Analyse de risque EBIOS RM : la méthode de référence de l’ANSSI
Identifiez, évaluez et traitez les risques cyber de votre organisation avec la méthodologie EBIOS Risk Manager. RM3A réalise votre analyse de risque avec des consultants expérimentés, certifiés ISO 27001 LA et formés par l’ANSSI.
Demander un devis 06 63 58 83 24Qu’est-ce que la méthode EBIOS Risk Manager ?
EBIOS Risk Manager (EBIOS RM) est la méthode d’analyse de risque de référence publiée par l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) en 2018. Elle succède à EBIOS 2010 et constitue une refonte majeure de l’approche d’analyse de risque en cybersécurité.
Contrairement aux méthodes purement quantitatives, EBIOS RM adopte une approche par scénarios stratégiques et opérationnels. Elle permet d’identifier les menaces les plus réalistes et les plus impactantes pour votre organisation, en prenant en compte le contexte géopolitique, sectoriel et technique. La méthode est structurée en 5 ateliers progressifs qui permettent de construire une vision complète de vos risques cyber.
EBIOS RM est recommandée par l’ANSSI pour toutes les organisations soumises à des obligations de cybersécurité (NIS2, LPM, DORA, HDS) et constitue un prérequis dans de nombreux référentiels de certification (ISO 27001, SecNumCloud, qualification ANSSI). Elle est également de plus en plus demandée par les donneurs d’ordre dans leurs appels d’offres et questionnaires de sécurité.
Chez RM3A, nos consultants ont réalisé plus de 20 analyses EBIOS RM dans des contextes variés : ETI industrielles, établissements de santé, administrations publiques, fintechs, opérateurs d’importance vitale. Cette expérience terrain nous permet de produire des analyses pertinentes et actionnables, pas des documents théoriques qui finissent au fond d’un tiroir.
Les 5 ateliers de la méthode EBIOS RM
Cadrage et socle de sécurité
Définition du périmètre de l’analyse, identification des missions et valeurs métier de l’organisation, cartographie des biens supports (systèmes, réseaux, locaux, personnel). Évaluation du socle de sécurité existant par rapport aux référentiels applicables (Guide d’hygiène ANSSI, ISO 27002, CIS Controls). Cet atelier pose les fondations de toute l’analyse et permet d’identifier les écarts de sécurité de base à combler en priorité.
Sources de risque
Identification et caractérisation des sources de risque pertinentes pour votre organisation : cybercriminels (ransomware, fraude), États (espionnage, sabotage), hacktivistes, insiders malveillants, prestataires négligents. Pour chaque source de risque, nous définissons ses objectifs visés (vol de données, sabotage, extorsion, déstabilisation). Cette étape permet de construire des couples sources de risque / objectifs visés qui serviront de base aux scénarios stratégiques.
Scénarios stratégiques
Construction des chemins d’attaque de haut niveau que pourraient emprunter les sources de risque pour atteindre leurs objectifs. Nous cartographions l’écosystème de l’organisation (partenaires, prestataires, clients, fournisseurs) et identifions les parties prenantes les plus critiques ou vulnérables. Les scénarios stratégiques décrivent comment un attaquant pourrait exploiter l’écosystème pour atteindre les valeurs métier. Évaluation de la gravité et de la vraisemblance de chaque scénario.
Scénarios opérationnels
Déclinaison technique des scénarios stratégiques en séquences d’attaque détaillées. Pour chaque scénario stratégique retenu, nous décrivons les modes opératoires concrets : vecteur d’intrusion initial (phishing, exploitation de vulnérabilité, supply chain), mouvement latéral, élévation de privilèges, exfiltration ou destruction. Ces scénarios opérationnels s’appuient sur des techniques réelles (référentiel MITRE ATT&CK) et sur notre expérience de réponse à incident.
Traitement du risque
Définition de la stratégie de traitement pour chaque risque identifié : réduction (mesures de sécurité), transfert (assurance cyber), acceptation (risque résiduel documenté), évitement (modification du processus). Pour chaque mesure de réduction, nous spécifions le coût estimé, le responsable, le délai de mise en œuvre et l’effet attendu sur le niveau de risque. Le résultat est un plan de traitement des risques priorisé et chiffré, directement actionnable.
EBIOS RM vs autres méthodes d’analyse de risque
| Critère | EBIOS RM | ISO 27005 | MEHARI | Méthode maison |
|---|---|---|---|---|
| Reconnaissance institutionnelle | ANSSI (référence FR) | ISO (international) | CLUSIF (FR) | Aucune |
| Approche | Scénarios d’attaque | Actifs / menaces | Scénarios + bases | Variable |
| Prise en compte de l’écosystème | Oui (atelier 3) | Limitée | Limitée | Rarement |
| Compatibilité NIS2/LPM | Oui (recommandée) | Oui | Partielle | Non |
| Compatibilité ISO 27001 | Oui | Oui (native) | Oui | Rarement |
| Durée typique | 4 à 8 semaines | 4 à 8 semaines | 6 à 12 semaines | Variable |
| Niveau d’expertise requis | Élevé | Moyen à élevé | Moyen | Faible |
Notre recommandation : EBIOS RM est la méthode la plus adaptée pour les organisations françaises soumises à des obligations réglementaires (NIS2, DORA, LPM, HDS). Son approche par scénarios d’attaque produit des résultats concrets et facilement compréhensibles par la direction. Pour les certifications ISO 27001, EBIOS RM satisfait pleinement les exigences de la clause 6.1.2.
