Aller au contenu
FortaRisks
Retour au glossaireGouvernance et gestion du risque

Analyse de risques

L'analyse de risques est le processus qui identifie les menaces pesant sur les actifs d'une organisation, évalue leur probabilité et leur impact, puis décide de leur traitement. C'est le cœur méthodologique de la gestion du risque et une exigence centrale de normes comme ISO 27001.

Mis à jour le 2 juillet 2026

Qu'est-ce qu'une analyse de risques ?

L'analyse de risques est la démarche structurée par laquelle une organisation identifie ce qui peut mal tourner, évalue à quel point c'est probable et grave, et décide quoi faire en conséquence. Elle relie des menaces abstraites à des actifs concrets et à un impact mesurable pour l'organisation.

C'est la méthode qui rend la sécurité rationnelle. Plutôt que de tout protéger de la même manière, on concentre l'effort là où le risque le justifie, selon des critères explicites.

Pourquoi c'est important pour votre organisation

L'analyse de risques est le fondement de toute décision de sécurité défendable. Elle justifie pourquoi on investit ici plutôt qu'ailleurs, et permet de rendre compte de ces choix à la direction, aux auditeurs et aux régulateurs.

Elle est aussi une exigence explicite de nombreux cadres. ISO 27001, par exemple, place l'appréciation des risques au centre du système de management : sans elle, la conformité n'a pas de socle.

Les étapes clés

  • Identification : actifs, menaces et vulnérabilités.
  • Estimation : probabilité et impact de chaque risque.
  • Évaluation : hiérarchisation par rapport aux critères et à l'appétit au risque.
  • Traitement : réduire, transférer, éviter ou accepter.
  • Suivi : réévaluation périodique et à chaque changement significatif.

Où les organisations pèchent le plus souvent

Le piège classique est de traiter l'analyse de risques comme un livrable ponctuel produit pour un audit, puis oublié. Un risque évalué une fois et jamais revu perd vite sa pertinence. L'autre erreur est de coter au doigt mouillé, sans données ni méthode : l'analyse paraît rigoureuse mais repose sur des impressions.

Questions fréquentes

Quelles sont les étapes d'une analyse de risques ?

Identifier les actifs et les menaces qui les visent, estimer la probabilité et l'impact de chaque risque, prioriser les risques obtenus, puis décider du traitement : réduire, transférer, éviter ou accepter. Le tout est documenté pour être défendable et réévalué périodiquement.

Analyse de risques qualitative ou quantitative ?

L'approche qualitative situe les risques sur des échelles (faible, moyen, élevé) et convient à la plupart des organisations. L'approche quantitative chiffre le risque en valeurs financières, plus précise mais plus exigeante en données. Beaucoup combinent les deux : qualitative pour trier, quantitative pour les risques majeurs.

Voyez votre vrai risque en 30 minutes de démo.

Un membre de notre équipe vous guide dans FortaRisks sur des menaces pertinentes pour votre secteur. Sans chatbot.