EBIOS Risk Manager — Méthodologie

Vue d'ensemble

| Propriété | Valeur | |---|---| | Nom complet | Expression des Besoins et Identification des Objectifs de Sécurité | | Éditeur | ANSSI | | Version actuelle | EBIOS Risk Manager (2018) | | Référence internationale | Compatible ISO 27005, ISO 27001 | | Usage | Administrations, OIV, ETI/PME, prestataires PASSI |

Les 5 Ateliers

Atelier 1 — Cadrage et socle de sécurité

Objectif : Définir le périmètre de l'étude et l'état de la sécurité existante.

Livrables :

• Périmètre métier et technique de l'étude
• Valeurs métier (données, services, processus à protéger)
• Biens supports (SI, serveurs, réseaux, personnes)
• Événements redoutés
• Socle de sécurité (mesures existantes, écarts ISO 27002)

Questions clés :

 Quelles sont les missions critiques de lorganisation 
 Quels biens supports portent ces missions 
 Quels sont les impacts si ces biens sont compromis 
 Quel est le niveau de scurit actuel gap analysis 

Atelier 2 — Sources de risque

Objectif : Identifier qui pourrait attaquer et pourquoi.

Livrables :

• Couples Source de Risque / Objectif Visé (SR/OV) retenus
• Niveau de pertinence de chaque source

| Catégorie | Exemples | |---|---| | Cybercriminels | Ransomware, fraude, vol de données | | Espionnage | APT étatiques, concurrence industrielle | | Hacktivisme | Déni de service, defacement | | Insider malveillant | Employé mécontent, prestataire | | Insider accidentel | Erreur humaine, négligence | | Terrorisme cyber | Sabotage d'infrastructures critiques |

Critères d'évaluation d'une source :

• Motivation : financière, idéologique, stratégique
• Ressources : moyens techniques et financiers
• Activité : connue, suspectée, théorique

Atelier 3 — Scénarios stratégiques

Objectif : Construire des chemins d'attaque haut niveau.

Structure d'un scénario stratégique :

Source de risque cherche  atteindre objectif vis
en compromettant valeur mtier via parties prenantes  cosystme
Impact redout  confidentialit  intgrit  disponibilit
Vraisemblance  Trs faible  Faible  Significative  leve

Exemple :

Un groupe cybercriminel cherche  extorquer lorganisation
en chiffrant le SI de production via un prestataire de maintenance
Impact  Disponibilit du service perte financire
Vraisemblance  leve

Atelier 4 — Scénarios opérationnels

Objectif : Décliner les scénarios stratégiques en séquences techniques.

Mapping MITRE ATT&CK :

| Action élémentaire | Technique MITRE | |---|---| | Phishing initial | T1566 — Phishing | | Exécution de payload | T1059 — Command & Scripting Interpreter | | Persistance | T1547 — Boot/Logon Autostart | | Mouvement latéral | T1021 — Remote Services | | Exfiltration | T1041 — Exfiltration Over C2 Channel | | Chiffrement ransomware | T1486 — Data Encrypted for Impact |

Exemple de séquence opérationnelle :

1 Reconnaissance      T1589 T1590 OSINT sur employs
2 Accs initial       T1566001 spear phishing pice jointe
3 Excution           T1059005 macro VBA
4 Persistance         T1547001 cl Run registry
5 Escalade            T1055 process injection
6 Mouvement latral   T1021002 SMB/PsExec
7 Impact              T1486 ransomware

Atelier 5 — Traitement du risque

Objectif : Décider comment traiter chaque risque et construire le PACS.

4 stratégies de traitement :

| Stratégie | Définition | Exemple | |---|---|---| | Réduction | Mesures pour diminuer le risque | MFA, EDR, segmentation | | Transfert | Partager le risque avec un tiers | Cyber-assurance | | Évitement | Supprimer l'activité génératrice | Fermer le service exposé | | Acceptation | Accepter le risque résiduel | Risque faible, coût trop élevé |

Calcul du niveau de risque :

Risque  Vraisemblance  Gravit
chelle  1  Trs faible | 2  Faible | 3  Significatif | 4  lev
Matrice 
           Gravit
           1    2    3    4
Vrais 4   4  8 12 16 
       3   3  6  9 12 
       2   2  4  6  8 
       1   1  2  3  4 
 9   Risque inacceptable traitement obligatoire
4-8   Risque  surveiller
 3   Risque acceptable

EBIOS RM vs ISO 27005

| Critère | EBIOS RM | ISO 27005 | |---|---|---| | Origine | France (ANSSI) | International (ISO) | | Structure | 5 ateliers imposés | Framework flexible | | Granularité | Très détaillée | Principes généraux | | Écosystème | Inclus (atelier 3) | Non structuré | | Lien ATT&CK | Atelier 4 naturel | Non précisé | | Usage FR | Référence ANSSI/PASSI | Complémentaire |

Vocabulaire clé

| Terme | Définition | |---|---| | Valeur métier | Ce que l'organisation veut protéger | | Bien support | Infrastructure qui supporte la valeur métier | | Événement redouté | Impact négatif sur une valeur métier | | Source de risque | Entité pouvant causer un événement redouté | | Objectif visé | Ce que cherche à obtenir la source de risque | | Scénario stratégique | Chemin haut niveau SR → valeur métier | | Scénario opérationnel | Séquence technique d'actions élémentaires | | Vraisemblance | Probabilité qu'un scénario se réalise | | Gravité | Niveau d'impact si le scénario se réalise | | Risque résiduel | Risque restant après application des mesures | | PACS | Plan d'Amélioration Continue de la Sécurité | | OIV | Opérateur d'Importance Vitale | | PASSI | Prestataire d'Audit SSI qualifié ANSSI |

Cas pratique — E-commerce

Primtre       Plateforme e-commerce
Valeur mtier   Base clients  transactions
Source retenue  Cybercriminels financiers
Objectif vis   Voler les donnes CB
Scnario stratgique 
  Compromission via prestataire logistique tiers supply chain
Scnario oprationnel 
  T1590  T1566  T1078  T1021  T1005  T1041
Traitement 
  Rduction  MFA obligatoire VPN B2B segmentation rseau partenaires
  Rduction  Monitoring accs prestataires SIEM
  Transfert   Cyber-assurance responsabilit tiers
  Rsiduel    Faible  score 4

Certifications associées

| Certification | Organisme | Pertinence | |---|---|---| | ISO 27001 Lead Implementer | PECB, BSI | Déploiement SMSI | | ISO 27005 Risk Manager | PECB | Gestion des risques | | EBIOS RM Praticien | ANSSI / agréés | Méthode FR spécifique | | CISSP (domaine Risk) | ISC² | Reconnaissance internationale |