L’analyse des risques permet d’identifier les éléments de vulnérabilité pouvant compromettre la sécurité des actifs informationnels et opérationnels d’une organisation.

Elle constitue une étape essentielle pour orienter les mesures de protection à mettre en place de façon prioritaire et structurée. Les risques pouvant être évalué sont les suivants:

• Risque physiques (accès aux espaces de travail)

• Risque humain (employés, sous-traitants, tiers)

• Risque des infrastructures technologiques

• Risques des actifs informationnels (ordinateurs, bases de données, renseignements personnels, informations confidentielles)

Les menaces sont évaluées en fonction du contexte de l’organisation.

L’intention est de déterminer la probabilité d’occurrence des incidents ainsi que leur impact potentiel sur l’entreprise.

L’analyse peut être enrichie par des tests de pénétration techniques et des exercices d’ingénierie sociale, afin de valider concrètement le niveau de préparation de l’organisation