Cybersécurité

EBIOS Risk Manager : guide de la méthode ANSSI 2026 (les 5 ateliers)

EBIOS Risk Manager structure l'analyse de risque cyber en cinq ateliers. Voici la méthode ANSSI expliquée pas à pas, et son articulation avec NIS2 et DORA en 2026.

Marc Aubert · Mis à jour le par Marc Aubert

L’analyse de risque est le point de départ de toute démarche de cybersécurité sérieuse, et c’est aussi la première exigence posée par les textes réglementaires. NIS2 ouvre sa liste de mesures par la politique relative à l’analyse des risques. DORA fonde tout son dispositif sur un cadre de gestion du risque lié aux technologies. Pourtant, beaucoup d’organisations réduisent encore l’analyse de risque à un tableur rempli une fois puis oublié. La méthode EBIOS Risk Manager, publiée par l’ANSSI, propose une alternative structurée et durable.

Cet article présente EBIOS Risk Manager de façon opérationnelle : son principe, ses cinq ateliers, ses livrables, ses pièges, et son articulation avec les obligations réglementaires de 2026. La référence est le guide officiel de l’ANSSI [1], complété par la norme ISO 27005 [6] pour le cadre international.

Qu’est-ce qu’EBIOS Risk Manager ?

EBIOS est l’acronyme d’Expression des Besoins et Identification des Objectifs de Sécurité. La méthode existe depuis la fin des années 1990 et a connu plusieurs versions. La version actuelle, dite EBIOS Risk Manager ou EBIOS RM, a été publiée par l’ANSSI en 2018 en collaboration avec le Club EBIOS [1]. Elle constitue aujourd’hui la méthode de référence pour l’appréciation et le traitement du risque numérique en France.

EBIOS RM se distingue des approches purement documentaires par sa logique. Là où une démarche de conformité se contente de vérifier la présence de mesures attendues, EBIOS RM cherche à comprendre qui pourrait attaquer l’organisation, pourquoi, et par quels chemins. La méthode raisonne par scénarios plutôt que par cases à cocher.

Le double regard : conformité et menace

Le cœur conceptuel d’EBIOS RM tient dans la combinaison de deux regards.

Le premier regard est celui de la conformité, ou socle de sécurité. Il consiste à vérifier que l’organisation applique déjà les mesures attendues par les référentiels et les bonnes pratiques : politiques, contrôle d’accès, sauvegardes, journalisation. Ce socle correspond à l’hygiène cyber décrite dans le guide d’hygiène de l’ANSSI.

Le second regard est celui de la menace. Il consiste à identifier des sources de risque réelles, c’est-à-dire des acteurs capables de nuire (groupes cybercriminels, acteurs étatiques, concurrents, prestataires défaillants), et à reconstituer les chemins qu’ils emprunteraient pour atteindre un objectif. Ce second regard introduit la notion de scénario, qui est la marque de fabrique de la méthode.

L’intérêt de combiner les deux regards est d’éviter deux écueils symétriques. Une analyse purement de conformité empile des mesures sans hiérarchie, et passe à côté des menaces ciblées. Une analyse purement par la menace risque de négliger les fondamentaux d’hygiène. EBIOS RM impose de traiter les deux.

Les cinq ateliers d’EBIOS Risk Manager

La méthode s’organise en cinq ateliers successifs. Chaque atelier produit des livrables qui alimentent le suivant. Les ateliers ne sont pas figés dans une cascade rigide : la méthode est itérative, et il est normal de revenir sur un atelier antérieur lorsqu’un atelier ultérieur révèle un manque.

Atelier 1 : cadrage et socle de sécurité

Le premier atelier définit le périmètre de l’étude et établit le socle de sécurité. Il s’agit d’abord de délimiter l’objet de l’analyse : un système d’information complet, une application métier, un service numérique, un projet. Un périmètre mal défini condamne l’analyse à la dispersion.

L’atelier identifie ensuite les valeurs métier, c’est-à-dire ce qui a de la valeur pour l’organisation et doit être protégé : processus, informations, savoir-faire. À chaque valeur métier sont associés des biens supports, qui sont les éléments techniques et humains sur lesquels elle repose (serveurs, applications, réseaux, personnes, locaux).

