Méthode EBIOS Risk Manager version 1.5 : le guide complet !

Connaissez-vous la méthode EBIOS Risk Manager de l’ANSSI dans sa version 1.5 mise à jour le 27 mars 2024 ?

5 étapes à suivre pour une analyse de risque qui répond aux exigences les plus rigoureuses en matière de sécurité de l’information !

Ebios Risk Manager qu’est-ce que c’est ? 🔍

La méthode EBIOS Risk Manager est le procédé de référence pour les organisations françaises en matière d’identification et de compréhension des risques numériques qui leur sont propres. Celle-ci est définie par l’ANSSI (Agence Nationale de Sécurité des Systèmes d’Information)¹ et se découpe en 5 ateliers : 

1. Atelier 1 : Cadrage et socle de sécurité
2. Atelier 2 : Sources de risque
3. Atelier 3 : Scénarios stratégiques
4. Atelier 4 : Scénarios opérationnels
5. Atelier 5 : Traitement du risque

Cette méthode permet de réaliser une appréciation et un traitement des risques à tous les niveaux de l’organisation grâce à une responsabilité partagée entre décideurs et opérationnels, permettant aux dirigeants d’appréhender correctement les risques cyber qui pèsent sur leur entreprise.

Elle s’applique aussi bien aux organisations publiques ou privées, quels que soient leur taille, leur secteur d’activité et que leurs systèmes d’information soient en cours d’élaboration ou déjà existants.

La méthode EBIOS RM peut être utilisée pour : 

• Mettre en place ou renforcer un processus de management du risque numérique au sein d’une organisation.
• Apprécier et traiter les risques relatifs à un projet numérique (notamment dans l’objectif d’une homologation de sécurité).
• Définir le niveau de sécurité à atteindre pour un produit ou service (selon les cas d’usages envisagés et les risques à contrer), dans la perspective d’une certification ou d’un agrément par exemple.

Cette méthode se veut une véritable boîte à outils, adaptable en fonction des objectifs visés.

Voici quelques exemples de l’utilisation de la méthode EBIOS RM selon des objectifs bien spécifiques définis par l’ANSSI 👇

Ps : EBIOS est l’acronyme pour Expression des Besoins et Identification des Objectifs de Sécurité.

Pourquoi la méthode EBIOS RM a-t-elle été mise à jour en 2024 ? 🔍

Le 27 mars 2024, l’ANSSI a publié une mise à jour de sa méthode EBIOS RM.

Face à l’intensification des menaces cyber, l’interconnexion des systèmes et l’arrivée de réglementations plus matures ces dernières années (DORA, LMP, NIS2…), cette version 1.5 a pour vocation de rendre la méthode proposée par l’ANSSI pleinement conforme à ces nouveaux enjeux et à la norme ISO/CEI 27005:2022.

À lire aussi

Articles recommandés pour booster votre cybersécurité

Réglementations et normes

Sécuriser l’Active Directory : 5 conseils de l'ANSSI

Transferts sécurisés

Entreprise : Pourquoi utiliser un coffre-fort numérique ?

Réglementations et normes

Certification ANSSI : quels avantages pour mon entreprise ?

5 ateliers à suivre pour prévenir les cyber-risques

La méthode EBIOS Risk Manager adopte une approche de management du risque qui part du plus haut niveau (Dirigeant) pour s’intéresser progressivement aux éléments métiers et techniques, en étudiant les chemins d’attaques possibles. 

Entrons dans le détails des 5 ateliers qui composent cette méthode d’analyse des risques numériques !

Atelier 1 : Cadrage et socle de sécurité

Cet atelier doit être conduit par la direction, les équipes métiers, le/la RSSI et le/la DSI.
Durée préconisée par l’ANSSI : 1 à 3 séances d’une demi-journée.

Cette étape consiste à identifier les forces et les faiblesses du système de sécurité actuel, afin de mieux cibler les actions à entreprendre pour renforcer la protection des actifs numériques.

Ce premier atelier vise à définir le cadre de l’étude, son périmètre métier et technique, les événements redoutés associés et le socle de sécurité. Cette étape doit vous permettre d’identifier les événements redoutés associés à chaque métier et estimer la gravité de leurs impacts.

