Processus de gestion des risques ISO 31000 : guide praticien pour la Suisse (2026)

ISO 31000:2018 est la norme internationale de référence pour structurer la gestion des risques dans une organisation, quel que soit son secteur ou sa taille. Elle ne se certifie pas au niveau de l'organisation et ne prescrit pas de méthode opérationnelle unique : elle fournit des principes, un cadre et un processus, à articuler avec les obligations sectorielles et réglementaires qui vous concernent. C'est précisément ce qui la rend utile : elle fournit la grammaire commune que, ensuite, chaque norme spécialisée, chaque régulateur, chaque cadre sectoriel décline. Pour les organisations suisses, cette grammaire croise désormais une couche réglementaire dense, FINMA Circulaire 2023/01, LSI, nLPD, et par extraterritorialité européenne, DORA et l'EU AI Act. ISO 31000 ne remplace aucune de ces obligations ; elle aide à les instruire de manière cohérente. Cet article explique le processus en six étapes, les huit principes, les sept options de traitement, et montre comment ces briques s'enchâssent avec les obligations suisses et européennes auxquelles vos clients et auditeurs font référence.

Quelle est la différence entre cadre, principes et processus dans ISO 31000 ?

ISO 31000 s'organise en trois couches qu'il est crucial de distinguer pour ne pas mélanger les conversations en mission.

• Les 8 principes (article 4) : la philosophie. Ils répondent à la question « qu'est-ce qu'une bonne gestion des risques ? » Ils servent à arbitrer les décisions de conception (que mettre dans le cadre, quelles techniques privilégier, comment dimensionner l'effort).
• Le cadre (article 5) : l'infrastructure. Comment l'organisation s'organise pour faire vivre la gestion des risques au quotidien. Leadership et engagement au centre, et autour le cycle conception, mise en œuvre, évaluation, amélioration.
• Le processus (article 6) : la mécanique. Les étapes opérationnelles qu'on déroule pour traiter un risque ou un portefeuille de risques. C'est la couche la plus visible dans les livrables, et la moins comprise lorsqu'elle est déconnectée des deux autres.

Une organisation qui se concentre uniquement sur le processus produit un registre des risques esthétique mais déconnecté de la stratégie. Une organisation qui se concentre uniquement sur le cadre construit une fonction risque inerte. Les trois couches s'alimentent : les principes guident le cadre, le cadre fait vivre le processus, le processus produit les preuves qui valident le cadre, qui à son tour confirme ou révise les principes appliqués.

Les 8 principes ISO 31000 et ce qu'ils signifient réellement

L'article 4 énumère huit principes. Lus à la lettre, ils ressemblent à une liste d'adjectifs sympathiques. Lus en mission, ils servent de critères d'arbitrage quand le programme dérape.

Si trois principes sont à isoler pour ne pas se perdre, ce sont les principes 1, 3 et 7 : intégrée, adaptée, et facteurs humains et culturels. Un programme qui les tient, les autres suivent. Un programme qui les manque coche les autres en surface sans résultat.

Le cadre ISO 31000 : leadership au centre, cycle PDCA autour

L'article 5 décrit le cadre. La grande nouveauté de l'édition 2018, par rapport à 2009, est d'avoir mis le leadership et l'engagement au centre. Ce n'est pas un détail visuel : c'est la reconnaissance que sans direction sponsor, aucun cadre risque ne survit aux arbitrages budgétaires de la deuxième année.

La conception couvre la compréhension du contexte interne et externe, l'articulation de l'engagement de direction, l'attribution des responsabilités, l'allocation des ressources, et la définition des canaux de communication et de consultation. La mise en œuvre déploie ces choix. L'évaluation mesure leur performance. L'amélioration est ce qui en fait un système vivant plutôt qu'un exercice annuel. Comme dans toute norme inspirée du PDCA, c'est l'évaluation qui pose le plus de problèmes en pratique : les organisations savent concevoir et mettre en œuvre, beaucoup moins savent mesurer si leur cadre risque produit réellement de meilleures décisions.

Le processus ISO 31000 étape par étape (article 6)

Le processus de management du risque selon ISO 31000:2018 comporte six éléments, dont deux sont continus et traversent tous les autres. C'est le cœur de la requête processus de gestion des risques ISO 31000, et c'est aussi le point où la plupart des programmes en mission dérapent par confusion entre étapes séquentielles et étapes transversales.

Champ d'application, contexte et critères (article 6.3)

C'est l'étape la plus souvent expédiée et la plus structurante. L'organisation y définit le périmètre couvert, le contexte interne (gouvernance, ressources, culture, parties prenantes internes) et externe (cadre légal et réglementaire, parties prenantes externes, marché, environnement économique), et les critères de risque : ce qui déclenche l'attention, ce qui est tolérable, ce qui ne l'est pas. Pour les banques suisses, le contexte externe inclut explicitement la circulaire FINMA 2023/01 et ses exigences sur la tolérance à la disruption pour les fonctions critiques. Pour les responsables de traitement de données personnelles, la nLPD entre dans les critères (risques pour la personnalité et les droits fondamentaux des personnes concernées).

Identification des risques (article 6.4.2)

Recenser les risques susceptibles d'empêcher, retarder ou altérer l'atteinte des objectifs. On combine plusieurs techniques pour ne pas reproduire les angles morts : brainstorming structuré, entretiens semi-directifs, analyse de scénarios, examen documentaire (incidents passés, audits, rapports de pénétration), revue par les pairs externes. La norme insiste sur le fait que cette étape ne se sous-traite pas à un outil ; elle requiert de la maturité de jugement et une connaissance fine du contexte métier.

Analyse des risques (article 6.4.3)

Évaluer la vraisemblance et les conséquences de chaque risque, qualitativement, semi-quantitativement ou quantitativement. ISO 31000 ne prescrit aucune technique spécifique et accepte explicitement les trois approches ; sa norme compagnon ISO/IEC 31010:2019 catalogue plus de 40 techniques (AMDEC, HAZOP, nœud-papillon, Monte Carlo, Delphi, arbres d'événements et de défaillances, analyse bayésienne, FAIR pour le cyber, etc.). Le choix de la technique dépend de la maturité de l'organisation, de la matérialité du risque et du contexte de décision. À partir d'un certain seuil de matérialité face à un superviseur ou à un comité de direction, la heat map qualitative seule devient difficile à défendre : il faut alors la compléter par des estimations probabilistes traçables ou basculer sur une technique semi-quantitative ou quantitative. Ce n'est pas une exigence de la norme, c'est une exigence de défendabilité face à la partie prenante qui décide.

Évaluation des risques (article 6.4.4)

Comparer le niveau de risque obtenu aux critères définis à l'étape contexte, et décider quels risques passent au traitement, lesquels sont conservés en l'état, lesquels nécessitent une investigation supplémentaire. Cette étape produit la priorisation explicite que la direction doit valider. Sans validation traçable à ce moment, le plan de traitement aval perd sa légitimité.

Traitement du risque (article 6.5) : les 7 options

L'article 6.5.2 d'ISO 31000:2018 énumère sept options de traitement. Elles ne sont pas exclusives : un risque matériel se traite souvent par combinaison de deux ou trois options.

Surveillance et revue (article 6.6, en continu)

Activité transversale qui vérifie en permanence que les critères restent valides, que les risques n'ont pas muté, et que les mesures produisent les effets attendus. La cadence varie selon la matérialité : revue mensuelle ou trimestrielle pour les risques matériels, semestrielle pour les risques secondaires, plus toute revue événementielle déclenchée par un incident, un changement de contexte (nouveau régulateur, fusion, sortie de périmètre) ou une revue de direction.

