La méthode EBIOS Risk Manager

La méthode de référence française EBIOS accompagne les organisations pour identifier et comprendre les risques numériques qui leurs sont propres.

Publié le 18 Juillet 2022 Mis à jour le 26 Février 2024

Elle permet de déterminer les mesures de sécurité adaptées à la menace et de mettre en place le cadre de suivi et d’amélioration continue à l’issue d’une analyse de risque partagée au plus haut niveau.

Qu'est-ce que la méthode EBIOS Risk Manager ?

Comprendre pour décider 

Pour assurer ses missions, l’organisation relative au management des risques numériques doit développer trois valeurs fondamentales : la connaissance, l’agilité et l’engagement.

EBIOS Risk Manager offre une compréhension et une responsabilité partagées des risques numériques entre décideurs et les acteurs opérationnels pour y parvenir. L’objectif est de permettre aux dirigeants d’appréhender correctement ces risques, au même titre que d’autres de nature stratégique, financière, juridique, d’image, de ressources humaines, etc.).

La méthode EBIOS, méthode d’analyse de risque française de référence, permet aux organisations de réaliser une appréciation et un traitement des risques. Mais face au bouleversement numérique, une modernisation de cette démarche s’avère indispensable, pour prendre en compte l’environnement actuel (systèmes interconnectés, prolifération de la menace, état de l’art et règlementation plus matures, connaissance de la menace).
L’ANSSI a fait évoluer sa méthode initiale en tenant compte des nombreux retours d’expérience tout en faisant converger concepts et normes internationales relatives au système de management de la sécurité de l’information.

La méthode EBIOS Risk Manager se distingue par une approche qui réalise une synthèse entre conformité et scénarios. Elle se fonde sur un socle de sécurité solide, construit grâce à une approche par conformité. La démarche par scénarios vient solliciter ce socle face à des menaces particulièrement ciblées ou sophistiquées, qui prennent en compte l’écosystème métier et technique dans lequel l’organisation ciblée évolue.

La méthode en cinq ateliers

La méthode EBIOS Risk Manager adopte une approche de management du risque qui part du plus haut niveau (grandes missions de l’objet étudié) pour s’intéresser progressivement aux éléments métier et techniques, en étudiant les chemins d’attaque possibles.

Elle vise à obtenir une synthèse entre « conformité » et « scénarios » par le repositionnement de ces deux approches complémentaires là où elles apportent le plus de valeur ajoutée.

Selon EBIOS Risk Manager, l’appréciation des risques par scénarios se concentre donc sur les menaces intentionnelles et ciblées.

Le premier atelier vise à identifier l’objet de l’étude, les participants aux ateliers et le cadre temporel. Au cours de cet atelier, vous recensez les missions, valeurs métier et biens supports relatifs à l’objet étudié. Vous identifiez les événements redoutés associés aux valeurs métier et évaluez la gravité de leurs impacts. Vous définissez également le socle de sécurité et les écarts.

Les objectifs de l'atelier 

Le but de ce premier atelier est de définir le cadre de l’étude, son périmètre  métier et technique, les événements redoutés associés et le socle de sécurité.
Cet atelier est un prérequis à la réalisation d’une appréciation des risques. La période à considérer pour cet atelier est celle du cycle stratégique.

Les participants à l'atelier 

  • Direction ;
  • Métiers ;
  • Responsable de la sécurité des systèmes d’information (RSSI) ;
  • Direction des systèmes d’information (DSI).

Dans le deuxième atelier, vous identifiez et caractérisez les sources de risque(SR) et leurs objectifs de haut niveau, appelés objectifs visés (OV). Les couples SR/OV jugés les plus pertinents sont retenus au terme de cet atelier. Les résultats sont formalisés dans une cartographie des sources de risque.

Les objectifs de l'atelier 

Le but de l’atelier 2 est d’identifier les sources de risque (SR) et leurs objectifs visés (OV), en lien avec le contexte particulier de l’étude. L’atelier vise à répondre à la question suivante : qui ou quoi pourrait porter atteinte  aux missions et valeurs métier identifiées dans l’atelier 1, et dans quels buts ?
Les sources de risque et les objectifs visés sont ensuite caractérisés et évalués en vue de retenir les plus pertinents. Ils seront utiles à la construction des scénarios des ateliers 3 et 4.