La gravité des impacts est évaluée selon la grille suivante 👇

Cette étape permet également d’évaluer le socle de sécurité initial, c’est-à-dire de dresser un état des lieux des mesures de sécurité existantes. Pour cela, veillez à adopter une approche par conformité, en identifiant l’ensemble des référentiels de sécurité auxquels l’organisation est soumise.

Ces référentiels peuvent être par exemple : 

• Des règles d’hygiène informatique et bonnes pratiques de sécurité à suivre (ex : guides de recommandations de l’ANSSI² et utilisation de solution certifiées telles que LockSelf) ;
• Des règles de sécurité internes à l’organisation (ex : PSSI) ;
• Des exigences de tiers que vous devez respecter (ex : exigences de clients pour la fourniture de produit ou service) ;
• Des normes (ex : famille ISO 27000) ;
• Des réglementations en vigueur.

Atelier 2 : Sources de risque

Les participants à cet atelier seront la direction, les équipes métiers, le/la RSSI et éventuellement un.e spécialiste en analyse de la menace numérique.

Durée préconisée par l’ANSSI : 2 heures à une journée de travail.

Cet atelier vise à identifier les sources de risques et les objectifs visés par les attaquants.

Pour mener à bien cette étape vous devez vous poser les questions suivantes : 

• Quelles sont les sources de risque susceptibles de porter atteinte aux missions de l’organisation ou à des intérêts supérieurs (sectoriels, étatiques, etc.) ?
• Quels peuvent être les objectifs visés par chaque source de risque en termes d’effets recherchés ?
  
  

Cette étape permet de dresser une cartographie des risques potentiels auxquels l'organisation peut être confrontée. Ces sources de risque peuvent être diverses et variées. Elles incluent les menaces internes (employés malveillants, erreurs humaines) et externes (cyberattaques, malware, phishing).

Les critères d’évaluation habituellement utilisés sont :

• La motivation de la source de risque à atteindre son objectif ;
• Ses ressources (financières, compétences, infrastructures d’attaque) ;
• Son activité (est-elle active dans l’écosystème, dans l’industrie concernée, dans une industrie similaire, etc.). 

Une analyse approfondie permet de comprendre comment ces menaces peuvent exploiter les vulnérabilités du système informatique afin de prioriser les risques en fonction de leur impact potentiel.

Atelier 3 : Scénarios stratégiques

Les participants à cet atelier sont les équipes métiers (suivant la finalité de l’étude), les services achats, juridiques ou tout autre service ayant une connaissance approfondie des engagements contractuels avec les différentes parties prenantes, les architectes fonctionnelles, le/la RSSI, et un éventuel spécialiste en cybersécurité.
Durée préconisée par l’ANSSI : 1 à 3 demi-journées de travail.

L’atelier 3 vise à acquérir une vision claire de l’écosystème dans lequel évolue l’organisation (partenaires, sous-traitants, filiales, etc.), afin d’obtenir une cartographie du niveau de dangerosité induit par chaque relation avec ses parties prenantes.

Ceci va permettre d’identifier des scénarios stratégiques, c’est-à-dire les chemins d’attaques qu’un attaquant est susceptible d’emprunter afin d’atteindre l’entreprise. Cela implique de comprendre comment les acteurs malveillants peuvent exploiter les vulnérabilités identifiées.

Cette phase permet de prioriser les risques en fonction de leur impact potentiel sur l'organisation.

Cet atelier peut également permettre d’identifier de premières mesures de sécurité à appliquer vis-à-vis de l’écosystème, telles que l’utilisation d’un gestionnaire de mots de passe permettant le cloisonnement des accès partenaires, la surveillance renforcée des flux entrants et sortants (sonde IDS),  l’envoi chiffré de documents sensibles vers les parties prenantes etc…

Atelier 4 : Scénarios opérationnels

Les participants à cet atelier sont le/la RSSI, le/la DSI et éventuellement un spécialiste en cybersécurité.

Durée préconisée par l’ANSSI : 1 à 3 demi-journées de travail.