Nos 3 formules d’accompagnement EBIOS RM
Analyse EBIOS RM complète
À partir de 12 000 € HT
Les 5 ateliers EBIOS RM réalisés par nos consultants, avec la participation active de vos équipes. Comprend : cadrage initial, animation des ateliers (10 à 15 sessions de 2h), rédaction du rapport d’analyse de risque complet, cartographie des risques, plan de traitement priorisé. Durée : 6 à 8 semaines. Idéal pour les organisations soumises à NIS2, en démarche ISO 27001 ou préparant un audit ANSSI.
- 5 ateliers complets animés par un consultant senior
- Rapport d’analyse conforme au référentiel ANSSI
- Cartographie des risques et matrice de criticité
- Plan de traitement chiffré et priorisé
- Présentation de restitution à votre direction
Analyse EBIOS RM ciblée
À partir de 6 000 € HT
Analyse de risque EBIOS RM focalisée sur un périmètre restreint : un projet spécifique, une application critique, un nouveau système. Ateliers 1 à 3 réalisés en profondeur, ateliers 4 et 5 traités de manière allégée. Durée : 3 à 4 semaines. Parfait pour évaluer les risques d’un projet avant son lancement ou pour compléter une analyse existante.
- Ateliers 1 à 3 en version complète
- Ateliers 4 et 5 en version synthétique
- Rapport d’analyse ciblé
- Plan de traitement pour le périmètre étudié
- Transfert de compétences à vos équipes
Formation EBIOS RM
À partir de 3 500 € HT
Formation pratique de 3 jours pour vos équipes RSSI, risk managers et chefs de projet sécurité. Programme : théorie de la méthode EBIOS RM, exercices pratiques sur chaque atelier, mise en situation sur un cas réel de votre organisation. Les participants repartent avec les compétences et les outils pour conduire leurs propres analyses de risque en autonomie.
- 3 jours de formation présentielle ou distancielle
- Support de cours complet et outils (templates)
- Exercice pratique sur votre contexte réel
- Attestation de formation
- Accès à notre hotline post-formation pendant 3 mois
Cas concret : ETI industrielle en conformité NIS2 grâce à EBIOS RM
Client : ETI industrielle de 380 salariés dans le secteur de la chimie fine, classée entité importante au titre de la directive NIS2. Trois sites de production en Normandie et un siège à Rouen.
Contexte : NIS2 impose la mise en place de mesures de gestion des risques cyber proportionnées. L’entreprise n’avait jamais réalisé d’analyse de risque formelle. Le DSI souhaitait une approche structurée et reconnue par l’ANSSI.
Déroulement : analyse EBIOS RM complète sur 6 semaines. Atelier 1 : identification de 12 valeurs métier et 45 biens supports critiques (SCADA, ERP, messagerie, R&D). Atelier 2 : 8 sources de risque identifiées (ransomware, espionnage industriel, insider, prestataire). Atelier 3 : 6 scénarios stratégiques construits, incluant l’attaque par la chaîne d’approvisionnement (un prestataire de maintenance SCADA). Atelier 4 : 12 scénarios opérationnels détaillés avec mapping MITRE ATT&CK. Atelier 5 : 34 mesures de traitement identifiées, budget total estimé à 180 000 € sur 18 mois.
Résultat : l’analyse a révélé que le risque le plus critique n’était pas le ransomware (bien que réel) mais l’accès non contrôlé du prestataire de maintenance aux systèmes SCADA. Cette découverte a conduit à la mise en place immédiate d’un bastion d’accès (PAM) — une mesure qui n’aurait jamais été priorisée sans l’approche EBIOS RM par scénarios stratégiques.
Pour qui est destinée l’analyse EBIOS RM ?
Entités NIS2
La directive NIS2 exige une approche de gestion des risques cyber proportionnée. EBIOS RM est la méthode recommandée par l’ANSSI pour satisfaire cette obligation. Entités essentielles et importantes des 18 secteurs concernés.
Démarche ISO 27001
La certification ISO 27001 exige une analyse de risque formelle (clause 6.1.2). EBIOS RM est parfaitement compatible et reconnue par les organismes de certification. Elle alimente directement votre Déclaration d’Applicabilité (DdA).
