant les coûts perçus et la menace d'une réaction défensive. 

Par exemple, si nous sommes l'Offensive cherchant à supplanter un concurrent dans un créneau de marché spécifique, le concurrent (la Défense) peut essayer de cacher ses données clients clés, protéger les canaux de distribution, ou verrouiller les partenaires par des accords d'exclusivité, rendant le marché cible moins accessible et réduisant l'attractivité de notre dossier commercial.

L'Offensive, inversement, peut tenter de contourner les barrières de ségrégation, augmentant sa connaissance de l'actif et de la Défense, rassemblant patiemment des informations étape par étape, tout comme un observateur habile apprend les schémas de comportement avant de planifier un cours d'action. Dans notre exemple, cela pourrait impliquer d'apprendre progressivement comment le concurrent opère — comprendre sa stratégie de prix, ses méthodes d'acquisition de clients, et ses faiblesses opérationnelles — afin que nous puissions élaborer une stratégie d'entrée plus efficace.

L'Offensive peut également être encouragée par une culture d'expérimentation au sein de l'entreprise à ignorer les mesures dissuasives de la Défense. Dans notre scénario, une culture qui récompense l'expérimentation pourrait nous pousser à tester des tactiques marketing non conventionnelles ou des offres de produits alternatives, même si le concurrent essaie de décourager les nouveaux entrants par des prix agressifs ou une pression contractuelle sur les fournisseurs.

L'Offensive peut également lancer une attaque non conventionnelle qui reste invisible, réussissant simplement parce que la Défense ne reconnaît jamais que le jeu a commencé. La capacité de détection devient donc un actif défensif crucial. En pratique, cela pourrait signifier entrer sur le marché par un nouveau segment de clientèle ou un canal indirect que le concurrent néglige — nous permettant de gagner du terrain avant que la Défense ne réalise que sa position est remise en question.

Une fois ce « jeu de la connaissance » en mouvement, le résultat dépend de la force relative des ressources et des capacités d'apprentissage déployées des deux côtés. Si deux entreprises sont en concurrence dans un segment de marché, le gagnant probable est celui qui comprend d'abord les besoins émergents des clients et anticipe les mouvements des concurrents. Les organisations construites pour l'apprentissage et le transfert rapide de connaissances, comme les organisations fractales, détiennent un avantage stratégique.

Même après que le jeu soit joué, la Défense peut encore récupérer une partie de la perte grâce à des contrôles réactifs, tandis que l'Offensive, si elle a préparé plusieurs options, peut poursuivre le chemin le plus avantageux (une forme de pensée optionnelle). 

De solides compétences en gestion des parties prenantes sont essentielles pour les deux camps : la Défense tentera de minimiser l'impact sur sa réputation, tandis que l'Offensive cherchera à tirer parti des premières victoires pour créer un élan et renforcer le soutien des parties prenantes. Le concurrent peut encore essayer de regagner du terrain en améliorant son offre ou en s'engageant dans une communication défensive. De même, les premières victoires dans le créneau cible peuvent nous aider à obtenir un soutien interne plus large de la part des parties prenantes, investisseurs, ou partenaires, permettant une expansion ultérieure.

Ces éléments définissent un ensemble de variables qui doivent être évaluées et, dans la mesure du possible, quantifiées. 

Pour chaque variable, nous attribuons une distribution de probabilité puis calculons le risque global en utilisant une simulation de Monte Carlo, produisant une distribution de risque agrégée.

En termes quantitatifs, le risque global est obtenu en multipliant la Fréquence d'Effet (combien de fois le risque produit un effet tangible pendant la période de transformation ; élément 1) par la Taille d'Effet (impact ; élément 2), comme illustré dans le diagramme RCD.

La distribution de probabilité de la Fréquence d'Effet est façonnée par :

• Accessibilité des Actifs (élément 3) : la capacité à dissimuler ou séparer les actifs critiques par rapport à la capacité de l'Offense à contourner les barrières de protection, ce qui détermine à quelle fréquence l'Offense est en position de déclencher le jeu.

• Déclencheur de Jeu (élément 4) : la force des mesures de dissuasion par rapport aux mécanismes de façonnement des incitations, ce qui détermine la probabilité que l'Offense choisisse effectivement d'agir.

• Déclencheur de Défense (élément 5) : la nature innovante des stratégies offensives par rapport à la maturité de détection de la Défense, ce qui détermine la probabilité que la Défense reconnaisse et réponde au défi.

• Résultat du Jeu (élément 6) : les capacités relatives d'apprentissage et d'absorption des camps opposés (éléments 7 et 8), qui influencent le résultat final.

La distribution de probabilité de la Taille d'Effet dépend principalement de l'efficacité des contrôles réactifs, qui façonnent la Taille d'Effet du Jeu (élément 9), et de la robustesse des capacités de gestion des parties prenantes, qui déterminent l'Effet Externe (élément 10) généré par les partisans du jeu.

En conclusion, la technique de Monte Carlo peut simuler numériquement la séquence :

Accès → Décision → Détection → Apprentissage → Résultat → Impact Étendu

Par exemple, en modélisant une distribution pour la probabilité d'une tentative d'entrée sur le marché et une distribution pour son impact financier potentiel, Monte Carlo peut simuler des milliers de combinaisons possibles pour dériver une valeur monétaire attendue et une fourchette.

