En une phrase. EBIOS Risk Manager (EBIOS RM) est la méthode officielle d’analyse de risques cyber publiée par l’ANSSI en 2018. Elle structure l’évaluation des risques en 5 ateliers : (1) cadrage et socle de sécurité, (2) sources de risque, (3) scénarios stratégiques, (4) scénarios opérationnels, (5) traitement du risque. Elle est recommandée pour l’AIPD RGPD (article 35), obligatoire de facto pour les OSE NIS2, et largement utilisée pour les PSSI et la documentation cyber des marchés publics.
EBIOS RM est devenue la référence française pour l’analyse de risques cyber. Là où l’ISO 27005 est plus générique, EBIOS RM est conçue pour les contextes à enjeux français : OIV/OSE, secteur public, organisations soumises au RGPD avec besoin d’AIPD. La méthode est gratuite, documentée par l’ANSSI et soutenue par un écosystème de formations certifiantes.
Pour les approfondissements connexes : guide PSSI, modèle AIPD RGPD, guide hygiène ANSSI, SecNumCloud.
Points clés
- EBIOS RM = méthode ANSSI publiée en 2018, mise à jour 2024. Téléchargeable gratuitement sur cyber.gouv.fr.
- 5 ateliers structurent l’analyse : cadrage, sources de risque, scénarios stratégiques, scénarios opérationnels, traitement.
- Recommandée par la CNIL pour les AIPD (article 35 RGPD).
- Obligatoire de facto pour les OSE sous NIS2 (transposition française octobre 2024).
- Certifications EBIOS RM : LSTI, AFNOR, CFSSI (ANSSI elle-même).
1. Origine et positionnement
L’ANSSI (Agence nationale de la sécurité des systèmes d’information) a publié EBIOS Risk Manager en octobre 2018, succédant à EBIOS 2010. Une mise à jour mineure est intervenue en 2024 pour intégrer les contextes NIS2 et la doctrine Cloud de Confiance.
EBIOS RM se distingue par :
- Approche scénario-driven vs liste-de-contrôles
- Intégration des sources de menace humaines (attaquants, internes malveillants)
- Compatibilité ISO 27005 (méthodologies complémentaires)
- Sortie utilisable pour l’AIPD RGPD
2. Les 5 ateliers EBIOS RM
Atelier 1 — Cadrage et socle de sécurité
Objectif : définir le périmètre d’étude, identifier les valeurs métier, recenser les biens supports, établir le socle de sécurité existant.
Livrables :
- Périmètre formellement défini (système, organisation, processus)
- Cartographie des valeurs métier (processus, informations sensibles)
- Inventaire des biens supports (serveurs, bases, postes, prestataires)
- Socle de sécurité : référentiel applicable (ISO 27001, RGS, HDS, RGPD)
Atelier 2 — Sources de risque
Objectif : identifier qui peut attaquer et avec quelles motivations.
Livrables :
- Liste des sources de risque : étatiques, cybercriminelles, hacktivistes, concurrents, internes
- Objectifs visés par chaque source : vol, sabotage, espionnage, lucratif, idéologique
- Couples Source-Objectif retenus pour la suite de l’analyse
Atelier 3 — Scénarios stratégiques
Objectif : construire des scénarios d’attaque de haut niveau, identifier les chemins d’attaque par les écosystèmes (parties prenantes externes).
Livrables :
- Cartographie de l’écosystème : fournisseurs, partenaires, clients
- Scénarios stratégiques : qui exploite quoi via quel acteur de l’écosystème
- Évaluation de la gravité des impacts métier
Atelier 4 — Scénarios opérationnels
Objectif : détailler techniquement les scénarios stratégiques en chaînes d’événements concrètes.
Livrables :
- Modes opératoires : intrusion réseau, ingénierie sociale, exploitation logicielle, etc.
- Vraisemblance de chaque scénario opérationnel
- Niveau de risque = Gravité × Vraisemblance
Atelier 5 — Traitement du risque
Objectif : décider du traitement de chaque risque (réduire, transférer, éviter, accepter) et formaliser le plan d’action.
Livrables :
- Plan d’action sécurité (PAS) avec mesures, responsables, échéances
- Risque résiduel documenté et accepté formellement
- Indicateurs de suivi pour la durée du traitement
3. Articulation avec le RGPD
EBIOS RM est explicitement reconnue par la CNIL comme méthode acceptable pour conduire une AIPD au titre de l’article 35 RGPD. Les correspondances :
| AIPD (CNIL) | EBIOS RM |
|---|---|
| Description du traitement | Atelier 1 (Cadrage) |
| Évaluation de la nécessité | Hors EBIOS, ajout AIPD |
| Identification des risques | Atelier 3 + 4 |
| Évaluation gravité/vraisemblance | Atelier 4 |
| Mesures de mitigation | Atelier 5 |
| Risque résiduel | Atelier 5 |
Une AIPD RGPD construite avec EBIOS RM bénéficie de la légitimité méthodologique ANSSI tout en répondant aux exigences CNIL. Voir modèle AIPD RGPD.
4. Articulation avec NIS2
La directive NIS2 (transposée en France octobre 2024) impose aux OSE/OIV un dispositif de gestion des risques cyber documenté. EBIOS RM est de facto la méthode attendue par l’ANSSI pour cette documentation.
