Expert Cybersécurité & IAv9.0
Logo Ayi NEDJIMI Consultants
Centres de ressources conformité
Centre ISO 27001
55+ templates gratuits
Centre NIS 2
Directive UE 2022/2555
Centre AirCyber
Labellisation Bronze→Gold
Besoin d'un accompagnement expert ?
Devis personnalisé sous 24h — audit, conformité, incident
Nos Livres — PDF offerts
Voir tous →
Proxmox VE 9
Proxmox VE 9
379 pages · Clustering, HA, Ceph, SDN
Télécharger
Sécuriser Active Directory
Sécuriser Active Directory
447 pages · Attaques, Tiering, Monitoring
Télécharger
Tiering Model AD
Tiering Model AD
PAW, ESAE, Tier 0/1/2, GPO
Télécharger
SIEM Hybride Wazuh
SIEM Hybride Wazuh
Wazuh + Graylog + Suricata · SOC
Télécharger
Téléchargement gratuit · Aucune inscription Tous les livres →
Tous les articles
Livres Blancs Gratuits
Voir tous →
CUDA — Programmation GPU Haute Performance (404 pages)
PDF

CUDA — Programmation GPU Haute Performance (404 pages)
Catalogue Solutions SOTA 2026 : 78 Pages d'Outils IT par Cas d'Usage — Téléchargement Gratuit
PDF

Catalogue Solutions SOTA 2026 : 78 Pages d'Outils IT par Cas d'Usage — Téléchargement Gratuit
Construire des grands modeles de langage a partir de zero — PyTorch & CUDA (342 pages)
PDF

Construire des grands modeles de langage a partir de zero — PyTorch & CUDA (342 pages)
Durcissement Windows Server 2025 — Le guide complet : 96 contrôles ANSSI/NIS2
PDF

Durcissement Windows Server 2025 — Le guide complet : 96 contrôles ANSSI/NIS2
Formation OWASP 2026 : Top 10, ASVS, ZAP & Labs PME
PDF

Formation OWASP 2026 : Top 10, ASVS, ZAP & Labs PME
Certifications Pentest 2026 : OSCP, CRTP, CRT, PNPT
PDF

Certifications Pentest 2026 : OSCP, CRTP, CRT, PNPT
Sécuriser Active Directory — Le Guide Complet (447 pages)
PDF

Sécuriser Active Directory — Le Guide Complet (447 pages)
Proxmox VE 9 — L'ouvrage complet : Guide IA Complet 2026
PDF

Proxmox VE 9 — L'ouvrage complet : Guide IA Complet 2026
DFIR : Réponse à Incident et Forensics | Guide Expert
PDF

DFIR : Réponse à Incident et Forensics | Guide Expert
Zero Trust : Architecture et Déploiement Entreprise
PDF

Zero Trust : Architecture et Déploiement Entreprise
Red Team vs Blue Team : Méthodologies et Outils Expert
PDF

Red Team vs Blue Team : Méthodologies et Outils Expert
Sécurité Microsoft 365 : Audit et Durcissement Complet
PDF

Sécurité Microsoft 365 : Audit et Durcissement Complet

Téléchargement gratuit · Aucune inscription requise

Tous les livres blancs
Checklists Sécurité — Audit & Durcissement
Formats disponibles
📄 PDF 📊 Excel 🌐 Web

11 checklists professionnelles couvrant 2 200+ points de contrôle. Téléchargement gratuit, aucune inscription.

Toutes les checklists Demander un audit
Nos Ouvrages — PDF offerts gratuitement
Voir tous →
LLM from scratch
NEW
Construire un LLM from scratch
342 pages · PyTorch · CUDA · RLHF
ISBN 978-2-9580154-1-1
Télécharger
Durcissement Windows Server 2025
Durcissement Windows Server 2025
96 contrôles · ANSSI · NIS 2 · CIS
Télécharger
Proxmox VE 9
Proxmox VE 9 — L'ouvrage complet
379 pages · Clustering HA · Ceph · SDN
Télécharger
Téléchargement gratuit · Aucune inscription · PDF prêt à imprimer Tous nos ouvrages →
Audit & Pentest
Pentest Active Directory Pentest Cloud Pentest Kubernetes Pentest Virtualisation Pentest Microsoft 365 Audit Infrastructure Audit Kubernetes Audit Microsoft 365
Conformité & Gouvernance
ISO 27001 EBIOS RM AirCyber — Boost Aerospace RSSI Externalisé
Forensics & Incident
Investigation numérique Réponse à incident Rétro-ingénierie Analyse données chiffrées
Forces de l’Ordre
Cellule d’Investigation Judiciaire
Tous les articles Articles IA Livres Blancs Grands Guides Comparatifs Solutions 2026 New Checklists Sécurité Blog Actualités Tech Alertes CVE Patch Tuesday Hub Panorama Ransomware France Outils de Déchiffrement Ransomware Recherche avancée
Open Source & IA
Hub Open Source GitHub — 9 projets Hugging Face — LLMs FR Benchmark IA mensuel
Formations
LLM Construire un LLM from scratch — 342p WS Durcissement Windows Server 2025 PVE Proxmox VE 9 — L'ouvrage complet — 379p Tous nos ouvrages →
Academy Contact

