Zoom sur la méthode EBIOS ses actions et ses limites

Qu'est-ce que la méthode EBIOS d'analyse des risques cyber ? Quelles structures peuvent l'utiliser ? Avec quels avantages et inconvénients ?

EBIOS est une méthode d’analyse des risques des systèmes d'information en France créée en 1995 par le Service central de la sécurité des systèmes d’information (SCSSI). Depuis plus de 20 ans elle a fait l’objet de plusieurs actualisations, notamment en 2010 et 2018. Sa dernière version, EBIOS Risk Manager, est désormais maintenue par l’Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI), et se veut plus pédagogique et plus accessible. Avec des enjeux cybersécurité grandissants, elle est plus particulièrement utilisée par les entreprises du secteur publiques, en particulier les opérateurs d’importance vitale. Comment s’organise-t-elle ? Qui peut l’utiliser ? Avec quelles précautions ?

Léa Goichon

Un article de

Léa Goichon
Chargée de Marketing
Publié le
April 27, 2022
mis à jour le
November 8, 2024
temps
min
Methode EBIOS - C-Risk

Qu’est-ce qu’EBIOS pour la gestion des risques cyber ?

EBIOS est l’acronyme d’“Expression des Besoins et Identification des Objectifs de Sécurité”. Il s’agit d’une méthode de gestion des risques liés à la sécurité des systèmes d'information (SSI). Elle a été créée en 1995 par le Service central de la sécurité des systèmes d’information (SCSSI), organisme ancêtre de l’ANSSI - Agence nationale de la sécurité des systèmes d'information qui le maintient désormais.

Évolution historique de la méthode EBIOS

Selon l’ANSSI, EBIOS est une méthode de gestion des risques qui fait ses preuves depuis plus de vingt ans. L’Agence l’actualise régulièrement, si bien qu’elle est aujourd’hui conforme à trois normes ISO : ISO 27000, ISO 27005 et ISO 31000. L’ANSSI lui attribue plusieurs vertus :

  • analyser les risques cyber dans le cadre d’une stratégie de cybersécurité ;
  • “traiter” les risques relatifs à la sécurité des systèmes d’information (SSI) ;
  • communiquer à propos des risques cyber envers les parties prenantes internes et externes.
Les avantages de EBIOS Risk Manager selon l'ANSSI

L’ANSSI précise en outre que la méthode EBIOS a été révisée en 2010, en collaboration avec le Club EBIOS qui rassemble une soixantaine d’entreprises membres, y compris sociétés de conseils, de formation et quatre éditeurs de logiciels ainsi qu’environ 200 membres individuels. Cette nouvelle formule adapte ses principes à l’évolution des réglementations et aux différents retours d’expériences. Elle propose :

  • une approche simplifiée ;
  • une trame de plans d’actions concernant la sécurité des SI ;
  • des cas pratiques qui aident à élaborer des scénarios crédibles ;
  • un logiciel qui facilite sa mise en pratique.

Viens ensuite, en 2018, une dernière version, EBIOS “RM”, pour Risk Manager. Cette méthode a la spécificité de s’intéresser aux chemins d'attaque des cybercriminels. Elle se concentre donc sur des cyber menaces d’origine intentionnelle. Alors que les incidents cyber d’origine accidentelle (erreurs humaines, catastrophes naturelles ou défaillances structurelles) constituent une catégorie d’incidents cyber en constante augmentation selon le rapport annuel Verizon DBIR, les risques non-intentionnels sont, de manière surprenante, hors champs des analyses de risque EBIOS. En effet, ils sont réputés traités par la conformité et les bonnes pratiques du socle de sécurité.

EBIOS est une méthode de gestion du cyberisque pédagogique

À quoi et à qui sert l’Expression des Besoins et Identification des Objectifs de Sécurité ?

