Processus systématique d’identification, d’analyse et de priorisation des cyber-risques selon les méthodologies ISO 27005, NIST RMF, FAIR ou des cadres propriétaires. Inclut l’évaluation des risques pour la conformité NIS2, DORA et les réglementations sectorielles, la modélisation des menaces, l’analyse des vulnérabilités techniques et organisationnelles, l’évaluation de la probabilité et de l’impact, la définition de l’appétence et de la tolérance au risque, le traitement du risque (atténuation, acceptation, transfert, élimination) et la gestion des risques liés à la chaîne d’approvisionnement et aux tiers.