En se basant sur les scénarios stratégiques identifiés dans l’atelier 3, ce quatrième atelier vise à construire des scénarios techniques reprenant les modes opératoires susceptibles d’être utilisés par des acteurs malveillants. Cet atelier suit une démarche similaire à l’atelier précédent mais en se concentrant cette fois sur les supports critiques. Les ateliers 3 et 4 s’alimentent naturellement au cours d’itérations successives.

Ici vous allez ainsi détailler les scénarios techniques des attaques en décrivant les modes opératoires des attaquants, les vecteurs d’intrusion, les méthodes de compromission qu'ils utilisent et les cibles potentielles. 

Une attaque réussie relève souvent de l’exploitation de plusieurs failles. Veillez à identifier les vecteurs d’entrée, d’exploitation ou de relais de propagation de l’attaque, notamment la question des droits d’accès prestataires qui doivent être cloisonnés sur le SI et d’autre part une sécurité renforcée de l’ensemble du système d’information avec une surveillance accrue de ces flux.

Pour analyser la probabilité d’occurrence d’un scénario d’attaque voici l’échelle proposée par l’ANSSI 👇

À l’issue de cet atelier sera réalisée une synthèse de l’ensemble des risques de l’étude.

Cette phase permet de mettre en place des mesures de sécurité spécifiques pour contrer les attaques les plus probables.

Atelier 5 : Traitement du risque

Les participants seront les mêmes que pour le premier atelier à savoir : la direction, les équipes métiers, le/la RSSI et le/la DSI.
Durée préconisée par l’ANSSI : 2 à 4 demi-journées de travail.

Ce dernier atelier synthétise les risques identifiés et propose des mesures de sécurité pour les traiter. 

Les risques sont le plus souvent positionnés sur une grille qui constituera votre cartographie du risque initial, c’est-à-dire avant traitement. 

Exemple de grille utilisée pour la cartographie initiale des risques 👇

Pour chaque scénario de risque, accordez-vous sur des seuils d’acceptation du risque et des actions à mettre en place en suivant ce tableau proposé par l’ANSSI 👇

À l’issue de cet atelier sera dressé un document stratégique qui décrit les mesures de sécurité à mettre en place pour réduire les risques à un niveau acceptable (Plan de traitement du risque). Il inclut des actions correctives, préventives, et de surveillance, ainsi que des responsabilités et des échéances claires.

Ce plan est essentiel pour assurer une gestion continue des risques et une amélioration continue de la sécurité.

Les risques résiduels seront ensuite identifiés après l’application des mesures de traitement définies dans l’étape précédente. 

Le cadre de suivi de ces risques pourra être réalisé à l’aide de ce document 👇

Vous êtes désormais paré pour réaliser une analyse de risques en adéquation avec la méthode EBIOS et déterminer les mesures de sécurité adaptées face aux menaces qui pèsent sur votre entreprise.

La réalisation de chacun des ateliers vous permettra de gagner en maturité sur les enjeux de cybersécurité qui vous sont propres et de mettre en place un cadre de suivi et d’amélioration continue.

Veillez également à mettre en place des mécanismes de surveillance afin de suivre finement l’efficacité des différentes mesures mises en place !

Pour accéder au détail opérationnel de ces ateliers téléchargez la méthode EBIOS RM de l’ANSSI ici.

Si vous souhaitez aller plus loin dans la maîtrise de cette méthode EBIOS RM il est possible de vous former en suivant la formation élaborée par l’ANSSI conjointement au Club EBIOS.³

À lire aussi

Articles recommandés pour booster votre cybersécurité

Réglementations et normes

Sécuriser l’Active Directory : 5 conseils de l'ANSSI

Transferts sécurisés

Entreprise : Pourquoi utiliser un coffre-fort numérique ?

Réglementations et normes

Certification ANSSI : quels avantages pour mon entreprise ?

Sources : 

1 https://cyber.gouv.fr/decouvrir-lanssi 

2 https://cyber.gouv.fr/guides-essentiels-et-bonnes-pratiques-de-cybersecurite-par-ou-commencer