Les participants à l'atelier 

  • Direction (au minimum lors de la dernière étape de l’atelier) ;
  • Métiers ;
  • RSSI ;
  • Un spécialiste en analyse de la menace numérique complètera éventuellement votre groupe de travail, selon le niveau de connaissance de l’équipe et le niveau de précision souhaité.

Dans l’atelier 3, vous allez acquérir une vision claire de l’écosystème et établir une cartographie de menace numérique de celui-ci vis-à-vis de l’objet étudié. Ceci va vous permettre de bâtir des scénarios de haut niveau, appelés scénarios stratégiques. Ils représentent les chemins d’attaque qu’une source de risque est susceptible d’emprunter pour atteindre son objectif. Ces scénarios se conçoivent à l’échelle de l’écosystème et des valeurs métier de l’objet étudié. Ils sont évalués en termes de gravité. À l’issue de cet atelier, vous pouvez déjà définir des mesures de sécurité sur l’écosystème.

Les objectifs de l'atelier 

L’écosystème comprend l’ensemble des parties prenantes qui gravitent autour de l’objet de l’étude et concourent à la réalisation de ses missions (partenaires, sous-traitants, filiales, etc.). De plus en plus de modes opératoires d’attaque exploitent les maillons les plus vulnérables de cet écosystème pour atteindre leur objectif (exemple : atteinte à la disponibilité d’un service en attaquant le fournisseur de service en nuage, piège de la chaîne logistique d’approvisionnement de serveurs facilitant l’exfiltration de données sensibles).
L’objectif de l’atelier 3 est de disposer d’une vision claire de l’écosystème, afin d’en identifier les parties prenantes les plus vulnérables. Il s’agit ensuite
de bâtir des scénarios de haut niveau, appelés scénarios stratégiques. Ces derniers sont autant de chemins d’attaque que pourrait emprunter une source de risque pour atteindre son objectif (i.e. un des couples SR/OV sélectionnés lors de l’atelier 2).
L’atelier 3 est à aborder comme une étude préliminaire de risque. Il peut conduire à identifier les mesures de sécurité à appliquer vis-à-vis de l’écosystème. Les scénarios stratégiques retenus dans l’atelier 3 constituent la base des scénarios opérationnels de l’atelier 4.

Les participants à l'atelier 

  •  Métiers ;
  • Architectes fonctionnels ;
  • RSSI ;
  • Un spécialiste en cybersécurité complètera éventuellement votre groupe
    de travail, selon le niveau de connaissance de l’équipe et le degré d’affinement
    visé.

Le but de l’atelier 4 est de construire des scénarios techniques reprenant les modes opératoires susceptibles d’être utilisés par les sources de risque pour réaliser les scénarios stratégiques. Cet atelier adopte une démarche similaire à celle de l’atelier précédent mais se concentre sur les biens supports critiques. Vous évaluez ensuite le niveau de vraisemblance des scénarios opérationnels obtenus.

Les objectifs de l'atelier 

L’objectif de l’atelier 4 est de construire des scénarios opérationnels. Ils schématisent les modes opératoires que pourraient mettre en œuvre les sources de risque pour réaliser les scénarios stratégiques. Cet atelier adopte une démarche similaire à celle de l’atelier précédent mais se concentre sur les biens supports. Les scénarios opérationnels obtenus sont évalués en termes de vraisemblance. À l’issue de cet atelier, vous allez réaliser une synthèse de l’ensemble des risques de l’étude. La période à considérer pour cet atelier est celle du cycle opérationnel.

Les participants à l'atelier 

  • RSSI ;
  • DSI ;
  • Un spécialiste en cybersécurité complètera éventuellement le groupe  de travail, selon le niveau de connaissance de l’équipe et le degré de  précision souhaité.