EBIOS Risk Manager — Analyse de Risques

Méthode officielle de l'ANSSI pour l'analyse de risques cybersécurité. 5 ateliers structurés, cartographie des sources de risque, scénarios stratégiques et opérationnels, plan de traitement actionable. Compatible NIS2, DORA et ISO 27001.

Découvrir l'offre
Méthode ANSSI

Référence française officielle

5 ateliers

Démarche structurée et collaborative

NIS2 / DORA

Conformité réglementaire assurée

Qu'est-ce que EBIOS Risk Manager ?

EBIOS Risk Manager (EBIOS RM) est la méthode d'analyse de risques cyber de référence développée par l'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information) en partenariat avec le Club EBIOS. Publiée en 2018, elle est la successeure d'EBIOS 2010 et représente l'état de l'art en matière d'appréciation et de traitement des risques numériques.

Contrairement aux méthodes purement quantitatives, EBIOS RM adopte une approche par scénarios qui part de l'analyse des sources de risque (attaquants) et de leurs objectifs visés pour construire des scénarios d'attaque réalistes. Cette approche « attacker-centric » produit des résultats concrets et actionables.

La méthode se déroule en 5 ateliers participatifs qui impliquent la direction, les métiers, l'IT et la sécurité. Cette dimension collaborative est essentielle : elle garantit l'adhésion des parties prenantes et produit une analyse de risques ancrée dans la réalité opérationnelle de l'organisation.

EBIOS RM est compatible avec ISO 27005 (qui définit le cadre générique de gestion des risques SI) et constitue la méthode recommandée pour satisfaire les exigences d'analyse de risques de NIS2, DORA, ISO 27001, LPM et RGS.

5

Ateliers structurés

ANSSI

Méthode officielle de référence

ISO 27005

Compatibilité normative

NIS2

Conformité réglementaire

Les 5 principes fondateurs d'EBIOS RM

1

Approche par scénarios

Construction de scénarios d'attaque réalistes basés sur les menaces actuelles.

2

Approche par les sources de risque

Identification des attaquants potentiels et de leurs motivations.

3

Conformité et référentiels

Intégration native des exigences NIS2, DORA, ISO 27001, LPM.

4

Démarche collaborative

Implication de la direction, des métiers, de l'IT et de la sécurité.

5

Amélioration continue

Révision régulière de l'analyse face à l'évolution des menaces.

Qui est concerné par EBIOS RM ?

EBIOS RM est la méthode de référence pour toute organisation qui doit formaliser une analyse de risques cyber. Elle est particulièrement pertinente dans les contextes suivants :

  • NIS2 — Entités essentielles et importantes soumises à la directive européenne
  • DORA — Entités financières soumises au règlement européen
  • ISO 27001 — Organisations en cours ou en maintien de certification
  • LPM (Loi de Programmation Militaire) — Opérateurs d'importance vitale (OIV)
  • RGS (Référentiel Général de Sécurité) — Administrations et collectivités territoriales
  • Santé / HDS — Établissements de santé et hébergeurs de données de santé
  • Défense — Entreprises de la BITD (Base Industrielle et Technologique de Défense)
  • Tout projet sensible — Nouveau SI, migration cloud, fusion-acquisition, projet IoT/OT

Point clé

Depuis l'entrée en vigueur de NIS2 (octobre 2024), l'analyse de risques est une obligation légale pour des milliers d'entités en France. EBIOS RM est la méthode recommandée par l'ANSSI pour y répondre.

