Fondamentaux
Depuis maintenant de nombreuses années, la France se définit comme une cyberpuissance à l’échelle mondiale. Précurseuse dans de nombreux domaines, elle est notamment à l’origine de la méthode Ebios qui permet d’identifier et de comprendre les risques numériques.
Dans cet article, nous verrons comment est née cette méthodologie d’analyse de risque Ebios, comment elle peut être utilisée, par qui, et quels sont ses avantages et inconvénients. Enfin, nous aborderons les perspectives de carrière autour de la gestion des risques informatiques.
Qu’est-ce que la méthode Ebios Risk Manager ?
L’acronyme EBIOS signifie Expression des Besoins et Identification des Objectifs de Sécurité. Il s’agit d’une méthode de gestion des risques informatiques et de management des risques numériques dans le cadre de la sécurité des systèmes d’information (SSI).
Créée en 1995 en France par le SCSSI (Service Central de la Sécurité des Systèmes d’Information) elle perdure aujourd’hui en ayant été reprise par l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information). Elle est régulièrement actualisée pour s’adapter à l’évolution des risques numériques et de la menace cybercriminelle.
Il s’agit d’une méthode flexible permettant d’anticiper un grand nombre de risques autant en matière de cybersécurité que de conformité. Toutefois, elle doit être mise en place sur la base du conseil et de la pédagogie : il ne s’agit pas d’un logiciel automatisé, mais d’un ensemble de pratiques.
Quelle est l’approche d’Ebios Risk Manager ?
La méthode EBIOS se déploie en plusieurs “ateliers” visant d’abord à identifier les risques et menaces, puis à proposer des mesures de sécurité adaptées aux différents événements redoutés.
- Atelier 1 : Cadrage et socle de sécurité
Ce premier atelier a pour but d’anticiper les failles de sécurité. La partie cadrage consiste à définir le périmètre d’action de la méthodologie EBIOS RM, c’est-à-dire à identifier les parties concernées ainsi que leurs besoins et les ER (événements redoutés).
- Atelier 2 : Sources de risque
Cet atelier permet de mettre en relation les sources de risque avec les objectifs visés afin de définir des couples SR / OV (Sources de Risque / Objectifs Visé).
- Atelier 3 : Scénarios stratégiques
À partir des couples dégagés du précédent atelier, l’objectif suivant est de créer des scénarios stratégiques prenant en compte les chemins d’attaque empruntés par les risques.
- Atelier 4 : Scénarios opérationnels
Cet atelier fonctionne un peu comme le précédent, si ce n’est qu’il cherche à proposer une solution opérationnelle pour répondre aux différents risques en fonction du chemin d’attaque qui a été constaté.
- Atelier 5 : Traitement du risque
Ce dernier atelier fait la synthèse des précédents afin de constituer un plan global de réponse aux différents risques et une cartographie claire des risques récurrents ou résiduels.
Comment utiliser cette méthode ?
Pour utiliser la méthode Ebios, il faut faire appel à un Risk Manager formé à cette méthode, ou se rapprocher du Club EBIOS, du CLUSIF ou de l’ANSSI qui peuvent aider à sa mise en place et proposer des formations adaptées.
À quoi sert cette méthode ?
La méthode EBIOS RM sert principalement à créer un cadre personnalisé pour la gestion des cyber risques qui pèsent sur un organisme. Une fois ce cadre créé et mis en place, la méthodologie EBIOS propose des solutions pour l’améliorer et l’actualiser de manière dynamique.
De plus, la méthode Ebios permet d’uniformiser les pratiques de plusieurs organismes, notamment dans le cas des établissements publics qui s’inscrivent dans une politique de cybersécurité nationale.
À qui s’adresse Ebios Risk Manager ?
L’Ebios Risk Manager s’adresse à tous les organismes de taille suffisamment importante pour avoir besoin de mettre en place un cadre de gestion des différentes cybermenaces. Il est principalement utilisé par les organismes publics, mais peut aussi être adopté par les organismes privés.
Le problème de sa complexité et de sa diffusion moyenne à l’internationale fait que la plupart des groupes privés lui préfèrent des standards internationaux comme les standards NIST CSF, ISO 31000 et ISO 27005.
Il est possible d’obtenir un label Ebios attestant la conformité des outils développés avec la méthodologie et l’éthique Ebios. Ce label est délivré par l’ANSSI et peut permettre à une entreprise d’améliorer sa cyber-crédibilité.
Quels sont les avantages et les inconvénients d’Ebios Risk Manager ?
Le principal avantage de la méthode Ebios est sa grande flexibilité. Elle s’adapte à la plupart des contextes spécifiques aux organisations qui l’adoptent et s’appuie sur un premier atelier diagnostic permettant d’établir clairement les risques principaux à prendre en compte.
De plus, elle est assez rapide à mettre en place, et permet de proposer des réponses opérationnelles aux différents risques identifiés, et pas uniquement des scénarios théoriques.
Hélas, l’Ebios Risk Manager ne bénéficie pas d’une excellente crédibilité hors des organismes publics français. Elle ne fait pas l’objet d’une évaluation extérieure, ce qui peut nuire à sa réputation.
De surcroît, elle ne permet de travailler que sur les risques externes, en partant du principe que les cyberattaques viennent toujours de l’extérieur. Cela signifie qu’elle n’est pas très utile en cas d’incident interne.
Enfin, son principal défaut est son système de catégorisation du risque selon 4 échelles de gravité. Sa subjectivité lui donne un caractère approximatif, ce pourquoi de nombreuses organisations lui préfèrent finalement d’autres systèmes de prévention du cyber risque.
Comment se former à Ebios Risk Manager ?
Posséder des compétences relatives à la méthode Ebios est un atout majeur pour postuler à des postes de cybersécurité dans la fonction publique, mais également dans des entreprises utilisant d’autres standards de gestion des risques cyber, qui recherchent des Risk Managers polyvalents.
Notre école Cyber Management School offre des formations de niveau Bachelor ou Mastère dans le domaine de la cybersécurité. Nos formations abordent la méthodologie Ebios Risk Manager et forment les étudiants à l’application de cette méthode dans un cadre professionnel.
Nous avons gardé nos formations suffisamment généralistes pour ouvrir de nombreuses portes aux étudiants, sans les cantonner à un secteur précis, tout en leur permettant d’acquérir des compétences de pointe très disputées sur le marché de l’emploi.
Comment devenir Risk Manager ?
Pour devenir Risk Manager, il faudra justifier d’une solide expérience dans le domaine de l’informatique appliquée à la cybersécurité, mais également en économie et finance. Il est conseillé d’avoir un Bac+5 en Droit, Gestion / Finance ou Audit, et de compléter cet acquis avec une formation diplômante en cybersécurité comme celles de notre Cyber Management School.
Ebios Risk Manager en 2 mots :
- La méthode Ebios est une méthodologie développée par la France en 1995 et régulièrement mise à jour depuis lors.
- Elle permet aux organisations qui l’adoptent de cartographier les risques informatiques qui les concernent et de travailler à un cadre évolutif proposant des réponses à ces principaux risques.
- Bien que privilégiée par les organismes publics français, Ebios Risk Manager est peu utilisé par les grands groupes internationaux qui lui préfèrent des standards mieux reconnus à l’étranger.
- Cependant, la connaissance méthode Ebios est un atout pour devenir Risk Manager dans une entreprise privée ou un organisme public en France.
- Les formations offertes par la Cyber Management School abordent l’Ebios Risk Manager et complètent parfaitement un Master en Droit ; Gestion / Finance ou Audit pour devenir Risk Manager.