Le dernier atelier consiste à réaliser une synthèse de l’ensemble des risques étudiés en vue de définir une stratégie de traitement du risque. Cette dernière est ensuite déclinée en mesures de sécurité inscrites dans un plan d’amélioration continue. Lors de cet atelier, vous établissez la synthèse des risques résiduels et définissez le cadre de suivi des risques.

Les objectifs de l'atelier 

Le but de cet atelier est de réaliser une synthèse des scénarios de risque identifiés et de définir une stratégie de traitement du risque. Cette stratégie aboutit à la définition de mesures de sécurité, recensées dans un plan d’amélioration continue de la sécurité (PACS). Les risques résiduels sont ensuite identifiés ainsi que le cadre de suivi de ces risques.

Les participants à l'atelier 

Les participants sont les mêmes que ceux de l’atelier 1 :

  • Direction ;
  • Métiers ;
  • RSSI ;
  • DSI.

Une démarche collaborative et agile

La nouvelle méthode d’analyse de risque EBIOS Risk Manager est un outil pratique, pédagogique et collaboratif pour intégrer le numérique dans le management des risques.

EBIOS Risk Manager est une méthode conçue pour être éprouvée, améliorée et discutée. En un mot, elle doit continuer de vivre et évoluer au contact d’une large communauté d’utilisateurs, déjà engagée dans cette démarche.

Dans ce contexte, le club EBIOS et le CLUSIF (ainsi que ses instances régionales en France) sont des partenaires indissociables de cette démarche, garants de la reconnaissance et de l’utilisation de la méthode EBIOS. De même, des partenariats avec d’autres organismes professionnels sont essentiels. EBIOS Risk Manager respecte un modèle dynamique qui s’inspire des méthodes de développement agile, en permanence challengées et adaptées aux différents contextes d’emploi par une communauté ouverte, connectée et réactive.

La labellisation EBIOS Risk Manager, menée par l’ANSSI auprès des éditeurs souhaitant outiller la méthode, prévoit l’organisation d’un cadre général d’échange et de conseil avec tout acteur public ou privé désireux de s’associer à cette politique volontariste.
L’objectif : faciliter la création d’outils conformes aux attentes sur le plan méthodologique, pour permettre aux utilisateurs de s’approprier les concepts et de réaliser des analyses de risques de bout en bout.

En savoir plus

Je veux me former : une formation à la méthode EBIOS Risk Manager a été élaborée conjointement par l’ANSSI et le Club EBIOS. Des formations sont d’ores et déjà disponibles tant pour le secteur publique que pour le secteur privé.

Je souhaite devenir formateur : retrouvez toutes les démarches et outils pour les formateurs indépendants ou organismes de formation continue.

En savoir plus

EBIOS Risk Manager s’appuie sur une communauté d’acteurs engagés qui fait vivre la méthode. C’est pourquoi l’ANSSI travaille étroitement avec le Club EBIOS pour animer ce groupe d’utilisateurs à travers une plate-forme dédiée à la méthode.
Instance d’échange et de coopération, elle fédère les utilisateurs et valorise les différents travaux réalisés autour d’EBIOS, en les rassemblant selon un processus collaboratif pour les proposer aux utilisateurs.

En savoir plus

Historique & héritage d'EBIOS RM

La première version de la méthode EBIOS remonte à 1995, soit à peine cinq ans après l’annonce publique de création du World Wide Web.
Une première actualisation d’EBIOS a été réalisée en 2004, puis une évolution significative en 2010.
L’ANSSI a élaboré la version 2010 de la méthode EBIOS, avec le soutien du Club EBIOS, pour prendre en compte les retours d’expérience et les évolutions normatives et réglementaires. Elle introduisait aussi les concepts de biens essentiels et d’événements redoutés pour apprécier les risques de sécurité de l’information au niveau des activités de l’organisation et non plus seulement au niveau technique.

EBIOS Risk Manager est issue de cet héritage. Fruit d’une collaboration étroite, elle positionne pleinement la sécurité numérique au niveau des enjeux stratégiques et opérationnels des organisations. Elle offre ainsi un véritable cadre en matière de management du risque numérique.

Sur le même sujet :