Quels sont les 5 ateliers d'EBIOS RM ?

La méthode est structurée en 5 ateliers successifs à mener avec les parties prenantes. Atelier 1 - Cadrage et socle de sécurité : définir le périmètre (métier et technique), identifier les valeurs métier (processus, données, services essentiels), les biens supports (SI, infra), les événements redoutés, et évaluer le socle de sécurité existant. Produit une cartographie initiale. Atelier 2 - Sources de risque et objectifs visés : identifier les sources de risque pertinentes (étatique, cybercriminel, concurrent, activiste, interne malveillant, terroriste, etc.) et leurs objectifs plausibles (espionnage, sabotage, gain financier, notoriété). Couples source/objectif priorisés. Atelier 3 - Scénarios stratégiques : construire les scénarios de haut niveau décrivant les chemins d'attaque à travers l'écosystème (parties prenantes, fournisseurs). Qui attaque quoi via qui. Évaluation du niveau de gravité. Atelier 4 - Scénarios opérationnels : décliner les scénarios stratégiques en modes opératoires techniques concrets, en utilisant potentiellement MITRE ATT&CK. Évaluation de la vraisemblance et du niveau de risque. Atelier 5 - Traitement du risque : définir les mesures à mettre en œuvre pour réduire, transférer, éviter ou accepter chaque risque. Production du plan de traitement du risque (PTR). Les ateliers sont itératifs et peuvent être raffinés au fil du temps.

Quelle différence entre EBIOS RM et ISO 27005 ?

Deux méthodes complémentaires plutôt que concurrentes. Périmètre et origine : EBIOS RM est française (ANSSI), ISO 27005 est internationale. ISO 27005 est un standard, EBIOS RM est une méthode outillée. Philosophie : ISO 27005 décrit un processus générique de gestion des risques applicable à tout contexte. EBIOS RM fournit une méthode prescriptive détaillée avec ses 5 ateliers. Approche des risques : ISO 27005 raisonne principalement menaces + vulnérabilités + impact. EBIOS RM raisonne par sources de risque et scénarios d'attaque (approche plus proche du threat modeling moderne). Orientation : EBIOS RM plus adaptée aux contextes à risque étatique ou cybercriminel organisé, ISO 27005 plus généraliste. Niveau d'effort : ISO 27005 peut être appliquée avec plus de flexibilité, EBIOS RM demande une méthodologie structurée avec ateliers multi-parties prenantes. Compatibilité : EBIOS RM est explicitement compatible ISO 27005 — la démarche EBIOS peut être utilisée pour démontrer la conformité au processus ISO. Certifications : ISO 27001 (qui s'appuie sur ISO 27005) est la certification internationale reconnue. EBIOS RM n'est pas une certification mais une méthodologie. En pratique : organisations françaises utilisant ISO 27001 peuvent utiliser EBIOS RM comme méthode d'appréciation des risques pour satisfaire l'exigence ISO. Beaucoup de RSSI français utilisent les deux selon le contexte.

EBIOS RM : méthode française d'analyse des risques (ANSSI)

Q: Qu'est-ce qu'EBIOS RM ?

EBIOS RM (Expression des Besoins et Identification des Objectifs de Sécurité — Risk Manager) est la méthode française de référence pour l'analyse et la gestion des risques cyber. Elle est publiée et maintenue par l'ANSSI. La version actuelle EBIOS Risk Manager a été publiée en octobre 2018, succédant à EBIOS 2010. Elle structure la démarche d'analyse en 5 ateliers successifs : 1) Cadrage et socle de sécurité, 2) Sources de risque, 3) Scénarios stratégiques, 4) Scénarios opérationnels, 5) Traitement du risque. Ce qui la distingue : approche par scénarios de risques concrets (qui attaque, pourquoi, comment), implication des métiers (pas juste une méthode d'expert SSI), articulation stratégique + opérationnel, et compatibilité ISO 27005. Utilisée pour homologation de systèmes SSI (obligation pour certains systèmes sensibles de l'État et OIV), analyses d'impact sur la protection des données (AIPD) exigées par le RGPD, cartographies de risques dans le cadre de NIS2. Gratuite, documentée en français, EBIOS RM est enseignée dans la plupart des formations SSI françaises et demandée dans les appels d'offres publics.

