EBIOS Risk Manager¶
L'analyse de risques organisationnelle en 5 ateliers — méthode de référence de l'ANSSI.
Pourquoi EBIOS¶
EBIOS Risk Manager (EBIOS RM) est la méthode d'analyse de risques de l'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information). Elle est conçue pour des systèmes d'information complexes ou les risques ne sont pas uniquement techniques mais aussi organisationnels, humains et strategiques.
Contrairement a STRIDE qui se concentre sur les menaces techniques composant par composant, EBIOS prend du recul. On identifie d'abord les sources de risques (qui pourrait attaquer et pourquoi), puis on construit des scenarios d'attaque strategiques avant de descendre au niveau technique. Cette approche top-down garantit que l'analyse couvre les menaces réelles — pas seulement les vulnérabilités théoriques.
EBIOS RM est alignee avec ISO 27005 (gestion des risques de sécurité de l'information) et s'intégré dans un SMSI (Système de Management de la Sécurité de l'Information) ISO 27001. Elle est recommandee par l'ANSSI pour les opérateurs d'importance vitale (OIV) et les opérateurs de services essentiels (OSE), mais sa structure convient à tout système critique.
Les 5 ateliers¶
EBIOS RM se decompose en 5 ateliers séquentiels. Chaque atelier produit des livrables qui alimentent le suivant. L'ensemble forme un processus structure qui part du périmètre métier pour aboutir a un plan de traitement des risques.
graph LR
A1["Atelier 1\nSocle de securite"] --text--> A2["Atelier 2\nSources de risques"]
A2 --text--> A3["Atelier 3\nScenarios strategiques"]
A3 --text--> A4["Atelier 4\nScenarios operationnels"]
A4 --text--> A5["Atelier 5\nTraitement du risque"]
A5 --retour--> A1Le retour de l'atelier 5 vers l'atelier 1 materialise le cycle d'amélioration continue. Les mesures de traitement modifient le socle de sécurité, ce qui peut révéler de nouvelles sources de risques ou modifier les scenarios existants.
Atelier 1 — Socle de sécurité¶
L'atelier 1 définit le périmètre de l'étude et etablit le socle de sécurité existant. On identifie ce qu'on protégé, avec quoi, et quel est le niveau de protection actuel.
Activités¶
Définir le périmètre — quels systèmes, quelles données, quels processus métier sont couverts par l'analyse. Un périmètre trop large rend l'analyse ingerable. Un périmètre trop étroit laisse des angles morts.
Identifier les valeurs métier — les processus métier critiques et les données essentielles. Ce sont les cibles finales des attaquants. Exemples : processus de paiement, données clients, secrets industriels, disponibilité du service.
Cartographier les biens supports — les composants techniques qui supportent les valeurs métier : serveurs, bases de données, réseaux, applications, services cloud. Chaque bien support est un vecteur potentiel d'attaque.
Évaluer le socle de sécurité — les mesures de sécurité déjà en place. On s'appuie sur des référentiels (ISO 27002, guide ANSSI) pour évaluer la maturité actuelle. Les ecarts identifiés sont des vulnérabilités a traiter.
Livrables¶
| Livrable | Description |
|---|---|
| Périmètre de l'étude | Systèmes, données et processus couverts |
| Valeurs métier | Processus et données critiques avec niveaux de criticite |
| Cartographie des biens | Composants techniques supportant les valeurs métier |
| Évaluation du socle | Maturité sécurité actuelle, ecarts identifiés |
Tip
L'atelier 1 est souvent sous-estime. Un périmètre mal défini ou des biens supports mal cartographies invalident toute l'analyse en aval. On investit du temps ici pour gagner en précision sur les ateliers suivants.
Atelier 2 — Sources de risques¶
L'atelier 2 identifié qui pourrait attaquer le système et pourquoi. On raisonne en termes de sources de risques (l'attaquant) et d'objectifs vises (ce qu'il cherche à obtenir).
Types de sources de risques¶
| Type | Exemples | Motivation typique |
|---|---|---|
| Etatique | Services de renseignement, groupes APT | Espionnage, sabotage, influence |
| Crime organisé | Groupes de ransomware, fraud rings | Gain financier |
| Hacktiviste | Groupes ideologiques, lanceurs d'alerte | Perturbation, denonciation |
| Concurrent | Entreprise rivale, sous-traitant deloyal | Avantage concurrentiel |
| Insider malveillant | Employe mecontent, prestataire corrompu | Vengeance, gain financier |
| Insider non malveillant | Employe negligent, erreur de configuration | Non intentionnel mais impact réel |
Couples source/objectif¶
On construit des couples (source de risque, objectif vise) qui représentent les scenarios de menace plausibles. Chaque couple est évalué en termes de motivation, de ressources disponibles et de pertinence par rapport au périmètre.
