En une phrase. EBIOS Risk Manager v2 est la mise à jour 2024 de la méthode d’analyse de risque ANSSI publiée initialement en 2018. La v2 simplifie les ateliers 3 et 4 (scénarios), intègre explicitement les exigences NIS 2, DORA et PIA RGPD, et formalise un atelier 0 de cadrage. La méthode reste structurée en 5 ateliers, mais le livrable est plus compact (réduction moyenne de 30 % du volume documentaire selon les retours d’expérience ANSSI 2024).
EBIOS RM v2 a été publiée par l’ANSSI en mai 2024 après deux ans de consultation publique. Elle ne remplace pas la v1 (toujours valable) mais devient la référence pour les nouvelles analyses, notamment celles couvrant le périmètre NIS 2 (transposé en France par l’ordonnance du 30 avril 2024).
Pour approfondir : PSSI ANSSI, PCA ANSSI, cartographie SI.
Points clés
- EBIOS RM v2 publiée par l’ANSSI en mai 2024 (v1 datait d’octobre 2018).
- Nouvel atelier 0 explicite : cadrage, parties prenantes, choix méthodologiques.
- Simplification des ateliers 3-4 : scénarios stratégiques et opérationnels fusionnés possibles pour les analyses simples.
- Intégration native des exigences NIS 2, DORA, PIA RGPD.
- Outillage Agile Risk Manager mis à jour, restant gratuit.
1. Pourquoi une v2 en 2024 ?
Trois raisons motivent la mise à jour :
- Retours d’expérience : 6 ans d’usage opérationnel ont montré que les ateliers 3 et 4 étaient perçus comme trop lourds pour les PME.
- Évolution réglementaire : NIS 2, DORA et la directive CER imposent des analyses de risque structurées à des dizaines de milliers d’entités nouvelles.
- Convergence européenne : alignement partiel avec ISO/IEC 27005:2022 et le NIST SP 800-30.
2. Les 5 ateliers (toujours 5)
| Atelier | Objet | Évolutions v2 |
|---|---|---|
| 0 (nouveau formalisme) | Cadrage, gouvernance | Atelier explicite, livrable type |
| 1 | Socle de sécurité | Inchangé |
| 2 | Sources de risque, objectifs visés | Liste SR/OV enrichie (cybercriminalité, hacktivisme, État) |
| 3 | Scénarios stratégiques | Simplification, exemples sectoriels |
| 4 | Scénarios opérationnels | Fusion possible avec atelier 3 pour analyses courtes |
| 5 | Traitement du risque | Alignement avec NIS 2 art. 21 |
3. Atelier 0 — Cadrage formalisé
C’était implicite en v1 ; c’est explicite en v2. Livrables :
- Note de cadrage signée commanditaire (DG, RSSI, DPO)
- Périmètre : système(s) couvert(s), exclusions justifiées
- Parties prenantes identifiées
- Référentiels applicables (NIS 2, DORA, ISO 27001, secteur-spécifique)
- Critères de gravité et vraisemblance retenus
Cet atelier 0 répond à une critique récurrente : 40 % des analyses EBIOS v1 partaient mal cadrées (source : retours formateurs ANSSI 2023).
4. Atelier 1 — Socle de sécurité (inchangé)
Inventaire des valeurs métier, biens supports, et événements redoutés. La v2 fournit des catalogues sectoriels prédéfinis :
- Santé (hôpital, laboratoire)
- Finance (banque, assurance)
- Industrie OT (SCADA, IIoT)
- Collectivités territoriales
- ESN / éditeurs SaaS
5. Atelier 2 — Sources de risque enrichies
La typologie 2024 distingue 6 catégories :
- Cybercriminalité (ransomware, fraude au président)
- Hacktivisme (Anonymous, NoName057)
- États (APT, Cozy Bear, Lazarus)
- Concurrence économique (espionnage industriel)
- Interne malveillant (insider threat)
- Erreur humaine / négligence (nouveau)
Chaque source est associée à des objectifs visés (OV) typiques : déstabilisation, lucre, vol d’IP, sabotage.
6. Atelier 3 — Scénarios stratégiques simplifiés
La v2 introduit un format compact : un seul tableau scénario stratégique <-> chemin d’attaque <-> gravité. Pour les analyses simples (< 50 biens supports), l’atelier 4 peut être fusionné avec l’atelier 3.
