Guide méthodologique EBIOS Risk Manager
Méthode d'analyse de risques publiée par l'ANSSI — 5 ateliers
Principe général
EBIOS RM est une méthode d'analyse de risques qui part des valeurs métier de l'organisation pour identifier les scénarios de risque les plus pertinents et définir un plan de traitement proportionné. Elle se déroule en 5 ateliers séquentiels, chacun alimentant le suivant.
Atelier 1 — Cadrage et socle de sécurité
Objectif
Définir le périmètre de l'étude, identifier les actifs critiques, les événements redoutés et évaluer le niveau de sécurité existant.
Participants
RSSI, DSI, Direction métier, DPO (si données personnelles)
Étapes dans l'application
| Onglet | Contenu | Guide |
|---|
| Contexte | Périmètre, réglementation, échelle de gravité | Renseigner le nom, la date, le socle choisi, configurer les niveaux de gravité (3, 4 ou 5) |
| Valeurs Métier | Processus essentiels | Identifier 5-10 VM, évaluer DICT de 1 à N (selon l'échelle) |
| Biens Supports | SI qui supporte les VM | Lister les serveurs, applis, réseaux, données et les associer aux VM |
| Événements Redoutés | Impacts redoutés par VM | Pour chaque VM, identifier les ER et évaluer la gravité |
| Socle de sécurité | Conformité ANSSI ou ISO | Évaluer chaque mesure (0-100%%), identifier les écarts |
Atelier 2 — Sources de risque et objectifs visés
Objectif
Identifier qui pourrait attaquer (sources de risque) et pourquoi (objectifs visés). Évaluer la pertinence de chaque couple SR/OV.
Participants
RSSI, Analyste CTI (si disponible), Direction
Guide
- Créer les sources de risque (cybercriminels, employés, états, concurrents...)
- Créer les objectifs visés (ransomware, vol de données, sabotage...)
- Combiner en couples et noter Motivation (0-4), Ressources (0-4), Activité (0-4)
- Pertinence = somme /12. Priorité : P1 (>7), P2 (5-7), Non retenu (3-4), Écarté (≤2)
Atelier 3 — Scénarios stratégiques
Objectif
Identifier et évaluer les parties prenantes de l'écosystème, construire les chemins d'attaque stratégiques et définir les mesures de réduction de la menace écosystème.
Participants
RSSI, Direction métier, Responsable des achats/partenariats
Étapes
| Onglet | Contenu | Guide |
|---|
| Parties Prenantes | Acteurs de l'écosystème | Fournisseurs (prestataires), partenaires, clients — évaluer D/P/M/C (1-4), catégorie |
| Scénarios Stratégiques | Chemins d'attaque | Lier SR/OV + PP + BS + ER. La gravité est calculée automatiquement (MAX des ER) |
| Mesures Écosystème | Réduction menace PP | Pour chaque PP, lister les mesures et réévaluer D/P/M/C résiduels. Cartographie de l'écosystème |
Règle PP : si l'objet de l'étude est l'entreprise entière, les collaborateurs internes ne sont PAS des PP. Seuls les acteurs externes sont des PP.
Atelier 4 — Scénarios opérationnels
Objectif
Détailler chaque scénario stratégique en kill chain technique : phases d'attaque, contrôles existants, efficacité. Calculer la vraisemblance opérationnelle et le risque initial.
Participants
RSSI, Équipe technique/SOC, Architecte sécurité, DevOps/Admin sys
Étapes
| Onglet | Contenu | Guide |
|---|
| Scénarios Opérationnels | Kill chain par SOP | 4-8 phases par SOP, contrôles, efficacité (Absent/Partiel/Efficace), mesures proposées |
| Risques initiaux | Synthèse des risques | Pour chaque SS : gravité, efficacité des contrôles, taux de faiblesse, V opérationnelle, risque initial |
Formule : Taux de faiblesse = MAX(0, (Absent×2 + Partiel - Efficace×2)) / (Total×2). Chaque phase Efficace compense un Absent dans la kill chain.
Atelier 5 — Traitement du risque
Objectif
Définir le plan de traitement : mesures de sécurité, responsables, échéances. Évaluer les risques résiduels et prendre les décisions de traitement.
Participants
RSSI, Direction, DSI, Responsables métier, DPO
Étapes
| Onglet | Contenu | Guide |
|---|
| Référentiel Mesures | Toutes les mesures | Consolider : socle appliqué (Terminé), socle à renforcer, écosystème, SOP, complémentaires |
| Risques Résiduels | Risque après traitement | Pour chaque SS, évaluer la V résiduelle (1-4) et choisir la décision (Accepter/Réduire/Transférer) |
Priorité des mesures : proposer d'abord les mesures du socle manquantes, puis les mesures écosystème, puis des mesures complémentaires uniquement si nécessaire.
