Qu’est-ce qu’EBIOS pour la gestion des risques cyber ?
EBIOS est l’acronyme d’“Expression des Besoins et Identification des Objectifs de Sécurité”. Il s’agit d’une méthode de gestion des risques liés à la sécurité des systèmes d'information (SSI). Elle a été créée en 1995 par le Service central de la sécurité des systèmes d’information (SCSSI), organisme ancêtre de l’ANSSI - Agence nationale de la sécurité des systèmes d'information qui le maintien désormais.
Évolution historique de la méthode EBIOS
Selon l’ANSSI, EBIOS est une méthode de gestion des risques qui fait ses preuves depuis plus de vingt ans. L’Agence l’actualise régulièrement, si bien qu’elle est aujourd’hui conforme à trois normes ISO : ISO 27000, ISO 27005 et ISO 31000. L’ANSSI lui attribue plusieurs vertus :
- Analyser les risques cyber dans le cadre d’une stratégie de cybersécurité ;
- “Traiter” les risques relatifs à la sécurité des systèmes d’information (SSI) ;
- Communiquer à propos des risques cyber envers les parties prenantes internes et externes.

L’ANSSI précise en outre que la méthode EBIOS a été révisée en 2010, en collaboration avec le Club EBIOS qui rassemble une soixantaine d’entreprises membres, y compris sociétés de conseils, de formation et quatre éditeurs de logiciels ainsi qu’environ 200 membres individuels. Cette nouvelle formule adapte ses principes à l’évolution des réglementations et aux différents retours d’expériences. Elle propose :
- Une approche simplifiée ;
- Une trame de plans d’actions concernant la sécurité des SI ;
- Des cas pratiques qui aident à élaborer des scénarios crédibles ;
- Un logiciel qui facilite sa mise en pratique.
En 2018, EBIOS Risk Manager a été publié. EBIOS RM 1.0 traitait de la question des points d’entrée utilisés par les cybercriminels pour pénétrer un système. Il se concentrait sur les menaces cyber d’origine intentionnelle.
Or, les incidents cyber d’origine accidentelle (erreur humaine, catastrophe naturelle ou défaillance structurelle) constituent une catégorie d’incidents en constante augmentation selon le rapport annuel Verizon DBIR. Pourtant, les risques non intentionnels sont, de façon surprenante, en dehors du périmètre de l’analyse de risque EBIOS. En effet, il est considéré que ce type de risque peut être pris en charge par la conformité et les bonnes pratiques de sécurité de base.
En mars 2024, la version 1.5 d’EBIOS Risk Manager a été publiée. Elle apporte des améliorations significatives par rapport aux versions précédentes d’EBIOS, renforçant l’anticipation des risques et facilitant une meilleure prise de décision dans des environnements en évolution. La méthode mise à jour intègre de nombreux retours de praticiens et s’aligne sur la norme ISO 27005:2022 révisée.
À quoi et à qui sert EBIOS ?
EBIOS se conçoit comme une boîte à outils qui permet d'encadrer la gestion des risques cyber à plusieurs niveaux :
- Installation d’un système de management de la sécurité des données et de l’information ;
- Mise en œuvre d’une stratégie SSI ;
- Intégration de la sécurité des systèmes d’information dans divers projets ;
- Référentiel d’exigences applicables aux prestataires d’audit de la SSI.
Il s'agit d’une méthode principalement utilisée par les établissements publics français et les ministères. Dans le privé, en raison de sa complexité et faible diffusion, seules quelques grandes entreprises l’utilisent, souvent en parallèle de standard internationaux plus établis et répandus tel que le NIST CSF et ISO27005 et désormais le standard FAIR. A l’étranger pour les mêmes raisons, les standards NIST CSF, ISO 31000 et ISO 27005 lui sont préférés également.

Transformez la façon dont vous modélisez, mesurez et gérez les risques cyber
N'attendez pas l'inévitable incident cyber. Élaborez un programme de cybersécurité résilient et basé sur les risques grâce à la quantification des risques cyber.
Comment utiliser la méthode EBIOS ?
La méthode EBIOS se déroule traditionnellement selon une succession d’étapes, lesdits “ateliers”. Les intitulés de ces ateliers varient un peu selon la version de la méthode à laquelle on se réfère, néanmoins la logique reste sensiblement la même. Elle se base sur le contexte de l’entreprise pour évaluer les faiblesses de son SI. Vous pouvez retrouver le détail de la méthode dans le guide ANSSI d’EBIOS Risk Manager.