Enfin, l’atelier établit les événements redoutés. Un événement redouté est une atteinte à une valeur métier, exprimée du point de vue de l’organisation : indisponibilité d’un service de production, divulgation d’un fichier client, altération de données comptables. Chaque événement redouté reçoit un niveau de gravité, évalué sur une échelle définie. Cette gravité guidera la priorisation tout au long de l’étude.

Le socle de sécurité, dressé dans ce même atelier, recense les mesures déjà en place et identifie les écarts par rapport aux référentiels applicables. Ce travail rejoint la logique de gap analysis que l’on retrouve dans la mise en conformité décrite dans notre guide NIS2 entreprise 2026.

Atelier 2 : sources de risque

Le deuxième atelier identifie les sources de risque et leurs objectifs visés. Une source de risque est un acteur, un groupe ou une entité susceptible de porter atteinte aux valeurs métier. La méthode distingue plusieurs profils : cybercriminels motivés par le gain, acteurs étatiques cherchant le renseignement ou la déstabilisation, hacktivistes, concurrents, ainsi que les sources internes (employés malveillants ou négligents) et les prestataires.

À chaque source de risque, l’atelier associe un ou plusieurs objectifs visés. Le couple source de risque et objectif visé constitue l’unité d’analyse de la suite de la démarche. Un même objectif, par exemple le vol de données client, peut être poursuivi par plusieurs sources, avec des moyens et des motivations différents.

L’atelier hiérarchise ensuite ces couples en fonction de leur pertinence pour l’organisation, en croisant la motivation présumée de la source et ses ressources. Cette hiérarchisation évite de traiter avec le même soin une menace réaliste et une menace théorique. Le résultat est une liste restreinte de couples prioritaires, qui servira de base aux scénarios.

Atelier 3 : scénarios stratégiques

Le troisième atelier construit les scénarios stratégiques. Un scénario stratégique décrit, à haut niveau, le chemin d’attaque d’une source de risque vers son objectif, en passant par l’écosystème de l’organisation. L’écosystème désigne l’ensemble des parties prenantes externes : fournisseurs, prestataires, partenaires, filiales, clients.

Cette attention portée à l’écosystème est l’un des apports majeurs d’EBIOS RM. De nombreuses attaques récentes ne visent pas directement la cible finale, mais transitent par un prestataire moins protégé. La méthode invite donc à cartographier les parties prenantes, à évaluer leur niveau de menace et leur niveau de dépendance, puis à identifier les chemins d’attaque qui les empruntent. Cette logique rejoint les exigences de sécurité de la chaîne d’approvisionnement que nous détaillons dans notre analyse du référentiel ReCyF de l’ANSSI.

L’atelier 3 débouche sur des mesures de sécurité portant sur l’écosystème : exigences contractuelles, contrôles des prestataires, clauses d’audit. Ces mesures réduisent l’exposition aux chemins d’attaque indirects avant même l’analyse technique fine.

Atelier 4 : scénarios opérationnels

Le quatrième atelier descend au niveau technique. À partir des scénarios stratégiques retenus, il construit les scénarios opérationnels, qui décrivent les modes opératoires détaillés des attaquants sur les biens supports. C’est l’atelier le plus technique de la méthode.

Un scénario opérationnel suit la logique d’une chaîne d’attaque : reconnaissance, intrusion initiale, élévation de privilège, mouvement latéral, atteinte à l’objectif. Cette décomposition s’appuie souvent sur des référentiels de modes opératoires reconnus, qui cataloguent les techniques d’attaque observées. Chaque étape du scénario est confrontée aux mesures de sécurité existantes, afin d’évaluer la vraisemblance que l’attaquant réussisse.

La vraisemblance ainsi obtenue, croisée avec la gravité de l’événement redouté établie en atelier 1, fournit le niveau de risque de chaque scénario. C’est à ce stade que se rejoignent les principes d’architecture défensive : la micro-segmentation et le moindre privilège, détaillés dans notre guide de déploiement Zero Trust en cinq étapes, réduisent directement la vraisemblance des phases de mouvement latéral. De même, les capacités de détection et de réponse, que nous comparons dans notre comparatif EDR, MDR et XDR pour RSSI, augmentent la probabilité d’interrompre un scénario avant qu’il n’atteigne son objectif.

Atelier 5 : traitement du risque

Le cinquième atelier conclut la démarche par la définition de la stratégie de traitement du risque. Pour chaque scénario, l’organisation décide d’une option : réduire le risque par des mesures supplémentaires, le transférer (par l’assurance ou la sous-traitance), l’éviter en renonçant à l’activité concernée, ou l’accepter en connaissance de cause.

