EBIOS

Guide de la méthode EBIOS : définition, déroulé et limites

Qu'est-ce que la méthode EBIOS d'analyse des risques cyber ? Quelles structures peuvent l'utiliser ? Avec quels avantages et inconvénients ?

C-RiskC-Risk
Publié le 27 avril 2022 (Mise à jour le 16 mai 2022)

EBIOS est une méthode d’analyse des risques des systèmes d'information en France créée en 1995 par le Service central de la sécurité des systèmes d’information (SCSSI). Depuis plus de 20 ans elle a fait l’objet de plusieurs actualisations, notamment en 2010 et 2018. Sa dernière version, EBIOS Risk Manager, est désormais maintenue par l’Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI), et se veut plus pédagogique et plus accessible. Avec des enjeux cybersécurité grandissants, elle est plus particulièrement utilisée par les entreprises du secteur publiques, en particulier les opérateurs d’importance vitale. Comment s’organise-t-elle ? Qui peut l’utiliser ? Avec quelles précautions ?

Qu’est-ce qu’EBIOS pour la gestion des risques cyber ?


EBIOS est l’acronyme d’“Expression des Besoins et Identification des Objectifs de Sécurité”. Il s’agit d’une méthode de gestion des risques liés à la sécurité des systèmes d'information (SSI). Elle a été créée en 1995 par le Service central de la sécurité des systèmes d’information (SCSSI), organisme ancêtre de l’ANSSI - Agence nationale de la sécurité des systèmes d'information qui le maintient désormais.

Évolution historique de la méthode EBIOS

Selon l’ANSSI, EBIOS est une méthode de gestion des risques qui fait ses preuves depuis plus de vingt ans. L’Agence l’actualise régulièrement, si bien qu’elle est aujourd’hui conforme à trois normes ISO : ISO 27000, ISO 27005 et ISO 31000. L’ANSSI lui attribue plusieurs vertus :

  • analyser les risques cyber dans le cadre d’une stratégie de cybersécurité ;
  • “traiter” les risques relatifs à la sécurité des systèmes d’information (SSI) ;
  • communiquer à propos des cyberrisques envers les parties prenantes internes et externes.

L’ANSSI précise en outre que la méthode EBIOS a été révisée en 2010, en collaboration avec le Club EBIOS qui rassemble une soixantaine d’entreprises membres, y compris sociétés de conseils, de formation et quatre éditeurs de logiciels ainsi qu’environ 200 membres individuel. Cette nouvelle formule adapte ses principes à l’évolution des réglementations et aux différents retours d’expériences. Elle propose :

  • une approche simplifiée ;
  • une trame de plans d’actions concernant la sécurité des SI ;
  • des cas pratiques qui aident à élaborer des scénarios crédibles ;
  • un logiciel qui facilite sa mise en pratique.

Viens ensuite, en 2018, une dernière version, EBIOS “RM”, pour Risk Manager. Cette méthode a la spécificité de s’intéresser aux chemins d'attaque des cybercriminels. Elle se concentre donc sur des cyber menaces d’origine intentionnelle. Alors que les incidents cyber d’origine accidentelle (erreurs humaines, catastrophes naturelles ou défaillances structurelles) constituent une catégorie d’incidents cyber en constante augmentation selon le rapport annuel Verizon DBIR, les risques non-intentionnels sont, de manière surprenante, hors champs des analyses de risque EBIOS. En effet, ils sont réputés traités par la conformité et les bonnes pratiques du socle de sécurité.

EBIOS est une méthode de gestion du cyberisque pédagogique

À quoi et à qui sert l’Expression des Besoins et Identification des Objectifs de Sécurité ?

EBIOS se conçoit comme une boîte à outils qui permet d'encadrer la gestion des risques cyber à plusieurs niveaux :

Il s'agit d’une méthode principalement utilisée par les établissements publics français et les ministères. Dans le privé, en raison de sa complexité et faible diffusion, seules quelques grandes entreprises l’utilisent, souvent en parallèle de standard internationaux plus établis et répandus tel que le NIST CSF et ISO27005 et désormais le standard FAIR. A l’étranger pour les mêmes raisons, les standards NIST CSF, ISO 31000 et ISO 27005 lui sont préférés également.

Comment utiliser la méthode EBIOS ?


La méthode EBIOS se déroule traditionnellement selon une succession d’étapes, lesdits “ateliers”. Les intitulés de ces ateliers varient un peu selon la version de la méthode à laquelle on se réfère, néanmoins la logique reste sensiblement la même. Elle se base sur le contexte de l’entreprise pour évaluer les faiblesses de son SI. Vous pouvez retrouver le détail de la méthode dans le guide ANSSI d’EBIOS Risk Manager.

L’atelier 1 et la notion d’“événements redoutés”

L’Atelier 1, “cadrage et socle de sécurité”, vise tout d’abord à dessiner le périmètre d'application de la méthode : participants, planning, objectif, biens supports. C’est aussi le moment d'identifier les "événements redoutés” (ER) liés à vos valeurs métiers, selon leur “gravité” et leur “impact”. Les valeurs métiers sont les anciens “biens essentiels”, c’est-à-dire les composants importants pour l’organisation dans l’accomplissement de sa mission (service, fonction support, projet, information). Dès le premier atelier, l’approche EBIOS démarre donc par l’anticipation des failles de cybersécurité.

En la matière, l’ANSSI précise dans son guide que le niveau d’impact doit relever d'une échelle de gravité. Celle-ci doit permettre la hiérarchisation des ER. Leur impact peut s’évaluer proportionnellement aux effets néfastes du risque : indisponibilité d’une valeur métier, atteinte à son intégrité, à sa confidentialité ou à sa traçabilité.

