EBIOS Risk Manager (EBIOS RM) est la méthode française de référence pour l'analyse et la gestion des risques numériques. Publiée et maintenue par l'ANSSI (Agence nationale de la sécurité des systèmes d'information), elle est aujourd'hui largement utilisée par les administrations et les entreprises pour identifier, prioriser et traiter leurs risques cyber.
Qu'est-ce qu'EBIOS Risk Manager ?
EBIOS RM est une méthode d'appréciation et de traitement du risque numérique élaborée par l'ANSSI, en collaboration avec le Club EBIOS. Elle propose une approche par scénarios qui part des menaces réelles et des objectifs des attaquants, plutôt que d'une simple liste de vulnérabilités. L'objectif : concentrer les efforts de sécurité là où le risque est le plus élevé pour l'organisation.
Pourquoi l'ANSSI a conçu EBIOS RM
Face à des cybermenaces de plus en plus ciblées, l'ANSSI a fait évoluer l'historique méthode EBIOS vers une approche centrée sur les scénarios d'attaque et la connaissance de la menace. EBIOS RM combine ainsi une vision « conformité » (le socle de sécurité) et une vision « scénarios » (les chemins d'attaque réalistes), pour produire une analyse de risque actionnable et compréhensible par la direction.
Les 5 ateliers d'EBIOS Risk Manager
La méthode de l'ANSSI s'articule autour de cinq ateliers complémentaires :
- ✓Atelier 1 : Cadrage et socle de sécurité, pour définir le périmètre, les valeurs métier, les biens supports et l'écart au socle de sécurité attendu.
- ✓Atelier 2 : Sources de risque, pour identifier les attaquants potentiels et leurs objectifs visés.
- ✓Atelier 3 : Scénarios stratégiques, pour cartographier les chemins d'attaque de haut niveau via l'écosystème et les parties prenantes.
- ✓Atelier 4 : Scénarios opérationnels, pour détailler techniquement les modes opératoires des attaquants.
- ✓Atelier 5 : Traitement du risque, pour décider des mesures de sécurité, du risque résiduel et du plan d'amélioration continue.
Une méthode itérative : le cycle EBIOS RM
EBIOS RM n'est pas un exercice ponctuel mais un cycle itératif. L'analyse se révise régulièrement pour intégrer l'évolution de la menace, des projets et du système d'information. Ce caractère cyclique permet de maintenir une vision à jour du risque et d'alimenter en continu le pilotage de la sécurité, en cohérence avec le système de management de la sécurité de l'information.
EBIOS RM, ISO 27001 et ISO 27005
La méthode de l'ANSSI est pleinement compatible avec les normes internationales. EBIOS RM peut servir de méthode d'appréciation des risques dans le cadre d'un SMSI ISO 27001, et s'aligne avec les principes de gestion des risques de l'ISO 27005. C'est un atout pour les organisations qui visent une certification tout en s'appuyant sur un référentiel reconnu par l'ANSSI.
Quand utiliser EBIOS RM ?
- ✓Pour l'homologation de sécurité d'un système (souvent exigée dans le secteur public).
- ✓Pour alimenter l'analyse de risques d'un SMSI ISO 27001 ou d'une démarche NIS2.
- ✓Pour évaluer le risque d'un projet sensible, d'une application critique ou d'un nouveau service.
- ✓Pour prioriser les investissements de sécurité sur la base de scénarios réalistes.
Cyber-SSI vous accompagne sur EBIOS RM
Nos experts animent vos ateliers EBIOS Risk Manager, formalisent l'analyse de risque selon la méthode de l'ANSSI et la traduisent en un plan de traitement concret et priorisé.
EBIOS Risk Manager apporte une analyse de risque crédible, partageable et alignée sur les attentes de l'ANSSI. Bien menée, elle devient un véritable outil de pilotage de la cybersécurité, et non un document qui dort dans un tiroir.
Pour aller plus loin
Conformité →