EBIOS Risk Manager (EBIOS RM) est la méthode française de référence pour l'appréciation et le traitement des risques cyber. Publiée par l'ANSSI en 2018 et alignée sur la norme ISO/IEC 27005, EBIOS RM est utilisée par les entités publiques françaises, les OIV (Opérateurs d'Importance Vitale), les OSE (Opérateurs de Services Essentiels) et, de plus en plus, par les grandes entreprises cherchant une méthode plus adaptée aux cyber-menaces modernes que les approches historiques.
Ce guide détaille les 5 ateliers de la méthode, les livrables attendus et les erreurs à éviter.
Pourquoi EBIOS RM plutôt qu'une autre méthode ?
EBIOS RM se distingue par trois caractéristiques :
- Approche scénario-centrée — plutôt qu'une liste de menaces génériques, EBIOS RM construit des scénarios de risque réalistes impliquant des sources de risque (attaquants) concrètes
- Prise en compte explicite des écosystèmes — fournisseurs, partenaires, chaînes d'approvisionnement sont traités comme sources potentielles de risque
- Orientation décisionnelle — la méthode produit des options stratégiques pour la direction, pas seulement une liste technique
Comparée à ISO 27005 ou FAIR, EBIOS RM est particulièrement adaptée quand :
- L'organisation est en périmètre réglementaire français (LPM, loi REN, NIS2 transposée)
- Les sources de risque sont identifiables (groupes APT, cybercriminels, initiés)
- Le besoin porte sur la modélisation de scénarios plutôt que la quantification financière
Pour une comparaison méthodologique approfondie, consultez notre article FAIR vs ISO 27005.
Vue d'ensemble des 5 ateliers
| Atelier | Nom | Objectif | Durée indicative |
|---|---|---|---|
| 1 | Cadrage & socle de sécurité | Définir le périmètre + identifier les valeurs métier | 2-5 jours |
| 2 | Sources de risque | Caractériser les attaquants potentiels | 3-5 jours |
| 3 | Scénarios stratégiques | Construire les scénarios macro menace × valeur | 3-5 jours |
| 4 | Scénarios opérationnels | Détailler les chemins d'attaque techniques | 5-10 jours |
| 5 | Traitement du risque | Décider des options de traitement et suivre | 2-5 jours |
Un cycle EBIOS RM complet sur un périmètre moyennement complexe dure 6-12 semaines hors décisionnel direction.
Atelier 1 — Cadrage et socle de sécurité
Objectif
Définir le périmètre de l'étude et identifier les valeurs métier à protéger. C'est la fondation : un cadrage faux rend toute la suite inutile.
Activités
1.1 Définition du périmètre
- Périmètre organisationnel (une filiale, un domaine fonctionnel…)
- Périmètre technique (un système d'information, une application…)
- Périmètre temporel (horizon 3, 5, 10 ans)
1.2 Identification des missions et valeurs métier
Une valeur métier est un élément ayant de l'importance pour l'organisation. Types :
- Processus métier (ex : traitement des commandes clients)
- Informations (ex : bases de données clients, données R&D)
- Actifs techniques essentiels (systèmes qui soutiennent les processus et informations)
Pour chaque valeur métier, documenter :
- Description
- Propriétaire métier
- Missions qu'elle sert
- Sensibilité (échelle DICP : Disponibilité, Intégrité, Confidentialité, Preuve)
1.3 Identification des événements redoutés
Un événement redouté (ER) est un événement indésirable impactant une valeur métier sur une de ses dimensions de sensibilité.
Exemple :
- Valeur métier : « Base de données clients »
- ER1 : Indisponibilité > 4 heures
- ER2 : Divulgation à tiers non autorisés
- ER3 : Modification non autorisée
1.4 Définition du socle de sécurité
Référentiels, politiques, normes auxquels l'organisation est déjà soumise (ISO 27001, RGPD, obligations sectorielles). Le socle fixe un niveau minimum attendu.
Livrable de l'atelier 1
- Note de cadrage
- Cartographie des valeurs métier
- Liste des événements redoutés avec cotation DICP
- Référentiel du socle de sécurité
Atelier 2 — Sources de risque et objectifs visés
Objectif
Identifier qui peut attaquer l'organisation et pourquoi. EBIOS RM se distingue ici par son approche adversaires, pas uniquement menaces.