L’événement redouté se résume en une expression courte ou un “scénario” qui permet de comprendre facilement le préjudice. Les niveaux de gravité s’expriment diversement selon la valeur métier considérée : deux heures d'indisponibilité du site web, par exemple, ou un flux de données limité à 1 Mbps pendant une heure, autre exemple.

Les ateliers de cartographie du risque

2 / L’atelier 2 consiste à croiser les sources de risques (SR) avec les objectifs visés (OV). Les couples "SR/OV" les plus pertinents servent à dresser une cartographie des sources de risques.

3 / L’atelier 3 permet d’élaborer des “scénarios” de menace numérique, lesdits “scénarios stratégiques”. Ceux-ci incarnent des “chemins d'attaque" d’une “source de risque”. Là encore, les scénarios relèvent d’une échelle de gravité des impacts.

4 / L'objectif de l’atelier 4 se résume à la construction de scénarios opérationnels permettant de détailler les modes opératoires des cyber-attaquants. Il se concentre cette fois sur les biens supports critiques. Le niveau de vraisemblance de ces scénarios doit être évalué. Les ateliers 3 et 4 se nourrissent mutuellement.

5 / Le cinquième et dernier atelier synthétise la globalité des risques passés en revue. Objectif : définir et mettre en place une stratégie de traitement des cybermenaces, détaillées en mesures et intégrées à un plan d’amélioration continu. C’est aussi le moment de résumer les risques résiduels et de préciser les modalités de suivi.

EBIOS implique un travail d’équipe en atelier

Avantages et inconvénients de la méthode EBIOS pour évaluer le risque numérique


La méthode EBIOS est utilisée en complément de ISO27005, notamment parce qu’elle fait preuve d’une certaine simplicité de mise en œuvre par rapport à d'autres méthodes d’analyse des risques SSI. Elle fonctionne cependant autour de notions encore floues, comme celles de l’évaluation de la gravité et des impacts.

Avantages de cette approche d’analyse des risques cyber

La méthode d’analyse du risque EBIOS a le mérite d’aider les organisations à identifier clairement les éléments constitutifs du danger, et pas seulement des scénarios. Elle permet de mettre le doigt sur les acteurs et les interactions qui jouent un rôle dans la construction du risque cyber. Assez flexible, cette approche s’adapte facilement aux différents contextes organisationnels.

Cette démarche d'analyse de risques a aussi l’avantage d’être relativement rapide à mettre en place. Elle ne s’intéresse effectivement qu’aux éléments à analyser en fonction de l'objectif identifié lors de l’atelier 1. Elle peut également se réutiliser pour assurer un suivi continu des risques des systèmes d’information.

Inconvénients de l’approche EBIOS

Outre sa faible diffusion relative ailleurs qu’auprès des Opérateurs d’Importance Vitale Français qui l’utilisent pour leur rapport annuel à l’ANSSI, côté inconvénients, cette approche ne fait l’objet d’aucune évaluation externe. Il s'agit, comme le cyber framework NIST, d'une technique d’auto-évaluation. La méthode EBIOS repose en outre sur l’idée que les cyber menaces relèvent d’attaques extérieures. Elle ne traite donc pas l’éventualité de risques accidentels.

Autre inconvénient, cette analyse des risques repose sur une échelle de gravité par résumé (exemple : “l’attaque a provoqué une indisponibilité du site pendant 2h”), ou par cotations. Ce système de cotation, qui relève d’ailleurs moins de la recommandation que de l’illustration dans le guide de l’ANSSI, comprend 4 seuils de gravité.

Le seuil “critique” relève ainsi, par exemple, des risques qui impliquent “l’incapacité pour la société d’assurer tout ou partie de son activité, avec d’éventuels impacts graves sur la sécurité des personnes et des biens” et sur la survie de la structure. Chaque seuil - critique, grave, significatif, mineur - se voit attribuer une couleur, du rouge au vert.

Cette façon d’évaluer la gravité du risque repose donc sur une évaluation subjective et non-chiffrée du danger. L’incapacité réelle de l'entreprise à assurer la continuité de ses activités ou sa survie dépend d’hypothèses effectuées sur la base d’échelles nominales ou ordinales. En conséquence, la hiérarchie des cyber risques qui en découle a par conséquent des chances d’être approximative.

C’est pour répondre à ce type d’imprécision qu’a été inventée l’approche de FAIR Analysis, Factor Analysis of Information Risk. Cette démarche consiste à quantifier le risque cyber de façon statistique et mathématique. Objectif : connaître l’impact financier d’un scenario de risque, pour les comparer et établir une hiérarchie des risques crédible, réaliste et utile pour la construction d’un plan d’actions de prévention de cybersécurité performant.

EBIOS se base sur des mesures de gravité subjectives

FAQ

Oui, Ebios propose une méthode compatible avec les principes de gestion des risques liés à la sécurité de l’information décrits par ISO 27005.

Cette approche rassemble plusieurs acteurs au sein d’ateliers : directions métiers, DSI, RSSI, responsable cybersécurité, risk manager.

L’Expression des Besoins et Identification des Objectifs de Sécurité est une méthodologie de gestion des risques publiée par le Club EBIOS. Il s’agit en outre d’une marque déposée par le Secrétariat général de la défense et de la sécurité nationale français (SGDSN). EBIOS Risk Manager (ou EBIOS RM) est la méthode d’analyse des risques de cybersécurité désormais maintenue par l’Agence nationale de la sécurité des systèmes d’information (ANSSI).