Les méthodes d’analyse des risques 2010 : EBIOS

EBIOS et MEHARI, les deux méthodes françaises d’analyse des risques, ont récemment été mises à jour dans une version 2010. Elles vont permettre d’évaluer et de traiter les risques relatifs à la sécurité des systèmes d’information. Elles peuvent aussi être utilisées pour mieux communiquer sur la sécurité au sein de l’entreprise, en direction des responsables, dirigeants et partenaires. Ce sont de véritables boîtes à outils de la gestion des risques SSI.

La première partie de cet article est consacrée à la méthode EBIOS 2010. J’ai tout simplement synthétisé les évolutions contenues dans cette version 2010.

EBIOS 2010

La méthode EBIOS est développée par l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI). C’est en collaboration avec le Club EBIOS que cette nouvelle version de la méthode gouvernementale a été rédigée. Elle tient en compte des différents retours d’expérience et des évolutions normatives (conforme à l’ISO 31000, 27001 et 27005) et réglementaires.

La base de connaissance a été restructurée complètement afin d’en améliorer la compréhension et sa cohérence. Elle se compose des éléments suivants ;

• Type de biens supports (matériels, logiciels, personnes, supports papier, locaux…)
• Type d’impacts (humains, sécurité des personnes, financiers, image, non-conformité…)
• Type de sources de menaces (humaines délibérées, humaines accidentelles, catastrophes naturelles…)
• Menaces et vulnérabilités génériques
• Mesures de sécurité génériques

Les mesures de sécurité comprennent également les mesures issues du Référentiel Général de Sécurité (RGS).

Le guide méthodologique regroupe les anciennes sections 1 (Présentation), 2 (Démarches) et 3 (Techniques) pour un ensemble plus cohérent et plus simples. Le contenu a été revu en profondeur avec une nouvelle présentation mettant en évidence les avantages, les parties prenantes, les actions de communication et de concertation et des actions de surveillance et de revue. La méthode est, elle-même, découpée en 5 modules itératifs :

EBIOS reste une méthode modulable, une véritable boîte à outils destinée à la gestion des risques SSI qui a vocation à être déployée sur différents périmètres (plus ou moins larges).

La nouvelle version du logiciel EBIOS, qui servira de support informatique de référence à la méthode, n’est pas encore disponible.

EBIOS 2010 et ses évolutions récentes

Développée par l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) en collaboration avec le Club EBIOS, la méthode a été revue pour intégrer :

• Une conformité renforcée avec les normes ISO 31000 (gestion des risques), ISO 27001 (système de gestion de la sécurité de l’information) et ISO 27005 (gestion des risques SSI).
• Une base de connaissances restructurée et enrichie , intégrant des référentiels actuels et une meilleure classification des biens supports (matériels, logiciels, personnes…), types d’impacts (humains, financiers, image, non-conformité…), sources de menaces (humaines, naturelles…), vulnérabilités et mesures de sécurité.
• Une méthode modulaire et itérative composée de 5 modules, facilitant son déploiement sur des périmètres variés et adaptés aux spécificités sectorielles.
• L’intégration des mesures issues du Référentiel Général de Sécurité (RGS) dans sa version la plus récente, assurant une conformité réglementaire robuste.
• Une digitalisation progressive , avec la disponibilité depuis 2022 d’un logiciel officiel, EBIOS Risk Manager, qui facilite la modélisation, l’analyse et le suivi des risques.

Pour en savoir plus :

• Le guide méthodologique EBIOS
• La base de connaissances EBIOS
• Etude de cas : « Archimed »

FAQ