EBIOS RM 2026 : Guide Complet Méthode ANSSI [5 Ateliers]

EBIOS Risk Manager (RM) est devenue en quelques années la méthode d'analyse de risque cyber de référence en France et en Europe francophone. Publiée par l'ANSSI en 2018, elle remplace l'ancienne version EBIOS 2010 et s'impose comme le langage commun des directions des systèmes d'information, des responsables sécurité et des auditeurs externes. Que ce soit pour répondre aux exigences de la directive NIS2, préparer une certification ISO 27001, obtenir une qualification PASSI ou simplement structurer la gouvernance cyber d'une PME, EBIOS RM offre un cadre rigoureux, modulaire et orienté décision. Ce guide complet 2026 détaille chacun des cinq ateliers, propose un cas concret fil rouge (une clinique de taille intermédiaire), fournit un template d'analyse exploitable immédiatement, et montre comment articuler EBIOS RM avec les référentiels internationaux NIST CSF, ISO 27005 et MITRE ATT&CK. À la fin de ce guide, vous disposerez des clés pour piloter votre première mission EBIOS RM ou améliorer une analyse existante en vue d'un audit externe NIS2, HDS, ISO 27001 ou DORA.

1. Qu'est-ce qu'EBIOS Risk Manager et pourquoi en 2026 ?

EBIOS RM, pour Expression des Besoins et Identification des Objectifs de Sécurité — Risk Manager, est la méthode officielle d'appréciation et de traitement des risques numériques élaborée par l'ANSSI en partenariat avec le Club EBIOS. Elle succède à EBIOS 2010 et marque une rupture conceptuelle : alors que les méthodes traditionnelles reposaient sur l'analyse exhaustive des vulnérabilités et menaces, EBIOS RM adopte une approche par scénarios de risque, beaucoup plus proche de la réalité opérationnelle des attaques observées sur le terrain depuis dix ans.

La méthode est conçue pour répondre à trois objectifs stratégiques. Premièrement, aligner la sécurité sur les enjeux métier en partant des valeurs essentielles de l'organisation et non d'un catalogue technique. Deuxièmement, prioriser les investissements cyber en concentrant l'effort sur les scénarios les plus probables et les plus impactants pour l'organisation considérée. Troisièmement, communiquer efficacement avec les comités de direction en présentant des risques compréhensibles, chiffrés et reliés à des décisions actionnables, plutôt qu'à des dizaines de pages d'analyse technique opaque.

En 2026, EBIOS RM connaît une seconde jeunesse pour plusieurs raisons convergentes. La transposition de la directive NIS2 en droit français impose à plus de 15 000 entités essentielles et importantes de réaliser une analyse de risque documentée et révisée annuellement. Le règlement DORA pour le secteur financier exige une démarche analogue. Enfin, la qualification PASSI imposée aux prestataires d'audit de sécurité par l'ANSSI consacre EBIOS RM comme méthode obligatoire pour les missions d'analyse de risque réalisées dans le cadre de qualifications de systèmes ou de produits.

1.1 Les principes fondateurs d'EBIOS RM

EBIOS RM repose sur sept principes structurants qu'il convient d'avoir en tête avant de démarrer une mission :

• Approche scénario — Le risque est exprimé sous forme de scénarios concrets associant une source de risque, un objectif visé et un mode opératoire.
• Orientation métier — L'analyse part des valeurs métier (processus, données, services) et non des actifs techniques.
• Itération — La méthode est cyclique et doit être révisée chaque année ou après tout changement majeur.
• Pragmatisme — Les cinq ateliers sont modulaires : on peut se concentrer sur certains scénarios prioritaires.
• Écosystème — La méthode prend explicitement en compte les parties prenantes externes (fournisseurs, clients, partenaires).
• Adversaire — Les sources de risque sont modélisées avec leurs motivations et capacités (proche du threat modeling).
• Décision — Le livrable final est un plan de traitement des risques validé par la gouvernance.

1.2 Quand utiliser EBIOS RM

EBIOS RM est particulièrement adaptée aux organisations de taille moyenne à grande qui souhaitent structurer leur gouvernance cyber sur trois à cinq ans. Elle est obligatoire pour les opérateurs d'importance vitale (OIV) au titre de la Loi de Programmation Militaire, pour les entités essentielles NIS2, pour les hébergeurs certifiés HDS et pour les prestataires PASSI. À l'inverse, elle peut être trop lourde pour une TPE ou un projet ponctuel : on lui préférera alors une approche allégée type cartographie des risques cyber simplifiée ou l'outil libre MONARC publié par le CASES luxembourgeois.

