La vision de Cyber Academy
EBIOS Risk Manager est la méthode nationale française d'appréciation des risques publiée par l'ANSSI, centrée sur les scénarios stratégiques de cyberattaque. ISO/IEC 27005 est la norme internationale de gestion des risques pour la sécurité de l'information, alignée sur ISO 31000 et utilisée comme couche méthodologique pour les travaux d'ISMS ISO 27001. Les deux sont des méthodologies de praticiens ; elles sont complémentaires plus qu'alternatives.
TL;DR
- 1EBIOS RM est stratégique et orientée scénarios. Elle projette les processus métier sur les objectifs de l'attaquant, puis en déduit les mesures techniques. Forte dans le secteur public français et chez les opérateurs d'importance vitale.
- 2ISO 27005 est agnostique sur le plan méthodologique et se marie nativement avec l'Annexe A d'ISO 27001. Standard dans les audits internationaux.
- 3EBIOS RM produit un nombre restreint de scénarios à fort impact avec un récit riche. ISO 27005 produit un registre des risques exhaustif.
- 4Les deux sont des certifications PECB accréditées : EBIOS Risk Manager (5 jours), ISO/IEC 27005 Risk Manager (5 jours). Le niveau Lead Risk Manager n'existe que pour ISO 31000.
- 5En pratique : ISO 27005 pour le registre des risques de l'ISMS, EBIOS RM en complément pour identifier les scénarios stratégiques qui méritent l'attention du conseil.
Comment chaque méthode se déroule réellement dans un projet
La répartition entre les deux méthodes n'est pas une question de qualité ; c'est une question de point de départ. ISO 27005 part des actifs et des menaces et chemine vers l'extérieur jusqu'à un registre des risques complet. EBIOS RM part de ce que l'organisation craint de perdre et remonte à rebours vers l'attaquant qui causerait cette perte. Les deux produisent des livrables différents parce qu'elles posent des questions d'ouverture différentes, et c'est cette différence que votre auditeur, votre conseil et votre planning de projet ressentiront.
Le travail ISO 27005 est itératif et exhaustif par conception. Vous établissez le contexte, identifiez les risques sur tout le périmètre, analysez la vraisemblance et la conséquence, évaluez par rapport aux critères d'acceptation, puis traitez. Le résultat est un registre vivant que vous réexécutez de façon cyclique. C'est le moteur de risque naturel d'un ISMS ISO 27001 parce qu'il parle le même langage que le système de management : périmètre, critères, plan de traitement, risque résiduel, validation.
EBIOS RM se déroule en cinq ateliers selon une séquence définie : cadrage et socle de sécurité, origines du risque, scénarios stratégiques, scénarios opérationnels, et traitement du risque. La méthode vous force à nommer d'abord les événements redoutés, puis les sources de risque (qui attaquerait et pourquoi), puis les chemins d'attaque de haut niveau, avant même de toucher à une mesure. La formation EBIOS Risk Manager parcourt chaque atelier avec de vrais livrables, de sorte que vous en ressortez capable d'animer la séquence, pas seulement de la décrire.
EBIOS RM vs ISO 27005 en un coup d'œil
Le tableau ci-dessous est la comparaison dont la plupart des équipes ont besoin dans la salle : non pas la philosophie, mais ce sur quoi chaque méthode se concentre, ce qu'elle vous remet à la fin, et où elle est réellement attendue.
