Contactez-nous

Contact

Poser une question en ligne Contacter nos équipes

Aide en ligne

Tutos FAQ Chatbot d'assistance
Gouvernance des risques et EBIOS RM 2024 (v 1.5)
EBIOS RM - Une méthode conforme aux exigences de cybersécurité
H5350 v1 Article de référence

Gouvernance des risques et EBIOS RM 2024 (v 1.5)
EBIOS RM - Une méthode conforme aux exigences de cybersécurité

Auteur(s) : Dany CORGIAT

Date de publication : 10 mars 2025 | Read in English

Logo Techniques de l'Ingenieur Cet article est réservé aux abonnés
Pour explorer cet article plus en profondeur Consulter l'extrait gratuit

Déjà abonné ?
Sommaire

Présentation

RÉSUMÉ

Souvent dénigrée à cause de sa complexité de mise en œuvre, nous pensons qu’il convenait de briser de fausses idées concernant la méthode EBIOS RM 2024 (EBIOS RM pour Expression des besoins et identification des objectifs de Security Risk Management).

Dans cet article, nous allons démontrer aux lecteurs que cette méthode est une formidable boîte à outils en matière d’appréciation des risques. Nous verrons qu’elle est parfaitement adaptée aux exigences de la norme ISO 27001 :2022, de l’ISO 27005 :2022, et qu’elle peut activement participer à l’instauration d’une cyber-résilience effective de nos patrimoines informationnels conformément à la directive européenne NIS2.

Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.

Lire l’article

Auteur(s)

INTRODUCTION

L'histoire de la gestion des risques remonte à plusieurs millénaires, car les premières traces de cette discipline remonteraient à l’Antiquité. L’évaluation des risques a ensuite évolué d’une façon constante et significative à travers différentes époques et civilisations pour devenir une discipline clé dans nos activités de cyberdéfense.

Plus que jamais, en 2024, évaluer des risques liés à la sécurité des systèmes d'information est devenue une priorité pour toutes les entreprises et toutes les institutions de notre pays.

Dans cet article, nous ne souhaitons pas revenir dans le passé, à la genèse des premières évaluations des risques. Nous voulons simplement faire comprendre aux lecteurs qu’anticiper la probabilité (la vraisemblance) et l’impact (la conséquence) d’un acte de malveillance peut changer notre avenir. Nous verrons qu’évaluer par anticipation des risques avec une méthode commune et internationalement éprouvée est ou doit être une priorité afin de protéger l’ensemble de nos patrimoines informationnels. Afin de vous faire comprendre du mieux que possible l’enjeu d’évaluer des risques, nous nous focaliserons sur la norme ISO 27005 et la méthode EBIOS Risk Manager (EBIOS RM 2024).

Nous verrons aussi qu’une amélioration continue de notre posture de cyber-défense et la mise en œuvre de mesures de cybersécurité imposent une identification précise des chemins d'attaques que pourraient emprunter des belligérants (ce que permet la méthode EBIOS RM).

Logo Techniques de l'Ingenieur

Cet article est réservé aux abonnés.
Il vous reste 92 % à découvrir.

Pour explorer cet article Consulter l'extrait gratuit

Déjà abonné ?

DOI (Digital Object Identifier)

https://doi.org/10.51257/a-v1-h5350

Lecture en cours
Présentation

Article inclus dans l'offre

"Sécurité des systèmes d'information"

(80 articles)

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques.

Des contenus enrichis

Quiz, médias, tableaux, formules, vidéos, etc.

Des modules pratiques

Opérationnels et didactiques, pour garantir l'acquisition des compétences transverses.

Des avantages inclus

Un ensemble de services exclusifs en complément des ressources.

Voir l'offre

3. Gouvernance des risques et EBIOS RM 2024 (v 1.5)

La réalité du terrain conforte l’idée qu’une trop grande complexité de nos patrimoines informationnels facilite l’exploitation de nouvelles formes de vulnérabilités par des attaquants. Toutes les études et toutes les statistiques démontrent, en effet, qu’une complexité accrue de nos systèmes informatisés ne facilite pas la mise en œuvre de mesures de sécurité permettant de nous protéger. En centre de surveillance (Security Operations Center), nous découvrons, chaque jour, de nouvelles formes d’attaques et de menaces. Elles nous font, malheureusement, découvrir que nous sommes très loin d’atteindre l’excellence en matière de cyber-sécurité. Dès lors, la nécessité d’évaluer et de gérer encore mieux des risques est une nécessité absolue. Pour ce faire, il convient de ne pas agir en mode « artisanal », mais bel et bien de s’appuyer sur des normes reconnues et, surtout, sur des méthodes approuvées. Ces activités doivent être méthodiques, éprouvées et adaptées à des besoins spécifiques de complexités, mais aussi, à des exigences réglementaires.