Exemple pour une plateforme e-commerce :
| Source de risque | Objectif vise | Pertinence |
|---|---|---|
| Crime organisé | Exfiltrer les données de paiement | Élevée |
| Crime organisé | Déployer un ransomware | Élevée |
| Concurrent | Voler la base clients | Moyenne |
| Hacktiviste | Deface le site pour denoncer des pratiques | Faible |
| Insider malveillant | Exfiltrer des données pour les revendre | Moyenne |
Les couples de pertinence faible sont documentes mais ne passent pas aux ateliers suivants. On concentre l'effort sur les menaces reellement plausibles.
Atelier 3 — Scenarios strategiques¶
L'atelier 3 construit des chemins d'attaque haut niveau. On raisonne en termes d'écosystème : par ou l'attaquant peut-il entrer et comment atteint-il son objectif ?
Écosystème et parties prenantes¶
On identifie les parties prenantes de l'écosystème (fournisseurs, partenaires, clients, sous-traitants, hebergeurs) et on évalué leur niveau d'exposition. Un fournisseur avec un VPN permanent vers le SI est un vecteur d'entree potentiel.
graph TD
ATT["Attaquant\n(source de risque)"]
ATT --text--> PP1["Fournisseur SaaS\n(partie prenante)"]
ATT --text--> PP2["Prestataire infra\n(partie prenante)"]
ATT --text--> PP3["Employe\n(partie prenante)"]
PP1 --text--> SI["Systeme cible\n(valeurs metier)"]
PP2 --text--> SI
PP3 --text--> SI
ATT --text--> SIConstruction des scenarios¶
Un scenario strategique décrit le chemin d'attaque au niveau macro :
- L'attaquant identifie une cible dans l'écosystème
- Il compromet une partie prenante ou exploite un vecteur d'entree
- Il progresse vers les valeurs métier
- Il atteint son objectif (exfiltration, sabotage, chiffrement)
Exemple : "Un groupe de ransomware compromet le prestataire de maintenance qui dispose d'un accès VPN permanent. Via ce VPN, il se déplacé lateralement vers le serveur de bases de données et chiffre les données de production."
Évaluation de la gravite¶
Chaque scenario strategique est évalué en termes de gravite pour l'organisation :
| Niveau | Gravite | Critère |
|---|---|---|
| 1 | Negligeable | Impact limite, récupération rapide |
| 2 | Significatif | Impact sur une activité, récupération en quelques jours |
| 3 | Grave | Impact majeur sur le métier, perte financiere significative |
| 4 | Critique | Survie de l'organisation menacee, impact irreversible |
Atelier 4 — Scenarios opérationnels¶
L'atelier 4 traduit les scenarios strategiques en chemins d'attaque techniques. C'est ici que STRIDE peut intervenir comme outil complementaire pour identifier les menaces technique par technique sur chaque composant du chemin.
Du strategique à l'opérationnel¶
Chaque scenario strategique de l'atelier 3 est decompose en étapes techniques concrètes. On utilise la cartographie des biens supports de l'atelier 1 et les connaissances techniques de l'équipe.
Exemple — decomposition du scenario "ransomware via prestataire" :
| Étape | Action technique | Bien support concerne |
|---|---|---|
| 1 | Phishing cible sur le prestataire | Poste de travail externe |
| 2 | Vol des credentials VPN | Infrastructure VPN |
| 3 | Connexion VPN avec credentials voles | Pare-feu, serveur VPN |
| 4 | Reconnaissance réseau interne (scan, énumération) | Réseau interne |
| 5 | Mouvement lateral vers le serveur de base de données | Serveur applicatif |
| 6 | Elevation de privilege sur le serveur DB | Serveur de base de données |
| 7 | Chiffrement des données, dépôt de la rancon | Base de données production |
Évaluation de la vraisemblance¶
Chaque scenario opérationnel est évalué en termes de vraisemblance :
| Niveau | Vraisemblance | Critère |
|---|---|---|
| 1 | Peu probable | Nécessité des ressources élevées, peu de précédents |
| 2 | Possible | Attaque connue, ressources moderees nécessaires |
| 3 | Probable | Attaque courante, outils disponibles publiquement |
| 4 | Quasi certain | Attaque triviale, déjà observee sur des systèmes similaires |
Articulation EBIOS / STRIDE¶
À l'atelier 4, STRIDE devient un outil precieux pour systematiser l'identification des menaces techniques sur chaque composant du chemin d'attaque. Les deux méthodes ne sont pas en compétition — elles opèrent a des niveaux différents.
| Aspect | EBIOS RM | STRIDE |
|---|---|---|
| Niveau | Organisationnel et strategique | Technique et composant |
| Point de départ | Sources de risques (qui attaque et pourquoi) | Diagramme de flux (DFD) |
| Granularité | Scenarios de bout en bout | Menaces par composant et par flux |
| Public | Direction, RSSI, métier, technique | Équipe technique, architectes |
| Livrable | Plan de traitement des risques | Liste de menaces et mitigations |
| Quand l'utiliser | Cadrage projet, analyse de risques formelle | Conception détaillée, design review |
Note
Utiliser STRIDE dans l'atelier 4 d'EBIOS n'est pas une obligation méthodologique — c'est une bonne pratique. STRIDE apporte la systematisation technique, EBIOS apporte le cadrage organisationnel.
