La méthode Ebios Risk Manager est une méthode de gestion des risques informatiques créée et mise à jour par l’ANSSI.

Elle permet de d’identifier les risques, de faire valider le niveau de risque des actifs d’une entreprise et de se lancer dans un processus d’amélioration continue.

Cette méthode peut être mise en parallèle de la norme 27005 et elle a l’avantage d’être assez complète et facilement utilisable dans des projets techniques.

Si vous cherchez une méthode un peu plus pragmatique et opérationnelle, il faudra peut-être vous tourner vers Mehari, faite par le Clusif.

EBIOS

EBIOS se décompose en 5 ateliers progressifs.

Il est d’usage dans la plupart des organisations de réutiliser cette méthode une fois par an.

Atelier 1 : Cadrage et socle de sécurité

Le premier atelier est stratégique, il concerne les métiers et la direction.

Il permet de définir les actifs (biens) les plus sensibles, les évènements redoutés par les métiers et leur niveau de gravité.

Atelier 2 : Sources de risques

Qui ou quoi pourrait porter atteinte aux biens définis dans l’atelier 1 et pour quelles raisons ?

Cela permet d’identifier les sources de risques et leurs objectifs et de les prioriser.

Atelier 3 : Scenarios stratégiques

A partir des sources de risques et des objectifs, l’atelier 3 permet de définir des scenarios, des cheminements d’attaques potentielles .

Cet atelier prend en compte toutes les parties prenantes pour ne pas laisser échapper de maillon faible (prestataires, fournisseurs de services cloud, …).

Une fois les scenarios définis, on pourra facilement identifier des premières mesures à prendre.

Atelier 4 : Scénarios opérationnels

Sur le même principe que l’atelier 3, cet atelier va permettre de définir des scénarios relatifs aux biens supports.

Il permettra aussi d’évaluer la vraissemblance des scenarios.

Atelier 5 : Traitement du risque

A partir de tous les scenarios de risques, l’atelier 5 permet de choisir comment traiter les risques.

On peut alors en déduire une stratégie de traitement des risques, un ensemble de mesures à prendre pour réduire les risques, une synthèse des risques résiduels.