Q: EBIOS RM est-il obligatoire ?

Pas au sens strict — aucune loi n'impose EBIOS RM comme méthode unique. Mais elle est quasi-obligatoire dans plusieurs contextes réglementaires français. Homologation SSI : pour les systèmes de l'État, des OIV, et certains systèmes soumis à la loi de programmation militaire, l'ANSSI exige une analyse de risques formelle qui utilise généralement EBIOS RM. NIS2 : la loi française de transposition demande une gestion des risques cyber structurée. EBIOS RM est la méthode la plus largement proposée et acceptée par les auditeurs. Marchés publics : les cahiers des charges pour projets sensibles demandent souvent explicitement une analyse EBIOS. RGPD et AIPD : l'analyse d'impact sur la protection des données exigée par l'article 35 du RGPD pour les traitements à risque peut utiliser EBIOS. La CNIL propose une articulation avec EBIOS. Alternative ISO 27005 : méthode internationale compatible, acceptée dans la plupart des contextes. Beaucoup d'organisations françaises utilisent EBIOS RM en France et ISO 27005 à l'international. En pratique pour une PME ou entreprise moyenne : aucune obligation légale directe, mais EBIOS RM est bien documentée, gratuite, formatée pour le contexte français, et reconnue par l'écosystème.

Publication: Octobre 2018 par l'ANSSI — version antérieure EBIOS 2010
Auteur: ANSSI + Club EBIOS (communauté d'utilisateurs)
Accessibilité: Gratuite, publiée en français sur cyber.gouv.fr
Structure: 5 ateliers successifs
Compatibilité: Compatible ISO 27005, articulable avec NIST RMF
Usages typiques: Homologation SSI, AIPD RGPD, analyses NIS2

01 — DéfinitionQu'est-ce qu'EBIOS RM ?

Source officielle : page EBIOS RM (ANSSI).

EBIOS RM (Expression des Besoins et Identification des Objectifs de Sécurité — Risk Manager) est la méthode française de référence pour l'analyse et la gestion des risques cyber. Elle est publiée et maintenue par l'ANSSI.

Historique

1995 : première version d'EBIOS publiée par la DCSSI (ancêtre de l'ANSSI).
2004 : EBIOS v2.
2010 : EBIOS 2010 — méthode d'analyse classique (menaces / vulnérabilités / impacts).
Octobre 2018 : publication d'EBIOS Risk Manager — refonte majeure, approche par scénarios.
2020-2026 : mises à jour régulières du guide, enrichissement des exemples et outillages.

Ce qui distingue EBIOS RM

Approche par scénarios : on raisonne en « qui attaque pour quoi et comment », plus proche du threat modeling moderne que de l'ancien modèle menaces × vulnérabilités.
Implication des métiers : les ateliers associent RSSI, métier, direction. Pas juste une méthode d'expert SSI isolé.
Stratégique + opérationnel : articulation entre vue haut niveau (qui attaque qui) et vue technique (par quel chemin).
Écosystème pris en compte : intègre explicitement les parties prenantes (fournisseurs, prestataires) dans l'analyse.
Compatibilité ISO 27005 : utilisable pour satisfaire les exigences de gestion des risques d'ISO 27001.
Gratuite et en français : accessible à tous.

Objectifs de la méthode

Identifier et évaluer les risques cyber pesant sur un SI ou une organisation.
Produire un plan de traitement du risque argumenté.
Permettre des arbitrages éclairés par la direction (accepter, réduire, transférer, éviter).
Fournir une traçabilité des décisions pour les audits et homologations.
Nourrir l'homologation SSI du système.

Publications officielles

Guide EBIOS RM : document principal publié par l'ANSSI, ~100 pages.
Fiches méthode complémentaires : cas d'usage, exemples sectoriels.
Bases de connaissance : sources de risque, couples source/objectif, biens supports types.
Club EBIOS : communauté d'utilisateurs qui enrichit la méthode par retour d'expérience.

