Pendant des années, les entreprises ont structuré leur gestion des risques autour de la conformité, des audits et des matrices d’exposition. Cette approche a eu son utilité. Elle a permis de rassurer les marchés, les régulateurs et les conseils d’administration. Mais elle repose sur une hypothèse qui n’est plus valide : celle d’un environnement relativement stable, où les règles du jeu sont claires et où les menaces sont principalement accidentelles.
Ce monde n’existe plus.
Aujourd’hui, le risque est systémique, interconnecté et souvent intentionnel. Les chaînes d’approvisionnement peuvent être perturbées pour des raisons géopolitiques. Les normes techniques deviennent des instruments d’influence économique. Les données sont à la fois un actif stratégique et une vulnérabilité critique. Les cyberattaques ne sont plus seulement criminelles ; elles peuvent servir des intérêts étatiques. Même la réputation peut être ciblée et manipulée à grande échelle.
Dans ce contexte, continuer à gérer le risque en silos est une erreur stratégique. Lorsque la cybersécurité, la conformité, la sûreté physique et la gestion des risques opérationnels fonctionnent séparément, l’organisation perd la vision d’ensemble. Elle voit les incidents, mais pas les dynamiques. Elle mesure les impacts, mais pas les rapports de force. Elle protège des actifs, mais ne protège pas sa capacité à décider librement.
C’est précisément à cet endroit que doit émerger une nouvelle génération de Chief Risk Officer.
Le Chief Risk Officer 3.0 est en voie d’apparaître et n’est certainement pas un superviseur de procédures ni un simple garant de conformité réglementaire. Il est un dirigeant transversal, rattaché au plus haut niveau, dont la mission première est d’assurer la résilience stratégique de l’entreprise. Son rôle est d’intégrer l’intelligence stratégique, la sécurité informationnelle et la résilience opérationnelle dans une seule lecture cohérente du monde. Il ne se contente pas d’identifier les risques ; il analyse les dépendances, les vulnérabilités structurelles et les mécanismes d’influence qui peuvent contraindre l’entreprise à subir plutôt qu’à agir.
Dans un environnement marqué par l’extraterritorialité des normes, la compétition technologique et la fragmentation géopolitique, la véritable question n’est plus “Sommes-nous conformes?” mais “Sommes-nous souverains?” Autrement dit : Avons-nous la capacité de prendre des décisions stratégiques sans être pris en étau par des dépendances invisibles ou des pressions internes et externes que nous n’avons pas anticipées?
Un Chief Risk Officer nouvelle génération transforme la gestion du risque en levier de performance. Il réduit les pertes, bien sûr. Il améliore la maîtrise des expositions et peut contribuer à diminuer le coût global du risque, y compris les primes d’assurance et les sanctions réglementaires. Mais surtout, il renforce la capacité de l’entreprise à anticiper les ruptures, à protéger ses actifs critiques et à influencer son environnement plutôt qu’à le subir.
En 2026, les entreprises qui considéreront le risque comme une variable administrative continueront à réagir aux crises. Celles qui comprendront que le risque est devenu un champ stratégique disposeront d’un avantage décisif.
La question pour les dirigeants n’est donc pas de savoir s’ils ont une fonction risque dans leur organigramme. Elle est de savoir si cette fonction est capable de défendre l’indépendance stratégique de leur organisation dans un monde où la compétition ne se joue plus seulement sur les marchés, mais sur les normes, l’information et les dépendances.
Ignorer cette évolution, ce n’est pas faire preuve de prudence. C’est accepter, progressivement, de perdre la maîtrise du jeu.
Je prendrai contact avec certains de vous au cours des prochaines semaines afin d’obtenir vos commentaires, vos opinions et votre collaboration dans la rédaction d’un mémoire avec des collègues dans le cadre d’une formation MBA à l’École de Guerre Économique.
Benoit