L’atelier produit un plan de traitement du risque, qui liste les mesures de sécurité décidées, leur priorité, leur responsable et leur échéance. Il établit aussi le niveau de risque résiduel, c’est-à-dire le risque qui subsiste après application des mesures. L’acceptation formelle de ce risque résiduel par la direction est un livrable essentiel : elle matérialise l’implication des organes de direction, exigence que NIS2 a renforcée par son article 20.

Enfin, l’atelier 5 prévoit la mise en place d’un cadre de suivi. L’analyse de risque n’est pas un document figé : elle doit être révisée lors des changements significatifs (nouvelle application, nouvel incident, évolution de la menace) et selon une périodicité définie. Cette dimension itérative est ce qui distingue une véritable gestion du risque d’un exercice ponctuel.

EBIOS RM et les obligations réglementaires de 2026

EBIOS Risk Manager n’est imposée par aucun texte de façon nominative. Mais elle répond directement aux exigences d’analyse de risque posées par les principaux régimes applicables.

NIS2 ouvre sa liste de mesures minimales, à l’article 21.2.a, par les politiques relatives à l’analyse des risques et à la sécurité des systèmes d’information. Une démarche EBIOS RM documentée constitue une réponse robuste et reconnue à cette exigence. Le périmètre, les scénarios et le plan de traitement fournissent exactement les éléments qu’une autorité de contrôle attend de voir. Le détail des obligations NIS2 figure dans notre guide NIS2 entreprise 2026, et leur transposition française dans notre analyse de la loi Résilience.

DORA, pour les entités financières, fonde l’ensemble de son dispositif sur un cadre de gestion du risque lié aux technologies de l’information et de la communication. L’analyse de risque conduite selon EBIOS RM alimente ce cadre, en particulier l’identification des fonctions critiques et l’évaluation des dépendances aux prestataires tiers. Notre analyse du règlement DORA précise les cinq piliers concernés.

EBIOS RM éclaire également les choix d’hébergement. L’identification, via les scénarios, des données les plus sensibles et des menaces extraterritoriales justifie de façon rationnelle le recours à une offre qualifiée, dont nous décrivons les critères dans notre guide de la qualification SecNumCloud de l’ANSSI. L’analyse de risque évite ainsi de surinvestir dans une protection souveraine pour des données qui ne le justifient pas.

Articulation avec ISO 27005 et ISO 31000

Une question récurrente concerne la relation entre EBIOS RM et les normes internationales. La réponse est claire : EBIOS Risk Manager s’inscrit dans le cadre d’ISO 31000, norme générale de management du risque, et d’ISO 27005 [6], norme dédiée à la gestion du risque en sécurité de l’information.

ISO 27005 décrit un processus (établissement du contexte, appréciation, traitement, acceptation, communication, suivi) sans imposer de méthode opératoire. EBIOS RM fournit précisément cette méthode opératoire, avec ses ateliers, son vocabulaire et ses livrables. Une organisation qui conduit une analyse EBIOS RM satisfait donc, dans les faits, les attentes d’ISO 27005, ce qui facilite l’articulation avec une certification ISO 27001. Le socle de sécurité de l’atelier 1 recoupe d’ailleurs largement les mesures de l’annexe A d’ISO 27001.

Cette compatibilité est un atout pratique. Une entreprise déjà engagée dans une démarche ISO 27001 peut adopter EBIOS RM comme méthode d’appréciation du risque sans rompre avec son système de management existant.

Les pièges fréquents d’une démarche EBIOS RM

L’expérience des analyses conduites en entreprise fait ressortir plusieurs erreurs récurrentes, qu’il est utile d’anticiper.

Le premier piège est le périmètre trop large. Vouloir analyser d’un coup l’ensemble du système d’information conduit à une étude superficielle et interminable. La bonne pratique consiste à découper en périmètres ciblés et à itérer.

Le deuxième piège est la confusion entre conformité et analyse de risque. Une organisation qui se contente de remplir le socle de sécurité de l’atelier 1, sans construire de scénarios, n’a pas réalisé une analyse EBIOS RM : elle a conduit un audit de conformité. La valeur de la méthode réside dans les ateliers 2 à 4.

