EBIOS Risk Manager

La méthode EBIOS Risk Manager (EBIOS RM) est une démarche de gestion des risques numériques et de sécurisation des systèmes d'information (SSI).

Elle permet aux organisations :

d’identifier et de comprendre les risques numériques liés à leurs activités
de mettre en place des mesures de sécurité adaptées pour les prévenir ou les atténuer.
d’établir un cadre de suivi et d’amélioration continue à l’issue de l’analyse des risques.

Grâce à son approche systématique et structurée, la méthode EBIOS RM permet aux organisations de prendre des décisions éclairées en matière de sécurité.

Elle contribue également au respect des exigences réglementaires.

Cette méthode s’applique à divers domaines de l’entreprise comme la gestion de projets, la sécurité des systèmes d’information, la continuité des activités ou encore la conformité réglementaire.

Elle adopte une vision hiérarchisée. Elle commence par examiner les grands objectifs (les missions clés liées à l’objet étudié) avant de se pencher sur les aspects métiers et techniques. Une analyse approfondie des chemins d’attaque possibles est également menée.

La méthode Ebios Risk Manager se décompose en cinq ateliers, chacun visant à structurer l’analyse des risques, ayant comme objectif :

Atelier 1 : « Cadrage et socle de sécurité ».

--> Définir le cadre de l’étude, son périmètre (métiers et techniques) et les événements redoutés.

Les missions de l’organisation, les biens supports et les impacts sont recensés et évalués. Une analyse de la conformité au socle de sécurité existant est également réalisée.

Atelier 2 : « Source et risque ».

--> Identifier les sources de risque et les associer à des objectifs stratégiques appelés « objectifs visés ».

Le résultat est une cartographie des sources de risque permettant de hiérarchiser et de prioriser les couples « source de risque / objectif visé ».

Atelier 3 : « Scénarios stratégiques ».

--> Construire des « scénarios stratégiques », c’est-à-dire analyser les chemins d’attaque possibles.

Cet atelier permet de mieux comprendre l’écosystème, d’évaluer le niveau de menace. Il repère les parties prenantes les plus sensibles ou menaçantes pour l’organisation.

Atelier 4 : « Scénarios opérationnels ».

--> Elaborer des scénarios opérationnels décrivant les modes opératoires potentiels des sources de risque.

Ce travail permet de schématiser les attaques concrètes auxquelles l’organisation peut être exposée.

Atelier 5 : « Traitement des risques ».

--> Synthétiser les risques étudiés et élaborer une stratégie de traitement adaptée.

Les cybermenaces sont traduites en mesures concrètes et intégrées dans un plan d’amélioration continue.

Formation

L’ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information) propose des formations pour se familiariser avec cette méthode, en accompagnant les organisations dans sa mise en œuvre.