EBIOS RM et NIS2 : la méthode d'analyse de risques recommandée par l'ANSSI
L'Article 21 de NIS2 exige des entités régulées qu'elles mettent en œuvre des mesures de gestion des risques « appropriées et proportionnées ». Cela commence par une analyse de risques formelle. EBIOS RM (Expression des Besoins et Identification des Objectifs de Sécurité — Risk Manager) est la méthode d'analyse de risques développée et promue par l'ANSSI. Pour une vue complète du cadre NIS2, consultez notre guide complet.
Pourquoi EBIOS RM pour NIS2 ?
EBIOS RM n'est pas la seule méthode d'analyse de risques existante, mais c'est celle que l'ANSSI utilise elle-même et recommande pour les entités françaises. Voici pourquoi elle est particulièrement adaptée au contexte NIS2 :
- Méthode officielle ANSSI : publiée en 2018, maintenue et mise à jour régulièrement par l'agence nationale
- Approche par scénarios de menaces : va au-delà des risques génériques pour modéliser des attaques réalistes avec des sources de risques identifiées
- Alignement naturel avec NIS2 : les résultats d'EBIOS RM se mappent directement sur les 10 mesures de l'Article 21
- Conformité RGPD : EBIOS RM intègre les aspects privacy (PIA/AIPD) ce qui permet une approche unifiée
- Écosystème français : de nombreux prestataires qualifiés, des outils dédiés, des retours d'expérience documentés
Les 5 ateliers EBIOS RM appliqués à NIS2
EBIOS RM structure l'analyse de risques en 5 ateliers progressifs. Voici comment chacun alimente votre démarche de conformité NIS2 :
Atelier 1 — Cadrage et socle de sécurité
L'atelier de cadrage définit le périmètre de l'étude, les missions de l'entité, les valeurs métier (processus critiques) et le socle de sécurité existant (mesures déjà en place).
Lien NIS2 : cet atelier permet d'identifier précisément quels systèmes sont concernés par l'obligation NIS2 et d'évaluer les écarts par rapport aux 10 mesures de l'Article 21. Il alimente directement la mesure (a) — politiques d'analyse des risques.
Atelier 2 — Sources de risques
Cet atelier identifie les sources de risques (attaquants potentiels) et les objectifs visés (exfiltration, sabotage, espionnage, etc.). Il construit des couples source/objectif qui forment la base des scénarios de menaces.
Lien NIS2 : les concepts de « menace cyber significative » et de « quasi-incident » introduits par NIS2 s'appuient sur une compréhension des sources de risques. Cet atelier est essentiel pour calibrer les mesures des articles (b), (d) et (e).
Atelier 3 — Scénarios stratégiques
On construit ici les scénarios de menaces de haut niveau en identifiant les chemins d'attaque à travers l'écosystème (fournisseurs, partenaires, sous-traitants). L'approche par parties prenantes est un point fort d'EBIOS RM.
Lien NIS2 : directement connecté à la mesure (d) — sécurité de la chaîne d'approvisionnement. Les scénarios stratégiques montrent comment un attaquant peut atteindre l'entité via ses fournisseurs.
Atelier 4 — Scénarios opérationnels
Cet atelier décline les scénarios stratégiques en scénarios techniquesconcrets : exploitation de vulnérabilités, mouvements latéraux, exfiltration. C'est ici qu'on évalue la vraisemblance et la gravité de chaque scénario.
Lien NIS2 : alimente les mesures (e) — sécurité du développement, (h) — cryptographie, (i) — contrôle d'accès et (j) — authentification multifacteur. Les scénarios opérationnels justifient les choix techniques de sécurité.
Atelier 5 — Traitement du risque
Le dernier atelier produit le plan de traitement des risques : pour chaque scénario retenu, on définit les mesures de sécurité à mettre en œuvre, le risque résiduel accepté et le calendrier d'implémentation.
Lien NIS2 : l'atelier 5 produit directement le plan d'action de mise en conformité. Il alimente toutes les mesures (a) à (j) et fournit la traçabilité exigée entre risques identifiés et mesures mises en œuvre — ce que la mesure (f) demande d'évaluer régulièrement.
Mapping EBIOS RM → Article 21 NIS2
Voici comment les livrables d'EBIOS RM alimentent chacune des 10 mesures de l'Article 21 :
| Atelier EBIOS RM | Livrable principal | Mesures Art. 21 alimentées |
|---|---|---|
| Atelier 1 — Cadrage | Périmètre, valeurs métier, socle de sécurité | (a) Politiques de risques |
| Atelier 2 — Sources de risques | Couples source/objectif visé | (a), (b) Incidents |
| Atelier 3 — Scénarios stratégiques | Cartographie de l'écosystème | (d) Supply chain, (c) Continuité |
| Atelier 4 — Scénarios opérationnels | Scénarios techniques pondérés | (e) Développement, (h) Crypto, (i) Accès, (j) MFA |
| Atelier 5 — Traitement | Plan de traitement des risques | Toutes les mesures (a)-(j) |
EBIOS RM vs ISO 27005 vs FAIR
Trois approches dominent la gestion des risques cyber. Voici comment elles se comparent dans le contexte NIS2 :
| Critère | EBIOS RM | ISO 27005 | FAIR |
|---|---|---|---|
| Type | Méthode opérationnelle | Cadre normatif | Modèle quantitatif |
| Approche risques | Scénarios de menaces | Actifs / menaces / vulnérabilités | Financière (€ de pertes) |
| Reconnaissance ANSSI | Officiellement recommandée | Acceptée | Non mentionnée |
| Complexité | Moyenne (5 ateliers) | Variable (à adapter) | Élevée (données quantitatives) |
| Meilleur cas d'usage NIS2 | Entités françaises, toutes tailles | Groupes internationaux avec ISO 27001 | Justification budgétaire au COMEX |
Pour les entités françaises, EBIOS RM est le choix le plus sûr : c'est la méthode la mieux comprise par l'ANSSI et les auditeurs français. Si vous êtes déjà certifié ISO 27001, vous pouvez compléter ISO 27005 avec des éléments d'EBIOS RM pour couvrir l'approche scénarios.
Conseils de mise en œuvre pratique
- Cadrez précisément le périmètre : ne lancez pas EBIOS RM sur toute l'entreprise d'un coup. Commencez par un système critique.
- Impliquez les métiers : les ateliers 1 et 3 nécessitent la participation active des responsables métier, pas seulement de l'IT
- Documentez tout : les livrables EBIOS RM sont vos preuves de conformité NIS2 pour la mesure (a)
- Itérez : une première étude « macro » en 5-10 jours vaut mieux qu'une étude exhaustive jamais terminée
- Outillez-vous : des solutions comme Aventris intègrent l'approche EBIOS RM dans le pilotage NIS2 global