Identifier, analyser, évaluer : les clés de l’analyse de risques

14 avril 2025 · 2 minutes de lecture

Comment aborder la démarche d’élaboration d’un plan de gestion de crise ? Quel que soit le secteur – hospitalier, médico-social ou ambulatoire [1– l’analyse de risques constitue la toute première étape d’une telle démarche. Elle permet d’identifier les situations exceptionnelles les plus probables pour l’établissement et d’y répondre de manière structurée. Dans ce contexte, cette démarche renforce la résilience des équipes et des infrastructures face à des crises complexes. Cet article vous propose des outils opérationnels pour procéder à l’analyse de risques en préparation de votre plan, pour construire un dispositif réellement opérationnel et adapté à votre établissement.

Étape 1 – Identification des risques

La phase d’identification vise à dresser la liste des risques auxquels l’établissement est exposé dans le cadre de son activité.

Les quatre grandes familles de risques auxquels un organisme public ou privé, peut être exposé : 

  • Les risques naturels : feu de forêt, inondations, tempêtes, sécheresse, etc.
  • Les risques technologiques : accidents industriels en lien, par exemple, avec un site SEVESO, un incendie ou une explosion accidentels sur son propre site, une installation nucléaire ou un transport de matières dangereuses.
  • Les risques sanitaires : épidémie, pandémie.
  • Les risques d’origine humaine : cyberattaques, actions violentes (terrorismes, émeutes, etc.) ou malveillante (intrusion, sabotage, vol, destruction), conflits sociaux (grèves, manifestations, etc.). 

Il est important de préciser que le travail d’identification des risques est propre à chaque entité en fonction de deux critères intrinsèques :

  • Ses activités ;
  • Sa localisation géographique.

Cas pratique : l’exemple d’un EHPAD

Prenons l’exemple d’un EHPAD fictif, implanté dans une grande agglomération et à proximité d’un fleuve. Cet EHPAD est à la fois exposé à :

  • des risques naturels : inondation fluviale, tempête, coupure électrique découlant d’une catastrophe naturelle
  • des risques d’origine humaine : mouvement social (manifestation organisée dans l’agglomération à proximité de l’établissement), cyberattaque, coupure électrique découlant d’un acte malveillant.

Les autres risques (feu de forêt, explosion dans un site SEVESO, etc.) ne sont pas identifiés pour cet EHPAD mais ils mettent d’autres membres du GHT en péril (l’établissement peut être impacté indirectement).

Étape 2 – Analyse des risques

La phase d’analyse des risques vise à décrire et à mieux comprendre les risques identifiés. Si cette analyse comporte un important degré d’incertitude, elle se doit d’être concrète et méthodique. 

Dans cette étape, il est nécessaire de dégager pour chacun des risques identifiés, sa gravité et une estimation de la probabilité d’occurrence. Pour cela, quatre niveaux d’analyse sont définis :

Faible => Modéré => Elevé => Critique

Cas pratique – suite

Penchons-nous à présent sur la vraisemblance (la probabilité d’occurrence) des risques de l’EHPAD en s’appuyant sur l’historique des évènements l’ayant touché au cours des dix dernières années.

La Vraisemblance représente la probabilité qu’un événement se réalise. Pour évaluer la vraisemblance d’un risque, il est essentiel de définir clairement les critères et les niveaux de probabilité au préalable

Selon cet historique :

  • Le risque d’inondation fluviale a une vraisemblance critique car de multiples catastrophes ont touché la ville au cours des dix dernières années, dont trois qui ont fortement dégradé plusieurs points au sein de l’EHPAD.
  • Le risque de mouvement social reste modéré car une dizaine de manifestations ont été organisé à proximité de l’établissements au cours des dix dernières années sans l’impact majeur sur l’activité.
  • Le risque de coupure électrique est faible car il n’est survenu que deux fois en dix ans. 
  • En revanche, même si le risque de cyberattaque ne s’est produit qu’une fois en dix ans, sa vraisemblance reste élevée car de plus en plus d’acteurs de la santé et d’administrations publiques sont touchées par des attaques ciblées (vol de données, attaque de pare-feu etc.).

