Dans le domaine de la sécurité de l’information, l’analyse de risques couvre la partie des risques associés aux activités nécessitant un système d’information (SI). L’analyse de risques est une démarche visant à aider l’entreprise à piloter les projets de sécurité au regard d’une évaluation des risques réels liés au SI. C’est une approche structurée et méthodologique, intégrant la dimension «métier» de l’entreprise ainsi que les aspects humains, organisationnels et techniques. Généralement, une analyse de risques va être réalisée pour : améliorer la sécurisation des systèmes d’information ; justifier le budget alloué à la sécurisation du SI ; démontrer le niveau de protection du SI.
La réalisation d’une analyse de risques nécessite l’implication d’interlocuteurs transverses (Direction, DSI, Responsable métiers, …) pour identifier les objectifs principaux de l’entreprise, les exigences légales et réglementaires et les contraintes de la DSI auxquelles elle est soumise, afin de déterminer les caractéristiques particulières en matière de sécurité mais également, d’apporter une appréciation qualitative de la sensibilité des actifs à protéger.