Management du risque : obsolescence de la méthode EBIOS 2010


EBIOS 2010 tire sa révérence après plus de 12 ans de bons et de loyaux services. Face à l’évolution des menaces et des méthodes d’attaque, ainsi qu’à l’interconnexion grandissante des systèmes d’information et la prise en compte de leur écosystème, EBIOS 2010 n’est plus la méthodologie d’analyse de risques privilégiée pour permettre aux organisations d’appréhender la complexité des risques portant sur la sécurité des systèmes d’information (SSI), ni de prendre en compte des scénarios d’attaque complexes.

EBIOS 2010 est, de fait, devenu obsolète et n’est désormais plus préconisé, ni soutenue par l’ANSSI.

D’EBIOS 2010 à EBIOS Risk Manager

Nouvelle déclinaison de la méthodologie d’analyse de risque de l’ANSSI, EBIOS Risk Manager (EBIOS RM) permet une approche efficace plutôt qu’exhaustive rompant avec les méthodes d’analyse de risque quantitatives traditionnelles par l’introduction de nouveaux axes d’étude :

  • l’analyse se focalise sur les risques intentionnels et numériques ;
  • elle combine l’étude de scénarios de menaces ciblées en complément de la conformité aux cadres règlementaires ;
  • l’écosystème est pris en compte dans la construction des scénarios d’attaque ;
  • l’analyse est réalisée à la fois selon le point de vue de l’organisation et de l’attaquant.

Démarche adaptable et collaborative faisant intervenir la direction, les métiers et les équipes SSI, EBIOS RM est un véritable outil de management du risque numérique qui remet en avant la gouvernance dans les phases de décision et qui offre une compréhension partagée des risques cyber entre les décideurs et les opérationnels.