| Dimension | EBIOS RM | ISO 27005 |
|---|---|---|
| Origine | Méthode nationale française, publiée par l'ANSSI | Norme internationale, ISO/IEC, alignée sur ISO 31000 |
| Focus | Scénarios stratégiques d'attaque ; enjeux métier projetés sur les sources de menace | Identification systématique des risques de sécurité de l'information sur tout le périmètre |
| Point de départ | Événements redoutés et origines du risque (descendant) | Actifs, menaces, vulnérabilités (ascendant) |
| Livrable | Un petit ensemble de scénarios narratifs à fort impact avec une stratégie de traitement | Un registre des risques complet et reproductible avec plan de traitement |
| Granularité | Peu de scénarios, récit approfondi, lisible par le conseil | De nombreux risques, structurés, lisibles dans l'ISMS |
| Relation avec ISO 27001 | Complément ; alimente l'ISMS en risques stratégiques | Couche méthodologique native pour l'article 6.1.2 et l'Annexe A |
| Où elle est attendue | Secteur public français, OIV/OES, achats sous influence ANSSI | Audits internationaux, ISMS multinationaux, assurance client |
| Certification accréditée | PECB EBIOS Risk Manager (5 jours) | PECB ISO/IEC 27005 Risk Manager (5 jours) |
Comment les deux se rattachent à ISO 27001
ISO 27001 exige un processus défini d'appréciation et de traitement des risques de sécurité de l'information, mais elle n'impose pas de méthode spécifique. Ce seul fait explique pourquoi cette comparaison existe. L'article 6.1.2 vous demande d'apprécier le risque et de produire une Déclaration d'applicabilité ; il ne vous dit pas d'utiliser ISO 27005 ni quoi que ce soit d'autre. Les auditeurs vérifient que votre processus est cohérent, reproductible, et produit des décisions de traitement défendables. La méthode est votre choix.
ISO 27005 est ici la voie de moindre résistance parce qu'elle a été rédigée pour être la couche méthodologique sous la norme. Sa terminologie, sa logique de critères d'acceptation et sa structure de plan de traitement s'intègrent directement dans l'ISMS sans traduction. Si vous construisez ou exploitez le système de management, apprenez le moteur qui lui convient : la formation ISO/IEC 27005 Risk Manager couvre tout le cycle d'appréciation et de traitement, tandis que la formation ISO/IEC 27005 Foundation est le bon point d'entrée si vous avez besoin des concepts avant d'animer.
EBIOS RM se rattache au même article sous un autre angle. Elle ne remplace pas le registre ; elle en affûte le sommet. Les scénarios stratégiques deviennent le petit ensemble de risques qui justifient le plus de scrutin dans la SoA et dans le dossier du conseil. Les équipes qui doivent maîtriser la méthodologie de bout en bout, y compris la gouvernance de l'appréciation et le rôle de pilotage à l'échelle d'une organisation, suivent la formation ISO/IEC 27005 Lead Risk Manager.
La décision : laquelle, et quand les deux
La plupart des équipes posent la question en termes d'alternative exclusive, puis le regrettent. La réponse honnête est que la question comporte deux niveaux : que requiert votre audit ou votre secteur, et de quoi votre cartographie des risques a-t-elle réellement besoin. Résolvez-les dans cet ordre.
- Si un acheteur sous influence ANSSI, un marché public français, ou une obligation OIV/OES est en jeu, EBIOS RM est le langage attendu. Menez avec elle pour la couche stratégique.
- Si votre assurance provient d'un certificat ISO 27001 international ou d'audits clients multinationaux, ISO 27005 est le défaut que l'auditeur lit couramment.
- Si vous avez un véritable problème d'adversaire (une cible de grande valeur, un service critique réglementé, un cyber-risque de niveau conseil), exécutez EBIOS RM au-dessus du registre pour faire émerger les scénarios qui méritent une escalade.
- Si vous n'avez ni mandat sectoriel français ni profil d'adversaire aigu, ISO 27005 seule est suffisante et moins coûteuse à exploiter.
Exécuter les deux n'est pas redondant lorsque vous en délimitez correctement le périmètre. ISO 27005 vous donne l'étendue : chaque risque du registre, traité et suivi. EBIOS RM vous donne la profondeur sur les quelques scénarios qui feraient réellement mal. L'erreur est d'exécuter les deux à la même granularité, ce qui double le travail et produit deux registres que personne ne réconcilie. Utilisez EBIOS RM pour sélectionner et raconter ; utilisez ISO 27005 pour énumérer et suivre.
Erreurs fréquentes et réalité de la salle d'audit
Les échecs sont prévisibles, et ils portent rarement sur la méthode elle-même.
- Choisir la méthode par préférence plutôt que par auditoire. La bonne question est : qui lit le livrable ? Un acheteur public français attend le vocabulaire EBIOS RM, un auditeur de certification international attend un registre de forme ISO 27005. Choisissez pour le lecteur.
