Risque (sécurité de l'information)

Le risque est la probabilité qu'une menace donnée exploite des vulnérabilités d'un bien ou d'un groupe de biens et donc occasionne un dommage à l'organisme (exemple : effacement d'un fichier par un virus). Il est mesuré en terme de combinaison de probabilité d'un événement et de ses conséquences.
Un risque est donc caractérisé par deux facteurs : la probabilité qu’un incident se produise et l’importance des conséquences directes et des impacts indirects potentiels.
Le risque peut aussi dépendre du facteur temps : après un incident, la situation peut se dégrader progressivement si l'on ne prend pas les mesures correctives suffisamment tôt (exemple : erreur de logiciel affectant une base de données, programme espion collectant des mots de passe, des clés cryptographiques ou des codes PIN). Un incident bénin au moment de sa survenue peut ainsi conduire à des situations catastrophiques.