2. Vue d'ensemble : les cinq ateliers EBIOS RM

La méthode EBIOS RM s'articule en cinq ateliers séquentiels qui s'enchaînent comme une chaîne de production. Chaque atelier prend en entrée les livrables du précédent et produit des livrables réutilisés dans le suivant. La durée totale d'une mission complète varie entre quinze jours-homme pour une PME et plusieurs mois-homme pour un grand groupe.

L'ANSSI met à disposition un guide officiel PDF de 96 pages qui détaille chaque atelier, ainsi qu'un outil libre MONARC et un cahier d'exercices pour la formation. Plusieurs éditeurs proposent des plateformes (Egerie, Tenacy, Provadys, Riskscape) qui automatisent une partie de la production des livrables. Pour les organismes qualifiés PASSI, l'utilisation d'une plateforme certifiée par l'ANSSI devient un avantage concurrentiel.

2.1 Le rôle des parties prenantes

Une mission EBIOS RM mobilise trois cercles d'acteurs. Le cercle stratégique regroupe la direction générale, le RSSI et le directeur des risques : ils valident le périmètre, les valeurs métier et le plan de traitement. Le cercle opérationnel rassemble les responsables métier, l'architecte SI, les administrateurs et les équipes sécurité : ils construisent les scénarios et challengent les vraisemblances. Le cercle externe comprend les auditeurs, les autorités de tutelle et éventuellement un prestataire PASSI : ils contrôlent la conformité méthodologique. Cette organisation à trois cercles est un facteur clé de succès souvent sous-estimé.

3. Atelier 1 — Cadrage et socle de sécurité

Le premier atelier pose les fondations de l'analyse. Il a quatre objectifs : délimiter le périmètre, identifier les valeurs métier, cartographier l'écosystème et établir le socle de sécurité existant. C'est l'étape la plus chronophage et celle où les erreurs sont les plus coûteuses car elles se propagent à tous les ateliers suivants. Un atelier 1 mal mené condamne mécaniquement la qualité du livrable final.

3.1 Définir le périmètre

Le périmètre peut être organisationnel (toute l'entreprise, une filiale, une direction), géographique (un site, un pays) ou fonctionnel (un produit, un service, un processus métier). Pour notre cas fil rouge, prenons une clinique privée de 200 lits qui dispose d'un système d'information hospitalier (SIH), d'un dossier patient informatisé (DPI), d'une plateforme de prise de rendez-vous en ligne et d'objets connectés médicaux (perfuseurs, scanners). Le périmètre retenu sera l'ensemble du SI métier hors télémédecine, jugée trop spécifique pour être traitée dans le même cycle.

3.2 Identifier les valeurs métier

Les valeurs métier sont les processus, données et fonctions essentielles à la mission de l'organisation. Pour la clinique, on retient typiquement : la continuité des soins (urgences vitales), la disponibilité du DPI, la confidentialité des données de santé (RGPD article 9), la facturation et la traçabilité réglementaire. Pour chaque valeur métier, on définit des événements redoutés (ER) avec une gravité sur 4 niveaux.

Valeur métier : Continuité des soins
Événement redouté ER1 : Indisponibilité du DPI > 4 heures
Impact : risque vital pour patients en réanimation
Gravité : G4 (Critique)
Référentiel impacté : article L1110-4 CSP, certification HDS

3.3 Cartographier l'écosystème

L'écosystème regroupe toutes les parties prenantes qui interagissent avec le SI : fournisseurs, infogérants, éditeurs SaaS, autorités, patients, partenaires. Pour chaque partie prenante, on évalue son niveau de menace (intentionnelle ou non) et son niveau de fiabilité. Cette cartographie est cruciale car la majorité des compromissions modernes transitent par la chaîne d'approvisionnement, comme l'ont illustré les attaques SolarWinds, Kaseya, MOVEit ou plus récemment 3CX et XZ Utils.

3.4 Établir le socle de sécurité

Le socle de sécurité décrit l'ensemble des mesures de sécurité déjà en place : politique mot de passe, MFA, EDR, sauvegardes, plan de continuité, sensibilisation. On évalue chaque mesure par rapport à un référentiel cible (ISO 27002, guide d'hygiène ANSSI, Cyber Essentials). Les écarts identifiés constitueront les premiers chantiers du plan de traitement de l'atelier 5. Cette première évaluation sert également de baseline pour mesurer les progrès lors des révisions annuelles ultérieures.