Les 5 ateliers EBIOS Risk Manager

Chaque atelier produit des livrables concrets et alimente le suivant. La démarche complète dure 4 à 8 semaines selon la taille du périmètre.

1

Cadrage et socle de sécurité

Semaine 1-2

Définition du périmètre d'étude, identification des missions et valeurs métier, évaluation du socle de sécurité existant (base de conformité).

Activités

  • • Définition du périmètre et des objectifs
  • • Identification des missions et valeurs métier
  • • Inventaire des biens supports
  • • Évaluation du socle de sécurité (guide ANSSI)
  • • Identification des parties prenantes

Livrables

  • • Note de cadrage EBIOS RM
  • • Cartographie des valeurs métier
  • • Inventaire des biens supports
  • • État des lieux du socle de sécurité
  • • Plan d'actions socle (quick wins)

Résultat

  • • Périmètre clairement défini
  • • Valeurs métier priorisées
  • • Socle de sécurité évalué
  • • Écarts du socle identifiés
  • • Base pour les ateliers suivants
2

Sources de risque

Semaine 2-3

Identification et caractérisation des sources de risque (attaquants) et de leurs objectifs visés (OV). Approche « attacker-centric » : qui pourrait nous attaquer, pourquoi, avec quels moyens ?

Activités

  • • Identification des sources de risque (SR)
  • • Caractérisation (motivation, ressources, activité)
  • • Définition des objectifs visés (OV)
  • • Construction des couples SR/OV
  • • Sélection des couples pertinents

Livrables

  • • Cartographie des sources de risque
  • • Fiches de caractérisation des SR
  • • Matrice SR/OV priorisée
  • • Couples SR/OV retenus
  • • Justification des exclusions

Résultat

  • • Menaces identifiées et priorisées
  • • Attaquants caractérisés
  • • Objectifs d'attaque définis
  • • Base pour les scénarios stratégiques
  • • Vision partagée des menaces
3

Scénarios stratégiques

Semaine 3-4

Construction des scénarios de menace de haut niveau. Comment un attaquant pourrait-il atteindre les objectifs visés via l'écosystème (partenaires, fournisseurs, sous-traitants) ?

Activités

  • • Cartographie de l'écosystème
  • • Identification des parties prenantes critiques
  • • Construction des chemins d'attaque stratégiques
  • • Évaluation de la vraisemblance
  • • Évaluation de la gravité

Livrables

  • • Cartographie de l'écosystème
  • • Scénarios stratégiques détaillés
  • • Matrice gravité/vraisemblance
  • • Scénarios priorisés
  • • Mesures de sécurité sur l'écosystème

Résultat

  • • Risques écosystème identifiés
  • • Fournisseurs critiques évalués
  • • Scénarios haut niveau validés
  • • Premières mesures de traitement
  • • Base pour les scénarios opérationnels
4

Scénarios opérationnels

Semaine 4-6

Déclinaison technique des scénarios stratégiques. Comment, concrètement, l'attaquant pourrait-il exploiter les vulnérabilités de vos biens supports ?

Activités

  • • Construction des scénarios opérationnels
  • • Identification des modes opératoires
  • • Évaluation des vulnérabilités techniques
  • • Évaluation de la vraisemblance technique
  • • Sélection des scénarios à traiter

Livrables

  • • Scénarios opérationnels détaillés
  • • Graphes d'attaque techniques
  • • Mapping MITRE ATT&CK
  • • Évaluation des vulnérabilités
  • • Matrice de risques opérationnels

Résultat

  • • Risques techniques identifiés
  • • Chemins d'attaque documentés
  • • Vulnérabilités priorisées
  • • Base pour le plan de traitement
  • • TTPs MITRE ATT&CK mappées
5

Traitement des risques

Semaine 6-8

Définition et priorisation des mesures de sécurité pour traiter les risques identifiés. Plan de traitement actionable avec responsables, délais et budgets.

Activités

  • • Définition des mesures de sécurité
  • • Évaluation des risques résiduels
  • • Priorisation et planification
  • • Budgétisation des mesures
  • • Validation par la direction

Livrables

  • • Plan de traitement des risques (PTR)
  • • Matrice des risques résiduels
  • • Feuille de route priorisée
  • • Déclaration d'acceptation des risques
  • • Rapport EBIOS RM complet

Résultat

  • • Risques traités ou acceptés
  • • Plan d'actions validé par la direction
  • • Budget sécurité justifié
  • • Conformité NIS2/DORA/ISO 27001
  • • Base pour le SMSI

Prestation clé en main — tout est inclus

Nous animons l'intégralité de la démarche EBIOS RM : préparation, animation des ateliers, rédaction des livrables et présentation à la direction.