À partir de cela, nous pouvons dériver :

• la valeur monétaire la plus probable du risque ;
• les résultats du meilleur scénario et du pire scénario.

Cette technique peut également être combinée avec l'Analyse par Arbre de Décision pour comparer différentes options stratégiques, par exemple, décider s'il faut cibler un concurrent dans une niche de marché étroite ou étendre le défi à un segment mondial.

L'analyse quantitative des risques offre aux organisations une approche rigoureuse pour comprendre l'incertitude en termes mesurables et comparables. En modélisant les risques plutôt qu'en s'appuyant uniquement sur l'intuition ou les tendances historiques, elle permet une prise de décision plus éclairée, transparente et justifiable.

De plus, dans le monde numérique d'aujourd'hui, ce qui compte vraiment, c'est d'autonomiser les équipes pour qu'elles prennent des décisions là où l'information et les connaissances résident réellement. La gestion quantitative des risques devrait donc soutenir la prise de décision à tous les niveaux de l'entreprise, et non seulement au niveau exécutif ou du portefeuille. Cela signifie que les équipes elles-mêmes doivent être équipées des outils conceptuels nécessaires pour interpréter l'incertitude, modéliser des scénarios et utiliser des perspectives quantitatives dans leur travail quotidien.

Les principaux avantages de l'analyse quantitative des risques incluent :

• une priorisation claire des risques : les estimations numériques aident à comparer les risques et autres éléments du backlog sur une base équivalente ;

• une meilleure allocation des ressources : la quantification soutient un investissement plus rationnel dans les contrôles et les réponses ;

• une planification de scénarios améliorée : les simulations révèlent les résultats dans le meilleur des cas, le pire des cas et les plus probables ;

• une meilleure compréhension de la sensibilité : l'analyse montre quelles hypothèses génèrent la variabilité ;

• la capacité d'évaluer les risques rares : la modélisation soutient l'évaluation d'événements à faible fréquence et à fort impact ;

• un soutien à l'apprentissage continu : la modélisation itérative renforce l'apprentissage et l'adaptation.

Les méthodes d'analyse qualitative des risques reposent sur des jugements intrinsèquement subjectifs, mais elles jouent un rôle crucial pour éclairer et orienter les évaluations quantitatives ultérieures. Leur popularité auprès des organisations, particulièrement pour les projets de moindre envergure, tient à leur accessibilité : elles ne nécessitent ni modélisation numérique ni simulation et permettent de classer les risques dans de grandes catégories de probabilité et d'impact sur les parties prenantes. Le processus produit généralement une liste hiérarchisée des risques. Il favorise une meilleure compréhension de leurs implications potentielles, aboutissant souvent à l'attribution de scores de risque par le biais d'une matrice ou d'un tableau.

Les méthodes quantitatives, en revanche, tentent d'évaluer le risque en utilisant des variables qui représentent la fréquence et l'ampleur des effets potentiels. Bien qu'elles soient conçues pour minimiser la subjectivité, elles ne peuvent l'éliminer, surtout lorsque le comportement humain et la culture organisationnelle influencent la dynamique sous-jacente des risques. C'est pourquoi les approches quantitatives contemporaines intègrent de plus en plus les dimensions systémiques, comportementales et culturelles pour parvenir à une évaluation plus robuste et réaliste.

S'il est vrai que les méthodes quantitatives contiennent inévitablement des éléments subjectifs, l'inverse est également vrai : les méthodes qualitatives intègrent des jugements quantitatifs lors de la définition des classes utilisées dans les grilles qui combinent probabilité (Fréquence d'Effet) et impact (Taille d'Effet). Pour décrire un risque comme potentiellement critique, il faut comparer l'ampleur de son effet avec la taille de l'entreprise, comme son chiffre d'affaires global, ou, alternativement, avec le chiffre d'affaires du projet spécifique considéré. De même, pour classer un risque comme fréquent, sa récurrence doit être évaluée par rapport au calendrier de l'initiative.

L'analyse qualitative vise à hiérarchiser les risques les plus pertinents, en identifiant ceux qui devraient être sélectionnés pour une évaluation quantitative ultérieure plus approfondie et plus intensive.

L'analyse quantitative des risques devient essentielle précisément lorsque la mesure doit servir l'apprentissage plutôt que l'illusion. Comme nous l'avons soutenu dès le départ, les chiffres ne garantissent pas le contrôle : ils offrent une façon disciplinée d'expérimenter, de comparer les alternatives et d'affiner notre compréhension de l'incertitude.

L'analyse quantitative est particulièrement efficace lorsque l'incertitude doit être traduite en termes économiques qui soutiennent la priorisation, l'allocation des ressources et la planification basée sur des scénarios. Loin d'offrir une certitude numérique, elle dote les organisations de quelque chose de plus précieux : une façon systématique d'apprendre plus rapidement que les risques auxquels elles font face. 

La véritable valeur de l'intégration de la compréhension qualitative avec la rigueur quantitative réside dans la façon dont elle transforme la prise de décision : elle pousse l'entreprise à affronter l'incertitude, remettre en question les hypothèses et agir avec une plus grande discipline stratégique. À l'ère numérique où les risques évoluent plus vite que les plans, cette capacité devrait être un élément standard de toute boîte à outils de survie organisationnelle.