Atelier 5 — Traitement du risque¶
L'atelier 5 définit les mesures de traitement pour chaque risque identifié. C'est le passage de l'analyse à l'action.
Stratégies de traitement¶
Pour chaque risque, quatre stratégies sont possibles :
| Stratégie | Description | Exemple |
|---|---|---|
| Réduire | Mettre en place des mesures pour diminuer la vraisemblance ou l'impact | Déployer le mTLS, segmenter le réseau |
| Transferer | Reporter le risque sur un tiers (assurance, sous-traitance) | Souscrire une cyber-assurance |
| Éviter | Supprimer l'activité ou le composant qui porte le risque | Arrêter un service trop expose |
| Accepter | Accepter le risque en connaissance de cause | Documenter le risque et le risque residuel |
Plan de traitement¶
Le plan de traitement formalise les mesures decidees, les responsables, les délais et les indicateurs de suivi.
| Risque | Mesure | Responsable | Echeance | Indicateur |
|---|---|---|---|---|
| Ransomware via prestataire | MFA obligatoire sur le VPN | Équipe infra | M+1 | % comptes avec MFA |
| Ransomware via prestataire | Segmentation réseau prestataire | Équipe infra | M+3 | Network policies actives |
| Exfiltration données paiement | Chiffrement column-level sur la DB | Équipe dev | M+2 | Colonnes chiffrees / total |
| Exfiltration données paiement | Monitoring accès DB avec alertes | Équipe SRE | M+1 | Alertes configurees |
Risques residuels¶
Après traitement, il reste toujours un risque residuel. La direction doit valider formellement que ce risque residuel est acceptable. Cette validation est tracee et revisitee périodiquement.
graph LR
RI["Risque initial\nVraisemblance x Gravite"] --mesures de traitement--> RR["Risque residuel"]
RR --acceptable ?--> ACC["Accepte\nValide par la direction"]
RR --inacceptable ?--> RET["Retour atelier 4\nMesures supplementaires"]ISO 27005 et EBIOS RM¶
ISO 27005 définit le cadre générique de gestion des risques de sécurité de l'information. EBIOS RM est une implémentation concrète de ce cadre, avec une méthodologie structurée et des ateliers définis.
| ISO 27005 | EBIOS RM |
|---|---|
| Établir le contexte | Atelier 1 — Socle de sécurité |
| Identifier les risques | Ateliers 2 et 3 — Sources et scenarios |
| Analyser les risques | Atelier 4 — Scenarios opérationnels |
| Évaluer les risques | Ateliers 3 et 4 — Gravite, vraisemblance |
| Traiter les risques | Atelier 5 — Traitement du risque |
| Surveiller et réviser | Cycle continu, retour atelier 1 |
L'avantage d'EBIOS RM sur une application générique d'ISO 27005 est la structuration en ateliers avec des livrables concrets à chaque étape. Cela rend la méthode praticable par des équipes qui ne sont pas specialistes de la gestion des risques.
Mise en pratique¶
Quand lancer une analyse EBIOS¶
- Nouveau projet ou nouveau système à forte criticite
- Évolution majeure de l'architecture (migration cloud, ouverture d'APIs)
- Audit de conformité (ISO 27001, reglementations sectorielles)
- Incident de sécurité significatif (retour d'expérience)
- Périodiquement (annuel) pour les systèmes critiques en production
Participants¶
L'analyse EBIOS n'est pas un exercice purement technique. Elle implique :
- Direction / métier — définition des valeurs métier, validation des risques residuels
- RSSI — pilotage de l'analyse, expertise sécurité
- Architectes — cartographie des biens supports, scenarios techniques
- Équipes opérationnelles — connaissance du terrain, faisabilite des mesures
- Parties prenantes externes — fournisseurs, hebergeurs (pour l'écosystème)
Pieges courants¶
| Piege | Conséquence |
|---|---|
| Périmètre trop large | Analyse superficielle, aucun scenario approfondi |
| Ignorer les parties prenantes non techniques | Valeurs métier mal identifiées, scenarios irrealistes |
| Confondre EBIOS et audit technique | L'audit technique est un input, pas un substitut |
| Ne pas faire valider les risques residuels | Risques acceptes de facto sans décision formelle |
| Analyse one-shot sans révision | Obsolescence rapide face à l'évolution des menaces |
Warning
EBIOS est une méthode d'analyse de risques organisationnelle. Elle ne remplacé pas le threat modeling technique (STRIDE) ni les tests de penetration. Les trois approches se completent.
Chapitre suivant : Threat modeling — STRIDE — identifier les menaces techniques composant par composant.