Analyse de risques
EBIOS RM : la méthode d'analyse de risques de l'ANSSI pour NIS2
EBIOS Risk Manager (EBIOS RM) est la méthode officielle d'analyse de risques publiée par l'ANSSI. Structurée en 5 ateliers, elle constitue le cadre de référence français pour répondre aux exigences de l'article 21(2) point a) de la directive NIS2 : l'analyse des risques et la sécurité des systèmes d'information.
Pourquoi EBIOS RM est incontournable pour NIS2
La directive NIS2 impose aux entités régulées d'adopter une approche fondée sur les risques(risk-based approach) pour dimensionner leurs mesures de cybersécurité. L'article 21(2) point a) exige explicitement des « politiques relatives à l'analyse des risques et à la sécurité des systèmes d'information ». Le référentiel ANSSI de transposition (mesure M01) précise que l'analyse de risques doit être documentée, périodiquement révisée et alignée sur une méthode reconnue.
EBIOS RM, publiée en 2018 et régulièrement mise à jour, est la méthode recommandée par l'ANSSI pour les entités françaises. Elle se distingue des approches purement quantitatives (FAIR) ou génériques (ISO 27005) par son approche par scénarios de menaces centrée sur l'écosystème de l'entité : fournisseurs, partenaires, sous-traitants et parties prenantes.
Les 5 ateliers EBIOS RM
La méthode EBIOS RM est structurée en 5 ateliers séquentiels. Chaque atelier produit des livrables spécifiques qui alimentent le suivant. L'ensemble du processus peut être conduit en 4 à 8 semaines pour une entité de taille moyenne.
Atelier 1 — Cadrage et socle de sécurité
Le premier atelier pose les fondations de l'analyse de risques :
- Périmètre métier : identification des missions critiques, des processus essentiels et des valeurs métier à protéger (disponibilité, intégrité, confidentialité).
- Périmètre technique : cartographie des biens supports (serveurs, applications, réseaux, OT/ICS, cloud) qui portent les valeurs métier.
- Socle de sécurité : évaluation du niveau de conformité actuel par rapport aux référentiels applicables (ANSSI, ISO 27002, bonnes pratiques sectorielles).
- Événements redoutés : identification des impacts métier en cas de compromission des valeurs principales.
Livrables : périmètre de l'étude, cartographie des biens supports, matrice des événements redoutés, évaluation du socle de sécurité.
Atelier 2 — Sources de risques
L'atelier 2 identifie les sources de risques (SR) et leurs objectifs visés (OV) susceptibles de cibler l'entité :
- Sources de risques : cybercriminels, États, hacktivistes, insiders malveillants, concurrents, erreurs internes.
- Objectifs visés : vol de données, sabotage industriel, rançon, espionnage économique, atteinte à l'image.
- Couples SR/OV : chaque couple source/objectif est évalué en pertinence et retenu ou écarté pour la suite de l'analyse.
Livrable : liste des couples SR/OV retenus, hiérarchisés par pertinence.
Atelier 3 — Scénarios stratégiques
L'atelier 3 constitue le cœur différenciant d'EBIOS RM : l'analyse de l'écosystème. Pour chaque couple SR/OV retenu, on construit des scénarios d'attaque qui exploitent les parties prenantes de l'entité :
- Cartographie de l'écosystème : fournisseurs, prestataires IT, partenaires métier, hébergeurs cloud, sous-traitants — chacun évalué en termes de dépendance, de pénétration et de fiabilité cyber.
- Chemins d'attaque stratégiques : identification des vecteurs d'entrée via l'écosystème (supply chain attack, compromission d'un prestataire, rebond via un partenaire).
- Mesures de l'écosystème : actions de sécurité à imposer aux parties prenantes (clauses contractuelles, audits fournisseurs, segmentation réseau).
Cet atelier répond directement à l'exigence NIS2 de sécurité de la chaîne d'approvisionnement (article 21(2) point d), l'une des mesures les plus transformatives de l'article 21.
Structurez votre analyse EBIOS RM avec Aventris
Le module Risques d'Aventris guide chaque atelier EBIOS RM : registre des risques, matrice de criticité, scénarios d'attaque et plan de traitement — aligné NIS2.
