Les entreprises d´aujourd´hui sont soumises à de fortes contraintes économiques comme les fusions, acquisitions, externalisations ou sous-traitances partielles, ouverture du système d´information aux clients, aux partenaires. Toutes ces contraintes augmentent la vulnérabilité du système d´information. L'entreprise doit protéger davantage son patrimoine informationnel.
La première étape du management de la sécurité des systèmes d'information doit rendre intelligible les risques qui visent une organisation, l’analyse de risques. L’objectif de la gestion de risques, c’est se prémunir contre des risques inacceptables pour votre entreprise et de cibler les efforts et investissements en matière de sécurité. L’analyse des risques répond à un besoin de gouvernance des risques et représente un outil de pilotage/d’aide à la décision.