P.I.L.O.T.E

2 min de lecture

Synthèse pédagogique – Expliquer EBIOS RM à un non-expert

Pourquoi EBIOS RM ?

La cybersécurité ne peut plus se limiter à “mettre un antivirus” ou “fermer des ports”.
Il faut anticiper ce que des adversaires intelligents peuvent vouloir faire contre nous.

Info

EBIOS RM est une méthode française reconnue, qui aide à répondre à la question :
“Quels sont les scénarios d’attaque les plus probables et les plus graves contre mon organisation ?”

Comment ça fonctionne ?

  1. On définit ce qui est vital pour l’entreprise (valeurs métier).
  2. On identifie les adversaires potentiels (sources de risque).
  3. On imagine leurs scénarios d’attaque réalistes.
  4. On évalue la gravité et la vraisemblance.
  5. On décide des protections à mettre en place.

Vue d’ensemble – Mindmap ASCII

                [Atelier 1]
            Définir le périmètre
                    |
                    v
                [Atelier 2]
    Couples Sources de Risque / Objectifs de Valeur
                    |
                    v
                [Atelier 3]
           Stratégie de menaces (adversaires, supply chain)
                    |
                    v
                [Atelier 4]
     Scénarios opérationnels (chaînes d’attaque réalistes)
                    |
                    v
                [Atelier 5]
        Traitement du risque (réduction, transfert, acceptation, évitement)
                    |
                    v
             Exploitation des résultats
   (tableaux de bord, COMEX, décisions stratégiques)

Cette représentation permet de visualiser la progression logique : du contexte jusqu’aux décisions stratégiques.

Ce qu’on obtient à la fin

  • Une cartographie claire des risques.
  • Des scénarios crédibles à présenter au COMEX.
  • Un plan d’action priorisé et argumenté.
  • Une base de discussion entre la direction, les métiers et la SSI.

Tableau de synthèse des 5 ateliers

AtelierObjectif principalLivrables clésRôle du RSSI
1 – PérimètreDéfinir ce qui est vital et les dépendancesListe valeurs métier, biens supports, événements redoutésGarantir l’alignement avec le COMEX et les métiers
2 – Couples SR/OVAssocier adversaires et objectifsTableau SR/OV (motivation, ressources, activité)Vérifier la pertinence métier et éviter les objectifs trop vagues
3 – Stratégie de menacesConstruire la cartographie stratégiqueCarte des menaces, supply chain, adversaires plausiblesIntroduire MITRE ATT&CK et la Kill Chain pour crédibiliser
4 – Scénarios opérationnelsDétailler des chemins d’attaque plausiblesGraphes d’attaque, tableaux étape/action/impactTraduire en impacts métier et conformité (RGPD, NIS2)
5 – Traitement du risqueDécider des mesures à mettre en œuvrePlan de traitement, mesures ISO 27001, optionsHiérarchiser, justifier les risques acceptés, préparer l’audit

Objectifs pédagogiques

À l’issue de cette synthèse, même un non-expert doit être capable de :

  • Comprendre la logique générale des 5 ateliers.
  • Visualiser la progression via la mindmap ASCII.
  • Retenir les rôles, livrables et décisions via le tableau de synthèse.

Vue Graphique