L’article 21 NIS2 liste 10 mesures de gestion des risques — toutes mappables sur les ateliers EBIOS RM. Un dossier de conformité NIS2 français qui n’utilise pas EBIOS RM doit démontrer une méthodologie équivalente (ISO 27005 par exemple).
5. EBIOS RM vs ISO 27005
| Critère | EBIOS RM | ISO 27005 |
|---|---|---|
| Origine | ANSSI France | ISO international |
| Approche | Scénario-driven | Catalogue-driven |
| Sources de menace | Centrales | Mentionnées |
| Écosystème | Explicite (Atelier 3) | Implicite |
| Reconnaissance | France, francophonie | Mondiale |
| Coût | Gratuit (publié par ANSSI) | Achat de la norme requis |
| Compatibilité | Compatible ISO 27001 | Pilier de la famille ISO 27000 |
Les deux sont complémentaires. EBIOS RM pour la France/Europe ; ISO 27005 pour le reporting international.
6. Outils
L’ANSSI met à disposition plusieurs outils gratuits :
- EBIOS RM Tool : feuilles de calcul structurées par atelier
- Référentiel d’ateliers : modèles documents
- Catalogue de sources de risque : aide à l’identification
Outils tiers (commerciaux) : Egerie, RiskManager, Trusty Pro, Connect.
7. Formation et certification
| Certification | Organisme | Durée | Coût |
|---|---|---|---|
| Praticien EBIOS RM | LSTI, AFNOR, CFSSI | 3 jours | 1500-2500 € |
| Expert EBIOS RM | LSTI | 5 jours | 2500-4000 € |
| Auditeur EBIOS RM | LSTI | Optionnel | 2000-3500 € |
La certification CFSSI (ANSSI elle-même) confère le plus de crédibilité pour les missions secteur public et OIV.
8. Usage typique par taille d’organisation
| Taille | Usage EBIOS RM |
|---|---|
| Petite entreprise (<50 sal.) | Souvent surdimensionnée — préférer guide hygiène ANSSI |
| PME (50-500) | Pertinente pour traitements à risque élevé (AIPD) |
| ETI (500-5000) | Utilisée pour analyses de risques majeures + AIPD |
| Grande entreprise/Groupe | Cadre de référence pour tout le programme cyber |
| OIV/OSE | Obligatoire de facto |
| Administration | Standard pour marchés publics et homologations |
9. Limites et critiques
- Charge de travail : un EBIOS RM complet sur un périmètre large peut prendre 3-6 mois et 20-40 jours-homme d’effort
- Expertise requise : nécessite des praticiens formés
- Maintenabilité : la mise à jour annuelle est exigeante
- Sortie chiffrée : la quantification des risques reste qualitative (échelle 1-4), pas monétaire comme FAIR
10. Cas pratique : AIPD pour traitement RH à risque élevé
Une PME française de 200 salariés veut déployer un outil RH avec scoring algorithmique pour les promotions. AIPD obligatoire (article 35 RGPD + délibération CNIL 2018-327).
Application EBIOS RM :
- Atelier 1 : périmètre = SIRH + module scoring ; biens supports = base SQL + API ML
- Atelier 2 : sources de risque = interne malveillant (manager), externe (cybercriminel), erreur humaine
- Atelier 3 : scénarios = exfiltration profils, manipulation scores, fuite via partenaire IT
- Atelier 4 : modes opératoires détaillés ; vraisemblance scorée
- Atelier 5 : mesures = chiffrement, MFA, audit annuel biais algorithmiques, intervention humaine systématique
Le rapport AIPD reprend la sortie EBIOS RM avec les sections additionnelles requises par la CNIL (nécessité/proportionnalité, droits des personnes).
11. Outillage
Legiscope intègre une matrice EBIOS RM simplifiée dans le workflow AIPD : guide étape par étape, suggestions de sources de risque, calcul automatique de la matrice gravité-vraisemblance.
Pour les approfondissements connexes : guide PSSI, modèle AIPD RGPD, SecNumCloud RGPD, article 32 RGPD sécurité.
Conclusion
EBIOS Risk Manager est la méthode de référence française pour l’analyse de risques cyber. Sa structure en 5 ateliers, sa reconnaissance par la CNIL pour les AIPD et son adoption par l’ANSSI pour NIS2 en font l’investissement méthodologique le plus rentable pour une organisation française devant documenter sa gestion des risques.
FAQ
Qu’est-ce qu’EBIOS Risk Manager ?
EBIOS RM est la méthode officielle d’analyse de risques cyber publiée par l’ANSSI en 2018. Elle structure l’évaluation en 5 ateliers et est gratuite.
EBIOS RM est-elle obligatoire pour le RGPD ?
Non, le RGPD ne nomme pas de méthode. Mais la CNIL recommande EBIOS RM pour les AIPD, et la méthode est gratuite et bien documentée.
Quelle est la différence avec l’ISO 27005 ?
EBIOS RM est scénario-driven (qui attaque, comment), ISO 27005 est catalogue-driven (liste de menaces). EBIOS RM intègre explicitement l’écosystème et est française ; ISO 27005 est internationale.
Combien coûte une formation EBIOS RM ?
1500-2500 € pour la certification Praticien (3 jours), 2500-4000 € pour Expert (5 jours).
Combien de temps prend un EBIOS RM complet ?
3-6 mois pour un périmètre large (grande organisation), 4-8 semaines pour un traitement spécifique (AIPD PME).
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial