EBIOS Risk Manager — Analyse de Risques
Méthode officielle de l'ANSSI pour l'analyse de risques cybersécurité. 5 ateliers structurés, cartographie des sources de risque, scénarios stratégiques et opérationnels, plan de traitement actionable. Compatible NIS2, DORA et ISO 27001.
Référence française officielle
Démarche structurée et collaborative
Conformité réglementaire assurée
Qu'est-ce que EBIOS Risk Manager ?
EBIOS Risk Manager (EBIOS RM) est la méthode d'analyse de risques cyber de référence développée par l'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information) en partenariat avec le Club EBIOS. Publiée en 2018, elle est la successeure d'EBIOS 2010 et représente l'état de l'art en matière d'appréciation et de traitement des risques numériques.
Contrairement aux méthodes purement quantitatives, EBIOS RM adopte une approche par scénarios qui part de l'analyse des sources de risque (attaquants) et de leurs objectifs visés pour construire des scénarios d'attaque réalistes. Cette approche « attacker-centric » produit des résultats concrets et actionables.
La méthode se déroule en 5 ateliers participatifs qui impliquent la direction, les métiers, l'IT et la sécurité. Cette dimension collaborative est essentielle : elle garantit l'adhésion des parties prenantes et produit une analyse de risques ancrée dans la réalité opérationnelle de l'organisation.
EBIOS RM est compatible avec ISO 27005 (qui définit le cadre générique de gestion des risques SI) et constitue la méthode recommandée pour satisfaire les exigences d'analyse de risques de NIS2, DORA, ISO 27001, LPM et RGS.
Ateliers structurés
Méthode officielle de référence
Compatibilité normative
Conformité réglementaire
Les 5 principes fondateurs d'EBIOS RM
Approche par scénarios
Construction de scénarios d'attaque réalistes basés sur les menaces actuelles.
Approche par les sources de risque
Identification des attaquants potentiels et de leurs motivations.
Conformité et référentiels
Intégration native des exigences NIS2, DORA, ISO 27001, LPM.
Démarche collaborative
Implication de la direction, des métiers, de l'IT et de la sécurité.
Amélioration continue
Révision régulière de l'analyse face à l'évolution des menaces.
Qui est concerné par EBIOS RM ?
EBIOS RM est la méthode de référence pour toute organisation qui doit formaliser une analyse de risques cyber. Elle est particulièrement pertinente dans les contextes suivants :
- ► NIS2 — Entités essentielles et importantes soumises à la directive européenne
- ► DORA — Entités financières soumises au règlement européen
- ► ISO 27001 — Organisations en cours ou en maintien de certification
- ► LPM (Loi de Programmation Militaire) — Opérateurs d'importance vitale (OIV)
- ► RGS (Référentiel Général de Sécurité) — Administrations et collectivités territoriales
- ► Santé / HDS — Établissements de santé et hébergeurs de données de santé
- ► Défense — Entreprises de la BITD (Base Industrielle et Technologique de Défense)
- ► Tout projet sensible — Nouveau SI, migration cloud, fusion-acquisition, projet IoT/OT
Point clé
Depuis l'entrée en vigueur de NIS2 (octobre 2024), l'analyse de risques est une obligation légale pour des milliers d'entités en France. EBIOS RM est la méthode recommandée par l'ANSSI pour y répondre.
Les 5 ateliers EBIOS Risk Manager
Chaque atelier produit des livrables concrets et alimente le suivant. La démarche complète dure 4 à 8 semaines selon la taille du périmètre.
Cadrage et socle de sécurité
Semaine 1-2Définition du périmètre d'étude, identification des missions et valeurs métier, évaluation du socle de sécurité existant (base de conformité).
Activités
- • Définition du périmètre et des objectifs
- • Identification des missions et valeurs métier
- • Inventaire des biens supports
- • Évaluation du socle de sécurité (guide ANSSI)
- • Identification des parties prenantes
Livrables
- • Note de cadrage EBIOS RM
- • Cartographie des valeurs métier
- • Inventaire des biens supports
- • État des lieux du socle de sécurité
- • Plan d'actions socle (quick wins)
Résultat
- • Périmètre clairement défini
- • Valeurs métier priorisées
- • Socle de sécurité évalué
- • Écarts du socle identifiés
- • Base pour les ateliers suivants
Sources de risque
Semaine 2-3Identification et caractérisation des sources de risque (attaquants) et de leurs objectifs visés (OV). Approche « attacker-centric » : qui pourrait nous attaquer, pourquoi, avec quels moyens ?