Opérateurs d’importance vitale
Les OIV soumis à la Loi de Programmation Militaire (LPM) doivent réaliser des analyses de risque sur leurs Systèmes d’Information d’Importance Vitale (SIIV). EBIOS RM est la méthode de référence imposée par l’ANSSI.
Établissements de santé
Les établissements soumis à la certification HDS (Hébergement de Données de Santé) ou au programme CaRE doivent démontrer une gestion formelle des risques cyber. EBIOS RM fournit le cadre méthodologique adapté.
Acteurs financiers (DORA)
Le règlement DORA impose un cadre de gestion des risques ICT structuré. EBIOS RM permet de satisfaire les exigences de l’article 6 (cadre de gestion des risques) et alimente les programmes de tests de résilience (TLPT).
Collectivités territoriales
De plus en plus de collectivités réalisent des analyses de risque EBIOS RM, encouragées par l’ANSSI et les CSIRT régionaux. La méthode est adaptée aux spécificités des SI des collectivités (services en ligne, données citoyens).
Nos résultats en chiffres
Questions fréquentes sur EBIOS RM
Combien de temps dure une analyse EBIOS RM ?
Une analyse complète sur les 5 ateliers dure typiquement 6 à 8 semaines. Ce délai inclut la préparation, l’animation de 10 à 15 sessions d’ateliers de 2 heures, le travail d’analyse inter-sessions et la rédaction du rapport final. Une analyse ciblée sur un périmètre restreint peut être réalisée en 3 à 4 semaines.
Quelles ressources internes sont nécessaires ?
L’analyse EBIOS RM est un exercice collaboratif. Vous devez mobiliser entre 4 et 8 personnes clés : RSSI ou DSI, responsables métier, architecte technique, responsable juridique ou conformité. Chaque participant est sollicité pour 2 à 4 sessions d’ateliers de 2 heures. RM3A anime les ateliers et réalise le travail d’analyse : vos équipes apportent la connaissance métier et technique.
L’analyse EBIOS RM est-elle obligatoire pour NIS2 ?
La directive NIS2 n’impose pas explicitement EBIOS RM, mais exige une approche de gestion des risques cyber conforme à l’état de l’art. En France, l’ANSSI recommande explicitement EBIOS RM comme méthode de référence. Utiliser EBIOS RM vous assure la conformité aux exigences NIS2 et facilite grandement les échanges avec l’ANSSI en cas de contrôle.
Peut-on utiliser EBIOS RM pour une certification ISO 27001 ?
Oui, EBIOS RM est parfaitement compatible avec les exigences de la clause 6.1.2 de l’ISO 27001 relative à l’appréciation des risques. Les résultats de l’analyse alimentent directement la Déclaration d’Applicabilité (DdA) et le plan de traitement des risques. Nos analyses sont systématiquement acceptées par les organismes de certification (AFNOR, BSI, Bureau Veritas).
Quelle est la différence entre EBIOS RM et EBIOS 2010 ?
EBIOS RM (2018) est une refonte majeure de la méthode. Les principales évolutions : approche par scénarios stratégiques plutôt que par menaces génériques, prise en compte de l’écosystème (supply chain), alignement avec les techniques d’attaque réelles (MITRE ATT&CK), simplification de la méthode (5 ateliers au lieu de 5 modules complexes). Si vous avez une analyse EBIOS 2010, nous recommandons de la refaire avec EBIOS RM.
Livrez-vous des outils pour maintenir l’analyse dans le temps ?
Oui. Au-delà du rapport, nous vous livrons les templates et matrices utilisés pendant l’analyse (cartographie des biens, registre des risques, matrice de criticité, plan de traitement). Ces outils vous permettent de mettre à jour l’analyse de manière autonome lors des revues annuelles ou lors de changements significatifs de votre SI. Nous proposons également un accompagnement annuel pour la mise à jour.
Lancez votre analyse de risque EBIOS RM
Nos consultants certifiés ISO 27001 Lead Auditor et formés par l’ANSSI vous accompagnent dans la réalisation de votre analyse EBIOS RM. Premier échange gratuit et sans engagement.
Demander un devis 06 63 58 83 24RM3A — 11 rue de Maigremont, 27100 Le Vaudreuil — contact@rm3a.fr
Conformité et réglementation
L’analyse EBIOS RM s’inscrit dans un écosystème réglementaire en pleine évolution. Découvrez nos accompagnements complémentaires.
-
Directive NIS 2 : ce qui change en 2026
Les obligations concrètes de la directive NIS 2 pour les entreprises françaises.
-
Règlement DORA et secteur financier
Comment DORA redéfinit la résilience numérique des acteurs financiers.
-
Conformité RGPD pour les PME
Un accompagnement pragmatique pour atteindre la conformité RGPD.
-
Cybersécurité pour les PME
Des solutions de sécurité dimensionnées pour les PME et ETI.
-
Sécurité des SI et ISO 27001
Structurez votre SMSI avec la norme ISO 27001, complémentaire d’EBIOS RM.