EBIOS se conçoit comme une boîte à outils qui permet d'encadrer la gestion des risques cyber à plusieurs niveaux :

Il s'agit d’une méthode principalement utilisée par les établissements publics français et les ministères. Dans le privé, en raison de sa complexité et faible diffusion, seules quelques grandes entreprises l’utilisent, souvent en parallèle de standard internationaux plus établis et répandus tel que le NIST CSF et ISO27005 et désormais le standard FAIR. A l’étranger pour les mêmes raisons, les standards NIST CSF, ISO 31000 et ISO 27005 lui sont préférés également.

À quoi sert EBIOS ?

Transformez la façon dont vous modélisez, mesurez et gérez les risques cyber

N'attendez pas l'inévitable incident cyber. Élaborez un programme de cybersécurité résilient et basé sur les risques grâce à la quantification des risques cyber.

Contactez nous

Comment utiliser la méthode EBIOS ?

La méthode EBIOS se déroule traditionnellement selon une succession d’étapes, lesdits “ateliers”. Les intitulés de ces ateliers varient un peu selon la version de la méthode à laquelle on se réfère, néanmoins la logique reste sensiblement la même. Elle se base sur le contexte de l’entreprise pour évaluer les faiblesses de son SI. Vous pouvez retrouver le détail de la méthode dans le guide ANSSI d’EBIOS Risk Manager.

L’atelier 1 et la notion d’“événements redoutés”

L’Atelier 1, “cadrage et socle de sécurité”, vise tout d’abord à dessiner le périmètre d'application de la méthode : participants, planning, objectif, biens supports. C’est aussi le moment d'identifier les "événements redoutés” (ER) liés à vos valeurs métiers, selon leur “gravité” et leur “impact”. Les valeurs métiers sont les anciens “biens essentiels”, c’est-à-dire les composants importants pour l’organisation dans l’accomplissement de sa mission (service, fonction support, projet, information). Dès le premier atelier, l’approche EBIOS démarre donc par l’anticipation des failles de cybersécurité.

En la matière, l’ANSSI précise dans son guide que le niveau d’impact doit relever d'une échelle de gravité. Celle-ci doit permettre la hiérarchisation des ER. Leur impact peut s’évaluer proportionnellement aux effets néfastes du risque : indisponibilité d’une valeur métier, atteinte à son intégrité, à sa confidentialité ou à sa traçabilité.

L’événement redouté se résume en une expression courte ou un “scénario” qui permet de comprendre facilement le préjudice. Les niveaux de gravité s’expriment diversement selon la valeur métier considérée : deux heures d'indisponibilité du site web, par exemple, ou un flux de données limité à 1 Mbps pendant une heure, autre exemple.

Les ateliers de cartographie du risque

2 / L’atelier 2 consiste à croiser les sources de risques (SR) avec les objectifs visés (OV). Les couples "SR/OV" les plus pertinents servent à dresser une cartographie des sources de risques.

3 / L’atelier 3 permet d’élaborer des “scénarios” de menace numérique, lesdits “scénarios stratégiques”. Ceux-ci incarnent des “chemins d'attaque" d’une “source de risque”. Là encore, les scénarios relèvent d’une échelle de gravité des impacts.

4 / L'objectif de l’atelier 4 se résume à la construction de scénarios opérationnels permettant de détailler les modes opératoires des cyber-attaquants. Il se concentre cette fois sur les biens supports critiques. Le niveau de vraisemblance de ces scénarios doit être évalué. Les ateliers 3 et 4 se nourrissent mutuellement.

5 / Le cinquième et dernier atelier synthétise la globalité des risques passés en revue. Objectif : définir et mettre en place une stratégie de traitement des menaces cyber, détaillées en mesures et intégrées à un plan d’amélioration continu. C’est aussi le moment de résumer les risques résiduels et de préciser les modalités de suivi.

EBIOS implique un travail d’équipe en atelier

Avantages et inconvénients de la méthode EBIOS pour évaluer le risque numérique

La méthode EBIOS est utilisée en complément de ISO27005, notamment parce qu’elle fait preuve d’une certaine simplicité de mise en œuvre par rapport à d'autres méthodes d’analyse des risques SSI. Elle fonctionne cependant autour de notions encore floues, comme celles de l’évaluation de la gravité et des impacts.