Activités
- • Identification des sources de risque (SR)
- • Caractérisation (motivation, ressources, activité)
- • Définition des objectifs visés (OV)
- • Construction des couples SR/OV
- • Sélection des couples pertinents
Livrables
- • Cartographie des sources de risque
- • Fiches de caractérisation des SR
- • Matrice SR/OV priorisée
- • Couples SR/OV retenus
- • Justification des exclusions
Résultat
- • Menaces identifiées et priorisées
- • Attaquants caractérisés
- • Objectifs d'attaque définis
- • Base pour les scénarios stratégiques
- • Vision partagée des menaces
Scénarios stratégiques
Semaine 3-4Construction des scénarios de menace de haut niveau. Comment un attaquant pourrait-il atteindre les objectifs visés via l'écosystème (partenaires, fournisseurs, sous-traitants) ?
Activités
- • Cartographie de l'écosystème
- • Identification des parties prenantes critiques
- • Construction des chemins d'attaque stratégiques
- • Évaluation de la vraisemblance
- • Évaluation de la gravité
Livrables
- • Cartographie de l'écosystème
- • Scénarios stratégiques détaillés
- • Matrice gravité/vraisemblance
- • Scénarios priorisés
- • Mesures de sécurité sur l'écosystème
Résultat
- • Risques écosystème identifiés
- • Fournisseurs critiques évalués
- • Scénarios haut niveau validés
- • Premières mesures de traitement
- • Base pour les scénarios opérationnels
Scénarios opérationnels
Semaine 4-6Déclinaison technique des scénarios stratégiques. Comment, concrètement, l'attaquant pourrait-il exploiter les vulnérabilités de vos biens supports ?
Activités
- • Construction des scénarios opérationnels
- • Identification des modes opératoires
- • Évaluation des vulnérabilités techniques
- • Évaluation de la vraisemblance technique
- • Sélection des scénarios à traiter
Livrables
- • Scénarios opérationnels détaillés
- • Graphes d'attaque techniques
- • Mapping MITRE ATT&CK
- • Évaluation des vulnérabilités
- • Matrice de risques opérationnels
Résultat
- • Risques techniques identifiés
- • Chemins d'attaque documentés
- • Vulnérabilités priorisées
- • Base pour le plan de traitement
- • TTPs MITRE ATT&CK mappées
Traitement des risques
Semaine 6-8Définition et priorisation des mesures de sécurité pour traiter les risques identifiés. Plan de traitement actionable avec responsables, délais et budgets.
Activités
- • Définition des mesures de sécurité
- • Évaluation des risques résiduels
- • Priorisation et planification
- • Budgétisation des mesures
- • Validation par la direction
Livrables
- • Plan de traitement des risques (PTR)
- • Matrice des risques résiduels
- • Feuille de route priorisée
- • Déclaration d'acceptation des risques
- • Rapport EBIOS RM complet
Résultat
- • Risques traités ou acceptés
- • Plan d'actions validé par la direction
- • Budget sécurité justifié
- • Conformité NIS2/DORA/ISO 27001
- • Base pour le SMSI
Prestation clé en main — tout est inclus
Nous animons l'intégralité de la démarche EBIOS RM : préparation, animation des ateliers, rédaction des livrables et présentation à la direction.
Animation des 5 ateliers
Facilitation professionnelle de chaque atelier avec les bonnes parties prenantes. Nous guidons les débats et structurons les résultats.
- ✓ Préparation et invitations
- ✓ Supports de présentation
- ✓ Animation et facilitation
- ✓ Comptes-rendus d'atelier
- ✓ Synthèses inter-ateliers
Livrables documentaires
Rédaction complète du dossier EBIOS RM, directement exploitable pour ISO 27001, NIS2 et DORA.
