Exploitation des résultats EBIOS RM
Objectif
Transformer une analyse EBIOS RM en décisions de gouvernance : prioriser, arbitrer, financer et piloter. L’exploitation des résultats consiste à rendre la lecture intelligible au COMEX tout en conservant la traçabilité technique pour les équipes SSI. L’enjeu est d’aligner la sécurité sur les objectifs métier, financiers et de conformité, et de démontrer la valeur créée par les mesures retenues (réduction du risque résiduel, amélioration des KPI/KRI).
Comment présenter les résultats à un COMEX
La restitution COMEX doit être courte, claire et orientée décisions. L’ordre recommandé est le suivant : l’exécutif d’abord, le détail ensuite. Commencez par une synthèse une page qui expose les cinq risques majeurs, leurs impacts financiers et réglementaires, puis déroulez les éléments probants utiles aux arbitrages : carte des risques, priorités, plan de traitement, budget et jalons.
Info
Ciblez les messages sur les impacts métier (perte de chiffre d’affaires, indisponibilité de services, sanctions RGPD/NIS2/DORA, atteinte à l’image) et sur les décisions attendues (budget, priorités, tolérance/acceptation, échéances, responsables).
Dans la forme, privilégiez des visuels simples (carte de chaleur risques, histogrammes de coûts/ROI, frise des jalons) et un tableau de synthèse normalisé. N’entrez dans le détail des scénarios techniques que sur demande ; pour le COMEX, l’essentiel est la priorité, le coût, l’échéance, la preuve d’efficacité attendue et le propriétaire du risque.
Exemple – Tableau de synthèse des risques priorisés
Ce tableau est conçu pour un rendu HTML propre (Obsidian/Quartz) et peut servir de page unique présentée au COMEX. Les échelles Probabilité et Gravité reprennent la matrice utilisée à l’Atelier 4. La colonne Niveau résume la priorisation (Critique, Majeur, Important, Modéré).
| ID | Risque (titre court) | Scénario (résumé) | Probabilité | Gravité | Niveau | Option de traitement | Mesures clés (ISO 27001 Annexe A) | Responsable | Échéance | KPI/KRI de suivi |
|---|---|---|---|---|---|---|---|---|---|---|
| R1 | Fuite RH | Phishing → compromission AD → exfiltration dossiers RH | Forte | Majeure | Critique | Réduction | A.5.15 Contrôles d’accès, A.8.23 Gestion vulnérabilités, A.5.7 Sécurité réseaux | RSSI | T2 2026 | Taux MFA actifs, délais patching, alertes exfiltration |
| R2 | Indispo e‑banking | DDoS + failover incomplet | Moyenne | Majeure | Majeur | Réduction + Transfert | A.5.7 Réseaux, A.8.16 Continuité, contrat anti‑DDoS fournisseur | Dir. Exploitation | T1 2026 | RPO/RTO tenus, taux bascule réussie |
| R3 | Fraude paiement | Détournement via tiers SWIFT | Faible | Critique | Majeur | Réduction + Transfert | A.5.19 Fournisseurs, A.5.15 Accès, surveillance transactions | CFO + RSSI | T3 2026 | Alertes anti‑fraude, revues tierces |
| R4 | Sabotage OT | Pivot IT→OT → altération PLC | Faible | Critique | Majeur | Réduction + Évitement | Segmentation IT/OT, durcissement accès distants, A.5.9 Sécurité physique | Dir. Industriel | T4 2026 | Taux segmentation, tests reprise |
| R5 | Non‑conformité RGPD | Journalisation incomplète, PIA absent | Moyenne | Importante | Important | Réduction + Acceptation partielle | A.5.12 Journalisation, A.5.2 Objectifs, PIA, gouvernance données | DPO | T1 2026 | Couverture logs, PIA réalisés |
Tip
Après la présentation du tableau, enchaînez avec une carte de chaleur (heatmap) issue de la matrice Probabilité × Gravité pour visualiser la concentration des risques critiques. Concluez par les décisions attendues : validation du plan, budget, tolérance de risques acceptés, et jalons.
De la synthèse au pilotage : décisions et suivi
L’exploitation ne s’arrête pas à la réunion COMEX. Les décisions doivent être traduites en plan de mise en œuvre (jalons, propriétaires, budget) puis suivies via des indicateurs. Les KPI mesurent l’exécution (ex. taux de déploiement MFA), les KRI surveillent l’exposition au risque (ex. volume d’alertes d’exfiltration, taux d’actifs non patchés). Un reporting mensuel consolidé, en une page, garantit la continuité entre l’analyse, l’action et la preuve d’efficacité.
Preuves d’audit attendues
- Procès-verbal du comité de risques / COMEX validant la priorisation et les arbitrages.
- Version figée et datée du tableau de synthèse, de la heatmap et du plan de traitement.
- Traçabilité des budgets approuvés et des responsables nommés.
- Tableau de bord KPI/KRI avec historique des tendances et seuils d’alerte.
Cas pratiques & retours d’expérience
Dans une banque, la priorisation a mis en tête la fraude via un prestataire SWIFT. La présentation COMEX a focalisé sur l’impact financier et réglementaire, ce qui a permis d’obtenir un budget anti‑fraude et un renforcement des clauses fournisseurs.
Dans un hôpital, l’indisponibilité patient a été classée critique ; la restitution a conduit à financer des sauvegardes hors ligne et un exercice de crise trimestriel. Ces décisions ont réduit de moitié le temps de reprise.
Objectifs pédagogiques
À l’issue de ce chapitre, l’apprenant saura :
- Construire une synthèse COMEX des résultats EBIOS RM.
- Prioriser les risques avec une table exploitable en HTML et lisible par des décideurs.
- Définir des KPI/KRI pertinents et connecter la priorisation au pilotage.
- Produire les preuves d’audit de l’exploitation (PV, versions figées, budgets, responsables).
Checklist RSSI – Exploitation des résultats
- Préparer une one‑page de synthèse : top 5 risques, impacts, décisions attendues.
- Générer un tableau priorisé avec propriétaire, échéance, option de traitement et mesures ISO 27001.
- Présenter une heatmap Probabilité × Gravité cohérente avec l’Atelier 4.
- Définir KPI/KRI et un calendrier de reporting.
- Conserver les preuves (PV, versions, budgets, jalons) et assurer la traçabilité.