Avantages de cette approche d’analyse des risques cyber

La méthode d’analyse du risque EBIOS a le mérite d’aider les organisations à identifier clairement les éléments constitutifs du danger, et pas seulement des scénarios. Elle permet de mettre le doigt sur les acteurs et les interactions qui jouent un rôle dans la construction du risque cyber. Assez flexible, cette approche s’adapte facilement aux différents contextes organisationnels.

Cette démarche d'analyse de risques a aussi l’avantage d’être relativement rapide à mettre en place. Elle ne s’intéresse effectivement qu’aux éléments à analyser en fonction de l'objectif identifié lors de l’atelier 1. Elle peut également se réutiliser pour assurer un suivi continu des risques des systèmes d’information.

Inconvénients de l’approche EBIOS

Outre sa faible diffusion relative ailleurs qu’auprès des Opérateurs d’Importance Vitale Français qui l’utilisent pour leur rapport annuel à l’ANSSI, côté inconvénients, cette approche ne fait l’objet d’aucune évaluation externe. Il s'agit, comme le cyber framework NIST, d'une technique d’auto-évaluation. La méthode EBIOS repose en outre sur l’idée que les cyber menaces relèvent d’attaques extérieures. Elle ne traite donc pas l’éventualité de risques accidentels.

Autre inconvénient, cette analyse des risques repose sur une échelle de gravité par résumé (exemple : “l’attaque a provoqué une indisponibilité du site pendant 2h”), ou par cotations. Ce système de cotation, qui relève d’ailleurs moins de la recommandation que de l’illustration dans le guide de l’ANSSI, comprend 4 seuils de gravité.

Le seuil “critique” relève ainsi, par exemple, des risques qui impliquent “l’incapacité pour la société d’assurer tout ou partie de son activité, avec d’éventuels impacts graves sur la sécurité des personnes et des biens” et sur la survie de la structure. Chaque seuil - critique, grave, significatif, mineur - se voit attribuer une couleur, du rouge au vert.

Cette façon d’évaluer la gravité du risque repose donc sur une évaluation subjective et non-chiffrée du danger. L’incapacité réelle de l'entreprise à assurer la continuité de ses activités ou sa survie dépend d’hypothèses effectuées sur la base d’échelles nominales ou ordinales. En conséquence, la hiérarchie des cyber risques qui en découle a par conséquent des chances d’être approximative.

C’est pour répondre à ce type d’imprécision qu’a été inventée l’approche de FAIR Analysis, Factor Analysis of Information Risk. Cette démarche consiste à quantifier le risque cyber de façon statistique et mathématique. Objectif : connaître l’impact financier d’un scenario de risque, pour les comparer et établir une hiérarchie des risques crédible, réaliste et utile pour la construction d’un plan d’actions de prévention de cybersécurité performant.

Compléter EBIOS avec la CRQ

La méthodologie EBIOS fournit un cadre solide pour identifier et évaluer les risques cyber, mais l'intégrer à une approche de quantification des risques cyber (CRQ), telle que la méthode FAIR™ (Factor Analysis of Information Risk), ajoute à l'analyse la précision d'une mesure statistique et financière. En tant que modèle quantitatif standard international pour la sécurité de l'information et le risque opérationnel, FAIR permet aux organisations de quantifier les impacts financiers potentiels de scénarios de risque spécifiques. Cela permet aux équipes chargées de la gestion des risques de créer un plan d'action hiérarchisé, fondé sur des données et adapté aux menaces les plus pressantes.