- ✓ Rapport EBIOS RM complet (80-150 pages)
- ✓ Cartographies (valeurs, écosystème, risques)
- ✓ Plan de traitement des risques
- ✓ Déclaration d'acceptation des risques
- ✓ Présentation direction (synthèse)
Validation technique des scénarios
Les scénarios opérationnels sont validés par notre expertise technique : pentest, audit AD, audit cloud.
- ✓ Validation technique des chemins d'attaque
- ✓ Mapping MITRE ATT&CK
- ✓ Intégration des résultats d'audit/pentest
- ✓ Threat Intelligence contextuelle
- ✓ Scénarios réalistes et actionables
Plan de traitement actionable
Pas de recommandations génériques : un plan d'actions concret avec responsables, délais et budgets.
- ✓ Mesures priorisées (quick wins, court, moyen terme)
- ✓ Responsables identifiés
- ✓ Budget estimé par mesure
- ✓ Solutions techniques recommandées
- ✓ Suivi d'avancement en COPIL
Double expertise : GRC + technique
Nos analyses de risques sont ancrées dans la réalité technique. Les scénarios ne sont pas théoriques : ils sont validés par notre expérience de pentester et de répondeur d'incidents.
Volet GRC
- ►Maîtrise EBIOS RM — Application rigoureuse de la méthode ANSSI. Conformité avec le guide officiel et les fiches méthodes.
- ►Compatibilité ISO 27005 — Les livrables EBIOS RM sont directement intégrables dans un SMSI ISO 27001. Pas de double travail.
- ►Conformité NIS2 / DORA — L'analyse de risques EBIOS RM répond aux exigences des articles 21 (NIS2) et 6 (DORA).
- ►Animation d'ateliers — Facilitation professionnelle adaptée à chaque public : direction, métiers, IT, sécurité.
- ►Rédaction documentaire — Rapport EBIOS RM complet, prêt pour l'auditeur ISO 27001, le régulateur NIS2 ou l'ANSSI.
Volet technique
- ►Scénarios validés par l'expérience — Nos scénarios opérationnels sont basés sur des attaques réelles que nous avons investiguées. Pas de théorie.
- ►Mapping MITRE ATT&CK — Chaque scénario est mappé sur le framework MITRE ATT&CK pour une correspondance avec le threat landscape actuel.
- ►Intégration pentest / audit — Les résultats de pentests et audits alimentent directement les scénarios opérationnels et les vulnérabilités.
- ►Threat Intelligence — Enrichissement des sources de risque avec des données CTI réelles : groupes APT actifs, ransomware gangs, menaces sectorielles.
- ►Mesures techniques concrètes — Le plan de traitement inclut des solutions techniques précises, pas des recommandations vagues.
Cas client — Collectivité territoriale, 85 scénarios analysés
Retour d'expérience anonymisé d'une analyse EBIOS RM pour une collectivité territoriale soumise au RGS et se préparant à NIS2.
Contexte
- ► Secteur : Collectivité territoriale, 2 000 agents, 45 sites
- ► Enjeu : Conformité RGS + préparation NIS2, analyse de risques nécessaire pour la PSSI
- ► État initial : Aucune analyse de risques formalisée, PSSI obsolète
- ► Contrainte : Budget limité, 8 semaines maximum, implication d'élus
Résultats
Scénarios de risque analysés
Plan de traitement structuré
Durée de la démarche
Conformité RGS atteinte
Chronologie du projet
Semaine 1-2
Cadrage & socle
12 valeurs métier identifiées (services aux citoyens, état civil, finances). 180 biens supports inventoriés. Socle de sécurité évalué : 45% de conformité.
Semaine 2-3
Sources de risque & stratégiques
8 sources de risque identifiées (ransomware gangs, hacktivistes, employés mécontents). 15 couples SR/OV retenus. 25 scénarios stratégiques.
Semaine 4-5
Scénarios opérationnels
60 scénarios opérationnels construits. Mapping MITRE ATT&CK. Validation technique par corrélation avec les vulnérabilités réelles de l'infrastructure.
Semaine 6
Traitement & présentation
42 mesures de sécurité priorisées. Plan de traitement 18 mois. Présentation aux élus. Budget sécurité voté en conseil.