4. Atelier 2 — Sources de risque et objectifs visés

L'atelier 2 répond à la question : qui pourrait s'attaquer à nous et pour quoi faire ? Cette modélisation de l'adversaire est l'apport conceptuel majeur d'EBIOS RM par rapport aux méthodes antérieures. Elle s'inspire des pratiques de threat intelligence et permet de prioriser ensuite les scénarios les plus pertinents pour le contexte sectoriel et géographique de l'organisation.

4.1 Typologie des sources de risque

L'ANSSI propose une typologie en huit catégories qui couvre l'essentiel des adversaires. Pour chaque source identifiée, on évalue la motivation, les ressources et l'activité observée sur des cibles comparables (via les rapports CERT-FR, ANSSI, MITRE ATT&CK Groups).

• Étatique — services de renseignement, APT, motivés par espionnage stratégique ou sabotage.
• Cybercriminel organisé — groupes ransomware (LockBit, Cl0p, RansomHub), motivés par l'argent.
• Activiste — hacktivistes, ONG offensives, motivés par idéologie.
• Terroriste — groupes cherchant à provoquer chaos ou victimes.
• Concurrent — entreprise rivale, motivée par vol de propriété intellectuelle.
• Initié malveillant — employé ou prestataire ayant des privilèges.
• Amateur — script-kiddies, opportunistes.
• Erreur humaine — non malveillante mais à fort impact.

4.2 Définir les objectifs visés

Pour chaque source de risque, on identifie un ou plusieurs objectifs visés (OV). Pour la clinique, on retiendra typiquement : extorsion par ransomware (cybercriminel organisé), exfiltration de données de santé (étatique ou concurrent étranger), perturbation du service d'urgence (terroriste, activiste anti-vaccin), vol de matériel via paiement frauduleux (initié malveillant). On constitue ensuite une matrice SR/OV en croisant chaque source avec ses objectifs plausibles.

Source de Risque : Cybercriminel organisé (groupe ransomware)
Pertinence : Très élevée (secteur santé ciblé 2x plus que moyenne en 2025-2026)
Capacités : Niveau 3/4 (TTPs avancés, double extorsion, IAB)
Objectifs visés priorisés :
  OV1 : Extorsion financière (chiffrement DPI + exfiltration)
  OV2 : Revente données patients sur dark web
Cotation finale couple SR/OV1 : Priorité 1
Cotation finale couple SR/OV2 : Priorité 2

L'ANSSI recommande de retenir entre 3 et 6 couples SR/OV prioritaires pour la suite de l'analyse. Cette priorisation se fait sur la base de la plausibilité du couple (combinaison de motivation, capacités, activité observée). Une bonne pratique consiste à s'appuyer sur les rapports sectoriels publiés par le CERT-FR ou les ISAC pour étayer la cotation par des données factuelles plutôt que par intuition.

5. Atelier 3 — Scénarios stratégiques

L'atelier 3 construit les scénarios stratégiques : des récits de haut niveau décrivant comment une source de risque pourrait atteindre son objectif en exploitant l'écosystème de la cible. Ces scénarios sont pensés du point de vue de la direction et non des techniciens. Ils servent à arbitrer les choix d'investissement et de priorisation budgétaire.

5.1 Construction d'un scénario stratégique

Un scénario stratégique se présente sous forme de graphe d'attaque écosystémique. On part de la source de risque, on identifie un ou plusieurs chemins d'attaque qui transitent par des parties prenantes de l'écosystème, et on aboutit à un événement redouté sur une valeur métier. Pour notre clinique :

Scénario stratégique S1 : Ransomware via infogéreur réseau
Source : Cybercriminel organisé (gang ransomware)
Chemin d'attaque :
  1. Compromission initiale du SI de l'infogéreur (phishing)
  2. Pivot via tunnel d'administration distante (VPN site-à-site)
  3. Reconnaissance dans le SI clinique
  4. Mouvement latéral et élévation de privilèges (AD)
  5. Chiffrement massif + exfiltration de 500k dossiers patients
Événement redouté : ER1 Indisponibilité DPI + ER3 Fuite données santé
Gravité : G4 (Critique)
Mesures existantes : Tunnel chiffré, comptes nominatifs (faible)

5.2 Évaluer la gravité

La gravité est une combinaison de l'impact sur les valeurs métier (G1 mineure à G4 critique). Pour la clinique, un scénario ransomware impactant le DPI est systématiquement coté G4 car il met en jeu la sécurité des patients. La gravité n'est pas modifiable par les mesures de sécurité : elle reflète l'impact intrinsèque si le scénario se réalise, indépendamment des protections en place.