Activités
2.1 Identification des sources de risque (SR)
Types de sources :
- États et entités étatiques (APT, services de renseignement)
- Organisations criminelles (cybercriminels, ransomware groups)
- Hacktivistes (groupes idéologiques)
- Initiés malveillants (employés, prestataires)
- Concurrents (espionnage industriel)
- Amateurs (script kiddies, opportunistes)
2.2 Détermination des objectifs visés (OV)
Pour chaque source de risque, quels sont ses objectifs ?
- Financiers (rançon, vol, fraude)
- Opérationnels (perturbation, sabotage)
- Stratégiques (espionnage, influence)
- Politiques (déstabilisation, pression)
2.3 Appréciation du couple SR/OV
Pour chaque couple, coter :
- Motivation (faible / significative / forte)
- Ressources (faible / significative / forte)
- Activité (faible / significative / forte)
Un couple SR/OV pertinent est retenu pour les ateliers suivants si son agrégat dépasse un seuil (typiquement "significatif" ou plus).
Livrable de l'atelier 2
- Liste des sources de risque pertinentes
- Liste des objectifs visés
- Cotation des couples SR/OV
- Sélection des couples pertinents pour la suite
Atelier 3 — Scénarios stratégiques
Objectif
Construire des scénarios macro croisant :
- Une source de risque retenue
- Un objectif visé retenu
- Une valeur métier touchée (via son écosystème)
Activités
3.1 Cartographie de l'écosystème
Identifier les tiers (fournisseurs, partenaires, prestataires) qui interagissent avec les valeurs métier. Chaque tiers est un vecteur potentiel d'attaque.
Exemple : un prestataire d'infogérance peut être la cible d'attaque pour atteindre les données de son client.
3.2 Construction des scénarios stratégiques
Un scénario stratégique décrit la chaîne macro : SR → compromet partie prenante → compromet valeur métier.
Exemple :
- SR : Cybercriminel ransomware
- OV : Extorsion financière
- Chaîne : SR → compromet cabinet comptable → compromet base de données financières → blocage comptabilité → rançon
3.3 Évaluation de la gravité
Chaque scénario stratégique est coté en gravité (G1 à G4) selon l'impact sur la valeur métier.
Livrable de l'atelier 3
- Cartographie de l'écosystème
- Liste des scénarios stratégiques retenus
- Cotation de gravité
- Sélection des scénarios à détailler à l'atelier 4
Atelier 4 — Scénarios opérationnels
Objectif
Détailler les chemins d'attaque techniques des scénarios stratégiques retenus. C'est l'atelier le plus technique de la méthode.
Activités
4.1 Construction des scénarios opérationnels
Chaque scénario stratégique est décomposé en actions techniques élémentaires chronologiques :
Exemple (ransomware via cabinet comptable) :
- Phishing ciblé sur cabinet comptable → compromission poste utilisateur
- Escalade de privilèges → compromission compte admin cabinet
- Mouvement latéral → accès réseau client via VPN partagé
- Reconnaissance → identification serveurs clients
- Déploiement ransomware → chiffrement serveurs clients
4.2 Appréciation de la vraisemblance
Pour chaque scénario opérationnel, coter la vraisemblance (V1 à V4) selon :
- Capacités techniques requises
- Ressources requises
- Opportunités (surface d'attaque)
- Couverture des mesures existantes
4.3 Référentiels exploitables
EBIOS RM permet de croiser avec :
- MITRE ATT&CK pour les tactiques/techniques
- CVSS pour les vulnérabilités techniques
- Référentiels menaces spécifiques (ANSSI, Microsoft, CrowdStrike…)
Livrable de l'atelier 4
- Scénarios opérationnels détaillés (chemins d'attaque)
- Cotation de vraisemblance
- Cartographie avec référentiels (MITRE ATT&CK)
- Matrice risques (gravité × vraisemblance)
Atelier 5 — Traitement du risque
Objectif
Pour chaque risque jugé significatif, décider d'un traitement et piloter sa mise en œuvre.