EBIOS RM a introduit en France une approche des risques qui ressemble au threat modeling moderne : moins focalisée sur la liste exhaustive de menaces théoriques, plus ancrée dans des scénarios d'attaque plausibles racontés de bout en bout. Un changement de paradigme qui aligne la pratique française avec les standards internationaux récents.

02 — ConceptsVocabulaire de la méthode

Valeur métier

Ce qui a de la valeur pour l'organisation et qu'il faut protéger : processus métier, services rendus, données stratégiques, réputation, continuité d'activité. On ne sécurise pas un serveur pour le principe, on sécurise ce qu'il porte pour le métier.

Bien support

Élément technique ou organisationnel sur lequel repose une valeur métier : serveurs, applications, bases de données, réseau, personnel, contrats, sites physiques.

Événement redouté (ER)

Conséquence dommageable que l'organisation veut éviter sur une valeur métier. Typiquement une atteinte à : confidentialité, intégrité, disponibilité (triade CIA), traçabilité. Exemple : « fuite de la base clients », « indisponibilité de la plateforme de production >4h ».

Source de risque (SR)

Entité qui pourrait déclencher un scénario de risque. Classification typique :

État / services de renseignement : espionnage stratégique, sabotage.
Cybercriminels organisés : ransomware, fraude.
Concurrent : espionnage économique.
Activiste / hacktiviste : défacement, DDoS idéologique.
Terroriste : atteinte à la vie humaine.
Interne malveillant : salarié frustré, prestataire compromis.
Script kiddie : opportuniste peu qualifié.

Objectif visé (OV)

Ce que cherche à obtenir la source de risque. Exemples : gain financier, accès à des informations sensibles, destruction, sabotage, revendication idéologique, préjudice de réputation. Le couple Source × Objectif est central dans EBIOS RM.

Partie prenante

Acteur de l'écosystème susceptible d'être exploité comme vecteur d'attaque indirect : fournisseurs, sous-traitants, partenaires, filiales, clients privilégiés. Cœur de la problématique supply chain moderne.

Scénario stratégique

Chemin d'attaque de haut niveau décrivant comment une source de risque atteint son objectif à travers l'écosystème. Exemple : « Un cybercriminel organisé compromet le prestataire d'infogérance X pour déployer un ransomware sur le SI de production de l'entreprise Y ».

Scénario opérationnel

Déclinaison technique d'un scénario stratégique en modes opératoires. Utilise souvent MITRE ATT&CK. Exemple : Initial Access via phishing → Privilege Escalation via exploit local → Lateral Movement via RDP → Impact par ransomware LockBit.

Gravité et vraisemblance

Deux dimensions d'évaluation :

Gravité : niveau de dommage si le scénario se réalise (mineur, significatif, critique, catastrophique).
Vraisemblance : probabilité que le scénario se réalise (peu vraisemblable → maximal).

Le niveau de risque combine les deux.

Traitement du risque

Quatre options classiques :

Éviter : supprimer la source du risque (ne pas faire le projet, par exemple).
Réduire : mettre en place des mesures de sécurité pour diminuer gravité ou vraisemblance.
Transférer : déplacer le risque via assurance, sous-traitance, contrat.
Accepter : prendre le risque en connaissance de cause (décision documentée).

Socle de sécurité

Mesures de sécurité minimales déjà applicables à l'organisation (hygiène informatique ANSSI, bonnes pratiques, mesures réglementaires). Définit le point de départ avant analyse des risques spécifiques.

03 — AteliersLa méthode en 5 étapes

Atelier 1 — Cadrage et socle de sécurité

Objectif : poser les fondations de l'analyse.

Périmètre métier : quel service, processus, activité analyse-t-on ?
Périmètre technique : quels systèmes, applications, réseaux sont concernés ?
Participants et gouvernance : qui participe, qui décide, qui valide.
Identification des valeurs métier : processus, informations, services essentiels.
Identification des biens supports : éléments techniques et organisationnels porteurs.
Événements redoutés : conséquences dommageables sur les valeurs métier, avec échelle de gravité.
Socle de sécurité : évaluation des mesures déjà en place.

Livrable : cartographie des valeurs, biens et socle + échelles d'évaluation.

Atelier 2 — Sources de risque et objectifs visés

Objectif : identifier les adversaires pertinents.

