éligible aux CSF
Contactez-nous

Risks and Issues : maîtriser la gestion des risques pour l’examen PMP

La gestion des risques est l’un des chapitres les plus riches et les plus testés de l’examen PMP. Ce n’est pas uniquement une question de mémorisation de stratégies, l’examen teste votre capacité à raisonner comme un chef de projet qui anticipe les problèmes avant qu’ils surviennent, et non quelqu’un qui les gère une fois qu’ils se sont produits. C’est précisément ce changement de posture que ce chapitre cherche à ancrer.

Voici un résumé complet du chapitre 12 du livre PMP Exam Prep de Rita Mulcahy, organisé pour vous aider à comprendre la logique de chaque processus et à développer les bons réflexes pour l’examen.

1. La philosophie de base : prévenir plutôt que réagir

Rita Mulcahy ouvre ce chapitre avec une histoire révélatrice : un chef de projet se félicite d’avoir bien géré l’impact d’un ouragan sur son projet. Mais la vraie question est : pourquoi avait-il planifié une implémentation critique en pleine saison des ouragans, alors qu’il avait été averti à l’avance ?

C’est le fondement de tout ce chapitre. Un bon chef de projet ne se contente pas de gérer les crises, il les évite. L’objectif du risk management n’est pas d’avoir des plans d’urgence pour tout, c’est d’éliminer autant de menaces que possible avant qu’elles ne se matérialisent, et de saisir les opportunités qui se présentent.

Pour l’examen, cette philosophie a une implication directe : quand une question décrit un problème majeur et vous demande quoi faire, la meilleure réponse sera presque toujours d’activer le plan de contingence préparé en avance, et non d’organiser une réunion d’urgence pour trouver des solutions.

2. Les définitions fondamentales

Le risque projet

Un risque est un événement probable qui, s’il se produit, affecterait positivement ou négativement un ou plusieurs objectifs du projet. Deux points importants à retenir : un risque peut être positif (une opportunité/Opportunity) ou négatif (une menace/Threat), et il n’est pas encore arrivé: c’est une incertitude future.

Menaces et opportunités

La plupart des candidats pensent instinctivement aux risques négatifs. Or, l’examen teste autant les opportunités. Une opportunité, c’est un événement incertain qui, s’il se produit, aurait un impact positif sur le projet. À l’examen, autant de questions portent sur les stratégies de réponse aux opportunités que sur les menaces.

Les facteurs de risque

Pour évaluer un risque, le chef de projet doit analyser quatre dimensions : la probabilité que l’événement se produise, l’impact potentiel sur le projet, le moment où il pourrait survenir dans le cycle de vie, et la fréquence à laquelle il pourrait se répéter.

Appétit et seuil de risque

L’appétit pour le risque (risk appetite) désigne le niveau général de risque qu’une organisation ou une personne est prête à accepter. Le seuil de risque (risk threshold) est le point précis au-delà duquel le risque devient inacceptable. Ces deux notions varient selon les parties prenantes et les organisations, et elles influencent directement les stratégies de réponse à adopter.

Exemple : un client bancaire aura un seuil de tolérance très faible sur les interruptions (continuité de service critique), alors qu’une PME pourra accepter des coupures plus longues pour réduire les coûts et accélérer le projet.

3. Vue d’ensemble des processus : le mnémotechnique PIQQRIM

Le risk management du modèle Process Groups comprend 7 processus dans cet ordre :

  • Plan Risk Management — comment allons-nous gérer les risques ?
  • Identify Risks — quels sont les risques du projet ?
  • Perform Qualitative Risk Analysis — lesquels méritent une attention prioritaire ?
  • Perform Quantitative Risk Analysis — quel est l’impact chiffré des risques prioritaires ?
  • Plan Risk Responses — que ferons-nous pour chaque risque ?
  • Implement Risk Responses — mettre en œuvre les réponses planifiées
  • Monitor Risks — surveiller et réévaluer en continu

Le moyen mnémotechnique de Rita : PIQQRIM (Plan-Identify-Qualitative-Quantitative-Responses-Implement-Monitor). Une autre version : PIP P PIM. Choisissez celui qui vous aide le mieux.

Point important pour l’examen : ces processus ne se déroulent pas une seule fois. La gestion des risques est itérative tout au long du projet. De nouveaux risques apparaissent pendant l’exécution, d’autres disparaissent, et le registre des risques est mis à jour en permanence.

4. Plan Risk Management

Ce processus définit comment les risques seront gérés sur ce projet spécifique. Le principal livrable est le plan de gestion des risques, qui contient notamment la stratégie globale de gestion des risques, la méthodologie, les rôles et responsabilités, les budgets dédiés, le calendrier des activités de risk management, les catégories de risques, les appétits et seuils des parties prenantes, les définitions de probabilité et d’impact, et les formats de reporting.

Ce plan est essentiel car il standardise la façon dont toute l’équipe interprète et évalue les risques. Sans lui, deux personnes qui évaluent la même menace comme “probabilité 7/10” peuvent avoir des interprétations radicalement différentes.

