EBIOS RM (Expression des Besoins et Identification des Objectifs de Sécurité)

Méthode française d'analyse et d'évaluation des risques cybernétiques centrée sur le risque métier.

1. Définition

EBIOS Risk Manager est la méthode d'analyse et d’évaluation des risques cybernétiques créée et maintenue par l'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information) en France.

2. Description / Fonctionnement

La méthode complète se déroule en 5 ateliers séquentiels animés avec les différentes parties prenantes : 1. Cadrage et socle de sécurité : Définir le périmètre de l'étude et s'assurer des pré-requis. Identifier les Valeurs Métier. 2. Sources de risques (SR) : Identifier qui pourrait attaquer (cybercriminel, concurrent...). 3. Scénarios stratégiques : Évaluer les chemins d'attaque macroscopiques. 4. Scénarios opérationnels : Décliner en attaques techniques réelles pour évaluer la vraisemblance. 5. Traitement du risque : Décider si l'on Réduit, Refuse, Transfère ou Accepte le risque.

3. Utilisation / Cas Pratique

Contrairement à un simple scan de vulnérabilités techniques, EBIOS RM est utilisé pour déterminer les mesures de sécurité concrètes à implémenter pour protéger ce qui compte vraiment pour l'organisation (approche par les risques). Elle est souvent exigée pour les projets critiques de l'État ou des OIV.

4. Modifications possibles / Alternatives

Des méthodes alternatives existent au niveau international comme ISO/IEC 27005 (dont EBIOS RM est d'ailleurs une déclinaison compatible), ou encore la méthode OCTAVE ou FAIR. La rigueur des ateliers peut être allégée (mode "Flash") pour des petits projets.

5. Exemples visuels et Liens utiles

Pour plus d'informations et télécharger les guides officiels, consultez le site de l'ANSSI ou le Club EBIOS.