5.3 Sélection des scénarios à approfondir

À l'issue de l'atelier 3, on retient les 3 à 6 scénarios stratégiques les plus graves et les plus plausibles. Ces scénarios feront l'objet d'un approfondissement technique dans l'atelier 4. Les autres scénarios sont documentés mais ne donnent pas lieu à un plan de traitement détaillé. Cette priorisation évite la dilution de l'effort sur des scénarios marginaux.

6. Atelier 4 — Scénarios opérationnels

L'atelier 4 transforme chaque scénario stratégique retenu en scénario opérationnel : une description technique précise de la chaîne d'attaque, étape par étape, avec les TTPs (Tactics, Techniques and Procedures) issus du référentiel MITRE ATT&CK. C'est l'atelier le plus technique, à mener avec l'équipe SOC et l'architecte sécurité.

6.1 Décomposer la chaîne d'attaque

Chaque étape du scénario stratégique est éclatée en plusieurs actions élémentaires alignées sur les 14 tactiques MITRE ATT&CK Enterprise : Reconnaissance, Resource Development, Initial Access, Execution, Persistence, Privilege Escalation, Defense Evasion, Credential Access, Discovery, Lateral Movement, Collection, C2, Exfiltration, Impact.

Scénario opérationnel S1-OP : Ransomware via infogéreur
Tactique TA0001 Initial Access :
  T1566.001 Spearphishing Attachment (admin infogéreur)
Tactique TA0008 Lateral Movement :
  T1021.001 Remote Services: RDP (VPN site-à-site)
  T1078.002 Valid Accounts: Domain Accounts (compte d'administration)
Tactique TA0006 Credential Access :
  T1003.001 OS Credential Dumping: LSASS Memory
  T1558.003 Steal or Forge Kerberos Tickets: Kerberoasting
Tactique TA0040 Impact :
  T1486 Data Encrypted for Impact (ransomware)
  T1485 Data Destruction (suppression backups)

6.2 Évaluer la vraisemblance

Pour chaque scénario opérationnel, on calcule une vraisemblance globale en agrégeant la vraisemblance de chaque action élémentaire. La vraisemblance d'une action dépend de trois facteurs : le niveau requis pour la réaliser, les mesures de sécurité en place, et la motivation de l'attaquant. EBIOS RM utilise une échelle V1 (très faible) à V4 (très élevée).

6.3 Croiser gravité et vraisemblance : matrice de risque

On reporte chaque scénario sur une matrice 4×4 (Gravité × Vraisemblance) qui permet de visualiser les risques prioritaires. Les scénarios situés dans le quadrant supérieur droit (G3-G4 × V3-V4) sont systématiquement traités. Les scénarios G2 × V2 peuvent faire l'objet d'une simple surveillance. Cette matrice est l'outil de communication principal vers la direction.

7. Atelier 5 — Traitement du risque et plan d'action

Le cinquième atelier traduit l'analyse en plan de traitement des risques opérationnel et budgété. Il définit pour chaque scénario retenu une stratégie de traitement (réduire, transférer, refuser, accepter) et identifie les mesures à mettre en œuvre, leurs porteurs, leurs délais et leur coût. C'est l'aboutissement de la mission et le livrable que la direction utilisera comme feuille de route pour les trois années suivantes.

7.1 Les quatre stratégies de traitement

• Réduire — Mettre en place des mesures de sécurité techniques ou organisationnelles pour diminuer la vraisemblance ou l'impact.
• Transférer — Souscrire une cyber-assurance ou externaliser un risque vers un prestataire qualifié.
• Refuser — Renoncer à l'activité à l'origine du risque (ex : ne pas externaliser un système critique).
• Accepter — Valider formellement par la gouvernance que le risque résiduel est tolérable.