En utilisant à la fois EBIOS et FAIR™, les entreprises obtiennent une vue d'ensemble du risque numérique : EBIOS fournit un profil de risque structuré, tandis que l'analyse quantitative de FAIR offre une mesure financière des pertes potentielles et de leur fréquence potentielle, ce qui permet aux responsables de la cybersécurité de communiquer efficacement les risques aux dirigeants et de hiérarchiser les ressources d'allocation en conséquence. C-Risk soutient les RSSI prêts à commencer leur première analyse CRQ ou à intégrer une nouvelle plateforme de gestion des cyber-risques avec des conseils d'experts et des solutions sur mesure.

Pour explorer comment CRQ peut élever votre évaluation des risques EBIOS, planifiez une consultation gratuite de 30 minutes avec C-Risk dès aujourd'hui.

FAQ : EBIOS

La méthode EBIOS est-elle en conformité avec la norme ISO 27005 ?

Oui, EBIOS propose une méthode compatible avec les principes de gestion des risques liés à la sécurité de l’information décrits par ISO 27005.

Sur qui repose la mise en oeuvre de la méthode EBIOS ?

Cette approche rassemble plusieurs acteurs au sein d’ateliers : directions métiers, DSI, RSSI, responsable cybersécurité, risk manager.

Qu'est-ce que EBIOS?

L’Expression des Besoins et Identification des Objectifs de Sécurité est une méthodologie de gestion des risques publiée par le Club EBIOS. Il s’agit en outre d’une marque déposée par le Secrétariat général de la défense et de la sécurité nationale français (SGDSN). EBIOS Risk Manager (ou EBIOS RM) est la méthode d’analyse des risques de cybersécurité désormais maintenue par l’Agence nationale de la sécurité des systèmes d’information (ANSSI).

Dans cet article
Utilisez la CRQ pour une meilleure prise de décision

Nous avons conçu des solutions évolutives pour quantifier les risques cyber en termes financiers afin que les organisations améliorent leur gouvernance et leur résilience grâce à des décisions éclairées.

En savoir plus

Articles associés

En savoir plus sur les cyber-risques, les attaques par ransomware, la conformité réglementaire et la cybersécurité.

Voir tous les articles
gouvernance cybersécurité - C-Risk

Gouvernance de la cybersécurité : petit guide pratique

Découvrez ce qu'est la gouvernance de la cybersécurité et comment et pourquoi vous devriez la mettre en œuvre

Christophe Forêt

22/4/2022
analyse méthode FAIR - C-Risk

Méthode d’analyse FAIR : une révolution pour l'analyse du risque cyber ?

Comment la Méthode d’analyse FAIR se différencie-t-elle des autres méthodes d'analyse du risque cyber ? Sur quels préceptes reposent-elles ? Avec quels bénéfices ?

Melissa Parsons

14/5/2023
assurance cyber risques - C-Risk

Rapport sur les complexités de l’assurance cyber risques

Comprenez votre exposition financière aux cyber-risques, tels que la cybercriminalité, et donnez à votre entreprise une longueur d'avance lors de la négociation d'une couverture d'assurance contre les cyber-incidents.

Christophe Forêt

1/11/2023

C-Risk est un expert reconnu dans la quantification des risques cyber selon la méthodologie FAIR™. Nous proposons des solutions de CRQ, des services de conseil et des formations à la quantification des risques.

Nos services
CRQ as a ServiceCRQ Enablement ServicesCRQ Consulting & Advisory Services
Nos solutions
Plateforme CRQ SAFE OnePlateforme SAFE One Third party
Formations
Formation CRQFormation E-learning
Cas d'usage
Communiquez avec le conseil d’administration et la directionGestion des risques cyber liés aux tiersFusion & AcquitionOptimisez votre assurance cyber risquesDimensionnez, catégorisez et justifiez votre budget infosecFacilitez la conformité réglementaireRSSI - Risques Majeurs et Priorisation des Contrôles
Ressources
BlogActualitésVidéos
À propos
A propos de C-riskCarrièrePartenairesC-Risk dans la presse
Votre rôle
ComexCadres dirigeantsProfessionnels du risque
Contact
Contactez-nous
Langue
Site réalisé par Sales Odyssey
Mentions LégalesPolitique de confidientialités