Enregistrement et reporting (article 6.7)

Tracer les décisions, les hypothèses, les sources d'information, les arbitrages. Le reporting doit alimenter la prise de décision aux différents niveaux : opérationnel, tactique, stratégique. Au-delà d'un certain volume, le registre des risques sur tableur atteint ses limites en termes de versioning, de traçabilité multi-utilisateurs et de couplage aux contrôles. Plusieurs options existent alors : faire évoluer la gouvernance du tableur, passer sur un outil GRC généraliste, ou s'appuyer sur une plateforme multi-référentiels comme acunagrc.ai qui intègre nativement le lien entre risques, contrôles et obligations réglementaires. Tableur ou plateforme, l'enjeu reste le même : qu'un auditeur ou un nouvel arrivant puisse reconstruire la chaîne de décisions six mois après.

Quelle technique d'appréciation choisir ? ISO 31010 en pratique

ISO 31000 dit quoi faire pour l'analyse, ISO/IEC 31010:2019 dit comment l'outiller. Sa norme compagnon catalogue et décrit plus de 40 techniques d'appréciation. Le choix se fait selon trois facteurs : la maturité de l'organisation (capacité à produire et exploiter des données), la matérialité du risque (plus l'enjeu est grand, plus la défendabilité quantitative compte), et la nature du risque (cyber, opérationnel, projet, conformité, environnemental n'appellent pas les mêmes outils).

La règle praticien que je donne en formation : pour les risques matériels significatifs face à un superviseur, la heat map 5 x 5 ne suffit plus. À partir de là, il faut soit nourrir la heat map d'estimations probabilistes précises et traçables, soit basculer vers une technique quantitative. Le choix n'est pas un signe de sophistication, c'est une exigence de défendabilité.

ISO 31000, ISO 27005, COSO ERM, ISO 31022 : quel cadre, quand ?

Les quatre cadres reviennent régulièrement, souvent confondus. Voici la lecture praticienne, telle que je l'explique aux équipes en mission.

En pratique : ISO 31000 est rarement seul dans une organisation mature. Il sert d'ossature commune. ISO 27005 s'y branche pour la sécurité de l'information, COSO ERM pour la lecture board, ISO 31022 pour le risque juridique. Pour les organisations sous double tutelle (groupe US et entité européenne), articuler explicitement ISO 31000 et COSO ERM dans la documentation du cadre évite des arbitrages stériles entre l'audit interne local et le groupe.

ISO 31000 dans le contexte réglementaire suisse

C'est la couche qui change la conversation pour les organisations suisses depuis 2024. Plusieurs cadres réglementaires se sont ajoutés ou précisés, et ils croisent tous le tronc ISO 31000.

FINMA Circulaire 2023/01 : risques et résilience opérationnels pour les banques

Entrée en vigueur le 1ᵉʳ janvier 2024, la circulaire FINMA 2023/01 remplace la 2008/21 et reformule les attentes du superviseur en matière de gouvernance du risque opérationnel, de risque ICT, de cyberrisque, de BCM, de risque tiers et de résilience opérationnelle (avec une période transitoire qui se prolonge sur 2025-2026 pour la mise en œuvre complète de la résilience). Source : documentation des circulaires FINMA. Pour une banque qui structure déjà sa démarche risque sur ISO 31000, la 23/01 ne change pas l'architecture, elle ajoute des exigences spécifiques : identification des fonctions critiques, tolérance à la disruption documentée, scénarios sévères mais plausibles, gouvernance ICT structurée, cartographie de la chaîne de fournisseurs ICT.

LSI (Loi sur la sécurité de l'information) et obligation de notification cyber

La LSI introduit pour les opérateurs d'infrastructures critiques (et les autorités fédérales) une obligation de notification des incidents cyber au Centre national pour la cybersécurité (NCSC, ncsc.admin.ch). Selon la communication officielle du NCSC, l'obligation est entrée en vigueur le 1ᵉʳ avril 2025, avec un délai de notification de 24 heures à compter de la découverte de l'incident, et une période transitoire de six mois pendant laquelle aucune sanction n'est appliquée (sanctions effectives à partir du 1ᵉʳ octobre 2025). Concrètement, ce que cette loi ajoute à votre programme ISO 31000 : un critère de notification dans les processus de gestion d'incident, une clause de communication et consultation (article 6.2 ISO 31000) avec le NCSC, et un dispositif d'enregistrement et reporting (article 6.7) capable de produire les notifications dans les délais. Les modalités précises (champ d'application, sanctions) sont définies par les textes fédéraux sur la sécurité de l'information accessibles via Fedlex.