Revue des catégories de sources de risque.
Sélection des sources pertinentes pour l'organisation (toutes ne sont pas d'égale importance).
Identification des objectifs plausibles de chaque source.
Construction de la matrice sources × objectifs.
Priorisation des couples les plus critiques.

Livrable : liste priorisée des couples source/objectif à analyser plus finement.

Atelier 3 — Scénarios stratégiques

Objectif : construire les chemins d'attaque de haut niveau.

Identification des parties prenantes de l'écosystème.
Évaluation du niveau de menace de chaque partie prenante.
Construction des scénarios stratégiques : qui, passant par où, fait quoi.
Évaluation de la gravité de chaque scénario.
Sélection des scénarios à analyser plus finement (priorisation par gravité).

Livrable : cartographie des scénarios stratégiques avec gravité.

Atelier 4 — Scénarios opérationnels

Objectif : décliner les scénarios stratégiques en modes opératoires techniques concrets.

Détail des étapes d'attaque pour chaque scénario stratégique retenu.
Utilisation fréquente de MITRE ATT&CK pour standardiser le vocabulaire.
Évaluation de la vraisemblance.
Calcul du niveau de risque : gravité × vraisemblance.

Livrable : scénarios opérationnels détaillés avec niveau de risque.

Atelier 5 — Traitement du risque

Objectif : définir les mesures à prendre.

Pour chaque risque significatif : stratégie de traitement (éviter, réduire, transférer, accepter).
Définition des mesures de sécurité à mettre en œuvre.
Évaluation du risque résiduel après traitement.
Acceptation formelle du risque résiduel par la direction.
Construction du plan de traitement du risque (PTR).

Livrable : PTR détaillé, validation de la direction, base pour la phase de mise en œuvre.

Démarche itérative

La méthode est itérative : les ateliers peuvent être revisités en fonction des découvertes. Une analyse initiale complète peut prendre de quelques jours (périmètre restreint) à plusieurs mois (SI complexe, multi-entités). L'analyse doit ensuite être mise à jour régulièrement (évolutions du SI, nouvelles menaces, incidents).

04 — UsageEn pratique dans une organisation

Quand lancer une analyse EBIOS RM ?

Nouveau projet : SI sensible, application critique, transformation numérique.
Homologation : obligation pour systèmes de l'État, OIV, produits soumis à la LPM.
AIPD RGPD : traitements à risque nécessitant une analyse d'impact.
NIS2 : entités essentielles/importantes qui structurent leur gestion des risques.
Changement significatif : migration cloud, acquisition, incident majeur.
Audit / contrôle : préparation d'une inspection ANSSI, certification ISO 27001.

Profils impliqués

Pilotage : RSSI / CISO, responsable méthode.
Métier : direction métier, responsables de processus, utilisateurs clés.
Technique : architectes SI, administrateurs, équipes sécu opérationnelle.
Risques : responsable risques, audit interne.
Juridique / conformité : DPO, responsable conformité.
Direction : validation des arbitrages, acceptation des risques.
Prestataires externes : PACS (Prestataires d'Accompagnement et de Conseil SSI) pour les organisations manquant de ressources internes.

Outillage

Tableur type Excel : pour analyses simples. Modèles disponibles sur cyber.gouv.fr et Club EBIOS.
Outils dédiés : Agile Risk Manager (édition française), EgosecURE, EBIOS Open, RM-Studio, et des modules de GRC (Archer, ServiceNow GRC).
GitHub : modèles open source communautaires.
Formation : CFSSI (centre de formation ANSSI), organismes de formation (SANS, XTS, Lexfo, etc.).

Durée typique

Analyse simple (application ciblée, PME) : 5-10 jours hommes, ateliers étalés sur 2-4 semaines.
Analyse moyenne (SI métier, ETI) : 15-30 jours hommes, 2-3 mois d'exécution.
Analyse complexe (SI critique, OIV) : 60-100+ jours hommes, 6 mois à 1 an avec mise à jour périodique.

Coûts typiques

Pour des prestations externes PACS :

Analyse simple : 15-40 k€.
Analyse moyenne : 40-100 k€.
Analyse complexe : 100-300 k€ et au-delà.