Glossaire
| Acronyme | Signification | Description |
|---|
| VM | Valeur Métier | Processus ou activité essentielle de l'organisation (ex : gestion des commandes, R&D) |
| BS | Bien Support | Composant du SI qui supporte une VM (serveur, application, réseau, données) |
| PP | Partie Prenante | Acteur externe à l'objet d'étude (fournisseur, prestataire, partenaire, client) |
| SR | Source de Risque | Acteur de menace potentiel (cybercriminel, employé malveillant, concurrent, état) |
| OV | Objectif Visé | But poursuivi par la source de risque (extorsion, vol de données, sabotage) |
| SR/OV | Couple Source/Objectif | Combinaison d'une SR et d'un OV évaluée en pertinence |
| ER | Événement Redouté | Impact métier craint en termes de DICT (ex : fuite de données clients) |
| SS | Scénario Stratégique | Chemin d'attaque : QUI (SR) attaque POURQUOI (OV) VIA QUI (PP) ciblant QUOI (BS) provoquant QUEL impact (ER) |
| SOP | Scénario Opérationnel | Kill chain technique détaillant les phases d'attaque d'un SS |
| DICT | Disponibilité, Intégrité, Confidentialité, Traçabilité | Les 4 critères de sécurité pour évaluer les besoins et les atteintes |
| PACS | Plan d'Amélioration Continue de la Sécurité | Plan de traitement issu de l'analyse EBIOS RM |
Guide d'utilisation
Comment utiliser l'application interactive EBIOS RM
Vue d'ensemble
L'application est organisée en 3 zones : la barre d'outils en haut (menu Fichier), le menu latéral à gauche (navigation par atelier) et la zone de travail au centre (tableaux éditables).
Toutes les données restent dans votre navigateur. Aucune information n'est envoyée à un serveur (sauf si l'assistant IA est actif). Pensez à sauvegarder régulièrement en JSON.
Navigation
| Élément | Description |
|---|
| Menu latéral | Cliquer sur un atelier pour afficher ses sous-onglets. Le menu se replie automatiquement sur mobile. |
| Sous-onglets | Les ateliers avec plusieurs sections (ex : Atelier 1) affichent des sous-onglets en haut de la zone de travail. |
| Synthèse | Vue d'ensemble avec indicateurs, matrices de risque et cartographies. Se met à jour automatiquement. |
Édition des tableaux
Modifier une cellule
Les cellules éditables contiennent un champ de saisie (texte ou nombre) ou une liste déroulante. Les modifications sont prises en compte dès que vous quittez le champ (tab, clic ailleurs).
Ajouter une ligne
Cliquer sur le bouton + Ajouter en bas du tableau. L'identifiant (VM-XX, BS-XX, etc.) est généré automatiquement.
Supprimer une ligne
Cliquer sur le bouton X à droite de la ligne. Une confirmation est demandée si la ligne contient des données.
Valeurs calculées
Les colonnes sur fond gris sont calculées automatiquement et ne sont pas éditables :
- Menace PP = (Pénétration × Dépendance) / (Maturité × Confiance)
- Exposition PP = seuils sur la menace (≥4 Critique, ≥2 Élevée, ≥1 Modérée, <1 Faible)
- Pertinence SR/OV = (Motivation + Ressources + Activité) / 12
- Gravité SS = maximum des gravités des ER associés
- Taux de faiblesse SOP = MAX(0, (Absent×2 + Partiel - Efficace×2)) / (Total×2)
- Vraisemblance SOP = dérivée du taux de faiblesse (1 à 4)
- Risque initial/résiduel = croisement Gravité × Vraisemblance dans la matrice
Gestion des colonnes
| Action | Comment |
|---|
| Masquer une colonne | Cliquer sur le × à droite du nom de la colonne dans l'en-tête du tableau |
| Restaurer une colonne | Un bouton Colonnes masquées (N) apparaît au-dessus du tableau — cliquer pour choisir les colonnes à restaurer |
| Redimensionner | Glisser le bord droit d'un en-tête de colonne |
Références entre éléments
Les champs qui référencent d'autres éléments (VM dans les BS, PP dans les SS, ER dans les SS, etc.) utilisent un sélecteur avec recherche :
- Cliquer sur le champ pour ouvrir le sélecteur
- Taper pour filtrer les éléments disponibles
- Cocher/décocher pour sélectionner (multi-sélection possible)
- Cliquer en dehors pour fermer
Quand vous renommez un élément (VM, BS, PP, ER...), toutes les références dans les autres tableaux sont mises à jour automatiquement.