Nos engagements contractuels
Des engagements concrets, inscrits au contrat. Une analyse de risques doit produire des résultats actionables, pas un document qui prend la poussière.
Interlocuteur unique
Un seul consultant senior anime l'ensemble de la démarche. Cohérence et continuité de l'analyse du premier au dernier atelier.
Délai garanti
4 à 8 semaines selon le périmètre, avec planning contractuel. Si le retard est de notre fait, les jours supplémentaires sont à notre charge.
Conformité normative
Livrables conformes aux exigences ISO 27001:2022 (clause 6), NIS2 (article 21), DORA (article 6), RGS et LPM.
Plan actionable
Le plan de traitement inclut des solutions techniques précises, des responsables, des délais et un budget estimé. Pas de recommandations vagues.
Questions fréquentes sur EBIOS Risk Manager
ISO 27005 est un cadre générique qui définit quoi faire (identifier, analyser, évaluer, traiter les risques) sans préciser comment. EBIOS RM est une méthode concrète qui définit précisément comment réaliser chaque étape à travers 5 ateliers structurés. Les deux sont complémentaires : EBIOS RM est une implémentation conforme d'ISO 27005. Utiliser EBIOS RM vous rend automatiquement conforme aux exigences d'analyse de risques d'ISO 27001.
NIS2 impose une analyse de risques (article 21) mais ne prescrit pas de méthode spécifique. Cependant, l'ANSSI recommande explicitement EBIOS RM pour les entités françaises soumises à NIS2. Utiliser EBIOS RM est donc la voie la plus sûre pour démontrer votre conformité. C'est également la méthode la plus reconnue par les régulateurs français.
Comptez 4 à 8 semaines selon la taille et la complexité du périmètre. Une PME de 100 personnes avec un SI simple peut être traitée en 4 semaines. Une collectivité territoriale de 2 000 agents avec 45 sites nécessitera 6 à 8 semaines. Cela représente typiquement 10 à 20 jours de prestation (hors temps de mobilisation de vos équipes).
Cela dépend de l'atelier. L'atelier 1 (cadrage) implique la direction et le RSSI. L'atelier 2 (sources de risque) nécessite la sécurité et la direction. L'atelier 3 (stratégiques) implique les métiers et les achats. L'atelier 4 (opérationnels) mobilise l'IT technique. L'atelier 5 (traitement) réunit la direction pour validation. Comptez 3 à 8 personnes par atelier, 2 à 4 heures par session.
Oui, ISO 27001 et NIS2 imposent une révision régulière. En pratique, une revue annuelle est recommandée, avec une mise à jour complète tous les 2-3 ans ou lors de changements majeurs (nouvelle infrastructure, nouveau SI, fusion-acquisition, incident de sécurité). La mise à jour est plus rapide que l'analyse initiale car la base existe déjà.
Absolument. EBIOS RM est conçue pour être scalable : on adapte le nombre de sources de risque, de scénarios et de biens supports à la taille de l'organisation. Pour une PME de 50 personnes, la démarche peut être réalisée en 4 semaines avec 5 à 8 jours de prestation. L'ANSSI a publié un guide spécifique pour les PME qui simplifie certaines étapes.
Oui, c'est même l'un des usages recommandés. EBIOS RM est particulièrement pertinente pour les projets sensibles : migration cloud, déploiement IoT/OT, nouveau SI métier, fusion-acquisition. Le périmètre est défini au projet, ce qui rend la démarche plus ciblée et plus rapide qu'une analyse globale de l'organisation.
Pourquoi nous choisir pour votre analyse EBIOS RM ?
Expertise GRC + pentest
Rare combinaison : consultant GRC certifié ET pentester expérimenté. Les scénarios sont réalistes car validés par l'expérience offensive.
Conformité multi-référentiel
Un seul livrable qui satisfait NIS2, DORA, ISO 27001, RGS et LPM. Pas de duplication d'efforts.
Scénarios réalistes
Nos scénarios sont basés sur des attaques réelles que nous avons investiguées (+150 incidents). Pas de théorie déconnectée du terrain.
Plan de traitement actionable
Mesures techniques précises, solutions recommandées, budget estimé. Un plan que vos équipes peuvent exécuter immédiatement.
