RISQUE : Combinaison de la probabilité et de la (des) conséquence(s) de la survenue d'un événement dangereux spécifié. (OHSAS 18001)
Enjeu : Ce que l’on risque de gagner ou de perdre dans une entreprise
Le risque porte donc sur les ressources ou actifs mis en oeuvre par une organisation pour atteindre ses objectifs, souvent analysés autour de trois axes : Les hommes, les processus, les technologies.

Il existe toujours une certaine probabilité pour qu'un des actifs soit atteint plus ou moins gravement par une menace, et ce d'autant plus que cet actif est vulnérable.

Le risque peut s'analyser à travers l'équation (approximative) suivante :

Risque = f(Enjeu ou Impact ; Vulnérabilité ; Menace )

La gestion du risque suppose alors de prendre la mesure de ses composants :

• Les menaces qui désignent l'ensemble des éléments (externes mais aussi internes) pouvant atteindre les ressources d'une organisation .

• Les vulnérabilités qui expriment toutes les faiblesses des ressources qui pourraient être exploitées par des menaces, dans le but de les compromettre.

• L' impact ou Enjeu est le résultat de l'exploitation d'une vulnérabilité par une menace et peut prendre différentes formes : perte financière, affectation de l'image de marque, impact juridique, perte de crédibilité...etc.

La combinaison des ces trois facteurs fonde le «risque», qui permet notamment de mesurer l'impact financier et/ou la probabilité de survenance d'un évènement indésirable.

• Physiques : incendie, dégât des eaux, explosion, pollution....
• Pannes matérielles et logicielles
• Force majeure, évènements naturels : foudre, tempête,...
• Perte de services essentiels : électricité, eau, froid, télécommunications,...

• Erreurs d'utilisation : saisie, transmission, exploitation...
• Erreurs de conception et de réalisation : liées à la programmation des logiciels.

• Vol (physique)
• Fraude,
• Sabotage physique,
• Attaque logique,
• Divulgation d'information,
• Piratage de logiciel et autres cas de malveillance.