EBIOS RM

Fonctionnement technique

EBIOS RM (Expression des Besoins et Identification des Objectifs de Sécurité - Risk Manager) est la méthode d'analyse de risques de référence de l'ANSSI, publiée en 2018. Elle adopte une approche par scénarios stratégiques et opérationnels, combinant analyse de conformité et étude des menaces ciblées. La méthode se structure autour de 5 ateliers séquentiels qui guident l'organisation de la compréhension du contexte à la définition du plan de traitement des risques.

L'Atelier 1 (Cadrage et socle) définit le périmètre, les missions, les valeurs métier, les biens supports et le socle de sécurité existant. L'Atelier 2 (Sources de risque) identifie les sources de menaces pertinentes (cybercriminels, États, hacktivistes) et leurs objectifs visés. L'Atelier 3 (Scénarios stratégiques) construit les chemins d'attaque de haut niveau par lesquels une source de risque atteint ses objectifs.

L'Atelier 4 (Scénarios opérationnels) détaille les modes opératoires techniques (kill chain) pour chaque scénario stratégique, en évaluant la vraisemblance. L'Atelier 5 (Traitement du risque) définit les mesures de sécurité pour réduire les risques à un niveau acceptable, produisant le plan de traitement et la déclaration d'applicabilité (DdA).

Cas d'usage

EBIOS RM est la méthode exigée par l'ANSSI pour les homologations de sécurité des systèmes d'information des administrations françaises et des opérateurs d'importance vitale (OIV). Elle est également recommandée dans le cadre des certifications ISO 27001 et pour la conformité à la directive NIS2.

Les entreprises du secteur défense, les opérateurs de services essentiels (OSE) et les collectivités territoriales l'utilisent pour leurs analyses de risques. Les RSSI l'apprécient pour sa capacité à combiner une vue stratégique (compréhensible par la direction) et une vue opérationnelle (exploitable par les équipes techniques).

Outils et implémentation

L'ANSSI fournit les guides méthodologiques et les fiches méthodes sur son site. MONARC (développé par le CASES Luxembourg) est un outil open source supportant EBIOS RM avec une interface web collaborative. Agile Risk Manager est un outil commercial dédié à EBIOS RM avec workflows intégrés.

ALL4TEC Cyber Architect (anciennement Agile Risk Manager) offre une implémentation fidèle de la méthode avec export des livrables. Des templates Excel/LibreOffice structurés selon les 5 ateliers sont disponibles sur les sites spécialisés. Le Club EBIOS maintient une communauté de praticiens et publie des retours d'expérience.

Défense / Bonnes pratiques

Pour réussir une analyse EBIOS RM, constituez un groupe de travail pluridisciplinaire : RSSI, responsables métier, architectes SI, DPO et représentants de la direction. L'engagement de la direction est crucial car les décisions de traitement des risques engagent des ressources budgétaires et organisationnelles.

Ne sous-estimez pas l'Atelier 1 (Cadrage) : un périmètre mal défini ou un inventaire incomplet des biens supports invalide toute l'analyse. Utilisez les bases de connaissances de l'ANSSI (sources de risque types, scénarios de référence) comme point de départ, puis adaptez-les à votre contexte spécifique.

Maintenez l'analyse vivante en la révisant au minimum annuellement ou lors de changements significatifs (nouveau SI, nouvelle menace, incident de sécurité). Tracez les décisions de traitement des risques et les risques résiduels acceptés par la direction. Intégrez les résultats dans votre SMSI (ISO 27001) pour une cohérence globale de la gestion des risques.

Articles associés

Voir nos articles détaillés sur ce sujet.