Les organisations internalisant la méthode réduisent fortement ces coûts mais doivent former leurs équipes (quelques jours de formation + expérience à acquérir).

Bonnes pratiques

Impliquer les métiers dès le début : EBIOS RM ne fonctionne pas en silo SSI.
Utiliser les bases de connaissance : ne pas réinventer les sources de risque et couples standards.
Prioriser : pas tout analyser à la même profondeur, focus sur les scénarios critiques.
Documenter les choix : traçabilité des décisions (pourquoi on écarte un scénario, pourquoi on accepte un risque).
Itérer : une première version imparfaite vaut mieux qu'une analyse parfaite jamais finalisée.
Mettre à jour : revoir l'analyse à chaque changement majeur, minimum annuellement.
Intégrer MITRE ATT&CK pour les scénarios opérationnels : langage commun avec SOC/CTI.

05 — ComparaisonEBIOS RM face aux autres méthodes

ISO 27005 — standard international

Standard ISO accompagnant ISO 27001 (certification SMSI).
Cadre générique, peu prescriptif sur la méthode.
Approche classique : menaces × vulnérabilités × actifs → risques.
Compatible EBIOS RM : on peut utiliser EBIOS pour satisfaire ISO 27005.
International, reconnu partout.

NIST RMF — Risk Management Framework

Standard américain du NIST (SP 800-37).
Cadre pour les systèmes fédéraux US, largement adopté aussi en entreprise.
Approche en 7 étapes : Categorize, Select, Implement, Assess, Authorize, Monitor, Prepare.
Plus orienté conformité et contrôles que scénarios d'attaque.
Complémentaire de NIST CSF (Cybersecurity Framework).

FAIR — Factor Analysis of Information Risk

Méthode quantitative du risque cyber (chiffrage financier).
Développée par Jack Jones, popularisée depuis 2005.
Complémentaire d'EBIOS ou ISO, non concurrente.
Utilisée pour justifier les investissements sécurité en ROI.

OCTAVE — Operationally Critical Threat, Asset, Vulnerability Evaluation

Méthode du SEI/Carnegie Mellon (USA).
Approche self-assessment par les équipes internes.
Moins utilisée que les autres, citée historiquement.

MEHARI — CLUSIF

Méthode française historique du CLUSIF.
Plus outillée et prescriptive qu'EBIOS.
Moins utilisée aujourd'hui en contexte ANSSI / marchés publics — EBIOS RM a pris le dessus.

Méthodes agiles / threat modeling

STRIDE (Microsoft) : threat modeling orienté développement.
DREAD : scoring des menaces.
PASTA : Process for Attack Simulation and Threat Analysis.
LINDDUN : threat modeling orienté privacy.
Trike, OCTAVE Allegro : variantes légères.

Ces approches sont complémentaires : le threat modeling applicatif (STRIDE, PASTA) s'articule bien avec les scénarios opérationnels d'EBIOS RM.

Quelle méthode choisir ?

Contexte français (État, OIV, NIS2) : EBIOS RM.
Certification ISO 27001 : ISO 27005 (potentiellement via EBIOS).
Contexte américain / international : NIST RMF + CSF.
Quantification financière : FAIR en complément.
Threat modeling applicatif : STRIDE, PASTA.
Privacy / RGPD : EBIOS RM avec articulation AIPD ou LINDDUN.

En pratique, les grandes organisations combinent plusieurs méthodes selon le contexte.

06 — ObligationsContextes où EBIOS est demandé

Homologation SSI

Obligatoire pour :

Systèmes de l'État traitant des informations sensibles.
Systèmes d'information d'OIV soumis à la LPM.
Certaines infrastructures soumises à contrôle ANSSI.
Projets publics avec exigences SSI.

L'analyse de risques (généralement EBIOS RM) est une brique essentielle du dossier d'homologation.

NIS2

La directive NIS2 et sa transposition en loi française (30 avril 2025) demandent aux entités essentielles et importantes :

Gestion des risques cyber structurée.
Analyse de risques documentée.
Plan de traitement avec mesures appropriées.