Animation des 5 ateliers

Facilitation professionnelle de chaque atelier avec les bonnes parties prenantes. Nous guidons les débats et structurons les résultats.

  • Préparation et invitations
  • Supports de présentation
  • Animation et facilitation
  • Comptes-rendus d'atelier
  • Synthèses inter-ateliers

Livrables documentaires

Rédaction complète du dossier EBIOS RM, directement exploitable pour ISO 27001, NIS2 et DORA.

  • Rapport EBIOS RM complet (80-150 pages)
  • Cartographies (valeurs, écosystème, risques)
  • Plan de traitement des risques
  • Déclaration d'acceptation des risques
  • Présentation direction (synthèse)

Validation technique des scénarios

Les scénarios opérationnels sont validés par notre expertise technique : pentest, audit AD, audit cloud.

  • Validation technique des chemins d'attaque
  • Mapping MITRE ATT&CK
  • Intégration des résultats d'audit/pentest
  • Threat Intelligence contextuelle
  • Scénarios réalistes et actionables

Plan de traitement actionable

Pas de recommandations génériques : un plan d'actions concret avec responsables, délais et budgets.

  • Mesures priorisées (quick wins, court, moyen terme)
  • Responsables identifiés
  • Budget estimé par mesure
  • Solutions techniques recommandées
  • Suivi d'avancement en COPIL

Double expertise : GRC + technique

Nos analyses de risques sont ancrées dans la réalité technique. Les scénarios ne sont pas théoriques : ils sont validés par notre expérience de pentester et de répondeur d'incidents.

Volet GRC

  • Maîtrise EBIOS RM — Application rigoureuse de la méthode ANSSI. Conformité avec le guide officiel et les fiches méthodes.
  • Compatibilité ISO 27005 — Les livrables EBIOS RM sont directement intégrables dans un SMSI ISO 27001. Pas de double travail.
  • Conformité NIS2 / DORA — L'analyse de risques EBIOS RM répond aux exigences des articles 21 (NIS2) et 6 (DORA).
  • Animation d'ateliers — Facilitation professionnelle adaptée à chaque public : direction, métiers, IT, sécurité.
  • Rédaction documentaire — Rapport EBIOS RM complet, prêt pour l'auditeur ISO 27001, le régulateur NIS2 ou l'ANSSI.

Volet technique

  • Scénarios validés par l'expérience — Nos scénarios opérationnels sont basés sur des attaques réelles que nous avons investiguées. Pas de théorie.
  • Mapping MITRE ATT&CK — Chaque scénario est mappé sur le framework MITRE ATT&CK pour une correspondance avec le threat landscape actuel.
  • Intégration pentest / audit — Les résultats de pentests et audits alimentent directement les scénarios opérationnels et les vulnérabilités.
  • Threat Intelligence — Enrichissement des sources de risque avec des données CTI réelles : groupes APT actifs, ransomware gangs, menaces sectorielles.
  • Mesures techniques concrètes — Le plan de traitement inclut des solutions techniques précises, pas des recommandations vagues.

Cas client — Collectivité territoriale, 85 scénarios analysés

Retour d'expérience anonymisé d'une analyse EBIOS RM pour une collectivité territoriale soumise au RGS et se préparant à NIS2.

Contexte

  • Secteur : Collectivité territoriale, 2 000 agents, 45 sites
  • Enjeu : Conformité RGS + préparation NIS2, analyse de risques nécessaire pour la PSSI
  • État initial : Aucune analyse de risques formalisée, PSSI obsolète
  • Contrainte : Budget limité, 8 semaines maximum, implication d'élus

Résultats

85

Scénarios de risque analysés

18 mois

Plan de traitement structuré

6 semaines

Durée de la démarche

100%

Conformité RGS atteinte

Chronologie du projet

Semaine 1-2

Cadrage & socle

12 valeurs métier identifiées (services aux citoyens, état civil, finances). 180 biens supports inventoriés. Socle de sécurité évalué : 45% de conformité.

Semaine 2-3

Sources de risque & stratégiques

8 sources de risque identifiées (ransomware gangs, hacktivistes, employés mécontents). 15 couples SR/OV retenus. 25 scénarios stratégiques.

Semaine 4-5

Scénarios opérationnels

60 scénarios opérationnels construits. Mapping MITRE ATT&CK. Validation technique par corrélation avec les vulnérabilités réelles de l'infrastructure.

Semaine 6

Traitement & présentation

42 mesures de sécurité priorisées. Plan de traitement 18 mois. Présentation aux élus. Budget sécurité voté en conseil.

Nos engagements contractuels

Des engagements concrets, inscrits au contrat. Une analyse de risques doit produire des résultats actionables, pas un document qui prend la poussière.

Interlocuteur unique

Un seul consultant senior anime l'ensemble de la démarche. Cohérence et continuité de l'analyse du premier au dernier atelier.

Délai garanti

4 à 8 semaines selon le périmètre, avec planning contractuel. Si le retard est de notre fait, les jours supplémentaires sont à notre charge.

Conformité normative

Livrables conformes aux exigences ISO 27001:2022 (clause 6), NIS2 (article 21), DORA (article 6), RGS et LPM.

Plan actionable

Le plan de traitement inclut des solutions techniques précises, des responsables, des délais et un budget estimé. Pas de recommandations vagues.

Questions fréquentes sur EBIOS Risk Manager

ISO 27005 est un cadre générique qui définit quoi faire (identifier, analyser, évaluer, traiter les risques) sans préciser comment. EBIOS RM est une méthode concrète qui définit précisément comment réaliser chaque étape à travers 5 ateliers structurés. Les deux sont complémentaires : EBIOS RM est une implémentation conforme d'ISO 27005. Utiliser EBIOS RM vous rend automatiquement conforme aux exigences d'analyse de risques d'ISO 27001.

NIS2 impose une analyse de risques (article 21) mais ne prescrit pas de méthode spécifique. Cependant, l'ANSSI recommande explicitement EBIOS RM pour les entités françaises soumises à NIS2. Utiliser EBIOS RM est donc la voie la plus sûre pour démontrer votre conformité. C'est également la méthode la plus reconnue par les régulateurs français.

Comptez 4 à 8 semaines selon la taille et la complexité du périmètre. Une PME de 100 personnes avec un SI simple peut être traitée en 4 semaines. Une collectivité territoriale de 2 000 agents avec 45 sites nécessitera 6 à 8 semaines. Cela représente typiquement 10 à 20 jours de prestation (hors temps de mobilisation de vos équipes).

Cela dépend de l'atelier. L'atelier 1 (cadrage) implique la direction et le RSSI. L'atelier 2 (sources de risque) nécessite la sécurité et la direction. L'atelier 3 (stratégiques) implique les métiers et les achats. L'atelier 4 (opérationnels) mobilise l'IT technique. L'atelier 5 (traitement) réunit la direction pour validation. Comptez 3 à 8 personnes par atelier, 2 à 4 heures par session.

Oui, ISO 27001 et NIS2 imposent une révision régulière. En pratique, une revue annuelle est recommandée, avec une mise à jour complète tous les 2-3 ans ou lors de changements majeurs (nouvelle infrastructure, nouveau SI, fusion-acquisition, incident de sécurité). La mise à jour est plus rapide que l'analyse initiale car la base existe déjà.

Absolument. EBIOS RM est conçue pour être scalable : on adapte le nombre de sources de risque, de scénarios et de biens supports à la taille de l'organisation. Pour une PME de 50 personnes, la démarche peut être réalisée en 4 semaines avec 5 à 8 jours de prestation. L'ANSSI a publié un guide spécifique pour les PME qui simplifie certaines étapes.

Oui, c'est même l'un des usages recommandés. EBIOS RM est particulièrement pertinente pour les projets sensibles : migration cloud, déploiement IoT/OT, nouveau SI métier, fusion-acquisition. Le périmètre est défini au projet, ce qui rend la démarche plus ciblée et plus rapide qu'une analyse globale de l'organisation.

Pourquoi nous choisir pour votre analyse EBIOS RM ?

Expertise GRC + pentest

Rare combinaison : consultant GRC certifié ET pentester expérimenté. Les scénarios sont réalistes car validés par l'expérience offensive.

Conformité multi-référentiel

Un seul livrable qui satisfait NIS2, DORA, ISO 27001, RGS et LPM. Pas de duplication d'efforts.