Open source first
Nous privilégions les solutions open source (Wazuh, CrowdSec, Graylog) dans le plan de traitement pour maximiser votre ROI.
+20 ans d'expérience
Deux décennies en cybersécurité, des dizaines d'analyses de risques réalisées dans tous les secteurs et toutes les tailles.
EBIOS RM vs autres méthodes d'analyse de risques
Comprendre les différences entre les principales méthodes pour choisir celle qui correspond le mieux à votre contexte.
| Critère | EBIOS RM | ISO 27005 | MEHARI | OCTAVE |
|---|---|---|---|---|
| Origine | ANSSI (France) | ISO/IEC (International) | CLUSIF (France) | SEI / CMU (USA) |
| Approche | Par scénarios d'attaque | Cadre générique (quoi, pas comment) | Par audit de conformité | Par actifs critiques |
| Sources de risque | Oui (attacker-centric) | Optionnel | Non | Partiellement |
| Écosystème / supply chain | Oui (atelier 3) | Non | Non | Non |
| Compatible ISO 27001 | Oui (nativement) | Oui (c'est le cadre ISO) | Oui (avec adaptation) | Partiellement |
| Compatible NIS2 | Oui (recommandée ANSSI) | Oui | Partiellement | Non recommandée en France |
| Durée typique | 4 à 8 semaines | Variable (cadre libre) | 6 à 12 semaines | 6 à 10 semaines |
EBIOS RM = le choix de référence en France
EBIOS RM est la seule méthode qui intègre nativement l'analyse des sources de risque (attaquants), l'écosystème (supply chain) et la conformité NIS2. C'est la méthode recommandée par l'ANSSI pour toutes les entités soumises à la réglementation française et européenne.
Compatibilité réglementaire détaillée
EBIOS RM répond aux exigences d'analyse de risques de multiples référentiels. Voici le détail de la couverture.
NIS2 Directive NIS2 (UE 2022/2555)
- ✓ Article 21.1 — Mesures de gestion des risques « fondées sur une approche tous risques »
- ✓ Article 21.2(a) — Politiques relatives à l'analyse des risques et à la sécurité de l'information
- ✓ Article 21.2(d) — Sécurité de la chaîne d'approvisionnement (atelier 3)
- ✓ Article 21.2(e) — Sécurité dans l'acquisition et le développement
- ✓ Article 21.2(f) — Évaluation de l'efficacité des mesures
DORA Règlement DORA (UE 2022/2554)
- ✓ Article 6 — Cadre de gestion des risques liés aux TIC
- ✓ Article 7 — Systèmes, protocoles et outils TIC
- ✓ Article 8 — Identification des risques
- ✓ Article 9 — Protection et prévention
- ✓ Article 28 — Risques liés aux tiers prestataires TIC
ISO ISO 27001:2022
- ✓ Clause 6.1.2 — Appréciation des risques de sécurité de l'information
- ✓ Clause 6.1.3 — Traitement des risques de sécurité
- ✓ Clause 8.2 — Appréciation des risques (exécution)
- ✓ Clause 8.3 — Traitement des risques (exécution)
- ✓ ISO 27005:2022 — Compatibilité complète avec le cadre de référence
FR Réglementations françaises
- ✓ LPM — Règles de sécurité des SI d'importance vitale (SIIV)
- ✓ RGS — Référentiel Général de Sécurité (administrations)
- ✓ PSSIE — Politique de Sécurité des SI de l'État
- ✓ HDS — Hébergement de Données de Santé
- ✓ II 901 — Instruction interministérielle 901 (diffusion restreinte)
Livrables EBIOS RM — ce que nous produisons
L'intégralité du dossier EBIOS RM, rédigé sur mesure pour votre organisation. Chaque livrable est directement exploitable pour l'auditeur ISO 27001, le régulateur NIS2 ou votre direction.
Note de cadrage EBIOS RM
Périmètre, objectifs, participants, planning, méthodologie appliquée, références normatives.
Cartographie des valeurs métier
Missions, processus métier, données critiques, impact métier en cas de compromission (C, I, D).
Inventaire des biens supports
Serveurs, applications, réseaux, locaux, personnes. Lien avec les valeurs métier qu'ils supportent.
