Méthode
EBIOS Risk Manager (EBIOS RM)
EBIOS Risk Manager (EBIOS RM) est la méthode française de référence pour l'appréciation et le traitement des risques cyber, publiée et maintenue par l'ANSSI. Structurée en cinq ateliers successifs, elle permet d'identifier les sources de risque, de modéliser des scénarios d'attaque stratégiques et opérationnels, et de dimensionner les mesures de sécurité en fonction des valeurs métier à protéger. EBIOS Risk Manager est désormais pleinement conforme à la norme ISO 27005:2022.
Origine et évolution de la méthode
La méthode EBIOS, méthode d'analyse de risque française de référence, permet aux organisations de réaliser une appréciation et un traitement des risques. Initialement créée en 1995 par la DCSSI, elle a connu une évolution majeure en 2010 avant d'être modernisée en 2018 sous la forme EBIOS Risk Manager. Après six années de pratique et d'implémentation en France, comme à l'international, de nombreuses améliorations ont été apportées à la méthode d'analyse de risque EBIOS Risk Manager version 1.5.
La méthode est conçue selon un modèle itératif, inspiré des méthodes agiles, qui privilégie des cycles courts sur des périmètres délimités plutôt qu'une approche monolithique. EBIOS RM est utilisée par les entités publiques françaises, les OIV (Opérateurs d'Importance Vitale), les OSE (Opérateurs de Services Essentiels) et, de plus en plus, par les grandes entreprises cherchant une méthode plus adaptée aux cyber-menaces modernes que les approches historiques. Elle se distingue par son approche scénario-centrée et sa prise en compte native de l'écosystème numérique de l'organisation (fournisseurs, sous-traitants, partenaires).
Lien avec NIS2
Structurée en 5 ateliers, elle constitue le cadre de référence français pour répondre aux exigences de l'article 21(2) point a) de la directive NIS2 : l'analyse des risques et la sécurité des systèmes d'information. L'ANSSI recommande explicitement EBIOS RM pour les entités régulées par NIS2 en France. Les Entités Essentielles (EE) sont soumises à 20 objectifs, dont des exigences avancées : analyses de risques formalisées selon la méthode EBIOS RM (objectif 16), audits de sécurité réguliers (objectif 17), supervision continue via un SOC ou un SIEM (objectif 20).
La mesure M01 du référentiel ANSSI (ReCyF) impose une analyse de risques documentée, périodiquement révisée et alignée sur une méthode reconnue. EBIOS RM permet de structurer cette conformité en produisant des livrables auditables : cartographie des valeurs métier, événements redoutés, scénarios d'attaque, plan de traitement des risques. Pour les entités françaises soumises à NIS2, EBIOS RM est attendue lors des contrôles de l'ANSSI.
→ Voir aussi Mesure M01 – Analyse des risques