La méthode EBIOS Risk Manager


La méthode de référence française EBIOS accompagne les organisations pour identifier et comprendre les risques numériques qui leurs sont propres. Elle permet de déterminer les mesures de sécurité adaptées à la menace et de mettre en place le cadre de suivi et d’amélioration continue à l’issue d’une analyse de risque partagée au plus haut niveau.
La méthode ebios risk manager

Qu’est-ce que la méthode EBIOS Risk Manager ?

Comprendre pour décider

Pour assurer ses missions, l’organisation relative au management des risques numériques doit développer trois valeurs fondamentales : la connaissance, l’agilité et l’engagement.

EBIOS Risk Manager offre une compréhension et une responsabilité partagées des risques numériques entre décideurs et les acteurs opérationnels pour y parvenir. L’objectif est de permettre aux dirigeants d’appréhender correctement ces risques, au même titre que d’autres de nature stratégique, financière, juridique, d’image, de ressources humaines, etc.).

La méthode EBIOS, méthode d’analyse de risque française de référence, permet aux organisations de réaliser une appréciation et un traitement des risques. Mais face au bouleversement numérique, une modernisation de cette démarche s’avère indispensable, pour prendre en compte l’environnement actuel (systèmes interconnectés, prolifération de la menace, état de l’art et règlementation plus matures, connaissance de la menace).
L’ANSSI a fait évoluer sa méthode initiale en tenant compte des nombreux retours d’expérience tout en faisant converger concepts et normes internationales relatives au système de management de la sécurité de l’information.

La méthode EBIOS RM se distingue par une approche qui réalise une synthèse entre conformité et scénarios. Elle se fonde sur un socle de sécurité solide, construit grâce à une approche par conformité. La démarche par scénarios vient solliciter ce socle face à des menaces particulièrement ciblées ou sophistiquées, qui prennent en compte l’écosystème métier et technique dans lequel l’organisation ciblée évolue.
Télécharger le guide et les fiches Ebios RM

La méthode en cinq ateliers

La méthode EBIOS RM adopte une approche de management du risque qui part du plus haut niveau (grandes missions de l’objet étudié) pour s’intéresser progressivement aux éléments métier et techniques, en étudiant les chemins d’attaque possibles.

Elle vise à obtenir une synthèse entre « conformité » et « scénarios » par le repositionnement de ces deux approches complémentaires là où elles apportent le plus de valeur ajoutée.

Selon EBIOS RM, l’appréciation des risques par scénarios se concentre donc sur les menaces intentionnelles et ciblées.

Une démarche collaborative et agile

La nouvelle méthode d’analyse de risque EBIOS Risk Manager est un outil pratique, pédagogique et collaboratif pour intégrer le numérique dans le management des risques.

EBIOS Risk Manager est une méthode conçue pour être éprouvée, améliorée et discutée. En un mot, elle doit continuer de vivre et évoluer au contact d’une large communauté d’utilisateurs, déjà engagée dans cette démarche.

Dans ce contexte, le club EBIOS et le CLUSIF (ainsi que ses instances régionales en France) sont des partenaires indissociables de cette démarche, garants de la reconnaissance et de l’utilisation de la méthode EBIOS. De même, des partenariats avec d’autres organismes professionnels sont essentiels. EBIOS RM respecte un modèle dynamique qui s’inspire des méthodes de développement agile, en permanence challengées et adaptées aux différents contextes d’emploi par une communauté ouverte, connectée et réactive.


  • Label Ebios RM

    La labellisation EBIOS Risk Manager, menée par l’ANSSI auprès des éditeurs souhaitant outiller la méthode, prévoit l’organisation d’un cadre général d’échange et de conseil avec tout acteur public ou privé désireux de s’associer à cette politique volontariste.
    L’objectif : faciliter la création d’outils conformes aux attentes sur le plan méthodologique, pour permettre aux utilisateurs de s’approprier les concepts et de réaliser des analyses de risques de bout en bout.
    En savoir plus


  • Formation à Ebios

    Prochainement : Une formation à la méthode EBIOS Risk Manager contenant les objectifs pédagogiques et la méthode d’apprentissage sera dispensée dans le cadre des cours du CFSSI.
    Pour accompagner le développement de la méthode EBIOS RM, des kits de formation à destination d’un réseau de formateurs externes, tant en France qu’à l’international, seront mis à disposition.

    Prochainement


  • Club EBIOS

    EBIOS Risk Manager s’appuie sur une communauté d’acteurs engagés qui fait vivre la méthode. C’est pourquoi l’ANSSI travaille étroitement avec le Club EBIOS pour animer ce groupe d’utilisateurs à travers une plate-forme dédiée à la méthode.
    Instance d’échange et de coopération, elle fédère les utilisateurs et valorise les différents travaux réalisés autour d’EBIOS, en les rassemblant selon un processus collaboratif pour les proposer aux utilisateurs.
    En savoir plus

Historique & héritage d’ebios rm

La première version de la méthode EBIOS remonte à 1995, soit à peine cinq ans après l’annonce publique de création du World Wide Web.
Une première actualisation d’EBIOS a été réalisée en 2004, puis une évolution significative en 2010.
L’ANSSI a élaboré la version 2010 de la méthode EBIOS, avec le soutien du Club EBIOS, pour prendre en compte les retours d’expérience et les évolutions normatives et réglementaires. Elle introduisait aussi les concepts de biens essentiels et d’événements redoutés pour apprécier les risques de sécurité de l’information au niveau des activités de l’organisation et non plus seulement au niveau technique.

EBIOS Risk Manager est issue de cet héritage. Fruit d’une collaboration étroite, elle positionne pleinement la sécurité numérique au niveau des enjeux stratégiques et opérationnels des organisations. Elle offre ainsi un véritable cadre en matière de management du risque numérique.