nLPD : protection des données et analyse d'impact

La nouvelle loi fédérale sur la protection des données est en vigueur depuis le 1ᵉʳ septembre 2023. Trois exigences principales s'articulent avec ISO 31000 : l'analyse d'impact relative à la protection des données (AIPD, art. 22) lorsqu'un traitement présente un risque élevé ; le registre des activités de traitement ; la notification de violation au Préposé fédéral à la protection des données et à la transparence (PFPDT, edoeb.admin.ch). Une organisation qui structure son programme de risque sur l'ISO 31000 doit ajouter une déclinaison spécifique à la protection des données avec ses propres critères (risques pour la personnalité et les droits fondamentaux des personnes concernées). L'AIPD n'est pas un sous-produit du registre des risques : c'est un livrable identifié, documenté et conservé en interne. Selon le résultat de l'analyse et la nature du traitement, elle peut donner lieu à une consultation préalable du PFPDT, dans les cas prévus par la loi et ses guides d'application.

Extraterritorialité UE : DORA et l'EU AI Act

Deux régulations européennes touchent directement les organisations suisses qui opèrent en UE ou y placent leurs produits.

DORA (Règlement UE 2022/2554, EUR-Lex) s'applique aux institutions financières et à leurs prestataires TIC depuis le 17 janvier 2025. Cinq piliers : gouvernance du risque TIC, gestion des incidents, tests de résilience, gestion du risque tiers TIC, partage d'informations. Pour une organisation suisse exposée à l'UE, DORA et FINMA 23/01 partagent une logique commune de résilience opérationnelle et de gestion du risque tiers TIC ; les deux cadres restent juridiquement distincts et un même contrôle ne couvre pas automatiquement les exigences de l'autre. Sur le risque tiers (sous-traitants TIC, données personnelles, chaîne d'approvisionnement NIS2), une plateforme dédiée comme Supplier Shield matérialise l'évaluation continue qui dépasse le due diligence ponctuel à la signature.

L'EU AI Act (Règlement UE 2024/1689, EUR-Lex) suit un calendrier échelonné : entrée en vigueur le 1ᵉʳ août 2024, pratiques interdites et AI literacy applicables le 2 février 2025, modèles GPAI et gouvernance au 2 août 2025, et l'essentiel des obligations sur les systèmes d'IA à haut risque au 2 août 2026. Certaines obligations sectorielles applicables aux systèmes IA à haut risque intégrés dans des produits soumis à d'autres réglementations UE (annexe I) suivent un calendrier différent, avec une phase d'application qui s'étend jusqu'au 2 août 2027. Pour les organisations suisses qui placent un système d'IA sur le marché de l'UE, le règlement exige notamment un système de gestion des risques spécifique aux systèmes d'IA à haut risque. ISO/IEC 42001 (publiée fin 2023) fournit le système de management de l'IA qui se greffe sur le tronc ISO 31000 et fait gagner du temps pour la mise en conformité.

Les trois échecs que je vois le plus souvent en mission

Après trente ans d'implantation et d'audit, trois pièges reviennent quel que soit le secteur ou la taille.

1. Le registre des risques comme théâtre de conformité

Le registre existe, il est rempli, il est validé, il est joliment coloré. Mais aucune décision opérationnelle ne s'y réfère. Le symptôme objectif : le COMEX ne le consulte pas avant d'arbitrer un investissement important, un changement d'organisation, ou une entrée sur un nouveau marché. La cause profonde est presque toujours l'absence de critères de risque articulés avec l'appétence (article 6.3.4). Le correctif : reformuler les critères pour qu'ils déclenchent des décisions concrètes (escalade automatique, blocage d'investissement, validation au conseil), pas juste des notations.

