Aller au contenu
FortaRisks
Retour au glossaireGouvernance et gestion du risque

Appétit au risque

L'appétit au risque est le niveau de risque qu'une organisation accepte de prendre pour atteindre ses objectifs. Défini par la direction, il sert de boussole : il indique quels risques réduire en priorité, lesquels tolérer, et cadre les décisions de sécurité pour éviter d'en faire trop ou trop peu.

Mis à jour le 2 juillet 2026

Qu'est-ce que l'appétit au risque ?

L'appétit au risque exprime la quantité et le type de risque qu'une organisation est prête à accepter dans la poursuite de ses objectifs. C'est une décision de gouvernance : elle traduit une position stratégique en un repère qui oriente ensuite toutes les décisions de traitement du risque.

Aucune organisation ne peut, ni ne devrait, viser le risque zéro : ce serait paralysant et ruineux. L'appétit au risque assume ce fait et le formalise, plutôt que de le laisser à l'appréciation implicite de chacun.

Pourquoi c'est important pour votre organisation

Sans appétit au risque défini, la sécurité navigue sans cap : on sur-investit sur des risques mineurs par prudence, et on en néglige d'autres par habitude. Un appétit explicite aligne les arbitrages sur une intention commune, décidée au sommet.

C'est aussi ce qui permet de dire non de façon défendable. Accepter un risque devient une décision consciente et tracée, et non un oubli. À l'inverse, un risque qui dépasse l'appétit déclenche une action obligatoire.

Comment le mettre en œuvre

  • Formuler l'appétit en termes clairs, au niveau de la direction.
  • Le décliner en tolérances concrètes par domaine ou activité.
  • Le relier à la cartographie des risques pour situer chaque risque par rapport au seuil accepté.
  • Le réviser quand la stratégie, le contexte ou la menace évoluent.

Où les organisations pèchent le plus souvent

L'écueil le plus fréquent est d'énoncer un appétit au risque de façon théorique, dans un document, sans jamais l'utiliser pour trancher. Un appétit qui n'oriente aucune décision réelle n'est qu'un affichage. L'autre erreur est de le laisser aux seules équipes techniques, alors que c'est une décision de gouvernance.

Questions fréquentes

Quelle différence entre appétit au risque et tolérance au risque ?

L'appétit au risque est l'orientation générale, définie au niveau stratégique : combien de risque l'organisation est prête à assumer. La tolérance au risque est plus opérationnelle : ce sont les limites concrètes, par domaine ou par activité, à ne pas dépasser. L'appétit fixe le cap, la tolérance trace les bornes.

Qui définit l'appétit au risque ?

C'est une responsabilité de la direction et, souvent, du conseil d'administration. La cybersécurité ne peut pas fixer seule le niveau de risque acceptable : c'est une décision de gouvernance, qui arbitre entre sécurité, coût, agilité et objectifs métier. Les équipes techniques l'appliquent ensuite.

Ressources liées

Voyez votre vrai risque en 30 minutes de démo.

Un membre de notre équipe vous guide dans FortaRisks sur des menaces pertinentes pour votre secteur. Sans chatbot.