EBIOS, c'est quoi ?

EBIOS veut dire Expression des Besoins et Identifications des Objectifs de Sécurité. Il s'agit d'une méthode qui permet d'analyser et de traiter les risques numériques. Cette méthode est publiée et gérée par l'ANSSI. En parallèle, le Club EBIOS est une association qui permet l'échange et l'homogénéisation autour des pratiques.

La dernière version datait de 2010 et avait besoin d'une modernisation pour correspondre nouveaux défis introduit par le numérique comme les systèmes interconnectés et la prise en compte des réglementations.

Lors des Assises de la Sécurité à Monaco, le directeur général de l'ANSSI a annoncé la sortie d'EBIOS RM pour EBIOS Risk Manager. Il s'agit d'une mise à jour en profondeur de la méthode.

Mais alors, en quoi conciste EBIOS RM ?

La nouvelle méthode doit permettre aux RSSI ou au risk manager de partager un document avec la direction général de l'entité. Le risque numérique doit être considéré au même niveau que les autres risques stratégiques (financier, juridique...) par les dirigeants.

Cette méthode se décline en 5 étapes ou ateliers :

  • Atelier 1 : Cadrage/socle de sécurité
  • Atelier 2 : Sources de risque
  • Atelier 3 : Scénarios stratégiques
  • Atelier 4 : Scénarios opérationnels
  • Atelier 5 : Traitement du risque

A noter qu'un label EBIOS RM permettra d'attester de la conformité des logiciels qui aideront à la mise en place de la nouvelle méthode. D'ailleurs, si vous êtes éditeur de logiciels, vous rejoindre le programme d'expérimentation en écrivant à ebios[at]ssi.gouv.fr.

Est-ce que les méthodes d'analyse de risque sont pour toutes les entreprises ?

Toutes les entreprises possèdent des données confidentielles qu'il est nécessaire de protéger. Par conséquent, toutes les entreprises (et les organisations publiques) peuvent appliquer cette méthode pour définir la stratégie de sécurité. Il s'agit d'une étape primordiale pour préparer les crises. "Sans analyse de risque, on parle dans le vide" indiquait Guillaume Poupard, directeur général de l'ANSSI.

Le guide de la nouvelle méthode EBIOS de l'ANSSI

Mise à jour [Décembre 2018] : La certification est maintenant possible. La société PECB est maintenant un organisme certificateur agréé. Il sera donc possible de "démontrer les capacités de personnes physiques concernant leur pratique de la méthode EBIOS". Pour en savoir plus : https://club-ebios.org/site/certification/

Documents utiles :

Le guide de la méthode EBIOS Risk Manager : https://www.ssi.gouv.fr/uploads/2018/10/guide-methode-ebios-risk-manager.pdf