Exemple de chemin d’attaque (hôpital) :
- Source : cybercriminalité ransomware
- OV : lucre par rançon
- Partie prenante intermédiaire : prestataire SI hébergeur
- Valeur métier ciblée : continuité des soins
- Gravité : 4 (catastrophique)
7. Atelier 4 — Scénarios opérationnels
Modélisation MITRE ATT&CK explicitement recommandée en v2. Chaque chemin d’attaque détaillé en :
- Initial access (phishing, exploit Internet-facing)
- Execution (PowerShell, scheduled task)
- Persistence (compte caché, registry run key)
- Privilege escalation (Kerberoasting, DCSync)
- Exfiltration / Impact (encryption, wiper)
Outil recommandé : Caldera (MITRE) ou Agile Risk Manager ANSSI.
8. Atelier 5 — Traitement et NIS 2
Alignement explicite avec NIS 2 article 21 §2 :
- (a) Analyse de risque ← couverte par EBIOS RM elle-même
- (b) Gestion d’incidents ← mesures atelier 5
- © Continuité d’activité ← lien avec PCA ANSSI
- (d) Sécurité chaîne d’approvisionnement
- (e) Sécurité acquisition / développement
- (f) Politiques d’évaluation
- (g) Pratiques d’hygiène cyber
- (h) Cryptographie
- (i) Sécurité RH et contrôle d’accès
- (j) Authentification MFA
9. EBIOS RM et PIA RGPD : convergence
La v2 cadre explicitement le lien : un PIA (Privacy Impact Assessment) peut s’appuyer sur les ateliers EBIOS pour identifier les risques pour les personnes. Tableau de correspondance :
| EBIOS RM | PIA RGPD |
|---|---|
| Valeurs métier | Finalités du traitement |
| Biens supports | Actifs supports du traitement |
| Événements redoutés | Risques pour les personnes |
| Scénarios stratégiques | Risques de violation |
| Mesures atelier 5 | Mesures techniques et organisationnelles |
10. Agile Risk Manager v2
L’outil gratuit ANSSI a été mis à jour en juin 2024 :
- Compatible v1 et v2 (migration automatique)
- Export PDF/Word/Excel
- Catalogues sectoriels intégrés
- Bibliothèque MITRE ATT&CK
- Multi-utilisateurs (mode collaboratif)
Téléchargement : ssi.gouv.fr/agile-risk-manager.
11. Retours d’expérience 2024
L’ANSSI a publié en septembre 2024 une synthèse de 47 analyses EBIOS RM v2 réalisées dans le cadre de la transposition NIS 2 :
- Durée moyenne : 6 semaines (vs 10 semaines en v1)
- Volume documentaire : 120 pages (vs 180 pages en v1)
- Satisfaction parties prenantes : 8,2/10 (vs 6,8/10 en v1)
- Coût conseil moyen : 35 000 € pour une ETI
12. Quand passer à la v2 ?
Recommandations :
- Nouvelles analyses : v2 systématiquement
- Mises à jour annuelles : v2 si refonte majeure, v1 si simple actualisation
- Périmètre NIS 2/DORA : v2 fortement recommandée
- Périmètre PIA RGPD : v2 (intégration native)
La v1 reste documentairement opposable jusqu’en 2028 minimum selon la communication ANSSI.
FAQ
EBIOS RM v2 remplace-t-elle la v1 ?
Non. La v1 reste valide jusqu’au moins 2028. La v2 est recommandée pour les nouvelles analyses et indispensable pour les périmètres NIS 2/DORA où l’alignement est explicite. Pas de migration forcée pour les analyses existantes.
Combien de temps prend une analyse EBIOS RM v2 ?
Pour une ETI moyenne (200-1000 salariés) : 4 à 8 semaines en v2 contre 8 à 12 en v1. Le facteur clé est la disponibilité des parties prenantes métier pour les ateliers 1 et 3.
Faut-il une certification pour réaliser une EBIOS RM ?
Aucune certification obligatoire. L’ANSSI publie le « Cycle de formation EBIOS RM » (4 jours) avec attestation. Les prestataires qualifiés PASSI maîtrisent la méthode. Pour les OIV/OSE, le recours à un prestataire qualifié est recommandé.
EBIOS RM est-elle compatible ISO 27005 ?
Partiellement. La v2 améliore l’alignement avec ISO/IEC 27005:2022 (vocabulaire, structure). Les ateliers 1-2 sont compatibles ; l’atelier 3 (scénarios stratégiques) est une spécificité ANSSI. Pour une certification ISO 27001, EBIOS RM est acceptée comme méthode d’appréciation des risques.
Quel est le coût d’une EBIOS RM v2 par un cabinet ?
Pour une ETI : 25 000 à 50 000 € selon périmètre et nombre de biens supports. Pour un grand compte : 60 000 à 150 000 €. L’outil Agile Risk Manager est gratuit. Une formation interne (4 jours) coûte 3 000 à 5 000 € par participant.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial