Qu’est-ce que EBIOS Risk Manager ?
EBIOS Risk Manager — abrégé EBIOS RM — est la méthode d’analyse de risques en cybersécurité développée et maintenue par l’ANSSI (Agence nationale de la sécurité des systèmes d’information). Publiée en octobre 2018, elle succède à la méthode EBIOS 2010, dont elle conserve les principes mais modernise l’approche.
EBIOS signifie Expression des Besoins et Identification des Objectifs de Sécurité. La version Risk Manager a été conçue pour répondre à un constat : les méthodes d’analyse de risques classiques produisaient des cartographies exhaustives mais déconnectées de la réalité des attaques. Des catalogues de risques génériques, peu exploitables par les décideurs.
EBIOS RM change de perspective. La méthode part des sources de menace réelles — qui pourrait attaquer l’organisation, avec quels objectifs et quels moyens — pour construire des scénarios d’attaque concrets. L’analyse produit des résultats directement actionnables : des risques formulés en termes métier, des scénarios que la direction peut comprendre, et des mesures de traitement priorisées.
Trois caractéristiques distinguent EBIOS RM des autres méthodes :
- Approche par scénarios. Au lieu de lister des menaces génériques, EBIOS RM construit des scénarios d’attaque stratégiques et opérationnels, proches de ce qu’un attaquant ferait réellement.
- Prise en compte des parties prenantes. La méthode intègre les acteurs externes (fournisseurs, prestataires, partenaires) comme vecteurs potentiels d’attaque — un point que les attaques supply chain ont rendu très concret ces dernières années.
- Cinq ateliers structurés. La démarche se décompose en cinq ateliers successifs, chacun avec ses objectifs, ses participants et ses livrables définis.
L’ANSSI publie le guide officiel EBIOS RM en accès libre, accompagné de fiches méthodes et de bases de connaissances pour faciliter la mise en œuvre.
Les cinq ateliers EBIOS RM
La méthode EBIOS Risk Manager se structure en cinq ateliers. Chaque atelier a un objectif précis et des livrables attendus. Ils se suivent dans l’ordre, mais des itérations entre ateliers sont possibles au fur et à mesure que l’analyse s’affine.
Atelier 1 — Cadrage et socle de sécurité
L’atelier 1 pose les bases de l’analyse. Il définit le périmètre de l’étude : quel système d’information, quel processus métier, quelle application est concerné. Il identifie les valeurs métier (les activités, les informations, les processus que l’organisation doit protéger) et les biens supports (serveurs, applications, réseaux, locaux) qui les portent.
En parallèle, l’atelier 1 établit le socle de sécurité : l’ensemble des mesures de sécurité déjà en place ou prévues (référentiels appliqués, politiques existantes, conformité réglementaire). Ce socle sert de point de départ — l’analyse de risques porte sur les menaces résiduelles, celles que le socle ne couvre pas.
Livrables : périmètre de l’étude, cartographie des valeurs métier et biens supports, socle de sécurité, critères d’évaluation des risques (échelles de gravité et de vraisemblance).
Atelier 2 — Sources de risque
L’atelier 2 se concentre sur la question : qui pourrait attaquer et pourquoi ? L’équipe identifie les sources de risque (cybercriminels, hacktivistes, concurrents, acteurs étatiques, employés malveillants, employés négligents) et leurs objectifs visés (vol de données, sabotage, extorsion, espionnage, atteinte à l’image).
Le croisement source de risque × objectif visé produit des couples SR/OV (Source de Risque / Objectif Visé). Chaque couple est évalué en pertinence : est-ce réaliste que ce type d’attaquant vise cet objectif contre notre organisation ? Les couples les plus pertinents sont retenus pour la suite.
Livrables : liste des sources de risque, objectifs visés, couples SR/OV retenus.
Atelier 3 — Scénarios stratégiques
L’atelier 3 construit des scénarios d’attaque de haut niveau. Pour chaque couple SR/OV retenu, l’équipe décrit comment un attaquant pourrait atteindre son objectif en passant par l’environnement étendu de l’organisation : fournisseurs, prestataires, partenaires, sous-traitants.
Ces scénarios stratégiques identifient les chemins d’attaque via les parties prenantes. Exemple : un attaquant compromet le prestataire de messagerie pour accéder aux emails de la direction, puis utilise cette position pour lancer une fraude au président.
L’atelier 3 évalue la gravité de chaque scénario et produit une cartographie des risques stratégiques, à présenter aux décideurs.
Livrables : scénarios stratégiques, cartographie de la menace sur l’environnement étendu, évaluation de la gravité.
Atelier 4 — Scénarios opérationnels
L’atelier 4 descend au niveau technique. Pour chaque scénario stratégique, l’équipe détaille les modes opératoires concrets qu’un attaquant utiliserait. C’est ici que le phishing, le spear phishing, l’exploitation de vulnérabilités, ou les attaques par ingénierie sociale apparaissent explicitement.
Un scénario opérationnel décrit la séquence technique d’actions — comparable aux étapes de la cyber kill chain : reconnaissance, accès initial (email de phishing, exploitation d’une faille), mouvement latéral, exfiltration ou chiffrement.
Chaque scénario opérationnel est évalué en vraisemblance : compte tenu des mesures de sécurité en place (le socle de l’atelier 1), quelle est la probabilité que ce scénario aboutisse ?
Livrables : scénarios opérationnels détaillés, évaluation de la vraisemblance.
Atelier 5 — Traitement du risque
L’atelier 5 est l’atelier de la décision. Pour chaque risque identifié (croisement gravité × vraisemblance), l’organisation choisit une stratégie de traitement :
- Réduire — mettre en place des mesures de sécurité supplémentaires (la réponse la plus fréquente)
- Transférer — souscrire une cyberassurance ou externaliser à un prestataire
- Éviter — supprimer l’activité ou le service qui porte le risque
- Accepter — accepter le risque résiduel en connaissance de cause
L’atelier produit un plan de traitement des risques avec les mesures à déployer, leur priorité et leur responsable. Ce plan alimente directement la feuille de route sécurité de l’organisation.
Livrables : stratégie de traitement par risque, plan de traitement des risques, risques résiduels acceptés.
EBIOS et le risque phishing
Le phishing s’inscrit naturellement dans une analyse EBIOS RM, et ce à plusieurs ateliers.
À l’atelier 2, les attaquants qui utilisent le phishing sont identifiés comme sources de risque. Un cybercriminel qui cherche à déployer un ransomware via un email piégé. Un concurrent qui tente du spear phishing pour voler de la propriété intellectuelle. Un acteur étatique qui cible les dirigeants par whaling.
À l’atelier 3, le phishing apparaît dans les scénarios stratégiques comme un vecteur d’attaque ciblant les collaborateurs — le maillon humain du système d’information. Un scénario typique : un attaquant compromet les identifiants d’un employé via un email frauduleux, puis utilise cet accès pour se déplacer dans le réseau interne.
À l’atelier 4, les scénarios opérationnels détaillent les modes opératoires concrets : email imitant un fournisseur avec un lien vers une fausse page de connexion, pièce jointe PDF piégée exploitant une vulnérabilité, SMS frauduleux (smishing) redirigeant vers un site de collecte d’identifiants.
L’évaluation de la vraisemblance à l’atelier 4 dépend directement de la résistance des collaborateurs au phishing. C’est là que les résultats de simulations de phishing deviennent un input concret pour l’analyse EBIOS. Si 25 % de vos employés cliquent sur un email de simulation, la vraisemblance des scénarios utilisant le phishing comme vecteur d’entrée est élevée. Si ce taux descend à 5 % après six mois de campagnes, la vraisemblance diminue — et le risque résiduel aussi.
Les données de simulation alimentent aussi l’atelier 5 : elles justifient les mesures de traitement liées au facteur humain (programme de sensibilisation continu, procédure de signalement des emails suspects, MFA sur les applications exposées).
EBIOS vs ISO 27005
EBIOS RM et ISO 27005 sont deux approches de la gestion des risques en cybersécurité, mais elles n’opèrent pas au même niveau.
| EBIOS Risk Manager | ISO 27005 | |
|---|---|---|
| Origine | ANSSI (France) | ISO/IEC (international) |
| Type | Méthode opérationnelle avec démarche pas-à-pas | Norme cadre, lignes directrices génériques |
| Structure | 5 ateliers avec livrables définis | Processus itératif en 6 phases (contexte, identification, analyse, évaluation, traitement, surveillance) |
| Approche | Par scénarios d’attaque (sources de risque, chemins d’attaque) | Par actifs et menaces (inventaire d’actifs, catalogue de menaces) |
| Parties prenantes | Intégré dès l’atelier 3 (fournisseurs, prestataires, partenaires) | Non traité spécifiquement |
| Outillage | Guide gratuit ANSSI + bases de connaissances | Norme payante, pas de méthode clé-en-main |
| Reconnaissance NIS2 | Recommandée par l’ANSSI pour la conformité NIS2 | Reconnue comme cadre international acceptable |
En pratique, EBIOS RM et ISO 27005 ne s’excluent pas. EBIOS RM peut servir de méthode concrète pour réaliser l’analyse de risques demandée par ISO 27001 dans le cadre d’un SMSI (Système de Management de la Sécurité de l’Information). Une PME qui vise la certification ISO 27001 peut utiliser EBIOS RM comme moteur d’analyse de risques tout en respectant le cadre ISO 27005.
Pour une PME française sans obligation de certification internationale, EBIOS RM est souvent le choix le plus pragmatique : la méthode est gratuite, documentée en français, et directement alignée avec les attentes de l’ANSSI.
EBIOS RM et NIS2
La directive NIS2 impose aux entités concernées une gestion des risques formalisée (article 21). Le texte ne prescrit pas de méthode spécifique, mais l’ANSSI, en tant qu’autorité compétente en France, recommande EBIOS RM comme méthode de référence pour structurer cette analyse.
Concrètement, EBIOS RM répond à plusieurs exigences de NIS2 :
- Analyse de risques documentée (article 21§2a) — Les cinq ateliers EBIOS RM produisent une analyse de risques tracée, avec des livrables formels à chaque étape. Ce niveau de documentation est exactement ce que les régulateurs attendent lors d’un contrôle.
- Sécurité de la chaîne d’approvisionnement (article 21§2d) — L’atelier 3 d’EBIOS RM intègre nativement les risques liés aux parties prenantes : fournisseurs IT, prestataires cloud, sous-traitants. Cette analyse croisée correspond aux exigences NIS2 sur la supply chain.
- Mesures proportionnées — NIS2 demande des mesures “appropriées et proportionnées” au risque. Le plan de traitement de l’atelier 5, adossé à une analyse par scénarios, démontre que les mesures déployées répondent à des risques identifiés et évalués — pas à une checklist générique.
- Gouvernance des risques (article 20) — La présentation des scénarios stratégiques (atelier 3) aux organes de direction satisfait l’exigence d’implication des dirigeants dans la gestion des risques cyber.
Pour une PME soumise à NIS2, conduire une analyse EBIOS RM — même simplifiée — constitue une preuve tangible de conformité sur le volet gestion des risques. Plus d’informations sur la structuration de la conformité sur notre page conformité.
Appliquer EBIOS dans une PME
EBIOS RM a été conçue pour des organisations de toute taille. Le guide ANSSI le précise : la méthode est modulable. Une PME de 50 personnes ne conduira pas une analyse EBIOS avec la même profondeur qu’un opérateur d’infrastructure critique, mais la structure en cinq ateliers reste la même.
Version simplifiée pour les PME
Atelier 1 simplifié. Le périmètre couvre l’ensemble du SI de la PME (pas besoin de le segmenter en sous-systèmes). Les valeurs métier se résument aux 3 ou 4 processus qui feraient mal s’ils s’arrêtaient : facturation, relation client, production, messagerie. Le socle de sécurité est l’inventaire des mesures en place (antivirus, firewall, sauvegardes, MFA, formation des employés).
Atelier 2 simplifié. Pour une PME, les sources de risque les plus pertinentes sont souvent : cybercriminels opportunistes (ransomware, phishing de masse), cybercriminels ciblés (fraude au président, BEC), et employé négligent (erreur, clic sur un lien malveillant). Trois à cinq couples SR/OV suffisent.
Ateliers 3 et 4 simplifiés. Deux ou trois scénarios stratégiques et leurs déclinaisons opérationnelles couvrent les risques principaux d’une PME. Exemple : un email de phishing compromet les identifiants Microsoft 365 d’un employé → l’attaquant accède aux emails et fichiers partagés → exfiltration de données clients. Ce seul scénario couvre le phishing, la compromission de comptes, et la fuite de données.
Atelier 5 simplifié. Le plan de traitement priorise les mesures à fort impact et faible coût : déploiement du MFA, programme de simulation de phishing, configuration DMARC/SPF/DKIM sur le domaine de messagerie, sauvegarde 3-2-1.
Qui conduit l’analyse ?
Dans une PME, trois options existent :
- Le RSSI ou le responsable IT conduit l’analyse en interne, en s’appuyant sur le guide ANSSI. C’est l’option la moins coûteuse, mais elle demande du temps et une bonne compréhension de la méthode.
- Un consultant cybersécurité anime les ateliers en mode accompagnement. Budget : 5 000 à 15 000 € pour une analyse complète sur 4 à 8 semaines. C’est l’option recommandée pour une première analyse.
- Un prestataire qualifié PASSI (Prestataire d’Audit de la Sécurité des Systèmes d’Information) réalise l’analyse dans le cadre d’un audit plus large. Cette option est pertinente si la PME a aussi besoin d’un pentest ou d’un audit de conformité.
L’ANSSI met à disposition des outils gratuits pour faciliter la démarche : le guide officiel EBIOS RM, des fiches méthodes pour chaque atelier, et des bases de connaissances (sources de risque types, mesures de sécurité de référence).
De l’analyse à l’action
Une analyse EBIOS RM ne vaut que si elle débouche sur des actions concrètes. Le plan de traitement de l’atelier 5 doit se traduire en mesures déployées, mesurées et révisées.
Prioriser par le risque
Les scénarios opérationnels de l’atelier 4 révèlent les chemins d’attaque les plus vraisemblables. Pour une PME, le phishing revient systématiquement dans les scénarios à haute vraisemblance — c’est le vecteur d’accès initial le plus utilisé, selon le panorama de la cybermenace 2024 de l’ANSSI.
Cela signifie que les mesures liées au facteur humain (sensibilisation, simulation, procédures de signalement) figurent parmi les premières actions du plan de traitement, pas parmi les dernières.
Relier scénarios et campagnes de simulation
Les scénarios opérationnels d’EBIOS RM fournissent la matière première pour concevoir des campagnes de simulation de phishing ciblées. Si l’atelier 4 identifie un scénario où un attaquant usurpe l’identité d’un fournisseur pour piéger la comptabilité, la simulation suivante reproduit exactement ce scénario. Les employés s’entraînent sur les menaces réelles identifiées par l’analyse de risques — pas sur des emails génériques.
