Gouvernance
Analyse de risque
Définition
l'analyse de risque est le processus qui identifie, estime et hiérarchise les risques pesant sur un système d'information, en croisant menaces, vulnérabilités, vraisemblance et gravité des impacts. Dans le vocabulaire ISO 27005, elle constitue le cœur de l'appréciation du risque (identification, analyse, évaluation), étape qui précède le traitement (réduire, transférer, éviter, accepter). Elle produit une cartographie des risques exploitable par la direction.
Pourquoi c'est important
c'est le socle de toute démarche structurée. L'ISO 27001 en fait une exigence explicite (clause 6.1), NIS2 impose une approche fondée sur les risques, et sans elle les investissements de sécurité se décident au doigt mouillé. Une bonne analyse évite deux écueils fréquents : sur-protéger un actif secondaire et laisser un actif critique exposé. Elle suppose de fixer au préalable une échelle de gravité et un seuil d'appétence au risque partagés avec la direction, faute de quoi la hiérarchisation reste subjective. En 2026, elle doit intégrer la chaîne d'approvisionnement logicielle et les usages d'IA, souvent invisibles dans les inventaires classiques.
Comment AOCSI l'adresse
nous conduisons l'analyse de risque selon EBIOS RM ou ISO 27005 selon votre contexte, et nous la rendons vivante plutôt que documentaire. Chaque risque majeur est associé à un scénario compréhensible, un niveau chiffré et une mesure de traitement dont on désigne le responsable et l'échéance. Le livrable alimente directement votre plan d'action et votre pilotage dans le cadre de notre accompagnement gouvernance, risques et conformité.
De la définition à la protection.
Nos experts transforment ces concepts en sécurité concrète pour votre organisation.