  • Plusieurs méthodes existent dans le monde afin de prendre en compte des risques, comme :

    • OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation) ;

    • NIST SP 800-37 (Risk Management Framework – RMF) ;

    • FAIR (Factor Analysis of Information Risk) ;

    • COSO ERM (Enterprise Risk Management) ;

    • CRAMM (CCTA Risk Analysis and Management Method).

    Et, EBIOS pour Expression des besoins et Identification des objectifs de sécurité), qui est une méthode française permettant l’analyse et la gestion des risques cyber.

    EBIOS RM pour « Risk Manager » est la version moderne de cette méthode.

  • Dans les grandes lignes, la méthode EBIOS permet :

    • d’être employée comme une boîte à outils permettant une efficacité maximale ;

    • d’améliorer progressivement l’étude des risques pour rester cohérent avec la réalité ;

    • de rechercher une adhésion des experts pour élaborer des solutions de protection ;

    • de proposer une base de connaissances riche, de documentations variées pour échanger...

Logo Techniques de l'Ingenieur

Cet article est réservé aux abonnés.
Il vous reste 95 % à découvrir.

Pour explorer cet article Consulter l'extrait gratuit

Déjà abonné ?

Lecture en cours
Gouvernance des risques et EBIOS RM 2024 (v 1.5)

Article inclus dans l'offre

"Sécurité des systèmes d'information"

(80 articles)

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques.

Des contenus enrichis

Quiz, médias, tableaux, formules, vidéos, etc.

Des modules pratiques

Opérationnels et didactiques, pour garantir l'acquisition des compétences transverses.

Des avantages inclus

Un ensemble de services exclusifs en complément des ressources.

Voir l'offre

Sommaire
Sommaire

BIBLIOGRAPHIE

  • (1) - TENEAU (G.), DUFOUR (N.) -   La gestion des risques, un objet frontière.  -  Editions l’-Harmattan (2013).

  • (2) - ANSSI -   Qu'est-ce que la méthode EBIOS Risk Manager ?  -  (2024). PDF disponible en ligne https://cyber.gouv.fr/la-methode-ebios-risk-manager

  • (3) - ANSSI -   Guide EBIOS  -  (2024). PDF disponible en ligne https://cyber.gouv.fr/sites/default/files/document/20240326_np_anssi_guide_ ebios_fr_final_web.pdf

DANS NOS BASES DOCUMENTAIRES

NORMES

  • Systèmes de management de la sécurité de l’information - ISO/IEC 27001 - 2022

  • Lignes directrices en matière de normes organisationnelles relatives à la sécurité de l’information et des bonnes pratiques de management de la sécurité de l’information - ISO/IEC 27002 - 2022

  • Management du risque - ISO/IEC 31000 - 2018

  • Gestion des risques en sécurité de l’information - ISO/IEC 27005 - 2022

  • Dédiée au management de la qualité, l’amélioration continue - ISO 9001 -

Logo Techniques de l'Ingenieur

Cet article est réservé aux abonnés.
Il vous reste 92 % à découvrir.

Pour explorer cet article Consulter l'extrait gratuit

Déjà abonné ?

Article inclus dans l'offre

"Sécurité des systèmes d'information"

(80 articles)

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques.

Des contenus enrichis

Quiz, médias, tableaux, formules, vidéos, etc.

Des modules pratiques

Opérationnels et didactiques, pour garantir l'acquisition des compétences transverses.

Des avantages inclus

Un ensemble de services exclusifs en complément des ressources.

Voir l'offre

S'inscrire à la Veille Personnalisée

Ressources documentaires

Lutte contre la contrefaçon - Authentification et traçabilité

Dans le domaine de la propriété intellectuelle, est considéré comme contrefaçon tout produit copié alors ...

Sécurité de l’information, cybersécurité et protection des données de vie privée - NF EN ISO/IEC 27001 : 2023

La sécurité de l'information fait partie du périmètre de la normalisation (ISO et AFNOR). À savoir les ...

Organisation de la SSI en entreprise - Structuration et déploiement

Qu'entend-on par sécurité des systèmes d'information, dans quels buts et avec quelle organisation ? ...

NIS2 et ISO/IEC 27001 – Vers une cyberrésilience de l’Union européenne

L'objet de cet article est d’apporter des précisions sur la directive NIS2, les différences avec la ...

Tous les livres blancs
Toutes les actualités
Toutes les conférences en ligne