Les analyses de risques permettent de catégoriser les éléments de l'entreprise qu'il convient de protéger, on peut ainsi les prioritiser en fonction de l'impact que générerait une attaque contre ces activités essentielles. L'analyse de risques permet également de vérifier la pertinence et l'efficacité des mesures de protections et de proposer un renforcement de la sécurité là où c'est nécessaire.

Le processus d'homologation consiste à définir une niveau d'exigence de sécurité pour une activité, un système ou un processus particulier. Une analyse de risques est également menée afin d'objectiver le niveau des différents risques. Lors de la commission d'homologation, l'ensemble des éléments sont présentés au travers d'un d'ossier d'homologation. Le directeur ou l'autorité responsable de la conduite du processus décide si la prise de risques est raisonnable en fonction des enjeux. C'est ainsi que la décision d'homologation est prononcée par l'autorité d'homologation.

Il est souvent nécessaire de mener des actions, après un incident de sécurité, une analyse de risques ou un audit qui a révélé des faiblesses. Le Système d'information doit être maintenu constamment en conditions opérationnelles et de sécurité. La multiplication des publication de vulnérabilités et les retours d'expérience suite à des attaques réussies militent pour la conduite de plan d'action afin de donner de la visibilité sur les travaux de remise en sécurité.

Au regard de la fréquence des attaques par ransomware, de la nécessité de convaincre son écosystème (fournisseurs, clients) des moyens de protections pour protéger leurs données et ne pas être victime d'une cyber attaque, il est désormais nécessaire de maîtriser les risques exposant le volet numérique de son organisation et de mettre en place un processus de gouvernance qui intègre ces risques et les objective.