2. La fonction risque isolée de la stratégie

Le CRO ou le Risk Manager rapporte hiérarchiquement au CFO, et le risque n'apparaît à l'ordre du jour du conseil que dans la rubrique audit. Le principe numéro 1 (intégré) est mort à la naissance. Le correctif structurel : enchâsser la revue du registre dans le cycle stratégique annuel et trimestriel, et reconfigurer le mandat du comité risque pour qu'il présente directement les arbitrages au conseil, pas via le comité d'audit.

3. La heat map comme religion

La matrice 5 × 5 sert partout, y compris là où elle est défensivement indéfendable face à un superviseur. Un risque cyber dont l'impact potentiel dépasse la capacité absolue de l'organisation ne peut pas être évalué sur une échelle ordinale 1-5. Il appelle un modèle quantitatif (Monte Carlo, FAIR pour le cyber, ou semi-quantitatif traçable). À partir d'un certain seuil de matérialité, ce n'est plus une option, c'est une exigence de défendabilité régulatoire et de crédibilité stratégique.

Comment se former à ISO 31000 ? Le track PECB Risk Manager

La certification ne porte pas sur l'organisation mais sur les praticiens. Le schéma de certification individuel le plus largement reconnu internationalement est celui du Professional Evaluation and Certification Board (PECB), structuré en trois niveaux.

Pour les conditions exactes (durées d'examen précises, score minimum, nombre de questions selon la version active, exigences d'expérience pour la certification senior, frais), le portail candidat PECB fait foi : ces paramètres évoluent et la version officielle prime sur tout résumé externe.

La formation chez Abilene Academy est délivrée en français, anglais et espagnol, en présentiel à Morges ou Genève, en classe virtuelle, en eLearning ou en auto-formation. Abilene Academy est le seul partenaire PECB Titanium en Suisse (la plus haute distinction PECB), avec un taux de réussite aux examens PECB de 99 %, plus de 2 500 professionnels formés dans plus de 120 pays, et un encadrement par des formateurs praticiens, dont moi-même sur la filière ISO 31000 et la continuité d'activité.

Le regard du formateur : la norme structure, le jugement décide.

Sources et références

• ISO 31000:2018 - Management du risque, Lignes directrices (catalogue ISO, officiel)
• ISO/IEC 31010:2019 - Risk management, Risk assessment techniques (catalogue ISO, officiel)
• ISO/IEC 42001:2023 - AI management systems, Exigences (catalogue ISO, officiel)
• FINMA - Circulaires (autorité fédérale de surveillance des marchés financiers)
• Fedlex - portail des publications légales fédérales (Confédération suisse, LSI, nLPD)
• PFPDT - Préposé fédéral à la protection des données et à la transparence (autorité suisse, guidance nLPD)
• NCSC - Centre national pour la cybersécurité (autorité suisse, notifications cyber LSI)
• Règlement (UE) 2022/2554 - DORA (EUR-Lex, texte officiel)
• Règlement (UE) 2024/1689 - EU AI Act (EUR-Lex, texte officiel)
• Directive (UE) 2022/2555 - NIS 2 (EUR-Lex, texte officiel)
• PECB - certifications ISO 31000 (portail officiel des certifications)
• COSO - Enterprise Risk Management 2017 (cadre de gouvernance)

Pour aller plus loin

Formations Abilene Academy associées : ISO 31000 Risk Manager · ISO 31000 Lead Risk Manager · ISO/IEC 27005 Risk Manager · EBIOS Risk Manager.

Articles complémentaires : ISO/IEC 27005 - guide complet de la gestion des risques de sécurité de l'information ; EBIOS Risk Manager - la méthode et la certification PECB ; DORA - guide complet pour les institutions financières suisses ; EU AI Act - guide complet de conformité ; ISO 42001 - playbook exécutif pour la gouvernance de l'IA.

Pour le volet conseil : Abilene Advisors, le bras conseil GRC du groupe Abilene, accompagne les organisations suisses sur la mise en œuvre opérationnelle des programmes risque (ISO 31000, ISO 27005, FINMA 23/01, DORA, nLPD). Site : abileneadvisors.ch.