7.2 Mesures de sécurité types

Les mesures de sécurité sont catégorisées selon ISO 27002:2022 (93 contrôles) ou le guide d'hygiène ANSSI (42 règles). Pour notre cas clinique, le plan de traitement du scénario S1 pourrait comprendre :

Scénario S1 : Ransomware via infogéreur
Stratégie : Réduire (cible : abaisser vraisemblance V4 → V2)
Mesures à mettre en œuvre :
  M1 : Audit annuel de l'infogéreur (PASSI) — Q2 2026 — 25 k€
  M2 : MFA obligatoire sur tunnel admin distant — Q1 2026 — 5 k€
  M3 : Bastion d'administration ANSSI qualifié — Q2 2026 — 40 k€
  M4 : Segmentation réseau (microsegmentation SD-WAN) — Q3 2026 — 80 k€
  M5 : EDR avec détection comportementale Kerberos — Q1 2026 — 30 k€/an
  M6 : Sauvegardes immuables hors-ligne (3-2-1-1-0) — Q1 2026 — 50 k€
  M7 : Exercice crisis simulation 1/an — Q4 2026 — 15 k€
Budget total : 245 k€ CapEx + 30 k€/an OpEx
Risque résiduel après traitement : G4 × V2 = Modéré (acceptable)

7.3 Gouvernance du plan de traitement

Le plan de traitement est validé par le comité de direction sur la base d'une note de synthèse présentant les scénarios, les budgets et les risques résiduels. Il est révisé annuellement et fait l'objet d'un suivi mensuel par le RSSI. Les indicateurs de pilotage (KPI sécurité) sont intégrés au tableau de bord du COMEX et au rapport NIS2 transmis à l'ANSSI.

8. EBIOS RM, ISO 27005, NIST CSF et MITRE : articulations

EBIOS RM n'est pas en concurrence avec les autres référentiels mais s'articule avec eux. Comprendre ces ponts permet d'éviter le travail redondant et de satisfaire plusieurs audits avec une seule analyse mutualisée.

8.1 EBIOS RM et ISO 27005:2022

ISO 27005 décrit le processus générique de management du risque (identification, analyse, évaluation, traitement). EBIOS RM est une méthode conforme à ISO 27005 et fournit un canevas opérationnel précis là où la norme reste abstraite. Une organisation certifiée ISO 27001 peut utiliser EBIOS RM comme méthode d'appréciation du risque pour satisfaire le chapitre 6 de la norme.

8.2 EBIOS RM et NIST CSF 2.0

Le NIST Cybersecurity Framework 2.0 propose six fonctions : Govern, Identify, Protect, Detect, Respond, Recover. EBIOS RM alimente principalement les fonctions Govern (analyse de risque, gouvernance) et Identify (valeurs métier, écosystème). Les mesures du plan de traitement s'expriment ensuite en termes de catégories NIST pour un reporting international cohérent.

8.3 EBIOS RM et MITRE ATT&CK

MITRE ATT&CK fournit le langage commun pour les scénarios opérationnels de l'atelier 4. L'intégration entre EBIOS et MITRE est désormais standardisée : chaque action élémentaire d'un scénario est annotée avec un identifiant TTP. Cette annotation permet d'alimenter directement les playbooks SOC, les règles SIEM et les exercices Red Team. Voir notre article MITRE ATT&CK 2026 : framework et TTPs pour approfondir l'alignement TTP.

9. Outillage EBIOS RM en 2026

Trois familles d'outils accompagnent les missions EBIOS RM. Le choix dépend du contexte, du budget et de la maturité de l'organisation.

9.1 Outils gratuits et open source

• MONARC — Outil open source publié par le CASES (Luxembourg), conforme EBIOS RM, idéal pour PME et associations.
• Modèles Excel ANSSI — L'ANSSI fournit des modèles Excel téléchargeables sur cyber.gouv.fr pour démarrer rapidement.
• Templates Markdown — Plusieurs CERT publics et communautés (RESILIA, CESIN) partagent des templates Markdown versionnables sous Git.

9.2 Plateformes commerciales

9.3 Intégration CI/CD et DevSecOps

Pour les organisations matures, EBIOS RM peut être intégré dans la chaîne DevSecOps : chaque mise en production majeure déclenche une révision allégée du scénario stratégique impacté, automatisée via API et publiée dans un dashboard Grafana. Cette approche, encore émergente, est expérimentée par plusieurs banques et opérateurs télécoms français.

