EBIOS Risk Manager — la méthode ANSSI 2026, instrumentée et auditable
Les 5 ateliers EBIOS RM en une plateforme : cadrage, sources de risque, scénarios stratégiques et opérationnels, traitement. Cotation automatique, export du compte rendu, intégration NIS2 / DORA / ISO 27001.
Les 5 ateliers EBIOS RM
Chaque atelier livre un compte rendu signé qui alimente le suivant.
Cadrage et socle de sécurité
Périmètre d'étude, missions, valeurs métiers, biens supports, événements redoutés. Identification du socle de sécurité existant (référentiels, mesures de protection en place). Livrable : note de cadrage + matrice valeurs métiers / biens supports.
Sources de risque et objectifs visés
Cartographie des SR (États, hacktivistes, criminels, concurrence, internes…) et de leurs OV (espionnage, sabotage, gain financier…). Couples SR/OV qualifiés en pertinence. Livrable : registre des couples retenus.
Scénarios stratégiques
Schémas d'attaque de haut niveau : qui attaque, quelle valeur métier touchée, par quel chemin, avec quels dommages collatéraux sur l'écosystème. Cotation gravité × vraisemblance. Livrable : cartographie écosystème + scénarios stratégiques.
Scénarios opérationnels
Détail technique des chemins d'attaque (kill chain MITRE ATT&CK), en passant par les biens supports. Cotation par tronçon. Livrable : scénarios opérationnels avec cotation détaillée.
Traitement du risque
Mesures de sécurité à implémenter, prioritisation, plan d'action, suivi. Stratégie résiduelle (acceptation, transfert, évitement, réduction). Livrable : plan de traitement + risque résiduel acté par la direction.
Cotation des risques (échelle ANSSI)
| Vraisemblance | Description |
|---|---|
| Très élevée (V4) | L'attaquant a les moyens et la motivation, des cas réels documentés. |
| Élevée (V3) | L'attaquant a les moyens, motivation probable, peu d'obstacles. |
| Significative (V2) | L'attaquant pourrait acquérir les moyens et la motivation. |
| Minimale (V1) | Cas exceptionnel, attaquant peu probable ou contrôles forts. |
La gravité (G1 négligeable → G4 catastrophique) suit une échelle parallèle. Le risque résiduel est positionné dans la matrice 4×4 G × V et qualifié.
Référentiels couverts
Questions fréquentes EBIOS RM
Comment faire un compte rendu de l'atelier 1 EBIOS RM ?
Le compte rendu de l'atelier 1 (cadrage et socle) doit contenir : le périmètre d'étude validé, la liste des missions et valeurs métiers identifiées, l'inventaire des biens supports, le socle de sécurité existant (référentiels, contrôles), les événements redoutés priorisés. La signature de la direction métier valide le cadrage avant passage à l'atelier 2. Modèle de compte rendu téléchargeable dans ResiPlan.
Quels sont les schémas d'attaque dans EBIOS RM ?
Les schémas d'attaque (atelier 3) sont des représentations graphiques de haut niveau : qui (source de risque) attaque quoi (valeur métier), par quel chemin écosystème, avec quels dommages collatéraux. Ils sont déclinés ensuite en scénarios opérationnels détaillés (atelier 4) avec MITRE ATT&CK. Voir ResiPlan pour la modélisation visuelle.
Comment coter les risques selon l'ANSSI ?
L'ANSSI propose une cotation Gravité × Vraisemblance sur 4 niveaux chacun (G1–G4 / V1–V4). La gravité reflète l'impact métier (légal, financier, réputation, opérationnel) ; la vraisemblance reflète la capacité et la motivation de l'attaquant face aux contrôles existants. Le risque est positionné dans une matrice 4×4 et qualifié de négligeable, modéré, élevé, critique.
Quels sont les dommages collatéraux et sources de risque dans EBIOS RM ?
Les sources de risque (SR) sont les acteurs susceptibles d'attaquer (États-nations, criminels organisés, hacktivistes, concurrents, internes mécontents…). Les dommages collatéraux désignent les impacts indirects sur l'écosystème métier (fournisseurs, clients, partenaires) qui doivent être pris en compte pour évaluer la gravité réelle d'un scénario.
Existe-t-il une toolbox ANSSI EBIOS RM ?
L'ANSSI fournit le guide PDF officiel + des fiches méthode, mais pas de logiciel intégré. Les outils du marché (ResiPlan, EgeRiS, autres) instrumentent la méthode avec saisie guidée, cotation automatique et export ANSSI. ResiPlan livre nativement les 5 ateliers + cotation + scénarios + export du compte rendu.
EBIOS RM est-il aligné avec ISO 27005 ?
Oui. EBIOS RM v1.5 (2018) est explicitement aligné avec ISO/IEC 27005:2022. La méthode ajoute 2 angles distinctifs : la prise en compte des sources de risque ciblées (intentionnel) et l'analyse écosystème (dommages collatéraux). Pour une certification ISO 27001, EBIOS RM est une démarche acceptée.
Comment des ateliers successifs s'enchaînent-ils dans EBIOS RM ?
Les 5 ateliers sont séquentiels et itératifs. Le compte rendu de chaque atelier alimente le suivant : cadrage → SR/OV → scénarios stratégiques → scénarios opérationnels → traitement. Chaque atelier dure 0,5 à 2 jours selon le périmètre. Une étude EBIOS complète sur un périmètre cible représente 4 à 8 jours de travail répartis sur 1 à 3 mois.
EBIOS RM remplace-t-il MEHARI ?
EBIOS RM et MEHARI coexistent. MEHARI (CLUSIF) est davantage centré sur l'évaluation des contrôles existants ; EBIOS RM est davantage centré sur la modélisation des attaquants et scénarios. ResiPlan supporte les deux méthodes (ainsi que FAIR, ISO 27005, Kinney, Bow-Tie et 31 autres) pour s'adapter à la maturité de votre organisation.
Lancez votre première étude EBIOS RM en 2 jours
Essai gratuit 14 jours. Templates ANSSI pré-câblés, cotation automatique, IA pour rédiger les scénarios stratégiques. Compte rendu prêt à signer.