Les grandes entreprises françaises ont progressivement étendu leur cartographie des risques. Mais c'est l'IA qui a opéré la mutation la plus significative, désormais citée en moyenne dans trois facteurs de risques distincts par chaque organisation, elle s'impose aux côtés de la cybersécurité et des enjeux réglementaires comme un axe structurant du discours institutionnel. C'est ce que révèle le benchmark KPMG 2026 sur la communication des facteurs de risques, conduit auprès de 60 émetteurs du CAC 40 et du Next 80.
La communication sur les risques a longtemps été perçue comme un exercice formel, piloté par les équipes juridiques et orienté vers la conformité réglementaire. Le benchmark que KPMG publie ce 24 mars 2026 montre que cette lecture est désormais révolue. Analysant les documents de référence et rapports annuels d'un panel de 60 entreprises cotées — issues du CAC 40 et du Next 80 —, l'étude fait apparaître une transformation de fond dans la manière dont les organisations structurent, hiérarchisent et publient leur perception des risques. La communication sur les facteurs de risques est devenue un indicateur de maturité stratégique, un signal adressé aux investisseurs, aux régulateurs et aux parties prenantes sur la capacité d'une organisation à anticiper les ruptures et à piloter ses dispositifs de résilience.
La complexification de cette cartographie est mesurable. En 2020, les entreprises du panel communiquaient en moyenne sur quatre catégories de risques. En 2026, elles en couvrent cinq, avec 17 facteurs en moyenne par organisation et jusqu'à 34 facteurs pour les plus exposées. Parmi les 17 facteurs recensés, 28 % sont partagés par au moins un tiers des émetteurs, ce qui atteste d'une convergence des préoccupations au sein du tissu des grandes entreprises françaises, sans pour autant effacer les spécificités sectorielles.
L'IA au cœur de chaque cartographie
La primauté des risques technologiques est sans équivoque. Près de 82 % des entreprises du panel mentionnent les systèmes d'information, les enjeux numériques et la cybersécurité parmi leurs principaux facteurs de risques, toutes tailles et tous secteurs confondus. L'IA occupe désormais une place propre dans ces cartographies : chaque organisation du panel évoque en moyenne trois facteurs liés à l'intelligence artificielle, déclinés autour de la cybersécurité, de la conformité réglementaire et des enjeux éthiques — biais algorithmiques, transparence des modèles, risques de réputation.
Cette intégration de l'IA dans la communication institutionnelle sur les risques traduit un double mouvement. D'un côté, la prise de conscience de la surface d'exposition que créent les systèmes d'IA déployés en production, notamment sous la pression de l'AI Act européen, dont les exigences de traçabilité et de gouvernance des modèles entrent progressivement en vigueur. De l'autre, la reconnaissance que l'IA n'est plus un risque futur à surveiller mais un risque présent à gérer, intégré aux décisions opérationnelles, aux processus RH, aux chaînes d'approvisionnement logicielles et aux interactions clients.
Capital humain, géopolitique et ESG : trois lignes de pression permanentes
Au-delà du bloc technologique, le benchmark KPMG met en évidence trois autres registres de risques qui s'affirment dans les cartographies des grandes entreprises. Les enjeux liés au capital humain restent très fréquemment évoqués, cités par 68 % des organisations du panel, déclinés autour de l'attractivité et de la rétention des talents, des plans de succession et de la gestion des compétences dans un environnement où l'IA redessine les métiers.
L'instabilité géopolitique et les turbulences macroéconomiques apparaissent dans 57 % des communications, reflet direct des ruptures dans les chaînes d'approvisionnement, des tensions commerciales et de la volatilité des marchés d'énergie. Ce chiffre souligne que les grands groupes français, fortement exposés à l'international, ont intégré la géopolitique dans leur modèle de risque de façon structurelle plutôt que conjoncturelle.
Les risques RSE et climatiques enregistrent la progression la plus marquée sur cinq ans. La catégorie RSE affiche une hausse de 22 points depuis 2020, la plus forte du benchmark. Le défi climatique et la transition énergétique sont désormais cités par 52 % des organisations, se hissant à la quatrième place des facteurs les plus mentionnés, contre la septième en 2020. Cette évolution confirme que les enjeux environnementaux ont quitté le périmètre du reporting extra-financier pour rejoindre le cœur de la cartographie des risques stratégiques.
Une hiérarchie des catégories Angles morts
L’organisation par catégories de risques révèle des équilibres et des déséquilibres instructifs. Les risques opérationnels mobilisent 80 % des entreprises du panel, les risques juridiques et de conformité 73 %, les risques financiers 68 %. Les risques stratégiques sont abordés par 50 % des émetteurs, seuil qui peut surprendre au regard de la profondeur des transformations engagées par ces groupes. Les risques liés à la RSE atteignent 45 %, et les risques liés à l'environnement externe, exogènes, systémiques et peu maîtrisables, ne sont évoqués que par 22 % des organisations, ce qui constitue potentiellement un angle mort dans les cartographies publiées.
Cette hiérarchie reflète en partie les exigences de publication imposées par les régulateurs, qui structurent le périmètre des risques à déclarer. Elle met aussi en lumière la tension entre ce que les entreprises perçoivent comme risques maîtrisables — opérationnels, financiers, juridiques — et ceux qui excèdent leur capacité d'action directe. La multiplication des risques systémiques interconnectés, moins prévisibles et moins réductibles à des plans d'action individuels, constitue précisément le défi de la décennie pour les fonctions risque et audit interne.
Angle mort dans les cartographies publiées
Stella Vitchénian, associée KPMG en France et Global Assurance, situe l'enjeu dans une perspective de long terme. Selon elle, les entreprises « cherchent désormais à démontrer leur capacité à anticiper, à structurer leur lecture des risques et leurs dispositifs de pilotage et à inscrire la gestion des risques au cœur de leur stratégie de transformation et de création de valeur ». Cette formulation illustre un glissement de paradigme que le benchmark quantifie : la communication sur les risques n'est plus un exercice d'inventaire mais un acte de positionnement institutionnel.
Pour les directions des systèmes d'information et les responsables de la sécurité, les enseignements du benchmark KPMG valent comme signal d'alignement. L'IA, la cybersécurité et la conformité réglementaire forment désormais un triptyque inséparable dans la communication institutionnelle des grands groupes, ce qui implique que les projets de déploiement d'IA, de refonte architecturale ou d'outillage de sécurité devront de plus en plus s'inscrire dans un récit de gouvernance des risques, intelligible par les conseils d'administration et les parties prenantes externes, et pas seulement par les équipes techniques.