Atelier 4 — Scénarios opérationnels
L'atelier 4 décline les scénarios stratégiques en scénarios opérationnelsdétaillés, c'est-à-dire les séquences techniques de l'attaque :
- Modes opératoires : description pas à pas des actions de l'attaquant (reconnaissance, exploitation de vulnérabilité, mouvement latéral, exfiltration).
- Vraisemblance : évaluation de la probabilité de succès du scénario en fonction des mesures de sécurité en place.
- Biens supports ciblés : identification précise des composants techniques exploités dans chaque scénario.
Livrable : fiches de scénarios opérationnels avec vraisemblance et cartographie des biens supports impactés.
Atelier 5 — Traitement du risque
L'atelier final synthétise les résultats et produit le plan de traitement des risques :
- Matrice des risques : croisement gravité (impact métier) × vraisemblance pour chaque scénario opérationnel.
- Stratégie de traitement : pour chaque risque — réduction (mesure technique ou organisationnelle), transfert (assurance cyber), acceptation (risque résiduel validé par la direction) ou évitement (abandon de l'activité).
- Plan d'action : mesures de sécurité priorisées avec responsable, calendrier et budget estimé.
- Risques résiduels : validation formelle par la direction des risques acceptés (exigence article 20 NIS2).
Livrable : registre des risques, plan de traitement des risques, cadre de suivi et indicateurs.
EBIOS RM et les exigences NIS2
La méthode EBIOS RM répond à plusieurs exigences de la directive NIS2 :
| Exigence NIS2 | Atelier EBIOS RM | Couverture |
|---|---|---|
| Art. 21(2)-a — Analyse des risques | Ateliers 1 à 5 | Couverture complète |
| Art. 21(2)-d — Supply chain | Atelier 3 (écosystème) | Cartographie et scénarios |
| Art. 21(2)-c — Continuité | Atelier 1 (événements redoutés) | Identification des impacts |
| Art. 21(2)-f — Évaluation efficacité | Atelier 5 (suivi) | Indicateurs et réévaluation |
| Art. 20 — Gouvernance dirigeants | Atelier 5 (validation) | Acceptation des risques résiduels |
EBIOS RM vs ISO 27005 vs FAIR : quelle méthode choisir ?
Trois grandes méthodologies d'analyse de risques sont couramment utilisées en cybersécurité. Le choix dépend du contexte réglementaire et des objectifs de l'entité :
- EBIOS RM — Méthode qualitative, centrée sur les scénarios de menaces et l'écosystème. Recommandée par l'ANSSI pour NIS2, particulièrement adaptée au contexte français et aux exigences de sécurité de la supply chain.
- ISO 27005 — Cadre générique d'appréciation des risques liés à la sécurité de l'information. Compatible ISO 27001 mais ne prescrit pas de méthode spécifique. Peut être utilisée en complément d'EBIOS RM.
- FAIR (Factor Analysis of Information Risk) — Méthode quantitative qui exprime les risques en termes financiers (€). Utile pour le dialogue avec la direction financière mais nécessite des données historiques fiables. Complémentaire d'EBIOS RM pour la priorisation budgétaire.
Pour la conformité NIS2 en France, EBIOS RM est le choix naturel : c'est la méthode attendue par l'ANSSI lors des contrôles et la seule qui intègre nativement l'analyse de l'écosystème (supply chain), exigence centrale de l'article 21.
Comment Aventris intègre EBIOS RM
Le module Risques cyber d'Aventris structure votre analyse de risques selon la méthodologie EBIOS RM :
- Registre des risques — Création et suivi des risques avec champs SR/OV, vraisemblance, gravité et propriétaire du risque.
- Matrice de criticité — Visualisation heatmap 5×5 avec seuils configurables et export pour le COMEX.
- Scénarios d'attaque — Documentation des scénarios stratégiques et opérationnels avec liens vers les biens supports.
- Plan de traitement — Actions de remédiation priorisées en phases 30/60/90 jours, avec coût estimé et responsable.
- Intégration NIS2 — Chaque risque est lié aux mesures M01-M10 de l'article 21 et aux 25 objectifs ANSSI.
Lancez votre analyse EBIOS RM avec Aventris
Registre des risques, matrice heatmap, scénarios d'attaque et plan de traitement — tout est structuré pour répondre aux exigences NIS2. Essai gratuit.