Cette boucle EBIOS → simulation → résultats → réévaluation EBIOS crée un cycle d’amélioration mesurable. Les taux de clic des simulations deviennent un indicateur de vraisemblance pour les scénarios phishing dans l’analyse EBIOS. Un SOC ou une équipe de sécurité peut suivre cette évolution trimestre par trimestre.
Documenter pour la conformité
Chaque atelier EBIOS RM produit des livrables. En les conservant, la PME constitue un dossier de conformité utilisable face à un auditeur ISO 27001, un contrôle ANSSI dans le cadre de NIS2, ou une demande de son assureur cyber. Les rapports de simulation de phishing complètent ce dossier en prouvant que les mesures de traitement du risque humain sont effectivement déployées et produisent des résultats.
Votre analyse de risques identifie le phishing comme vecteur d’attaque prioritaire ? Mesurez la résistance réelle de vos équipes. Testez gratuitement la sécurité de votre domaine avec notre vérificateur de sécurité email et identifiez les failles techniques que les attaquants exploitent en premier.
Questions fréquentes
Qu'est-ce que la méthode EBIOS Risk Manager ?
EBIOS Risk Manager (EBIOS RM) est la méthode française d'analyse de risques en cybersécurité, développée et maintenue par l'ANSSI. Publiée en 2018, elle remplace l'ancienne méthode EBIOS 2010. Elle structure l'analyse en cinq ateliers successifs : cadrage et socle de sécurité, sources de risque, scénarios stratégiques, scénarios opérationnels, et traitement du risque. EBIOS RM est utilisée pour identifier les menaces qui pèsent sur une organisation et définir les mesures de sécurité proportionnées.
Quels sont les cinq ateliers EBIOS RM ?
Atelier 1 : cadrage et socle de sécurité — délimiter le périmètre et identifier les valeurs métier. Atelier 2 : sources de risque — recenser les attaquants potentiels et leurs objectifs. Atelier 3 : scénarios stratégiques — décrire les chemins d'attaque de haut niveau ciblant les valeurs métier via les parties prenantes. Atelier 4 : scénarios opérationnels — détailler les modes opératoires techniques concrets (phishing, exploitation de vulnérabilité, etc.). Atelier 5 : traitement du risque — décider pour chaque risque s'il est réduit, transféré, évité ou accepté, et définir les mesures associées.
EBIOS est-elle obligatoire pour les PME ?
Non, EBIOS RM n'est pas une obligation légale directe. Aucun texte n'impose spécifiquement cette méthode. En revanche, la directive NIS2 exige une analyse de risques formalisée, et l'ANSSI recommande EBIOS RM comme méthode de référence pour y répondre. Une PME soumise à NIS2 a donc tout intérêt à utiliser EBIOS RM, même dans une version simplifiée, pour structurer et documenter sa gestion des risques.
Quelle est la différence entre EBIOS RM et ISO 27005 ?
EBIOS RM est une méthode française concrète, structurée en cinq ateliers avec des livrables définis à chaque étape. ISO 27005 est une norme internationale qui fournit un cadre générique pour la gestion des risques de sécurité de l'information, sans prescrire de démarche pas-à-pas. EBIOS RM peut être utilisée comme méthode d'implémentation de l'analyse de risques demandée par ISO 27005 au sein d'un SMSI ISO 27001. Les deux approches sont compatibles et reconnues pour la conformité NIS2.
Comment le phishing s'intègre-t-il dans une analyse EBIOS ?
Le phishing apparaît à plusieurs niveaux dans EBIOS RM. À l'atelier 2, l'attaquant utilisant le phishing est identifié comme source de risque (cybercriminel, concurrent, acteur étatique). À l'atelier 3, le phishing peut être un vecteur dans un scénario stratégique ciblant le SI via les collaborateurs. À l'atelier 4, il est détaillé comme mode opératoire concret : email frauduleux, page de credential harvesting, pièce jointe piégée. Les résultats de simulations de phishing alimentent directement l'évaluation de la vraisemblance de ces scénarios.