Zoom sur la méthode EBIOS : ses actions et ses limites

Qu’est-ce qu’EBIOS pour la gestion des risques cyber ?

EBIOS est l’acronyme d’“Expression des Besoins et Identification des Objectifs de Sécurité”. Il s’agit d’une méthode de gestion des risques liés à la sécurité des systèmes d'information (SSI). Elle a été créée en 1995 par le Service central de la sécurité des systèmes d’information (SCSSI), organisme ancêtre de l’ANSSI - Agence nationale de la sécurité des systèmes d'information qui le maintien désormais.

‍

Évolution historique de la méthode EBIOS

Selon l’ANSSI, EBIOS est une méthode de gestion des risques qui fait ses preuves depuis plus de vingt ans. L’Agence l’actualise régulièrement, si bien qu’elle est aujourd’hui conforme à trois normes ISO : ISO 27000, ISO 27005 et ISO 31000. L’ANSSI lui attribue plusieurs vertus :

• Analyser les risques cyber dans le cadre d’une stratégie de cybersécurité ;
• “Traiter” les risques relatifs à la sécurité des systèmes d’information (SSI) ;
• Communiquer à propos des risques cyber envers les parties prenantes internes et externes.

‍

L’ANSSI précise en outre que la méthode EBIOS a été révisée en 2010, en collaboration avec le Club EBIOS qui rassemble une soixantaine d’entreprises membres, y compris sociétés de conseils, de formation et quatre éditeurs de logiciels ainsi qu’environ 200 membres individuels. Cette nouvelle formule adapte ses principes à l’évolution des réglementations et aux différents retours d’expériences. Elle propose :

• Une approche simplifiée ;
• Une trame de plans d’actions concernant la sécurité des SI ;
• Des cas pratiques qui aident à élaborer des scénarios crédibles ;
• Un logiciel qui facilite sa mise en pratique.

‍En 2018, EBIOS Risk Manager a été publié. EBIOS RM 1.0 traitait de la question des points d’entrée utilisés par les cybercriminels pour pénétrer un système. Il se concentrait sur les menaces cyber d’origine intentionnelle.

Or, les incidents cyber d’origine accidentelle (erreur humaine, catastrophe naturelle ou défaillance structurelle) constituent une catégorie d’incidents en constante augmentation selon le rapport annuel Verizon DBIR. Pourtant, les risques non intentionnels sont, de façon surprenante, en dehors du périmètre de l’analyse de risque EBIOS. En effet, il est considéré que ce type de risque peut être pris en charge par la conformité et les bonnes pratiques de sécurité de base.

En mars 2024, la version 1.5 d’EBIOS Risk Manager a été publiée. Elle apporte des améliorations significatives par rapport aux versions précédentes d’EBIOS, renforçant l’anticipation des risques et facilitant une meilleure prise de décision dans des environnements en évolution. La méthode mise à jour intègre de nombreux retours de praticiens et s’aligne sur la norme ISO 27005:2022 révisée.

‍

À quoi et à qui sert EBIOS ?

EBIOS se conçoit comme une boîte à outils qui permet d'encadrer la gestion des risques cyber à plusieurs niveaux :

• Installation d’un système de management de la sécurité des données et de l’information ;
• Mise en œuvre d’une stratégie SSI ;
• Intégration de la sécurité des systèmes d’information dans divers projets ;
• Référentiel d’exigences applicables aux prestataires d’audit de la SSI.

Il s'agit d’une méthode principalement utilisée par les établissements publics français et les ministères. Dans le privé, en raison de sa complexité et faible diffusion, seules quelques grandes entreprises l’utilisent, souvent en parallèle de standard internationaux plus établis et répandus tel que le NIST CSF et ISO27005 et désormais le standard FAIR. A l’étranger pour les mêmes raisons, les standards NIST CSF, ISO 31000 et ISO 27005 lui sont préférés également.

‍