État des lieux du socle de sécurité
Évaluation du socle de sécurité (guide d'hygiène ANSSI), scoring par domaine, écarts identifiés.
Cartographie des sources de risque
Fiches de caractérisation : motivation, ressources, activité, niveau de menace. Couples SR/OV priorisés.
Cartographie de l'écosystème
Parties prenantes, fournisseurs critiques, interfaces, flux de données, dépendances. Évaluation du risque supply chain.
Scénarios stratégiques détaillés
Chemins d'attaque haut niveau, gravité/vraisemblance, mesures de sécurité sur l'écosystème. Matrice de priorisation.
Scénarios opérationnels avec MITRE ATT&CK
Graphes d'attaque techniques, modes opératoires détaillés, vulnérabilités exploitées, mapping ATT&CK.
Matrice des risques (heat map)
Visualisation gravité/vraisemblance de tous les risques. Risques actuels et risques résiduels après traitement.
Plan de traitement des risques (PTR)
Mesures de sécurité priorisées, responsables, délais, budget estimé. Feuille de route 12-24 mois.
Déclaration d'acceptation des risques
Risques résiduels formellement acceptés par la direction. Signé et daté (exigence ISO 27001).
Présentation direction
Support PowerPoint de synthèse (20 slides) pour présentation en comité de direction ou conseil d'administration.
Sources de risque typiques identifiées en atelier 2
Voici les sources de risque les plus fréquemment identifiées lors de nos analyses EBIOS RM, avec leur caractérisation type.
Groupes ransomware
Motivation : Financière (rançon)
Ressources : Élevées (RaaS, affiliations)
Activité : Très active, opportuniste
OV typiques : Chiffrement de données, exfiltration, arrêt de production
Groupes APT (étatiques)
Motivation : Espionnage, sabotage
Ressources : Très élevées (0-day, custom tools)
Activité : Ciblée, persistante, discrète
OV typiques : Vol de PI, espionnage stratégique, sabotage industriel
Employé malveillant
Motivation : Vengeance, appât du gain
Ressources : Modérées mais accès interne
Activité : Ponctuelle, souvent à l'occasion du départ
OV typiques : Vol de fichiers clients, sabotage, concurrence déloyale
Hacktivistes
Motivation : Idéologique, politique
Ressources : Variables (de faibles à modérées)
Activité : Liée à l'actualité, DDoS, défacement
OV typiques : Atteinte à l'image, interruption de service, fuite de données
Concurrent
Motivation : Avantage compétitif
Ressources : Modérées à élevées
Activité : Ciblée, espionnage industriel
OV typiques : Vol de PI, espionnage commercial, débauchage + vol de données
Fournisseur compromis
Motivation : Involontaire (victime relay)
Ressources : N/A (l'attaquant utilise ses accès)
Activité : Supply chain attack en croissance
OV typiques : Accès au SI via VPN/API fournisseur, mise à jour trojanée
Cybercriminel opportuniste
Motivation : Financière (BEC, fraude)
Ressources : Faibles à modérées
Activité : Très active, phishing de masse
OV typiques : Fraude au virement, vol d'identifiants, cryptominage
Employé négligent
Motivation : Aucune (erreur humaine)
Ressources : Accès légitime interne
Activité : Permanente et involontaire
OV typiques : Clic phishing, mot de passe faible, mauvaise config, perte de matériel
Exemples de scénarios EBIOS RM
Pour illustrer concrètement ce que produit la démarche, voici des exemples anonymisés de scénarios stratégiques et opérationnels issus de nos analyses.
Ransomware via fournisseur de maintenance informatique
Source de risque
Groupe ransomware (LockBit, BlackCat). Motivation financière. Ressources élevées (RaaS).
Objectif visé
Chiffrement des données métier et exfiltration pour double extorsion. Demande de rançon.
Chemin d'attaque
Compromission du prestataire IT → accès VPN/RMM → mouvement latéral → AD compromis → chiffrement généralisé.
Gravité / Vraisemblance
Gravité : 4/4 (arrêt total). Vraisemblance : 3/4 (cas fréquent). Risque : Critique.