Scénarios réalistes

Nos scénarios sont basés sur des attaques réelles que nous avons investiguées (+150 incidents). Pas de théorie déconnectée du terrain.

Plan de traitement actionable

Mesures techniques précises, solutions recommandées, budget estimé. Un plan que vos équipes peuvent exécuter immédiatement.

Open source first

Nous privilégions les solutions open source (Wazuh, CrowdSec, Graylog) dans le plan de traitement pour maximiser votre ROI.

+20 ans d'expérience

Deux décennies en cybersécurité, des dizaines d'analyses de risques réalisées dans tous les secteurs et toutes les tailles.

EBIOS RM vs autres méthodes d'analyse de risques

Comprendre les différences entre les principales méthodes pour choisir celle qui correspond le mieux à votre contexte.

Critère EBIOS RM ISO 27005 MEHARI OCTAVE
Origine ANSSI (France) ISO/IEC (International) CLUSIF (France) SEI / CMU (USA)
Approche Par scénarios d'attaque Cadre générique (quoi, pas comment) Par audit de conformité Par actifs critiques
Sources de risque Oui (attacker-centric) Optionnel Non Partiellement
Écosystème / supply chain Oui (atelier 3) Non Non Non
Compatible ISO 27001 Oui (nativement) Oui (c'est le cadre ISO) Oui (avec adaptation) Partiellement
Compatible NIS2 Oui (recommandée ANSSI) Oui Partiellement Non recommandée en France
Durée typique 4 à 8 semaines Variable (cadre libre) 6 à 12 semaines 6 à 10 semaines

EBIOS RM = le choix de référence en France

EBIOS RM est la seule méthode qui intègre nativement l'analyse des sources de risque (attaquants), l'écosystème (supply chain) et la conformité NIS2. C'est la méthode recommandée par l'ANSSI pour toutes les entités soumises à la réglementation française et européenne.

Compatibilité réglementaire détaillée

EBIOS RM répond aux exigences d'analyse de risques de multiples référentiels. Voici le détail de la couverture.

NIS2 Directive NIS2 (UE 2022/2555)

  • Article 21.1 — Mesures de gestion des risques « fondées sur une approche tous risques »
  • Article 21.2(a) — Politiques relatives à l'analyse des risques et à la sécurité de l'information
  • Article 21.2(d) — Sécurité de la chaîne d'approvisionnement (atelier 3)
  • Article 21.2(e) — Sécurité dans l'acquisition et le développement
  • Article 21.2(f) — Évaluation de l'efficacité des mesures

DORA Règlement DORA (UE 2022/2554)

  • Article 6 — Cadre de gestion des risques liés aux TIC
  • Article 7 — Systèmes, protocoles et outils TIC
  • Article 8 — Identification des risques
  • Article 9 — Protection et prévention
  • Article 28 — Risques liés aux tiers prestataires TIC

ISO ISO 27001:2022

  • Clause 6.1.2 — Appréciation des risques de sécurité de l'information
  • Clause 6.1.3 — Traitement des risques de sécurité
  • Clause 8.2 — Appréciation des risques (exécution)
  • Clause 8.3 — Traitement des risques (exécution)
  • ISO 27005:2022 — Compatibilité complète avec le cadre de référence

FR Réglementations françaises

  • LPM — Règles de sécurité des SI d'importance vitale (SIIV)
  • RGS — Référentiel Général de Sécurité (administrations)
  • PSSIE — Politique de Sécurité des SI de l'État
  • HDS — Hébergement de Données de Santé
  • II 901 — Instruction interministérielle 901 (diffusion restreinte)

Livrables EBIOS RM — ce que nous produisons

L'intégralité du dossier EBIOS RM, rédigé sur mesure pour votre organisation. Chaque livrable est directement exploitable pour l'auditeur ISO 27001, le régulateur NIS2 ou votre direction.

Note de cadrage EBIOS RM

Périmètre, objectifs, participants, planning, méthodologie appliquée, références normatives.

Cartographie des valeurs métier

Missions, processus métier, données critiques, impact métier en cas de compromission (C, I, D).

Inventaire des biens supports

Serveurs, applications, réseaux, locaux, personnes. Lien avec les valeurs métier qu'ils supportent.

État des lieux du socle de sécurité

Évaluation du socle de sécurité (guide d'hygiène ANSSI), scoring par domaine, écarts identifiés.

Cartographie des sources de risque

Fiches de caractérisation : motivation, ressources, activité, niveau de menace. Couples SR/OV priorisés.