L’atelier 1 et la notion d’“événements redoutés”
L’Atelier 1, “cadrage et socle de sécurité”, vise tout d’abord à dessiner le périmètre d'application de la méthode : participants, planning, objectif, biens supports. C’est aussi le moment d'identifier les "événements redoutés” (ER) liés à vos valeurs métiers, et d’estimer leur “gravité” en évaluant leur “impact”. Les valeurs métiers sont les anciens “biens essentiels”, c’est-à-dire les composants importants pour l’organisation dans l’accomplissement de sa mission (processus métier ou information Vient ensuite, le socle de sécurité ou la prise en compte des référentiels applicables au périmètre de l’étude et leur évaluation. Dès le premier atelier, la méthode EBIOS RM prend en compte des failles de cybersécurité.
Concernant l’estimation de la gravité des événements redoutés, l’l’ANSSI précise dans son guide que le niveau d’impact doit relever d'une échelle de gravité. Celle-ci doit permettre la hiérarchisation des ER. Leur impact peut s’évaluer proportionnellement aux effets néfastes du risque : indisponibilité d’une valeur métier, atteinte à son intégrité, à sa confidentialité ou à sa traçabilité.
L’événement redouté se résume en une expression courte ou un “scénario” qui permet de comprendre facilement le préjudice. Les niveaux de gravité s’expriment diversement selon la valeur métier considérée : deux heures d'indisponibilité du site web, par exemple, ou un flux de données limité à 1 Mbps pendant une heure.
Les ateliers de cartographie du risque
2 / L’atelier 2 consiste à croiser les sources de risques (SR) avec les objectifs visés (OV). Les couples "SR/OV" les plus pertinents servent à dresser une première cartographie.
3 / L’atelier 3 permet d’élaborer des “scénarios” de menace numériques, lesdits “scénarios stratégiques”. Ceux-ci incarnent des “chemins d'attaque" d’une “source de risque” vers son « objectif visé » . Les scénarios stratégiques adoptent le niveau de gravité de l’événement redouté qu’il leur est associé (reprise de l’échelle de gravité des impacts de l’atelier 1).
4 / L'objectif de l’atelier 4 se résume à la construction de scénarios opérationnels permettant de détailler les modes opératoires des cyber-attaquants. Il se concentre cette fois sur les biens supports critiques. Le niveau de vraisemblance de ces scénarios doit être évalué. La vraisemblance se traduit par « la chance » qu’un attaquant réussisse à exécuter son mode opératoire de bout en bout dans le périmètre de l’étude. L’état de la menace envers l’organisation n’est pas pris en compte. L’analyse dans l’atelier 4 selon la méthode EBIOS RM, n’a pas pour consigne de se renseigner sur la vraisemblance qu’un attaquant vise l’objet d’étude de l’organisation. L’estimation de la vraisemblance revient à estimer les chances de succès de l’attaquant s’il décide d’attaquer l’objet d’étude de l’analyse en exécutant le mode opératoire décrit dans l’atelier 4. Les ateliers 3 et 4 se nourrissent mutuellement. Un scénario stratégique peut avoir plusieurs scénarios opérationnels.
5 / Le cinquième et dernier atelier synthétise la globalité de l’exercice passé en revue. L’objectif est de définir et mettre en place une stratégie de traitement des risques initiaux. Les choix de traitement des risques initiaux sont les suivants : accepter, refuser, réduire et transférer. La réduction du risque initial se traduit par l’implémentation des mesures de sécurité. Ces mesures sont ajoutées au plan de traitement du risque. Le plan de traitement appliqué aux risques initiaux permet d’obtenir les risques résiduels. Les modalités de suivi sont également définies.

Avantages et inconvénients de la méthode EBIOS RM pour évaluer le risque cyber
La méthode EBIOS RM est utilisée en complément de ISO27005, notamment parce qu’elle fait preuve d’une certaine simplicité de mise en œuvre par rapport à d'autres méthodes d’analyse des risques SSI. Elle fonctionne cependant autour de notions encore complexes à appréhender par des non-analystes.
Avantages de cette approche d’analyse des risques cyber
La méthode d’analyse de risques EBIOS RM a le mérite d’aider les organisations à identifier clairement les éléments constitutifs du risque, et non seulement les scénarios. Elle permet de mettre le doigt sur les acteurs et les interactions qui jouent un rôle dans la construction du risque cyber. Assez flexible, cette approche s’adapte facilement aux différents contextes organisationnels.
Cette démarche d'analyse de risques a aussi l’avantage d’être relativement rapide à mettre en place. Elle ne s’intéresse effectivement qu’aux éléments à analyser en fonction des Evénements Redoutés identifiés lors de l’atelier 1. Elle peut également se réutiliser pour assurer un suivi continu des risques des systèmes d’information.
Inconvénients de l’approche EBIOS
La méthode EBIOS RM ne fait l’objet d’aucune évaluation externe. Il s'agit, comme le cyber framework NIST, d'une technique d’auto-évaluation.
La méthode EBIOS RM repose en outre sur l’idée que les cybers menaces relèvent d’attaques internes ou externes malveillantes. Elle ne traite donc pas l’éventualité de risques accidentels.