Gestion des fichiers
Le menu Fichier en haut à droite donne accès à toutes les options :
| Action | Format | Description |
|---|
| Ouvrir | .json / .json.enc | Charge un fichier JSON (ou chiffré) depuis le disque et remplace toutes les données. Validation automatique du format. |
| Enregistrer | .json | Sauvegarde rapide du fichier actuellement ouvert. Incompatible avec le chiffrement (utiliser Enregistrer sous pour chiffrer). |
| Enregistrer sous | .json / .json.enc | Sauvegarde en JSON avec option de chiffrement AES-256 par mot de passe. |
| Import Excel | .xlsx | Lit un fichier Excel EBIOS RM existant et charge les données. Compatible avec les fichiers générés par l\u0027application ou créés manuellement. |
| Export Excel | .xlsx | Génère un fichier Excel avec formules, mise en forme conditionnelle et feuilles structurées. Nécessite une connexion internet (chargement ExcelJS). |
Historique et annulation
Annuler / Rétablir
Chaque modification est enregistrée dans l'historique (50 niveaux maximum). Utilisez les boutons du menu latéral ou les raccourcis :
- Ctrl+Z (ou Cmd+Z sur Mac) : annuler la dernière modification
- Ctrl+Y (ou Cmd+Y sur Mac) : rétablir la modification annulée
Snapshots
Les snapshots sont des points de sauvegarde nommés stockés dans le navigateur :
- Créer un snapshot : cliquer sur "+ Créer un point de sauvegarde" dans l'onglet Snapshots
- Restaurer : revenir à l'état exact du snapshot (l'état actuel est sauvegardé dans l'undo)
- Exporter : télécharger un snapshot en fichier JSON indépendant
- Chiffrer : activer le chiffrement de tous les snapshots dans le navigateur
Attention : les snapshots sont stockés dans localStorage. Si vous videz les données du navigateur, ils seront perdus. Exportez régulièrement vos snapshots importants en fichier.
Réglages
Cliquer sur l'icône roue crantée (⚙) dans la barre d'outils pour accéder aux réglages :
- Langue : basculer entre français et anglais
- Assistant IA : activer/désactiver, choisir le fournisseur (Anthropic/OpenAI), le modèle et la clé API
- Instructions méthodologiques : charger un fichier Markdown pour guider les suggestions de l'IA
Assistant IA
L'assistant IA est un module optionnel qui propose des suggestions contextualisées à chaque étape de l'analyse. Il est désactivé par défaut.
Utilisation
Une fois activé dans les Réglages, un bouton ✨ IA apparaît sur chaque onglet (Valeurs Métier, Biens Supports, Scénarios, Mesures, etc.). En cliquant dessus :
- L'assistant analyse les données déjà saisies dans l'analyse en cours
- Il propose des éléments supplémentaires (VM, BS, SR/OV, scénarios, mesures, kill chains...)
- Chaque suggestion peut être acceptée (ajoutée à l'analyse) ou ignorée
- Les suggestions sont adaptées au contexte de l'organisation et aux données existantes
Instructions méthodologiques
Un fichier Markdown peut être chargé dans les Réglages pour enrichir le contexte de l'IA :
- Référentiel interne de l'organisation
- Consignes de rédaction ou de nommage
- Méthodologie spécifique ou compléments à EBIOS RM
- Politique de sécurité ou charte applicable
Ce fichier est ajouté au prompt système de chaque requête IA.
Risques et précautions
Avertissement :
- Partage de données : les données de l'analyse (contexte, exigences, mesures, scénarios) sont envoyées au fournisseur IA pour générer les suggestions. Vérifiez que votre politique de confidentialité et vos engagements contractuels le permettent.
- Clé API dans les headers HTTP : l'application fonctionne sans serveur backend. La clé API est transmise directement depuis le navigateur dans les en-têtes HTTP des requêtes. Elle est donc visible dans les outils de développement (onglet Network), peut être capturée par les extensions navigateur, et peut être journalisée par un proxy d'entreprise. Utilisez un profil navigateur dédié, sans extensions.
- Clé API dans localStorage : la clé est stockée dans le navigateur. Toute personne ayant accès au navigateur peut la lire via les DevTools. Elle n'est jamais incluse dans les fichiers JSON sauvegardés.
- Suggestions non garanties : les propositions de l'IA sont des suggestions à valider par l'analyste. Elles ne se substituent pas à l'expertise humaine.
Sécurité des données
- Aucun envoi serveur : toutes les données restent dans votre navigateur (sauf si l'assistant IA est actif)
- Chiffrement JSON : AES-256-GCM avec clé dérivée par PBKDF2 (250 000 itérations)
- Chiffrement snapshots : option de chiffrement des données localStorage
- Validation import : chaque fichier JSON importé est validé avant chargement (structure, types, bornes)
- Clés API : stockées uniquement dans localStorage, jamais dans les fichiers sauvegardés
Raccourcis clavier
| Raccourci | Action |
|---|
| Ctrl+S / Cmd+S | Enregistrer |
| Ctrl+Z / Cmd+Z | Annuler |
| Ctrl+Y / Cmd+Y | Rétablir |
| Tab | Passer au champ suivant dans un tableau |
| Échap | Fermer le panneau d'aide ou un sélecteur ouvert |
Bonnes pratiques
- Sauvegarder souvent : utilisez Fichier → Enregistrer régulièrement, surtout avant de fermer le navigateur
- Utiliser les snapshots : créez un snapshot avant chaque session de travail ou modification importante
- Suivre l'ordre des ateliers : les données des ateliers suivants dépendent des précédents (VM → BS → PP → SR/OV → ER → SS → SOP → Mesures)
- Vérifier la synthèse : l'onglet Synthèse donne une vue globale — les indicateurs et matrices se mettent à jour automatiquement
- Export Excel : pour un livrable formel, utilisez Fichier → Export Excel — le fichier contient les formules et la mise en forme professionnelle