--- title: "EBIOS Risk Manager — Méthodologie" domain: security subdomain: ebios type: note tags: [ebios, risk-management, anssi, iso27005, grc, conformite, blue-team] difficulty: intermediate status: stable updated: "2026-05-14" --- ## Vue d'ensemble | Propriété | Valeur | |---|---| | Nom complet | Expression des Besoins et Identification des Objectifs de Sécurité | | Éditeur | ANSSI | | Version actuelle | EBIOS Risk Manager (2018) | | Référence internationale | Compatible ISO 27005, ISO 27001 | | Usage | Administrations, OIV, ETI/PME, prestataires PASSI | --- ## Les 5 Ateliers ### Atelier 1 — Cadrage et socle de sécurité **Objectif** : Définir le périmètre de l'étude et l'état de la sécurité existante. **Livrables :** - Périmètre métier et technique de l'étude - Valeurs métier (données, services, processus à protéger) - Biens supports (SI, serveurs, réseaux, personnes) - Événements redoutés - Socle de sécurité (mesures existantes, écarts ISO 27002) **Questions clés :** ``` - Quelles sont les missions critiques de l'organisation ? - Quels biens supports portent ces missions ? - Quels sont les impacts si ces biens sont compromis ? - Quel est le niveau de sécurité actuel (gap analysis) ? ``` --- ### Atelier 2 — Sources de risque **Objectif** : Identifier qui pourrait attaquer et pourquoi. **Livrables :** - Couples Source de Risque / Objectif Visé (SR/OV) retenus - Niveau de pertinence de chaque source | Catégorie | Exemples | |---|---| | Cybercriminels | Ransomware, fraude, vol de données | | Espionnage | APT étatiques, concurrence industrielle | | Hacktivisme | Déni de service, defacement | | Insider malveillant | Employé mécontent, prestataire | | Insider accidentel | Erreur humaine, négligence | | Terrorisme cyber | Sabotage d'infrastructures critiques | **Critères d'évaluation d'une source :** - **Motivation** : financière, idéologique, stratégique - **Ressources** : moyens techniques et financiers - **Activité** : connue, suspectée, théorique --- ### Atelier 3 — Scénarios stratégiques **Objectif** : Construire des chemins d'attaque haut niveau. **Structure d'un scénario stratégique :** ``` [Source de risque] cherche à atteindre [objectif visé] en compromettant [valeur métier] via [parties prenantes / écosystème] Impact redouté : [confidentialité / intégrité / disponibilité] Vraisemblance : [Très faible / Faible / Significative / Élevée] ``` **Exemple :** ``` Un groupe cybercriminel cherche à extorquer l'organisation en chiffrant le SI de production via un prestataire de maintenance Impact : Disponibilité du service, perte financière Vraisemblance : Élevée ``` --- ### Atelier 4 — Scénarios opérationnels **Objectif** : Décliner les scénarios stratégiques en séquences techniques. **Mapping MITRE ATT&CK :** | Action élémentaire | Technique MITRE | |---|---| | Phishing initial | T1566 — Phishing | | Exécution de payload | T1059 — Command & Scripting Interpreter | | Persistance | T1547 — Boot/Logon Autostart | | Mouvement latéral | T1021 — Remote Services | | Exfiltration | T1041 — Exfiltration Over C2 Channel | | Chiffrement ransomware | T1486 — Data Encrypted for Impact | **Exemple de séquence opérationnelle :** ``` 1. Reconnaissance → T1589, T1590 (OSINT sur employés) 2. Accès initial → T1566.001 (spear phishing, pièce jointe) 3. Exécution → T1059.005 (macro VBA) 4. Persistance → T1547.001 (clé Run registry) 5. Escalade → T1055 (process injection) 6. Mouvement