5. Identify Risks

Lors de ce processus, l’équipe identifie tous les événements incertains qui pourraient affecter le projet. À l’examen, la règle est simple : tout le monde doit être impliqué dans l’identification des risques — l’équipe, les parties prenantes, les experts, et même les clients.

Les catégories de risques

Les catégories de risques servent de listes de contrôle pour s’assurer qu’aucun domaine n’est oublié. Elles couvrent les risques liés au client, à la technologie, aux ressources, aux changements de périmètre, aux fournisseurs, aux facteurs externes (réglementaires, environnementaux…), et bien d’autres. Une risk breakdown structure (RBS) permet de les représenter sous forme hiérarchique, similaire à un organigramme.

Les types de risques

Un risque business peut représenter un gain ou une perte. Un risque pur (insurable) représente uniquement une perte (incendie, vol, blessure) — la réponse appropriée est le transfert via une assurance. Les risques de variabilité proviennent de l’incertitude sur l’évolution future des choses. Les risques d’ambiguïté proviennent d’un manque de compréhension, comme des exigences peu claires.

Le registre des risques

C’est le document central du risk management. Il est créé lors de l’Identify Risks et enrichi tout au long du projet. À ce stade, il contient la liste des risques identifiés, les réponses potentielles, les causes racines déjà identifiées, et les catégories de risques. Attention : le registre contient des informations différentes selon le stade du projet — les réponses sélectionnées n’y figurent qu’après le Plan Risk Responses.

Le pre-mortem agile

Dans les environnements adaptatifs, le pre-mortem est une technique d’identification des risques très efficace. Le chef de projet demande à l’équipe d’imaginer que le projet (ou l’itération) a échoué, puis de lister toutes les raisons possibles de cet échec. L’équipe revoit ensuite le plan pour éviter ou atténuer ces causes.

6. Qualitative vs Quantitative Risk Analysis

C’est une source de confusion fréquente. Voici la distinction essentielle :

L’analyse qualitative est subjective — elle utilise des échelles relatives (1 à 5, faible/moyen/élevé) pour prioriser les risques. Elle est toujours effectuée. Le truc de Rita pour se souvenir de l’ordre : la lettre “L” dans quaLitative vient avant la lettre “N” dans quaNtitative dans l’alphabet. Donc qualitative d’abord.

L’analyse quantitative est objective — elle utilise des chiffres réels (probabilités en pourcentage, impacts en euros ou en jours) pour évaluer précisément l’impact des risques prioritaires. Elle n’est pas toujours réalisée — seulement si elle en vaut le coût et l’effort.

La matrice probabilité-impact

Outil clé de l’analyse qualitative, elle représente graphiquement chaque risque selon sa probabilité et son impact. Une diagonale sépare les risques qui méritent une réponse planifiée (à droite) de ceux qui rejoignent la watch list (à gauche). Cet outil permet aussi de comparer des risques dont le score numérique est proche mais dont les profils sont très différents.

L’Expected Monetary Value (EMV)

La formule incontournable de l’analyse quantitative : EMV = Probabilité × Impact. Pour une menace avec 65% de probabilité et un impact de 40 000€, l’EMV est de 26 000€. Les opportunités sont des valeurs positives, les menaces des valeurs négatives. La somme des EMV de tous les risques (menaces moins opportunités) permet de calculer les réserves pour aléas du projet.

L’analyse par arbre de décision

Utile pour comparer plusieurs options face à une décision complexe. Chaque branche représente une option, chaque nœud un événement possible. On calcule la valeur attendue de chaque option (EMV) pour déterminer la plus avantageuse.

Monte Carlo

Simulation qui “joue” le projet des milliers de fois en utilisant des estimations à trois points pour chaque activité. Elle produit une distribution de probabilité montrant les chances de terminer le projet à une date ou un coût donné, et identifie les activités les plus susceptibles d’être sur le chemin critique.

7. Plan Risk Responses : les 8 stratégies à connaître par cœur

C’est la partie la plus testée du chapitre. Il y a 4 stratégies pour les menaces, 4 pour les opportunités, et 2 applicables aux deux.

Stratégies pour les menaces

  • Avoid (Éviter) : éliminer complètement la menace en supprimant sa cause. Exemple : supprimer un lot de travaux risqué ou reporter une activité. C’est la stratégie la plus puissante.
  • Mitigate (Atténuer) : réduire la probabilité et/ou l’impact de la menace, sans l’éliminer totalement.
  • Transfer (Transférer) : déplacer la responsabilité financière vers un tiers — assurance, garantie, sous-traitance. Cela ne supprime pas le risque, cela en transfère les conséquences financières.
  • Accept (Accepter) : passive (ne rien faire, gérer si ça arrive) ou active (prévoir un plan de contingence et des réserves).

