P.I.L.O.T.E

4 min de lecture

Introduction à EBIOS Risk Manager

Objectifs de la méthode

EBIOS Risk Manager (EBIOS RM – Expression des Besoins et Identification des Objectifs de Sécurité, Risk Manager) est la méthode de référence française en matière d’analyse de risques cyber. Recommandée et maintenue par l’ANSSI, elle poursuit trois grands objectifs :

  1. Identifier et évaluer les risques pesant sur un système, une organisation ou une chaîne de valeur.
  2. Orienter les décisions de sécurité et prioriser les actions de protection.
  3. Créer une dynamique de gouvernance et d’échanges entre les parties prenantes techniques, métiers et direction générale.

Contrairement à de simples méthodes de scoring ou de checklists, EBIOS RM est conçue pour être actionnable dans les environnements réels, en intégrant aussi bien les vulnérabilités techniques que les enjeux stratégiques.

Contexte historique et évolution

La méthode EBIOS a été développée dès 1995 pour répondre aux besoins de l’administration française et des grands industriels. Son orientation initiale était fortement technique et IT, centrée sur l’identification des vulnérabilités et la construction de mesures de protection adaptées.

Cependant, face à la montée en puissance des cyberattaques stratégiques (cybercriminalité organisée, États, groupes APT), cette approche s’est révélée trop limitée. En 2018, l’ANSSI a donc lancé une refonte complète pour donner naissance à EBIOS RM, une méthode tournée vers la compréhension des scénarios adverses, l’intégration de la menace intentionnelle et l’articulation avec les standards internationaux (ISO 27005, NIST RMF, FAIR).

Info

EBIOS RM (2018) n’est pas une simple mise à jour : il s’agit d’une transformation profonde de l’ancienne méthode, visant à rapprocher la gestion des risques cyber des décisions stratégiques de l’entreprise.

Analyse IT vs analyse business

Une distinction essentielle apportée par EBIOS RM est la différence entre :

  • Analyse de risques IT : elle se concentre sur l’identification des vulnérabilités techniques (failles logicielles, défauts de configuration, absence de patchs). Par exemple, détecter qu’un serveur Windows n’a pas été mis à jour est une analyse IT.
  • Analyse de risques business : elle s’intéresse aux impacts organisationnels, financiers et stratégiques. Une faille sur un serveur critique ne représente pas seulement un problème technique : elle peut entraîner une indisponibilité prolongée du service, une perte de confiance des clients, voire des sanctions réglementaires (RGPD, DORA, NIS2).

Cette bascule est au cœur de la démarche EBIOS RM : le RSSI doit passer d’une vision purement technique à une approche intégrée business, alignée sur les enjeux du COMEX.

Exemple historique : Stuxnet (2010)

L’affaire Stuxnet (2010) illustre parfaitement la nécessité de cette double analyse.

  • Sur le plan IT, il s’agissait d’un malware sophistiqué exploitant plusieurs vulnérabilités “zero-day” pour compromettre des systèmes Windows.
  • Mais sur le plan business et stratégique, l’impact fut colossal : Stuxnet visait directement les automates industriels (ICS/SCADA) du programme nucléaire iranien, démontrant qu’une attaque cyber pouvait altérer la souveraineté d’un État et avoir des conséquences géopolitiques majeures.

Une approche limitée à l’analyse IT aurait identifié les vulnérabilités, mais seule une approche business permettait de comprendre la portée stratégique et de planifier des mesures de résilience adaptées.

Domaines d’application

EBIOS RM s’applique aussi bien :

  • Aux systèmes complexes (OT, infrastructures critiques, SI multi-sites, environnements Cloud).
  • Aux démarches d’analyse simplifiée ou ponctuelle (audit projet, conformité réglementaire, préparation à une certification ISO).
  • Aux analyses croisées avec d’autres cadres : ISO/IEC 27005, NIST RMF, FAIR.

Quote

« EBIOS RM permet de mieux comprendre les intentions, capacités et scénarios d’attaque des adversaires potentiels, et de les traduire en décisions de gouvernance. »

Objectifs pédagogiques

À la fin de cette introduction, l’apprenant sera capable de :

  • Expliquer l’évolution historique d’EBIOS vers EBIOS RM (2018).
  • Distinguer clairement une analyse de risques IT d’une analyse de risques business.
  • Situer EBIOS RM parmi les autres méthodes internationales (ISO, NIST, FAIR).
  • Identifier les situations où EBIOS RM apporte une valeur ajoutée spécifique (secteurs régulés, infrastructures critiques, marchés publics).

Cas pratiques & retours d’expérience

  • Stuxnet (2010) : illustre la nécessité de combiner IT et business dans l’analyse.
  • NotPetya (2017) : une vulnérabilité IT sur un logiciel de comptabilité ukrainien a dégénéré en incident business mondial, paralysant Maersk et d’autres géants.
  • Hôpitaux français (2021) : au-delà de l’IT (rançongiciels), l’impact business fut dramatique avec l’arrêt des services médicaux et une gestion de crise nationale.

Checklist RSSI – Introduction

  • Comprendre l’évolution historique d’EBIOS vers EBIOS RM.
  • Vérifier si la gouvernance de l’organisation est encore centrée sur l’IT ou déjà orientée business.
  • Cartographier les référentiels utilisés (ISO, NIST, FAIR) et identifier les écarts avec EBIOS RM.
  • Préparer un argumentaire pour le COMEX sur l’importance de passer d’une vision technique à une vision stratégique.

Vue Graphique