EBIOS Risk Manager est la méthode officielle de l'ANSSI (l'autorité française de cybersécurité) pour la gestion des risques de cybersécurité. Sa version actuelle, EBIOS RM, est la référence incontournable dans une bonne partie du secteur réglementé en France et, de plus en plus, une certification très valorisée dans les organisations européennes qui travaillent avec l'administration française ou qui adoptent des cadres compatibles avec NIS2 et DORA. Dans cet article, je vous explique ce qu'est EBIOS RM, comment fonctionnent ses cinq ateliers, en quoi elle diffère d'ISO/IEC 27005 et pourquoi la certification PECB EBIOS Risk Manager est une pièce stratégique pour le marché francophone.
Qu'est-ce qu'EBIOS et que fait l'ANSSI
EBIOS est l'acronyme d'« Expression des Besoins et Identification des Objectifs de Sécurité », une méthode créée par l'ANSSI (Agence nationale de la sécurité des systèmes d'information) dans les années 90 et profondément renouvelée avec la version EBIOS Risk Manager (EBIOS RM) en 2018. L'ANSSI est l'autorité nationale française de cybersécurité et, dans une bonne partie de l'Europe, la référence réglementaire de fait dans les secteurs critiques.
EBIOS RM est la méthode qu'utilisent les autorités, les opérateurs de services essentiels et de nombreux secteurs réglementés en France. Elle est également reconnue par l'ENISA et compatible avec ISO/IEC 27005, ce qui la rend particulièrement utile dans les organisations européennes.
La philosophie d'EBIOS : de l'actif au scénario
La plupart des méthodes classiques de gestion des risques partent de l'actif (ce que je possède) et descendent vers la vulnérabilité et la menace. EBIOS RM inverse la logique : elle part de la source de risque (qui pourrait m'attaquer et pourquoi) et construit des scénarios d'attaque complets, de l'extérieur vers l'intérieur.
Cette logique colle très bien à la menace moderne. Quand on parle de rançongiciel, d'espionnage industriel ou de sabotage, ce qui compte n'est pas seulement la vulnérabilité technique, mais le motif de l'attaquant, sa capacité et le chemin qu'il parcourt pour atteindre sa cible. EBIOS RM modélise tout cela.
Les cinq ateliers, un par un
EBIOS RM s'articule en cinq ateliers. Ils sont la colonne vertébrale de la méthode et aussi la structure du cours :
Atelier 1 : Cadrage et socle de sécurité. On délimite le périmètre de l'étude, on identifie les valeurs métier (ce que l'on protège) et les événements redoutés (ce que l'on ne veut pas voir arriver). On établit le socle de sécurité comme point de départ.
Atelier 2 : Sources de risque et objectifs visés. On identifie les sources de risque (attaquants potentiels : cybercriminels, États, hacktivistes, internes) et ce qu'elles recherchent exactement. C'est le point le plus différenciant de la méthode.
Atelier 3 : Scénarios stratégiques. On construit des scénarios de haut niveau qui décrivent comment une source de risque pourrait atteindre son objectif, quels chemins elle pourrait emprunter et quel impact en résulterait.
Atelier 4 : Scénarios opérationnels. On descend au détail technique de chaque scénario stratégique, en modélisant la séquence d'événements élémentaires qui composent l'attaque.
Atelier 5 : Traitement du risque. On priorise les scénarios selon leur niveau de risque, on choisit le traitement (acceptation, atténuation, transfert, évitement) et on construit un plan d'action.
EBIOS RM vs ISO/IEC 27005 : laquelle, et quand
Les deux méthodes sont valables, mais ont des profils différents.
ISO/IEC 27005 est plus généraliste et compatible. Elle s'intègre parfaitement à n'importe quel SMSI conforme à ISO 27001 et c'est la référence internationale. Idéale si vous travaillez sur un projet de certification ISO 27001, NIS2 ou DORA et avez besoin d'une méthode reconnue mondialement.
EBIOS RM est plus spécifique et orientée menaces avancées. Idéale si vous travaillez avec des organisations du secteur public, de la défense, de l'énergie ou de la finance en France, ou avec toute organisation européenne en relation avec l'administration française ou confrontée à des menaces ciblées.
En pratique, beaucoup de professionnels finissent par maîtriser les deux. ISO/IEC 27005 vous donne le cadre général ; EBIOS RM vous donne la profondeur des scénarios. Elles sont complémentaires.
Pourquoi EBIOS est clé en France et avec NIS2
Si vous travaillez avec des organisations françaises, EBIOS RM est quasiment incontournable. L'ANSSI l'exige dans les évaluations d'opérateurs de services essentiels (OSE) et de fournisseurs de services numériques, et la plupart des appels d'offres publics français la mentionnent comme méthode privilégiée.
Avec NIS2 en pleine transposition, l'ANSSI a confirmé qu'EBIOS RM resterait la méthode recommandée en France pour répondre à l'article 21 de la directive. Et, du fait de l'influence de l'ANSSI au niveau européen, la méthode est aussi adoptée par des organisations d'autres pays soumises à la réglementation européenne.
Ce que couvre le cours PECB EBIOS Risk Manager
Le cours PECB Certified EBIOS Risk Manager est une formation intensive de trois jours qui couvre les cinq ateliers avec des cas pratiques réels. Le programme :
- Jour 1 : Fondamentaux de la méthode, atelier 1 (cadrage) et atelier 2 (sources de risque).
- Jour 2 : Ateliers 3 et 4 (scénarios stratégiques et opérationnels).
- Jour 3 : Atelier 5 (traitement), révision et examen officiel PECB.
Le cours est disponible en self-study officiel PECB, ce qui vous permet d'avancer à votre rythme. Et, puisqu'il s'agit de la méthode officielle française, le matériel est aussi disponible en français, un atout pour les professionnels bilingues ou qui travaillent avec une clientèle francophone.
EBIOS RM ne concurrence pas ISO 27005, elle la complète. Qui maîtrise les deux a un profil unique sur le marché européen : la rigueur internationale de la 27005 et la profondeur sur les menaces avancées de la méthode ANSSI.
Se former et se certifier
Si vous voulez franchir le pas vers la certification officielle PECB, le cours EBIOS Risk Manager est la voie directe : Self-Study officiel PECB pour avancer à votre rythme et préparer l'examen de certification.