Cartographie de l'écosystème

Parties prenantes, fournisseurs critiques, interfaces, flux de données, dépendances. Évaluation du risque supply chain.

Scénarios stratégiques détaillés

Chemins d'attaque haut niveau, gravité/vraisemblance, mesures de sécurité sur l'écosystème. Matrice de priorisation.

Scénarios opérationnels avec MITRE ATT&CK

Graphes d'attaque techniques, modes opératoires détaillés, vulnérabilités exploitées, mapping ATT&CK.

Matrice des risques (heat map)

Visualisation gravité/vraisemblance de tous les risques. Risques actuels et risques résiduels après traitement.

Plan de traitement des risques (PTR)

Mesures de sécurité priorisées, responsables, délais, budget estimé. Feuille de route 12-24 mois.

Déclaration d'acceptation des risques

Risques résiduels formellement acceptés par la direction. Signé et daté (exigence ISO 27001).

Présentation direction

Support PowerPoint de synthèse (20 slides) pour présentation en comité de direction ou conseil d'administration.

Sources de risque typiques identifiées en atelier 2

Voici les sources de risque les plus fréquemment identifiées lors de nos analyses EBIOS RM, avec leur caractérisation type.

Groupes ransomware

Motivation : Financière (rançon)

Ressources : Élevées (RaaS, affiliations)

Activité : Très active, opportuniste

OV typiques : Chiffrement de données, exfiltration, arrêt de production

Groupes APT (étatiques)

Motivation : Espionnage, sabotage

Ressources : Très élevées (0-day, custom tools)

Activité : Ciblée, persistante, discrète

OV typiques : Vol de PI, espionnage stratégique, sabotage industriel

Employé malveillant

Motivation : Vengeance, appât du gain

Ressources : Modérées mais accès interne

Activité : Ponctuelle, souvent à l'occasion du départ

OV typiques : Vol de fichiers clients, sabotage, concurrence déloyale

Hacktivistes

Motivation : Idéologique, politique

Ressources : Variables (de faibles à modérées)

Activité : Liée à l'actualité, DDoS, défacement

OV typiques : Atteinte à l'image, interruption de service, fuite de données

Concurrent

Motivation : Avantage compétitif

Ressources : Modérées à élevées

Activité : Ciblée, espionnage industriel

OV typiques : Vol de PI, espionnage commercial, débauchage + vol de données

Fournisseur compromis

Motivation : Involontaire (victime relay)

Ressources : N/A (l'attaquant utilise ses accès)

Activité : Supply chain attack en croissance

OV typiques : Accès au SI via VPN/API fournisseur, mise à jour trojanée

Cybercriminel opportuniste

Motivation : Financière (BEC, fraude)

Ressources : Faibles à modérées

Activité : Très active, phishing de masse

OV typiques : Fraude au virement, vol d'identifiants, cryptominage

Employé négligent

Motivation : Aucune (erreur humaine)

Ressources : Accès légitime interne

Activité : Permanente et involontaire

OV typiques : Clic phishing, mot de passe faible, mauvaise config, perte de matériel

Exemples de scénarios EBIOS RM

Pour illustrer concrètement ce que produit la démarche, voici des exemples anonymisés de scénarios stratégiques et opérationnels issus de nos analyses.

Scénario stratégique

Ransomware via fournisseur de maintenance informatique

Source de risque

Groupe ransomware (LockBit, BlackCat). Motivation financière. Ressources élevées (RaaS).

Objectif visé

Chiffrement des données métier et exfiltration pour double extorsion. Demande de rançon.

Chemin d'attaque

Compromission du prestataire IT → accès VPN/RMM → mouvement latéral → AD compromis → chiffrement généralisé.

Gravité / Vraisemblance

Gravité : 4/4 (arrêt total). Vraisemblance : 3/4 (cas fréquent). Risque : Critique.

