Le document présente la méthode EBIOS Risk Manager comme une avancée clé dans la gestion du risque cyber, répondant à une demande croissante de praticité et de pertinence dans ce domaine. Il souligne l'importance d'une approche collaborative et agile pour l'analyse des risques numériques, tout en intégrant des concepts novateurs et une modélisation visuelle. Enfin, il met en avant l'adhérence de cette méthode aux normes ISO, promouvant une mise en œuvre efficace des mesures de sécurité.

1. EBIOS Risk Manager :
Vers une approche « raffinée » du risque cyber
Thierry PERTUS
Février 2019

2. EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber
Février 2019 p 2
►Avant-propos
La publication de la méthode EBIOS Risk Manager par l’ANSSI constitue une avancée majeure en matière de management du
risque cyber. En effet, cette nouvelle mouture, se voulant plus pertinente et plus agile, reflète à la fois une certaine maturité du
domaine et une réelle attente des praticiens et décideurs, aussi bien en termes de modélisation de l’écosystème et de la
menace que de partage des concepts et de vision.
Pour autant, bien que déléguant le management des risques numériques « usuels » à la conformité [au socle de sécurité],
force est de constater que la maîtrise de ces derniers n’est pas toujours au rendez-vous et que le cadre de référence applicable
reste dans certain cas à préciser selon le contexte et le périmètre d’étude.
A ce titre, une appropriation de la méthode par les praticiens s’avère indispensable, quitte à apporter des clés de lecture
adaptées, certaines étant proposées ici, tandis que certaines initiatives (label produit pour l’outillage, bases de connaissance,
référentiel de formation, …) portées par la communauté d’acteurs du management du risque numérique contribueront à enrichir
la méthode par la pratique.

3. EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber
p 3
EBIOS Risk Manager : l’émergence d’un nouveau paradigme
Février 2019

4. EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber
L’héritage EBIOS® (Expression des Besoins et Identification des Objectifs de Sécurité)
EBIOS constitue plus que jamais LA méthode française de référence d’appréciation et de traitement de risques
liés au numérique, et désormais plus spécifiquement le risque « cyber », sous toutes ses formes.
La création de la méthode remonte à 1995 sous l’égide de la DCSSI (rattachée alors au SGDN), devenue par la suite
l’ANSSI (rattachée au SGDSN). Une première actualisation a été opérée en 2004, puis une évolution en 2010,
déjà en collaboration communautaire avec le Club EBIOS.
Compatibilité avec le cadre normatif ISO/IEC 27005,
lui-même aligné sur l’ISO 31000
EBIOS v2 (2004)
(démarche générale en 5 étapes)
1
2 3
4
5
DCSSI
EBIOS v3 (2010)
(démarche générale en 5 modules)
1
2 3
4
5
ANSSI

5. EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber
EBIOS « nouvelle génération » pour franchir un nouveau palier de maturité
https://www.ssi.gouv.fr/administration/management-du-risque/la-methode-ebios-risk-manager/
Aux Assises de la sécurité, lors de son discours inaugural placé sous le signe de « l’anticipation collective »,
Guillaume Poupard, le directeur général de l'ANSSI, a insisté sur la généralisation de l'analyse de risque numérique
au sein des entreprises.
« Les analyses de risques
doivent se faire avec des experts,
mais aussi avec les décideurs et les métiers »
« Cette méthode se veut accessible
et évite les écueils du tout analyser
et tout réinventer »
10 octobre 2018 : l’ANSSI publie EBIOS Risk Manager,
une méthode repensée pour l’analyse agile du risque cyber
« Le fruit d’un travail de deux années conduit par l’ANSSI et le Club EBIOS [avec contribution du CLUSIF] »
@club_ebios
#EBIOSRM
« Miser sur la collaboration
pour rendre la cybersécurité plus attrayante »

6. EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber
Une démarche collaborative (pédagogique, inclusive) et agile (pragmatique, itérative) en 5 ateliers
Cadrage et
socle de sécurité
Sources
de risque
Scénarios
opérationnels
Scénarios
stratégiques
Traitement
du risque

7. EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber
Une démarche méthodologique modulaire pour des cas d’usage multiples
Cas d’usage

8. EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber
Adhérence de la méthode EBIOS Risk Manager avec la norme ISO 31000
EBIOS Risk Manager
(démarche itérative en 5 ateliers)
ISO 31000:2018
(processus de management du risque)
(cadre organisationnel)

9. EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber
Méthodologie détaillée

10. EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber
Modélisation d’un scénario de cyberattaque par décomposition analytique selon le point de vue attaque/défense
Vision stratégique
de la cyberattaque
orientée opportunité
Vision stratégique
de la cyberdéfense
orientée risque
Vision opérationnelle
de la cyber-attaque et de la cyberdéfense
orientée moindre effort

11. EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber
p 11
EBIOS Risk Manager :
des concepts novateurs et une modélisation plus visuelle
Février 2019

12. EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber
Pyramide du management du risque numérique visant à définir le « socle de sécurité »

13. EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber
Identification des couples sources de risques (SR) / objectifs visés (OV) les plus pertinents

14. EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber
Cartographie des parties prenantes critiques (PPC)

15. EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber
Sélection des mesures de sécurité stratégiques

16. EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber
Détermination des chemins d’attaques stratégiques les plus pertinents

17. EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber
Elaboration des scénarios opérationnels
arbre/séquences d’attaque (« cyber kill chain »)
(AE)

18. EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber
Elaboration des scénarios opérationnels

19. EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber
Modèle et thématiques de mesures de sécurité opérationnelles (réduction du risque)
Protection
Défense
Résilience
Gouvernance
& anticipation
Modèle de cyberdéfense
en profondeur
Facteur
organisationnel
Facteur
technologique
Facteur
humain
Facteurs de risques
et leviers d’action

20. EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber
Synthèse des scénarios de risques et sélection des mesures de sécurité opérationnelles

21. EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber
p 21
Quel cadre de référence
en guise de socle de sécurité ?
Février 2019

22. EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber
Niveau de cybermenace potentiel > Risque cyber
[capacité, ciblage, sophistication des cyberattaques]
OrdinaireElaboréAvancé
Approche ciblée,
par « scénarios »
Application avec discernement
du cadre légal et réglementaire,
voire normatif
Application ad hoc
des règles élémentaires
et recours aux standards
de bonnes pratiques
Approche à large spectre,
par « conformité »
au « socle de sécurité »
Niveau de cyberprotection requis
[fonction de la sensibilité SSI pondérée par l’exposition cyber]
Risquesaccidentelsetenvironnementaux
Avancé
Appréciation du risque
numérique
Sources de risque
numérique
Traitement du risque
numérique
Analyse fine
du risque cyber
Adhérence normative avec l’ISO 31000:2018
Modèle EBIOS Risk Manager « raffiné » pour une approche graduée
du management du risque numérique
Standards de bonnes pratiques :
Guide ANSSI « Hygiène informatique » (niv. std.)
Guide CNIL « sécurité des données personnelles »
Cadre normatif
(normes / labels / standards) :
ISO/IEC 27001, ISO/IEC 29100,
ISO/IEC 15408, IEC 62443,
PSCo/PASSI/PDIS/PRIS, PCI-DSS, …
Cadre règlementaire
(textes UE / nationaux / extraterritoriaux) :
LPM, NIS, GDPR, LIL, eIDAS, RGS, RGI, PSSI-E,
II901, IGI1300, HDS, SoX, ISAE-3402, …
Veille cybermenace :
cryptomalware / ransomware, cryptomining
botnets, watering hole, fileless malware,
spear phishing, scam, fake apps, …
Guides techniques spécialisés :
ANSSI, CNIL (PIA/AIPD), ENISA, CIS, NIST,
OWASP, CSA, …

23. EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber
Niveau de cybermenace potentiel > Risque cyber
[capacité, ciblage, sophistication des cyberattaques]
OrdinaireElaboréAvancé
Risquesaccidentelsetenvironnementaux
Avancé
Appréciation du risque
numérique
Sources de risque
numérique
Traitement du risque
numérique
Adhérence normative avec l’ISO 31000:2018
Démarche hybride EBIOS Risk Manager / EBISO 2010 pour une approche différentiée puis consolidée
du management du risque cyber / risques numériques usuels
EBIOS 2010
(en mode simplifié)
Approche à large spectre,
par priorisation des mesures de sécurité
issues du « socle de sécurité »
au regard des « risques usuels »
Approche ciblée,
par modélisation de la cybermenace
via des « chemins d’attaque sophistiqués »
pertinents

24. EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber
I - Sensibiliser et former
II - Connaitre le système d’information
III - Authentifier et contrôler les accès
IV - Sécuriser les postes
V - Sécuriser le réseau
VI - Sécuriser l’administration
VII - gérer le nomadisme
VIII - Maintenir à jour le système d’information
IX - Superviser, auditer, réagir
X - Pour aller plus loin
Structure et thématiques du guide d’hygiène informatique (ANSSI)

25. EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber
Politique, Organisation, Gouvernance
Ressources humaines
Gestion des biens
Intégration de la SSI dans le cycle de vie
des systèmes d’information
Sécurité physique
Sécurité des réseaux
Architecture des SI
Exploitation des SI
Sécurité du poste de travail
Sécurité du développement des systèmes
Traitement des incidents
Continuité d’activité
Conformité, audit, inspection, contrôle
Structure et thématiques de la PSSI de l’Etat
Domaine d’application : Sécurité des SI des administrations de l’Etat

26. EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber
Protection
Défense
Résilience
Gouvernance
& anticipation
Modèle de cyberdéfense
en profondeur
Structure et thématiques de Arrêté « transposition NIS » du 14/09/2018 (règles de sécurité)
Domaine d’application : Cyber-résilience des infrastructures et services essentiels (SIE)

27. EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber
Structure et thématiques du standard CIS Controls v7

28. EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber
Management de la cybersécurité
(sûreté numérique face à la cybercriminalité et au risque cyber)
Management de la sécurité de l’information
(sécurité numérique organisationnelle)
SSI
QSE / RSE
Continuité
d’activité
Audit &
Risques
RH
ISO 9001
ISO 9004
ISO 45001
ISO 14001
ISO/IEC 38500
ISO/IEC 20000-xx
ISO 26000
ISO 31000
ISO Guide 73
ISO 19600
ISO 223xx
ISO 8000-xxx
ISO/IEC 38505-1
ISO/IEC 291xx
ISO 304xx
ISO/IEC 291xx
Protection
des données
personnelles
Gouvernance
des données
Gouvernance
du SI
Conformité
Cyber
-sécurité
ISO/IEC 27032ISO/IEC 27xxx
Sécurité
de l’information
Domaine d’application de la SSI global et intégré au sein d’un écosystème normatif ISO
ConfidentialitéIntégritéDisponibilité
Sécurité des systèmes d’information
Sensibilité SSI = Max (D,I,C,T)
D I C
Traçabilité
T

29. EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber
A5. Politiques de sécurité de l’information
A6. Organisation de la sécurité de l’information
A7. Sécurité des ressources humaines
A8. Gestion des actifs
A9. Contrôle d’accès
A10. Cryptographie
A11. Sécurité physique et environnementale
A12. Sécurité liée à l’exploitation
A13. Sécurité des communications
A14. Acquisition, développement et maintenance
des systèmes d’information
A15. Relations avec les fournisseurs
A16. Gestion des incidents liés à la sécurité de l’information
A17. Continuité de la sécurité de l’information
A18. Conformité
Structure et thématiques de la norme ISO/IEC 27001:2013 - Annexe A (SMSI/DdA**)
ou ISO/IEC 27002:2013 (code de bonne pratique) et ses « ISO-topes » sectoriels **
* Système de Management de la Sécurité de l’Information / Déclaration d’Applicabilité (SoA)
** ISO/IEC 27011 (Télécoms), 27017 (Cloud Security), 27018 (Privacy Security),
27019 (Energy Utility Industry IS),27799 (Healthcare IS), …

30. EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber
p 30
Pour aller plus loin …
Février 2019

31. EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber
Des supports pédagogiques (supplément fiches méthode, FAQ, études de cas, retours d’expérience, …)
et des bases de connaissance communautaires (catalogues d’objets) pour faire vivre la méthode
A venir :
Un référentiel pédagogique et un kit de formation destinées aux formations certifiantes EBIOS Risk Manager
pour accompagner et développer le réseau de praticiens de la méthode

32. EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber
Un label ANSSI pour les solutions digitales et collaboratives Cyber RM/GRC en support de la méthode
Source : https://www.ssi.gouv.fr/entreprise/management-du-risque/la-methode-ebios-risk-manager/label-ebios-risk-manager-des-outils-pour-faciliter-le-management-du-risque-numerique/
2 plateformes phares en cours de développement parmi les solutions candidates au label :

33. EBIOS Risk Manager : Vers une approche « raffinée » du risque cyber
p 33
Source* : Zootopia (Disney)
* Dialogues revisités ici dans le cadre du droit à la parodie (article L 122-5 du Code de la Propriété Intellectuelle)
Eh bien figurez-vous que justement
j’étais en train de le finaliser,
Encore un peu de patience, plus qu’une ou deux
itérations et je vous envoie cela sous Word.
Dites, par rapport à mon dossier d’homologation,
c’est pas que je suis pressé,
mais j’attends votre rapport d’analyse de risques
depuis bientôt 6 mois …
Février 2019

34. Thierry PERTUS
Consultant senior
CISM, ISO/IEC 27001 LI, ISO/IEC 27005 RM, ISO 31000 RM
Cybersécurité
Powered by
securite@conix.fr
www.conix.fr
Keep control.