Ce site est une archive officieuse de l'ancien site de l'ANSSI, remplacé fin novembre 2023.
Veuillez aller sur https://cyber.gouv.fr/ pour naviguer le site officiel.
Veuillez aller sur https://cyber.gouv.fr/ pour naviguer le site officiel.
Pour assurer ses missions, l’organisation relative au management des risques numériques doit développer trois valeurs fondamentales : la connaissance, l’agilité et l’engagement.
EBIOS Risk Manager offre une compréhension et une responsabilité partagées des risques numériques entre décideurs et les acteurs opérationnels pour y parvenir. L’objectif est de permettre aux dirigeants d’appréhender correctement ces risques, au même titre que d’autres de nature stratégique, financière, juridique, d’image, de ressources humaines, etc.).
La méthode EBIOS, méthode d’analyse de risque française de référence, permet aux organisations de réaliser une appréciation et un traitement des risques. Mais face au bouleversement numérique, une modernisation de cette démarche s’avère indispensable, pour prendre en compte l’environnement actuel (systèmes interconnectés, prolifération de la menace, état de l’art et règlementation plus matures, connaissance de la menace).
L’ANSSI a fait évoluer sa méthode initiale en tenant compte des nombreux retours d’expérience tout en faisant converger concepts et normes internationales relatives au système de management de la sécurité de l’information.
La méthode EBIOS Risk Manager se distingue par une approche qui réalise une synthèse entre conformité et scénarios. Elle se fonde sur un socle de sécurité solide, construit grâce à une approche par conformité. La démarche par scénarios vient solliciter ce socle face à des menaces particulièrement ciblées ou sophistiquées, qui prennent en compte l’écosystème métier et technique dans lequel l’organisation ciblée évolue.
Télécharger le guide et les fiches Ebios RM
La méthode EBIOS Risk Manager adopte une approche de management du risque qui part du plus haut niveau (grandes missions de l’objet étudié) pour s’intéresser progressivement aux éléments métier et techniques, en étudiant les chemins d’attaque possibles.
Elle vise à obtenir une synthèse entre « conformité » et « scénarios » par le repositionnement de ces deux approches complémentaires là où elles apportent le plus de valeur ajoutée.
Selon EBIOS Risk Manager, l’appréciation des risques par scénarios se concentre donc sur les menaces intentionnelles et ciblées.
La nouvelle méthode d’analyse de risque EBIOS Risk Manager est un outil pratique, pédagogique et collaboratif pour intégrer le numérique dans le management des risques.
EBIOS Risk Manager est une méthode conçue pour être éprouvée, améliorée et discutée. En un mot, elle doit continuer de vivre et évoluer au contact d’une large communauté d’utilisateurs, déjà engagée dans cette démarche.
Dans ce contexte, le club EBIOS et le CLUSIF (ainsi que ses instances régionales en France) sont des partenaires indissociables de cette démarche, garants de la reconnaissance et de l’utilisation de la méthode EBIOS. De même, des partenariats avec d’autres organismes professionnels sont essentiels. EBIOS Risk Manager respecte un modèle dynamique qui s’inspire des méthodes de développement agile, en permanence challengées et adaptées aux différents contextes d’emploi par une communauté ouverte, connectée et réactive.
La labellisation EBIOS Risk Manager, menée par l’ANSSI auprès des éditeurs souhaitant outiller la méthode, prévoit l’organisation d’un cadre général d’échange et de conseil avec tout acteur public ou privé désireux de s’associer à cette politique volontariste.
L’objectif : faciliter la création d’outils conformes aux attentes sur le plan méthodologique, pour permettre aux utilisateurs de s’approprier les concepts et de réaliser des analyses de risques de bout en bout.
En savoir plus
Je veux me former : une formation à la méthode EBIOS Risk Manager a été élaborée conjointement par l’ANSSI et le Club EBIOS. Des formations sont d’ores et déjà disponibles tant pour le secteur publique que pour le secteur privé.
Je souhaite devenir formateur : retrouvez toutes les démarches et outils pour les formateurs indépendants ou organismes de formation continue.
En savoir plus
EBIOS Risk Manager s’appuie sur une communauté d’acteurs engagés qui fait vivre la méthode. C’est pourquoi l’ANSSI travaille étroitement avec le Club EBIOS pour animer ce groupe d’utilisateurs à travers une plate-forme dédiée à la méthode.
Instance d’échange et de coopération, elle fédère les utilisateurs et valorise les différents travaux réalisés autour d’EBIOS, en les rassemblant selon un processus collaboratif pour les proposer aux utilisateurs.
En savoir plus
La première version de la méthode EBIOS remonte à 1995, soit à peine cinq ans après l’annonce publique de création du World Wide Web.
Une première actualisation d’EBIOS a été réalisée en 2004, puis une évolution significative en 2010.
L’ANSSI a élaboré la version 2010 de la méthode EBIOS (le logiciel est obsolète et n’est plus supporté, il n’est plus disponible au téléchargement), avec le soutien du Club EBIOS, pour prendre en compte les retours d’expérience et les évolutions normatives et réglementaires. Elle introduisait aussi les concepts de biens essentiels et d’événements redoutés pour apprécier les risques de sécurité de l’information au niveau des activités de l’organisation et non plus seulement au niveau technique.
EBIOS Risk Manager est issue de cet héritage. Fruit d’une collaboration étroite, elle positionne pleinement la sécurité numérique au niveau des enjeux stratégiques et opérationnels des organisations. Elle offre ainsi un véritable cadre en matière de management du risque numérique.
Cadrage/socle de sécurité
Sources de risque
Scénarios stratégiques
Scénarios opérationnels
Traitement du risque