10. Cas concret fil rouge : la clinique des Cèdres

Reprenons notre cas fil rouge en l'enrichissant. La clinique des Cèdres (nom fictif) emploie 350 personnes, exploite un DPI Maincare, un PACS Carestream et a externalisé son infrastructure réseau auprès d'un infogéreur local. La direction lance une mission EBIOS RM en janvier 2026 en vue d'une certification HDS et de la conformité NIS2.

10.1 Synthèse des livrables

Atelier 1 — Cadrage
  Périmètre : SIH + DPI + PACS + RDV en ligne (hors télémédecine)
  Valeurs métier identifiées : 7
  Événements redoutés : 12
  Parties prenantes critiques : 5
  Socle de sécurité : 32/42 règles d'hygiène ANSSI satisfaites

Atelier 2 — Sources de risque
  Sources retenues : 4 (cybercriminel, étatique, initié, erreur humaine)
  Couples SR/OV priorisés : 6

Atelier 3 — Scénarios stratégiques
  Scénarios construits : 8
  Scénarios retenus pour atelier 4 : 4
    S1 Ransomware via infogéreur (G4)
    S2 Exfiltration données via DPI cloud (G4)
    S3 Sabotage IoT médical par étatique (G3)
    S4 Fuite massive par initié administrateur (G4)

Atelier 4 — Scénarios opérationnels
  TTPs MITRE annotés : 47
  Vraisemblance moyenne avant traitement : V3
  Vraisemblance moyenne après traitement : V2

Atelier 5 — Plan de traitement
  Mesures retenues : 22
  Budget CapEx : 480 k€ sur 3 ans
  Budget OpEx : 120 k€/an
  Risque résiduel acceptable : 4 scénarios sur 4

10.2 Présentation au COMEX

Le RSSI présente au comité de direction une note de 4 pages synthétisant les 4 scénarios prioritaires sous forme de matrice gravité/vraisemblance avant et après traitement. La direction valide le plan d'investissement de 600 k€ sur 3 ans après débat sur la stratégie de transfert (cyber-assurance complémentaire de 1,5 M€/an de prime). La validation formelle est consignée dans le procès-verbal.

11. Pièges classiques et bonnes pratiques

Après plusieurs centaines de missions EBIOS RM observées dans le secteur, certains écueils reviennent systématiquement. Les éviter améliore considérablement la qualité du livrable final.

11.1 Les 7 erreurs les plus fréquentes

• Partir des actifs techniques au lieu des valeurs métier — On retombe alors dans l'analyse d'actifs façon ISO 27005 sans la valeur ajoutée d'EBIOS RM.
• Multiplier les sources de risque — Plus de 6 sources rend l'analyse illisible et dilue les priorités.
• Construire des scénarios irréalistes — Un scénario doit être plausible au regard des TTP observés sur des cibles comparables.
• Sous-estimer la vraisemblance — Une vraisemblance V2 ou V1 pour un ransomware en 2026 est rarement justifiée.
• Oublier l'écosystème — Plus de 50% des compromissions transitent par un tiers : la cartographie écosystémique est non négociable.
• Plan de traitement non chiffré — Sans budget et porteur, le plan reste théorique et n'est jamais mis en œuvre.
• Absence de révision annuelle — Une analyse de risque de 3 ans est obsolète et invalide en audit NIS2.

11.2 Bonnes pratiques d'animation

Pour animer efficacement les ateliers, prévoir des sessions de 2 à 3 heures, jamais plus de 8 participants par atelier, et utiliser des supports visuels (post-it Miro, schémas de chaîne d'attaque). La présence d'un facilitateur expérimenté certifié EBIOS Risk Manager par le Club EBIOS est un facteur clé de succès, surtout pour les ateliers 3 et 4 qui demandent à la fois rigueur méthodologique et expertise technique.

12. EBIOS RM en 2026 : tendances émergentes

La méthode évolue pour intégrer les nouvelles menaces. Plusieurs chantiers sont actuellement portés par l'ANSSI et le Club EBIOS dans la perspective d'une éventuelle révision majeure.

