EBIOS RM EBIOS Risk Manager.

EBIOS Risk Manager est la méthode d'analyse des risques cyber de l'ANSSI, centrée sur les scénarios d'attaque stratégiques. Elle met en regard les processus métier et les objectifs des attaquants, puis en déduit les mesures techniques. Standard dans le secteur public français et chez les opérateurs d'importance vitale. Particulièrement efficace pour expliquer au conseil d'administration POURQUOI un scénario spécifique est préoccupant ; moins répandue dans les audits multinationaux du secteur privé.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyRisk managementAll entries

La vision de Cyber Academy

EBIOS Risk Manager est la méthode d'analyse des risques cyber de l'ANSSI, centrée sur les scénarios d'attaque stratégiques. Elle met en regard les processus métier et les objectifs des attaquants, puis en déduit les mesures techniques. Standard dans le secteur public français et chez les opérateurs d'importance vitale. Particulièrement efficace pour expliquer au conseil d'administration POURQUOI un scénario spécifique est préoccupant ; moins répandue dans les audits multinationaux du secteur privé.

Ce que fait réellement EBIOS Risk Manager

EBIOS Risk Manager est la méthode d'appréciation des risques cyber maintenue par l'ANSSI, l'agence nationale française de la cybersécurité. Son principe fondateur est de partir de l'attaquant, et non d'une liste de biens. Au lieu de cataloguer chaque serveur en se demandant ce qui pourrait mal tourner pour chacun, la méthode se demande qui voudrait nuire à l'organisation, ce qu'il chercherait à accomplir, et quelles missions métier il viserait pour y parvenir. Les mesures techniques viennent en dernier, déduites des scénarios, plutôt que de constituer le point de départ.

Cette logique inversée est ce qui rend EBIOS RM utile devant un comité de direction. Un registre des risques classique, construit du bas vers le haut, produit des centaines de lignes qui ne signifient pas grand-chose pour les dirigeants. EBIOS RM produit une poignée de scénarios stratégiques, par exemple un acteur étatique perturbant un service critique, ou un concurrent exfiltrant des données de conception, chacun rattaché à une mission métier concrète. Ce cadrage répond à la question que les dirigeants posent réellement : pourquoi cette menace précise nous concerne-t-elle, et combien nous coûterait-elle si elle se réalisait.

Les cinq ateliers

EBIOS RM s'organise comme une séquence d'ateliers, chacun s'appuyant sur le précédent. La méthode est délibérément collaborative : elle réunit dans une même salle les responsables métier, les spécialistes du risque et les équipes de sécurité, plutôt que de laisser l'analyse à un seul analyste.

  1. Cadrage et socle de sécurité. Définir le périmètre métier et technique, identifier les missions et les événements redoutés, et évaluer le socle de sécurité existant au regard de ce qui est attendu.
  2. Sources de risque. Identifier les sources de risque et leurs objectifs visés, le couple entre qui pourrait attaquer et ce qu'il recherche, puis prioriser les plus pertinents.
  3. Scénarios stratégiques. Cartographier l'écosystème de partenaires, fournisseurs et parties prenantes, évaluer comment un attaquant pourrait atteindre l'organisation à travers eux, et construire des chemins d'attaque de haut niveau.
  4. Scénarios opérationnels. Traduire les scénarios stratégiques en séquences d'attaque techniques concrètes, décrivant comment un adversaire se déplacerait réellement à travers les systèmes.
  5. Traitement du risque. Décider des mesures de sécurité, construire le plan de traitement, et documenter le risque résiduel que la direction accepte formellement.

Là où elle s'applique, et là où elle ne s'applique pas

EBIOS RM est la méthode de référence dans le secteur public français et chez les opérateurs d'importance vitale, où les attentes réglementaires renvoient aux recommandations de l'ANSSI. Elle est aussi largement enseignée et utilisée dans les organisations francophones. En dehors de ce contexte, dans les audits multinationaux du secteur privé, vous rencontrerez bien plus probablement ISO 27005, la norme internationale de gestion des risques de sécurité de l'information, indépendante de toute méthode par conception.

Les deux sont complémentaires plutôt que rivales. ISO 27005 décrit un processus générique de gestion des risques aligné avec ISO 27001 et ISO 31000, mais ne prescrit aucune technique unique. EBIOS RM est une manière concrète et reconnue de mener ce processus, et l'ANSSI la positionne comme compatible avec l'approche ISO. Une équipe peut conduire des ateliers EBIOS RM tout en restituant les résultats en termes ISO 27005.

EBIOS Risk Manager comparé à ISO 27005
AspectEBIOS Risk ManagerISO 27005
OrigineANSSI (France)Norme internationale ISO/IEC
NatureMéthode prescriptive avec des ateliers définisLignes directrices de gestion des risques indépendantes de la méthode
Point de départObjectifs de l'attaquant et missions métierBiens, menaces et vulnérabilités
Contexte typiqueSecteur public français, opérateurs d'importance vitaleAudits internationaux de SMSI du secteur privé

En pratique, connaître EBIOS RM témoigne d'une aisance avec l'écosystème ANSSI, et connaître ISO 27005 témoigne d'une aisance avec le monde des normes internationales. Les praticiens du risque qui travaillent sur les marchés européens et français ont tout intérêt à maîtriser les deux, car la méthode que l'on choisit dépend de qui lira le rapport.

Frequently asked questions

01Qui publie et maintient EBIOS Risk Manager ?

EBIOS Risk Manager est publié et maintenu par l'ANSSI, l'agence nationale française de la cybersécurité. C'est l'édition actuelle de la méthode EBIOS, mise à disposition comme guide officiel pour les organisations qui apprécient le risque cyber.

02En quoi EBIOS RM diffère-t-il d'ISO 27005 ?

EBIOS RM est une méthode spécifique, fondée sur des ateliers, qui part des objectifs de l'attaquant et des missions métier. ISO 27005 est une norme internationale indépendante de la méthode pour la gestion des risques de sécurité de l'information. EBIOS RM peut servir de manière concrète à mener un processus aligné sur ISO 27005 ; les deux sont complémentaires, et non concurrents.

03Quels sont les cinq ateliers EBIOS RM ?

La méthode se déroule en cinq ateliers successifs : cadrage et socle de sécurité, sources de risque, scénarios stratégiques, scénarios opérationnels et traitement du risque. Chacun s'appuie sur le précédent, allant du cadrage métier aux scénarios techniques concrets, puis enfin à un plan de traitement.

04Quand une organisation doit-elle choisir EBIOS RM ?

EBIOS RM convient bien lorsque vous devez expliquer à la direction pourquoi un scénario d'attaque précis compte, et lorsque vous opérez dans le secteur public français ou en tant qu'opérateur d'importance vitale, où les recommandations de l'ANSSI sont attendues. Pour les audits internationaux du secteur privé, ISO 27005 est plus couramment demandé.

05EBIOS RM est-il une certification ?

Non. EBIOS RM est une méthode d'appréciation des risques, pas un schéma de certification. Les praticiens peuvent se former à l'application de la méthode, mais les organisations ne sont pas certifiées sur EBIOS RM comme elles certifient un système de management ISO 27001.

Besoin de plus qu'une définition ?

Réservez un appel découverte gratuit de 20 minutes. Nous identifions la cohorte qui transforme ce terme en pratique prête pour l'audit.