latéral → T1021.002 (SMB/PsExec) 7. Impact → T1486 (ransomware) ``` --- ### Atelier 5 — Traitement du risque **Objectif** : Décider comment traiter chaque risque et construire le PACS. **4 stratégies de traitement :** | Stratégie | Définition | Exemple | |---|---|---| | **Réduction** | Mesures pour diminuer le risque | MFA, EDR, segmentation | | **Transfert** | Partager le risque avec un tiers | Cyber-assurance | | **Évitement** | Supprimer l'activité génératrice | Fermer le service exposé | | **Acceptation** | Accepter le risque résiduel | Risque faible, coût trop élevé | **Calcul du niveau de risque :** ``` Risque = Vraisemblance × Gravité Échelle : 1 = Très faible | 2 = Faible | 3 = Significatif | 4 = Élevé Matrice : Gravité 1 2 3 4 Vrais. 4 [ 4 ][ 8 ][12 ][16 ] 3 [ 3 ][ 6 ][ 9 ][12 ] 2 [ 2 ][ 4 ][ 6 ][ 8 ] 1 [ 1 ][ 2 ][ 3 ][ 4 ] ≥ 9 → Risque inacceptable (traitement obligatoire) 4-8 → Risque à surveiller ≤ 3 → Risque acceptable ``` --- ## EBIOS RM vs ISO 27005 | Critère | EBIOS RM | ISO 27005 | |---|---|---| | Origine | France (ANSSI) | International (ISO) | | Structure | 5 ateliers imposés | Framework flexible | | Granularité | Très détaillée | Principes généraux | | Écosystème | Inclus (atelier 3) | Non structuré | | Lien ATT&CK | Atelier 4 naturel | Non précisé | | Usage FR | Référence ANSSI/PASSI | Complémentaire | --- ## Vocabulaire clé | Terme | Définition | |---|---| | **Valeur métier** | Ce que l'organisation veut protéger | | **Bien support** | Infrastructure qui supporte la valeur métier | | **Événement redouté** | Impact négatif sur une valeur métier | | **Source de risque** | Entité pouvant causer un événement redouté | | **Objectif visé** | Ce que cherche à obtenir la source de risque | | **Scénario stratégique** | Chemin haut niveau SR → valeur métier | | **Scénario opérationnel** | Séquence technique d'actions élémentaires | | **Vraisemblance** | Probabilité qu'un scénario se réalise | | **Gravité** | Niveau d'impact si le scénario se réalise | | **Risque résiduel** | Risque restant après application des mesures | | **PACS** | Plan d'Amélioration Continue de la Sécurité | | **OIV** | Opérateur d'Importance Vitale | | **PASSI** | Prestataire d'Audit SSI qualifié ANSSI | --- ## Cas pratique — E-commerce ``` Périmètre : Plateforme e-commerce Valeur métier : Base clients + transactions Source retenue : Cybercriminels financiers Objectif visé : Voler les données CB Scénario stratégique : Compromission via prestataire logistique tiers (supply chain) Scénario opérationnel : T1590 → T1566 → T1078 → T1021 → T1005 → T1041 Traitement : Réduction : MFA obligatoire VPN B2B, segmentation réseau partenaires Réduction : Monitoring accès prestataires (SIEM) Transfert : Cyber-assurance responsabilité tiers Résiduel : Faible — score 4 ``` --- ## Certifications associées | Certification | Organisme | Pertinence | |---|---|---| | ISO 27001 Lead Implementer | PECB, BSI | Déploiement SMSI | | ISO 27005 Risk Manager | PECB | Gestion des risques | | EBIOS RM Praticien | ANSSI / agréés | Méthode FR spécifique | | CISSP (domaine Risk) | ISC² | Reconnaissance internationale | Pour un premier engagement EBIOS RM, commencer par un atelier 1 solide : les valeurs métier mal définies contaminent toute l'étude. Prévoir au moins un atelier collaboratif avec les métiers (DSI + RSSI + DG) pour que les valeurs métier reflètent la réalité opérationnelle et pas uniquement la vision IT.