Processus systématique d’identification, d’analyse et d’évaluation des cyber-risques pour déterminer la probabilité, l’impact et la priorité de traitement des menaces. Inclut des méthodologies qualitatives et quantitatives, l’analyse des actifs critiques, l’évaluation des vulnérabilités, l’estimation du risque résiduel et la définition de stratégies d’atténuation conformes aux cadres tels que ISO 27005, NIST RMF et les normes sectorielles.