Scénario opérationnel

Déclinaison technique du scénario ransomware

Kill chain détaillé

  1. 1. Phishing du prestataire — Email de spear-phishing ciblant le technicien de maintenance (T1566.001)
  2. 2. Vol de credentials VPN — Keylogger ou infostealer vole les identifiants VPN du prestataire (T1078)
  3. 3. Accès initial — Connexion VPN avec les credentials du prestataire (pas de MFA) (T1133)
  4. 4. Reconnaissance AD — BloodHound pour cartographier les chemins vers Domain Admin (T1018)
  5. 5. Escalade de privilèges — Kerberoasting ou exploitation de délégation (T1558)
  6. 6. Exfiltration — 200 Go de données exfiltrées via Rclone vers Mega.io (T1567)
  7. 7. Chiffrement — Déploiement via GPO + PsExec. Suppression des shadow copies (T1486)

Mesures de traitement proposées

  • MFA sur tous les accès VPN — Bloque le scénario à l'étape 3
  • Segmentation réseau fournisseur — VLAN dédié, accès réduit au strict nécessaire
  • Audit de sécurité du prestataire — Vérification annuelle des mesures de sécurité
  • EDR + alertes LSASS — Détection de Mimikatz/Kerberoasting
  • LAPS pour comptes admin locaux — Empêche le mouvement latéral avec un seul mot de passe
  • Sauvegardes immuables offline — Récupération possible même si tout est chiffré
  • Surveillance DLP — Détection d'exfiltration massive (>10 Go)
Scénario stratégique

Espionnage industriel par un APT étatique

Source de risque

Groupe APT étatique. Motivation : espionnage industriel et technologique. Ressources : très élevées (0-day, custom tools).

Objectif visé

Vol de propriété intellectuelle (plans, brevets, R&D). Accès persistant et discret sur plusieurs mois.

Chemin d'attaque

Spear-phishing ciblé R&D → implant custom → mouvement latéral furtif → exfiltration via DNS over HTTPS.

Gravité / Vraisemblance

Gravité : 4/4 (perte de compétitivité). Vraisemblance : 2/4 (ciblé et rare). Risque : Élevé.

Glossaire EBIOS Risk Manager

Les termes clés de la méthode EBIOS RM expliqués simplement pour faciliter la compréhension et la participation aux ateliers.

Valeur métier

Ce qui est important pour l'organisation : missions, processus métier, informations sensibles. Ce que l'on cherche à protéger. Exemples : « processus de paie », « données clients », « service de télémédecine ».

Bien support

Les composants techniques ou organisationnels qui supportent les valeurs métier : serveurs, applications, réseaux, locaux, personnes. Exemples : « serveur ERP », « réseau Wi-Fi », « salle serveur ».

Source de risque (SR)

L'entité qui pourrait porter atteinte aux valeurs métier. Peut être humaine (attaquant, employé malveillant) ou non humaine (catastrophe naturelle, panne). EBIOS RM se concentre sur les sources humaines intentionnelles.

Objectif visé (OV)

Ce que la source de risque cherche à accomplir. Le couple SR/OV définit la menace. Exemple : « Groupe ransomware (SR) visant le chiffrement des données métier (OV) ».

Scénario stratégique

Chemin d'attaque de haut niveau qui décrit comment une source de risque pourrait atteindre un objectif visé, en passant éventuellement par l'écosystème (fournisseurs, partenaires). Vue macro.

Scénario opérationnel

Déclinaison technique d'un scénario stratégique. Décrit concrètement les vulnérabilités exploitées, les outils utilisés, les techniques d'attaque (mappées sur MITRE ATT&CK).

Socle de sécurité

Ensemble de mesures de sécurité de base que toute organisation devrait appliquer, indépendamment de l'analyse de risques. Basé sur le guide d'hygiène informatique de l'ANSSI (42 règles).

Écosystème

L'ensemble des parties prenantes qui interagissent avec l'organisation : fournisseurs, clients, partenaires, sous-traitants, régulateurs. Les attaques supply chain passent par l'écosystème.

Lancez votre analyse de risques EBIOS RM

NIS2 est en vigueur, DORA aussi. L'analyse de risques n'est plus optionnelle — c'est une obligation légale. Prenons rendez-vous pour définir votre périmètre et lancer la démarche.

Réponse sous 24h — Échange initial gratuit et sans engagement

15+
ans d'expertise cyber & IA
100+
missions réalisées
ISO 27001
Lead Implementer & Auditor
24h
réponse devis
Réponse sous 24h ouvrées

Discutons de votre projet EBIOS Risk Manager

Échange découverte gratuit de 30 minutes. Devis personnalisé sous 24h ouvrées. Aucun engagement, aucune obligation.

Réserver un échange 30 min
Sans engagement 30 min offerts Conseil pro immédiat NDA possible

Un projet cybersécurité ?

Expert dispo · Réponse 24h

Devis