EBIOS RM est la méthode la plus largement proposée et acceptée par les auditeurs et l'ANSSI pour satisfaire ces exigences.

RGPD et AIPD

L'article 35 du RGPD exige une analyse d'impact sur la protection des données (AIPD) pour les traitements susceptibles d'engendrer un risque élevé. EBIOS RM peut être utilisé pour structurer cette analyse, avec articulation recommandée par la CNIL.

Marchés publics

Les cahiers des charges pour projets sensibles demandent souvent explicitement une analyse de risques EBIOS RM. Les prestataires PACS (Prestataires d'Accompagnement et de Conseil SSI, qualification ANSSI) sont recommandés.

Certifications et référentiels

ISO 27001 : peut utiliser EBIOS RM comme méthode d'analyse des risques.
HDS : demande une analyse des risques formelle.
SecNumCloud : exigences sur la gestion des risques.
DORA : pour le secteur financier, articulation avec les exigences ACPR.

Produits soumis à certification

Les produits de sécurité candidats à la CSPN ou aux Critères Communs doivent présenter une cible de sécurité qui s'appuie sur une analyse de risques. EBIOS RM est l'approche française de référence.

07 — FAQQuestions fréquentes

EBIOS RM est-il gratuit ?

Oui, totalement. Le guide officiel, les bases de connaissance, les fiches méthode sont publiés gratuitement sur le site de l'ANSSI (cyber.gouv.fr). Les modèles Excel du Club EBIOS sont aussi libres. Seuls les outils commerciaux (Agile Risk Manager, etc.) et les prestations de conseil (PACS) sont payants.

Faut-il être certifié pour faire du EBIOS RM ?

Non, aucune certification individuelle n'est requise. Cependant, la certification CLUB EBIOS et des formations dédiées (CFSSI, organismes agréés) sont appréciées et parfois demandées pour des missions sensibles. Pour les cabinets, la qualification PACS (Prestataires d'Accompagnement et de Conseil SSI) délivrée par l'ANSSI est l'équivalent qualité reconnu sur les marchés publics.

Peut-on utiliser EBIOS sur un projet en méthodologie agile ?

Oui, avec adaptation. EBIOS RM est traditionnellement plutôt adapté aux projets avec des phases claires. Pour des projets agiles :

Analyse initiale au début du projet (MVP).
Mises à jour itératives à chaque phase majeure ou release significative.
Articulation avec du threat modeling par user story (STRIDE).
Automatisation partielle via outils GRC pour suivre les évolutions.

Le Club EBIOS et la communauté travaillent activement sur l'intégration d'EBIOS dans les contextes DevSecOps.

Quelle durée pour former un analyste EBIOS RM ?

Formation initiale : 3-5 jours pour les bases, avec exercices pratiques. Premier projet accompagné : 2-6 mois pour monter en autonomie. Expérience confirmée : 2-3 projets complets, soit environ 1-2 ans. Les organismes de formation référencés proposent des cursus complets avec évaluation (CFSSI, SANS avec module français, XTS, Lexfo, etc.).

EBIOS RM couvre-t-il les risques IA ?

Oui, le cadre est applicable. La méthode est neutre technologiquement — les sources de risque, scénarios et biens supports peuvent inclure IA/LLM. L'ANSSI a publié des guides spécifiques pour l'IA (recommandations sur la sécurisation des systèmes IA, guide 2024 sur les LLM en entreprise). EBIOS RM peut intégrer des scénarios comme : prompt injection sur chatbot client, empoisonnement de données d'entraînement, fuite via assistants IA d'entreprise, deepfake dans fraude au président. Complément possible : MITRE ATLAS pour les scénarios opérationnels spécifiques IA.

Peut-on fusionner EBIOS RM et ISO 27005 ?

Oui, c'est même l'approche recommandée pour les organisations françaises certifiées ISO 27001. EBIOS RM est explicitement compatible avec ISO 27005 : la démarche et les livrables satisfont les exigences du standard international. Avantages de la combinaison : reconnaissance internationale (ISO), qualité méthodologique (EBIOS), acceptabilité auprès de l'ANSSI et des auditeurs français. La plupart des grandes ESN et des RSSI d'ETI/grands groupes français utilisent cette combinaison.