- Traiter les scénarios EBIOS RM comme un substitut à un registre complet. Les scénarios stratégiques sont délibérément peu nombreux. Un auditeur vérifiant la couverture ISO 27001 demandera où le reste du paysage des risques est documenté, et une poignée de récits n'est pas une réponse.
- Exécuter ISO 27005 comme un tableur ponctuel. La norme est itérative. Un registre daté de dix-huit mois sans cadence de revue est un constat d'audit en puissance.
- Confondre les certifications. Il n'existe pas de Lead Auditor ni de Lead Risk Manager pour EBIOS RM, et la seule certification Lead Risk Manager relève d'ISO 31000, pas d'ISO 27005. Planifiez le parcours de certification de votre équipe en fonction de ce qui existe réellement.
Dans la salle d'audit, la réalité est plus simple que le débat ne le laisse penser. L'auditeur de certification ne note pas votre méthode face à une rivale ; il éprouve si le processus que vous avez choisi est documenté, appliqué de façon cohérente, et traçable du risque au traitement jusqu'à l'acceptation du résiduel. EBIOS RM vous aide à expliquer pourquoi des risques précis à fort impact ont reçu une attention précise. ISO 27005 vous aide à démontrer que rien n'est passé entre les mailles du filet. La posture la plus solide, pour les organisations qui ont véritablement besoin des deux, est un registre ISO 27005 comme système de référence, avec des scénarios EBIOS RM superposés pour justifier les décisions qui ont le plus compté.
Frequently asked questions
01Quelle méthode mon auditeur attend-il ?
Pour un audit de certification ISO 27001, l'auditeur attend par défaut une méthodologie alignée sur ISO/IEC 27005. La révision 2022 d'ISO 27005 établit explicitement un pont vers l'article 6 d'ISO 27001 et vers les principes d'ISO 31000.
Pour les audits du secteur public français (HFDS, inspections de l'ANSSI auprès des opérateurs d'importance vitale au titre de la LPM, supervision NIS 2 par l'ANSSI), EBIOS RM est le langage attendu. L'incapacité à articuler les scénarios stratégiques dans le vocabulaire EBIOS RM sera relevée.
02Puis-je utiliser les deux en même temps ?
Oui, et de nombreuses organisations le font. EBIOS RM produit 5 à 10 scénarios stratégiques d'attaque avec des sources de risque nommées, des valeurs métier et des événements redoutés ; ceux-ci deviennent les intrants d'un registre des risques ISO 27005 qui gère la couche opérationnelle (combinaisons vulnérabilité-actif, cotation vraisemblance-impact, options de traitement).
La combinaison fonctionne parce qu'EBIOS RM opère au niveau des scénarios (lisible par le conseil) tandis qu'ISO 27005 opère au niveau des actifs et des mesures (lisible en audit). Faire correspondre les deux exige de la rigueur, mais c'est un terrain bien balisé dans les entités françaises soumises à la fois à la supervision de l'ANSSI et à la certification ISO 27001.
03EBIOS RM n'est-elle pertinente qu'en France ?
Pour l'essentiel, oui. Hors de France, ISO 27005 est la lingua franca de la méthodologie de risque pour les ISMS. EBIOS RM est reconnue par l'ENISA dans certaines publications et utilisée par des juridictions sous influence française, mais vous la rencontrerez rarement dans des audits en dehors de la France ou de l'Afrique francophone.
Si votre périmètre d'audit est purement international, ISO 27005 est le choix unique le plus sûr. Si vous opérez en France, dans le secteur public, ou vendez à des entités de l'État français, la maîtrise d'EBIOS RM est attendue.
04Que couvre la certification PECB EBIOS Risk Manager ?
Cinq jours. Elle couvre les cinq ateliers EBIOS RM : cadrage et socle de sécurité, sources de risque, scénarios stratégiques, scénarios opérationnels, traitement du risque. L'examen se déroule à livre ouvert, en trois heures, et mêle questions à choix multiples et questions de mise en situation.
La certification est reconnue par l'ANSSI via la voie d'accréditation PECB Gold Partner. Elle ne se substitue pas à ISO/IEC 27005 Risk Manager si votre auditeur attend la méthodologie ISO ; elle la complète.