• EBIOS RM IA — Adaptation pour les systèmes intégrant de l'intelligence artificielle générative, avec scénarios spécifiques (prompt injection, model extraction, poisoning).
• EBIOS RM OT/ICS — Spécialisation pour les systèmes industriels, prise en compte des protocoles Modbus, OPC UA, des risques physiques et de sûreté.
• EBIOS RM Cloud — Modélisation fine des responsabilités partagées (SaaS, PaaS, IaaS) et des risques de souveraineté.
• Automatisation — Émergence de plateformes capables d'enrichir automatiquement les scénarios opérationnels avec des TTPs MITRE issus du threat intelligence.
• Intégration GRC — Convergence avec les outils de Governance Risk Compliance et les plateformes SOAR pour une boucle continue analyse / détection / remédiation.

FAQ

Combien de temps faut-il pour réaliser une analyse EBIOS RM complète ?

La durée varie selon la taille du périmètre. Pour une PME de 50 à 200 salariés avec un périmètre SI restreint, comptez 15 à 25 jours-homme étalés sur 2 à 3 mois. Pour un grand groupe ou un opérateur d'importance vitale, 60 à 150 jours-homme sur 6 à 12 mois sont nécessaires. La révision annuelle est plus rapide (30 à 50% du temps initial) car elle s'appuie sur les livrables existants.

EBIOS RM est-elle obligatoire pour la conformité NIS2 ?

La directive NIS2 et sa transposition française n'imposent pas explicitement EBIOS RM, mais exigent une analyse de risque documentée, conforme à l'état de l'art et révisée régulièrement. L'ANSSI recommande EBIOS RM comme méthode de référence et les auditeurs externes y font systématiquement appel. En pratique, utiliser une autre méthode oblige à justifier sa conformité à ISO 27005, ce qui complexifie l'audit.

Quelle est la différence entre EBIOS 2010 et EBIOS RM ?

EBIOS 2010 était une méthode d'analyse de risque centrée sur les actifs et les vulnérabilités, héritée des méthodes des années 1990. EBIOS RM (2018) adopte une approche moderne par scénarios, intègre la notion d'écosystème, modélise explicitement les sources de risque et s'aligne sur MITRE ATT&CK. EBIOS 2010 est officiellement obsolète depuis 2020.

Peut-on certifier des personnes à EBIOS RM ?

Oui. Le Club EBIOS, en partenariat avec l'ANSSI, propose une certification EBIOS Risk Manager pour les consultants et les RSSI. La formation dure 3 à 5 jours et se termine par un examen. Plusieurs organismes de formation dispensent cette formation. La certification est valable 3 ans et nécessite des heures de pratique pour être renouvelée.

Comment articuler EBIOS RM avec une démarche DORA dans le secteur financier ?

Le règlement DORA exige un cadre de gestion des risques TIC complet pour les entités financières européennes. EBIOS RM peut servir d'ossature méthodologique : les valeurs métier deviennent les fonctions critiques DORA, les scénarios stratégiques alimentent les tests TLPT (Threat-Led Penetration Testing) et le plan de traitement satisfait les exigences de l'article 6 de DORA.

Quel est le coût moyen d'une mission EBIOS RM par un PASSI ?

Pour une mission complète menée par un prestataire qualifié PASSI Conseil, comptez entre 30 et 80 k€ pour une PME, entre 100 et 250 k€ pour une ETI et entre 300 et 600 k€ pour un grand groupe. La révision annuelle représente environ 30% du coût initial. Le retour sur investissement se mesure en évitement de sinistre et en gain d'assurabilité.

Conclusion & Pour approfondir

EBIOS Risk Manager est désormais la méthode de référence pour piloter sereinement les risques cyber en 2026, en France et au-delà. Sa force réside dans son approche scénario, son orientation métier et son alignement avec les standards internationaux ISO 27005, NIST CSF et MITRE ATT&CK. Bien menée, une mission EBIOS RM offre bien plus qu'un livrable de conformité : elle constitue un véritable outil de pilotage stratégique qui aligne les investissements cyber sur les enjeux métier et facilite le dialogue entre RSSI et direction. Pour réussir, retenez les trois facteurs critiques : impliquer fortement la direction dès l'atelier 1, garder le périmètre raisonnable et itérer chaque année. Ces principes simples font la différence entre une analyse exploitable et un document qui dort dans un tiroir.

• Cartographie des risques cyber avec EBIOS RM — approche complémentaire pour PME
• NIS2 en France 2026 : guide ANSSI complet — obligations réglementaires
• MITRE ATT&CK 2026 : framework et TTPs — alignement scénarios opérationnels
• Qualification PASSI ANSSI — choisir un prestataire qualifié
• Glossaire cybersécurité 100 termes 2026 — vocabulaire de référence