Ainsi nous pouvons estimer la vraisemblance des risques comme suit :

Ensuite, il s’agit de définir la gravité de ces risques (les conséquences potentielles) :

Les coupures électriques ont une gravité faible. En effet, les coupures vécues n’ont jamais causé de dégâts significatifs pour l’établissement qui est doté d’un groupe électrogène opérationnel.

Malgré la fréquence des mouvements sociaux, les impacts sur l’établissement et ses salariés sont minimes et sa gravité reste modérée.

L’inondation fluviale a une gravité élevée. En effet, 20 cm dans les locaux suffisent à causer des dommages majeurs. La dernière crue en date des cours d’eau de l’agglomération a compromis l’accessibilité des bâtiments et a causé des dégâts à l’intérieur.

Les conséquences d’une cyberattaque peuvent être critiques du fait de l’accentuation des attaques ciblées par des individus et groupes malveillants. Les données volées ou bloquées peuvent immobiliser l’activité de l’établissement et impactés un grand nombre des résidents.

Étape 3 – Évaluation des risques

La phase d’évaluation d’un risque consiste à caractériser sa criticité selon sa vraisemblance et gravité. 

Regroupée dans une matrice, la combinaison vraisemblance – gravité permet de déterminer le niveau de criticité d’un risque :

Matrice des risquesVraisemblance
FaibleModéréeElevéeCritique
GravitéCritique  Cyberattaque 
Elevée   Inondation fluviale
Modérée Mouvement social  
FaibleCoupure électrique   

Priorités de traitement de ces risques en cas de crise et de planification nécessaire :

1. La cyberattaque et l’inondation représentent le principal risque critique pour l’organisation en raison de leur probabilité élevée et de leur gravité critique.

2. Ensuite, le mouvement social est considéré comme présentant un niveau de criticité modéré, avec une probabilité et une gravité évaluées comme étant de niveau modéré.

3. Enfin, la coupure électrique est considérée comme présentant un faible niveau de criticité, car sa probabilité et sa gravité sont toutes deux faibles.

Une fois la matrice des risques bien définie, il est temps de passer à l’élaboration des procédures d’organisation pour répondre à ces risques.

Conclusion – analyse technique et concertation, les piliers d’une anticipation des risques

L’analyse de risques constitue bien plus qu’un simple préalable à la rédaction d’un plan de gestion de crise : elle en est le socle stratégique. En identifiant les menaces spécifiques à chaque établissement, en objectivant leur probabilité et leur impact potentiel, cette démarche permet de prioriser les actions, d’anticiper les scénarios les plus critiques et de mobiliser les bonnes ressources. Cette boîte à outils méthodologique offre ainsi une approche sur-mesure pour bâtir une résilience opérationnelle, cohérente avec les réalités de terrain. L’étape suivante ? Traduire cette évaluation en procédures concrètes, à intégrer dans un plan de crise efficace et mobilisable, le moment venu.

Besoin d’un regard d’expert pour cartographier et anticiper les situations sanitaires exceptionnelles ? Chez ADJ Partenaire, nous faisons de chaque thématique une opportunité de donner du sens à vos équipes tout en mobilisant une véritable expertise métier. Parlons-en ici.

Découvrez les expertises au service de vos problématiques : expertises

[1] ES : Plan de Gestion des Tensions Hospitalières et des Situations Sanitaires Exceptionnelles (PGTHSSE)

ESMS : Plan bleu

Ville : Plan de gestion de crise

Continuer la lecture

Retrouver toute l’actualité d’ADJ Partenaire

Vous souhaitez un regard d’expert ?

Ecrivez-nous via le formulaire de contact ou par contactez-nous par téléphone !

Contactez-nous