Déclinaison technique du scénario ransomware
Kill chain détaillé
- 1. Phishing du prestataire — Email de spear-phishing ciblant le technicien de maintenance (T1566.001)
- 2. Vol de credentials VPN — Keylogger ou infostealer vole les identifiants VPN du prestataire (T1078)
- 3. Accès initial — Connexion VPN avec les credentials du prestataire (pas de MFA) (T1133)
- 4. Reconnaissance AD — BloodHound pour cartographier les chemins vers Domain Admin (T1018)
- 5. Escalade de privilèges — Kerberoasting ou exploitation de délégation (T1558)
- 6. Exfiltration — 200 Go de données exfiltrées via Rclone vers Mega.io (T1567)
- 7. Chiffrement — Déploiement via GPO + PsExec. Suppression des shadow copies (T1486)
Mesures de traitement proposées
- ✓ MFA sur tous les accès VPN — Bloque le scénario à l'étape 3
- ✓ Segmentation réseau fournisseur — VLAN dédié, accès réduit au strict nécessaire
- ✓ Audit de sécurité du prestataire — Vérification annuelle des mesures de sécurité
- ✓ EDR + alertes LSASS — Détection de Mimikatz/Kerberoasting
- ✓ LAPS pour comptes admin locaux — Empêche le mouvement latéral avec un seul mot de passe
- ✓ Sauvegardes immuables offline — Récupération possible même si tout est chiffré
- ✓ Surveillance DLP — Détection d'exfiltration massive (>10 Go)
Espionnage industriel par un APT étatique
Source de risque
Groupe APT étatique. Motivation : espionnage industriel et technologique. Ressources : très élevées (0-day, custom tools).
Objectif visé
Vol de propriété intellectuelle (plans, brevets, R&D). Accès persistant et discret sur plusieurs mois.
Chemin d'attaque
Spear-phishing ciblé R&D → implant custom → mouvement latéral furtif → exfiltration via DNS over HTTPS.
Gravité / Vraisemblance
Gravité : 4/4 (perte de compétitivité). Vraisemblance : 2/4 (ciblé et rare). Risque : Élevé.
Glossaire EBIOS Risk Manager
Les termes clés de la méthode EBIOS RM expliqués simplement pour faciliter la compréhension et la participation aux ateliers.
Valeur métier
Ce qui est important pour l'organisation : missions, processus métier, informations sensibles. Ce que l'on cherche à protéger. Exemples : « processus de paie », « données clients », « service de télémédecine ».
Bien support
Les composants techniques ou organisationnels qui supportent les valeurs métier : serveurs, applications, réseaux, locaux, personnes. Exemples : « serveur ERP », « réseau Wi-Fi », « salle serveur ».
Source de risque (SR)
L'entité qui pourrait porter atteinte aux valeurs métier. Peut être humaine (attaquant, employé malveillant) ou non humaine (catastrophe naturelle, panne). EBIOS RM se concentre sur les sources humaines intentionnelles.
Objectif visé (OV)
Ce que la source de risque cherche à accomplir. Le couple SR/OV définit la menace. Exemple : « Groupe ransomware (SR) visant le chiffrement des données métier (OV) ».
Scénario stratégique
Chemin d'attaque de haut niveau qui décrit comment une source de risque pourrait atteindre un objectif visé, en passant éventuellement par l'écosystème (fournisseurs, partenaires). Vue macro.
Scénario opérationnel
Déclinaison technique d'un scénario stratégique. Décrit concrètement les vulnérabilités exploitées, les outils utilisés, les techniques d'attaque (mappées sur MITRE ATT&CK).
Socle de sécurité
Ensemble de mesures de sécurité de base que toute organisation devrait appliquer, indépendamment de l'analyse de risques. Basé sur le guide d'hygiène informatique de l'ANSSI (42 règles).
Écosystème
L'ensemble des parties prenantes qui interagissent avec l'organisation : fournisseurs, clients, partenaires, sous-traitants, régulateurs. Les attaques supply chain passent par l'écosystème.
Lancez votre analyse de risques EBIOS RM
NIS2 est en vigueur, DORA aussi. L'analyse de risques n'est plus optionnelle — c'est une obligation légale. Prenons rendez-vous pour définir votre périmètre et lancer la démarche.
Réponse sous 24h — Échange initial gratuit et sans engagement