Par ailleurs la vraisemblance d’un scénario de risque ne prend pas en compte l’état actuel de la menace sur notre organisation. Seules les « chances » de succès de l’attaquant s’il décide d’attaquer l’organisation en suivant le mode opératoire décrit est pris en compte. Néanmoins, la probabilité que cet attaquant vise notre organisation n’est pas considérée par l’analyste.
Autre inconvénient, cette analyse des risques repose sur une échelle de gravité comme suit exemple : “l’attaque a provoqué une indisponibilité du site pendant 2h”), ou par cotations. Ce système de cotation, qui relève d’ailleurs moins de la recommandation que de l’illustration dans le guide de l’ANSSI, comprend 4 seuils de gravité.
Le seuil “critique” relève ainsi, par exemple, des risques qui impliquent “l’incapacité pour la société d’assurer tout ou partie de son activité, avec d’éventuels impacts graves sur la sécurité des personnes et des biens” et sur la survie de la structure. Chaque seuil - critique, grave, significatif, mineur - se voit attribuer une couleur, du rouge au vert.
Cette façon d’évaluer la gravité du risque repose donc sur une évaluation subjective et non-chiffrée du danger. L’incapacité réelle de l'entreprise à assurer la continuité de ses activités ou sa survie dépend d’hypothèses effectuées sur la base d’échelles nominales ou ordinales. En conséquence, la hiérarchie des cyber risques qui en découle a par conséquent des chances d’être approximative.
C’est pour répondre à ce type d’imprécision qu’a été inventée l’approche de FAIR Analysis, Factor Analysis of Information Risk. Cette démarche consiste à quantifier le risque cyber de façon argumentée et statistique. Objectif : connaître l’impact financier d’un scenario de risque, pour les comparer et établir une hiérarchie de scénarios de risques compréhensibles, réalistes et utiles pour la construction d’un plan d’actions performant.

Compléter EBIOS RM avec la quantification des risques basée sur FAIR
La méthodologie EBIOS RM fournit un cadre solide pour identifier et évaluer les risques cyber, mais l'intégrer à une approche de quantification des risques cyber (CRQ), telle que la méthode FAIR™ (Factor Analysis of Information Risk), ajoute à l'analyse la précision d'une méthode argumentée statistique et financière. En tant que modèle quantitatif standard international pour la sécurité de l'information et le risque opérationnel, FAIR permet aux organisations de quantifier les impacts financiers potentiels de scénarios de risque spécifiques. Cela permet aux équipes chargées de la gestion des risques de créer un plan d'action hiérarchisé, justifiée par des données et centrés sur les menaces les plus probables.
En utilisant à la fois EBIOS et FAIR™, les entreprises obtiennent une vue d'ensemble du risque cyber : EBIOS RM fournit un profil de risque structuré, tandis que l'analyse quantitative de FAIR offre une mesure financière des pertes potentielles et de leur fréquence potentielle, ce qui permet aux responsables de la cybersécurité de communiquer efficacement les risques aux dirigeants et de hiérarchiser les ressources d'allocation en conséquence. C-Risk soutient les RSSI prêts à commencer leur première analyse CRQ ou à intégrer une nouvelle plateforme de gestion des cyber-risques avec des conseils d'experts et des solutions sur mesure.
Pour aller plus loin, n’hésitez pas à télécharger notre livre blanc sur l’amélioration d’EBIOS RM avec FAIR, qui sert de guide d’implémentation.
Pour explorer comment CRQ peut élever votre évaluation des risques EBIOS, planifiez une consultation gratuite de 30 minutes avec C-Risk dès aujourd'hui.
FAQ : EBIOS
La méthode EBIOS est-elle en conformité avec la norme ISO 27005 ?
Oui, EBIOS propose une méthode compatible avec les principes de gestion des risques liés à la sécurité de l’information décrits par ISO 27005.
Sur qui repose la mise en oeuvre de la méthode EBIOS ?
Cette approche rassemble plusieurs acteurs au sein d’ateliers : directions métiers, DSI, RSSI, responsable cybersécurité, risk manager.
Qu'est-ce que EBIOS?
L’Expression des Besoins et Identification des Objectifs de Sécurité est une méthodologie de gestion des risques publiée par le Club EBIOS. Il s’agit en outre d’une marque déposée par le Secrétariat général de la défense et de la sécurité nationale français (SGDSN). EBIOS Risk Manager (ou EBIOS RM) est la méthode d’analyse des risques de cybersécurité désormais maintenue par l’Agence nationale de la sécurité des systèmes d’information (ANSSI).
Nous avons conçu des solutions évolutives pour quantifier les risques cyber en termes financiers afin que les organisations améliorent leur gouvernance et leur résilience grâce à des décisions éclairées.