Activités
5.1 Options de traitement
- Éviter — supprimer l'activité à l'origine du risque
- Réduire — mettre en œuvre des mesures (techniques, organisationnelles)
- Transférer — assurance, externalisation
- Accepter — risque résiduel acceptable
5.2 Plan d'action
Pour chaque mesure de réduction :
- Description
- Responsable
- Échéance
- Coût estimé
- Indicateur d'efficacité (KPI/KRI)
5.3 Suivi et révision
- Fréquence de revue des risques (typiquement annuelle ou événementielle)
- Critères de réouverture d'une étude EBIOS RM
- Liens vers le reporting direction
Livrable de l'atelier 5
- Plan de traitement des risques
- Feuille de route des mesures
- KPI/KRI de suivi
- Validation direction
EBIOS RM et autres référentiels
| Référentiel | Articulation avec EBIOS RM |
|---|---|
| ISO 27005 | EBIOS RM est conforme à ISO 27005. Vous pouvez utiliser EBIOS RM pour satisfaire l'exigence d'analyse de risques d'ISO 27001 |
| NIS2 | EBIOS RM est explicitement reconnue par ANSSI comme méthode conforme NIS2 |
| DORA | EBIOS RM peut alimenter l'évaluation DORA, notamment sur le pilier gestion des risques TIC |
| NIST CSF 2.0 | EBIOS RM alimente la fonction "Identify" (ID.RA — Risk Assessment) |
| ISO 22301 | Les scénarios opérationnels EBIOS RM alimentent le BIA |
Erreurs fréquentes en EBIOS RM
1. Périmètre trop large
Vouloir couvrir toute l'organisation en un seul cycle. Préférer des cycles thématiques : « SI de production », « application e-commerce », « écosystème fournisseurs »…
2. Valeurs métier trop génériques
« Les données » ou « le système d'information » ne sont pas des valeurs métier exploitables. Il faut des libellés concrets : « Base clients B2B », « Recettes R&D molécule X », « Plateforme de réservation ».
3. Sources de risque fantaisistes
Cartographier 20 sources de risque pour 2 applications internes est du sur-engineering. Cibler les sources réellement pertinentes selon votre secteur et votre notoriété.
4. Scénarios déconnectés de l'écosystème
Ignorer les prestataires, les chaînes SaaS, les intégrations API est une erreur méthodologique majeure. EBIOS RM a été conçue pour capturer ces dépendances.
5. Ne pas prioriser
Terminer l'atelier 4 avec 150 scénarios opérationnels non priorisés. Forcer une priorisation gravité × vraisemblance et se concentrer sur le top 20.
6. Ne pas relier au plan d'action
Un atelier 5 qui aboutit à « il faut améliorer la sécurité » n'engage personne. Chaque mesure doit avoir un responsable, une échéance et un budget.
Comment ResiPlan opérationnalise EBIOS RM
- Module EBIOS RM structuré par atelier (1 à 5)
- Bibliothèques pré-remplies : sources de risque courantes, objectifs visés, tactiques MITRE ATT&CK
- Matrice gravité × vraisemblance avec visualisation dynamique
- Plan d'action intégré avec workflow responsable/échéance
- Liens vers BIA — les scénarios opérationnels alimentent automatiquement le BIA
- Exports ANSSI-compatibles pour les audits OIV/OSE/NIS2
ResiPlan supporte 36 méthodologies de gestion des risques (EBIOS RM, FAIR, ISO 27005, Bow-Tie, Monte Carlo…) dans un seul outil. Démarrer un essai gratuit.
Conclusion
EBIOS RM est une méthode rigoureuse, scénario-centrée et reconnue par l'ANSSI. Ses 5 ateliers produisent une vision stratégique et opérationnelle des risques cyber, directement utilisable pour arbitrer des investissements sécurité et répondre aux exigences NIS2, DORA, LPM.
La clé du succès : ne pas viser la perfection du premier cycle. Un cycle EBIOS RM itératif — un périmètre limité par an, enrichi chaque année — produit plus de valeur qu'un projet monolithique de 18 mois qui ne voit jamais le jour.
Pour approfondir :