Stratégies pour les opportunités

  • Exploit (Exploiter) : s’assurer que l’opportunité se réalise. Contraire d’Avoid.
  • Enhance (Améliorer) : augmenter la probabilité et/ou l’impact positif de l’opportunité. Contraire de Mitigate.
  • Share (Partager) : allouer la propriété de l’opportunité à un tiers mieux placé pour la saisir.
  • Accept : accepter l’opportunité si elle se produit, sans action proactive.

Stratégies applicables aux deux

  • Escalate (Escalader) : si le risque dépasse l’autorité du chef de projet, il est transmis au niveau programme ou portfolio. Le chef de projet ne le gère plus et ne le surveille plus.

Notions importantes liées aux réponses

Un risque résiduel est ce qui reste après avoir appliqué une réponse. Un risque secondaire est un nouveau risque créé par la réponse elle-même (exemple : sous-traiter un lot de travaux crée un risque de défaillance du prestataire). Les deux doivent être documentés et analysés. Un trigger est le signal d’alarme qui indique qu’un risque est sur le point de se matérialiser — c’est lui qui déclenche l’activation du plan de contingence.

8. Implement Risk Responses et Monitor Risks

Une fois les réponses planifiées, elles doivent être exécutées au bon moment — ni trop tôt, ni trop tard. C’est le rôle du risk owner de surveiller son risque et de déclencher la réponse lorsque le trigger se manifeste, sans avoir besoin d’organiser une réunion d’urgence.

Le Monitor Risks est continu. Le chef de projet doit régulièrement réévaluer les risques existants, identifier de nouveaux risques, vérifier que les réponses planifiées sont toujours pertinentes, et fermer les risques qui ne se sont pas matérialisés. Quand un risque est fermé, la réserve associée est restituée à l’organisation.

Workarounds

Un workaround est une réponse non planifiée, développée au moment où un événement imprévu se produit. C’est le signe que la gestion des risques n’a pas été complète en amont. À l’examen, si un chef de projet passe beaucoup de temps à créer des workarounds, c’est un indicateur de mauvaise planification des risques.

La gestion des risques en agile

En agile, la gestion des risques est intégrée à chaque itération. Le backlog est un risk-adjusted backlog — il intègre non seulement les fonctionnalités à valeur ajoutée, mais aussi les stories dédiées aux réponses aux risques. Les spikes sont des itérations courtes dédiées à l’exploration d’un risque ou d’une technologie incertaine. Le fast failure est volontairement recherché : mieux vaut échouer tôt (peu coûteux) que tard (très coûteux).

9. Les réserves : contingency vs management

Ce point est aussi couvert dans le chapitre Budget, mais il est crucial de le maîtriser dans le contexte des risques.

Les réserves pour aléas (contingency reserves) couvrent les risques identifiés (“known unknowns”). Elles font partie de la baseline de coût et peuvent être utilisées par le chef de projet sans approbation externe. Leur montant est calculé via l’EMV.

Les réserves de management (management reserves) couvrent les risques non identifiés (“unknown unknowns”). Elles ne font pas partie de la baseline — elles s’ajoutent à la baseline pour constituer le budget total. Leur utilisation requiert une approbation formelle.

Point souvent mal compris : les réserves ne représentent pas un coût supplémentaire pour le projet. Elles sont le reflet d’une planification réaliste. Et plus les risques sont éliminés ou atténués lors du Plan Risk Responses, moins les réserves nécessaires seront importantes.

Les points à retenir pour l’examen

  • Un risque est une incertitude — il peut être positif (opportunité) ou négatif (menace)
  • Ordre des processus : PIQQRIM — qualitative avant quantitative
  • Tout le monde participe à l’identification des risques
  • Qualitative = subjectif (échelles relatives) / Quantitative = objectif (EMV, Monte Carlo)
  • EMV = Probabilité × Impact — les menaces sont négatives, les opportunités positives
  • 4 stratégies menaces : Avoid, Mitigate, Transfer, Accept
  • 4 stratégies opportunités : Exploit, Enhance, Share, Accept
  • Escalate s’applique aux deux quand le risque dépasse l’autorité du chef de projet
  • Risque résiduel = ce qui reste après réponse / Risque secondaire = créé par la réponse elle-même
  • Contingency reserve = risques identifiés (dans la baseline) / Management reserve = risques non identifiés (hors baseline)
  • À l’examen : si un problème majeur survient, activez le plan de contingence — ne créez pas de réunion d’urgence
  • En agile : backlog risk-adjusted, spikes, fast failure, pre-mortem
author avatar
Yassine SABIR

Consultant Formateur en Management de projets et réseaux Telecom.

Cofondateur de KAIZEN SKILLS CONSULTING, MYPYLI et Directeur de IP2S.

Ingénieur de l'Ecole Mohammadia des ingénieurs.

Tu pourrais aussi aimer

PMP Risk Management — Practice Quiz
29 avril, 2026
PMP Quality Management — Practice Quiz
24 avril, 2026
PMP Budget & Ressources Management — Practice Quiz
24 avril, 2026

Laisser une réponse

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

× Comment puis-je vous aider ?