Le troisième piège est l’absence des métiers. EBIOS RM est une démarche collective. Si l’analyse est conduite par la seule DSI, sans les responsables métier, les valeurs métier et les gravités seront mal évaluées. Les ateliers gagnent à réunir métiers, DSI, RSSI et, pour les scénarios opérationnels, des compétences techniques en sécurité offensive.

Le quatrième piège est l’analyse sans suite. Une étude EBIOS RM qui ne débouche pas sur un plan de traitement suivi dans le temps reste un document mort. L’atelier 5 et le cadre de suivi sont aussi importants que les ateliers d’analyse.

Mettre en œuvre EBIOS RM : par où commencer

Pour une organisation qui découvre la méthode, une approche progressive donne les meilleurs résultats.

La première étape consiste à choisir un périmètre pilote restreint et significatif, par exemple une application métier critique récemment mise en service ou un service exposé sur internet. Ce périmètre permet d’apprendre la méthode sur un cas concret et maîtrisable.

La deuxième étape est de réunir les bons participants et de planifier les ateliers. Les supports gratuits publiés par l’ANSSI [1] et les modèles de livrables fournissent un cadre suffisant pour une première itération, sans outil logiciel particulier.

La troisième étape est de produire un plan de traitement réaliste et de le faire valider par la direction. Mieux vaut un plan court, priorisé et suivi qu’un catalogue exhaustif de mesures jamais mises en œuvre. La gestion du risque se juge à ses effets sur le niveau de sécurité réel, pas au volume de sa documentation.

Une fois cette première itération réussie, l’organisation peut élargir progressivement le champ d’application à d’autres périmètres, capitaliser sur les scénarios déjà construits, et inscrire l’analyse de risque dans un cycle régulier. C’est cette régularité, plus que la sophistication d’une étude isolée, qui ancre durablement la cybersécurité dans la gouvernance de l’organisation.

Sources et références

[1] ANSSI, La méthode EBIOS Risk Manager, guide et supports officiels, cyber.gouv.fr. [2] ANSSI, publications de référence sur l’hygiène et la gestion du risque numérique. [3] Directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 (NIS2), journal officiel de l’Union européenne L 333. [4] Règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 (DORA), journal officiel de l’Union européenne L 333. [5] ENISA, publications sur l’analyse de risque et les menaces (Threat Landscape). [6] Organisation internationale de normalisation, ISO/IEC 27005, gestion des risques liés à la sécurité de l’information.

Questions fréquentes

EBIOS Risk Manager est-elle obligatoire ?

Aucun texte n'impose nommément EBIOS Risk Manager. NIS2 (article 21) et DORA exigent une analyse de risque documentée, sans prescrire une méthode unique. EBIOS RM est la méthode de référence recommandée par l'ANSSI en France, et la plus reconnue par les autorités de contrôle nationales. Une entité peut utiliser une autre méthode compatible avec ISO 27005, mais EBIOS RM offre l'avantage d'un alignement direct avec la doctrine de l'ANSSI et d'une grande disponibilité de prestataires formés.

Combien de temps prend une analyse EBIOS RM ?

Pour un périmètre ciblé, par exemple une application métier critique ou un service numérique précis, une première itération complète des cinq ateliers prend couramment six à dix semaines, en mobilisant les métiers, la DSI et le RSSI lors d'ateliers collectifs. Pour un système d'information complet d'une entreprise de taille intermédiaire, la démarche se découpe en plusieurs périmètres successifs et s'étale sur plusieurs mois. La méthode étant itérative, la première appréciation n'a pas vocation à être exhaustive.

Quelle différence entre EBIOS RM et ISO 27005 ?

ISO 27005 est une norme internationale qui décrit un processus général de gestion du risque en sécurité de l'information, sans imposer de méthode opératoire. EBIOS Risk Manager est une méthode concrète, avec des ateliers, des livrables et un vocabulaire définis, qui s'inscrit dans le cadre d'ISO 27005 et d'ISO 31000. On peut dire qu'EBIOS RM est une déclinaison opérationnelle française compatible avec la norme. Les deux ne s'opposent pas : utiliser EBIOS RM permet de satisfaire les attentes d'ISO 27005.

Faut-il un logiciel pour conduire EBIOS RM ?

Non, la méthode peut être conduite avec un tableur et des modèles de documents. L'ANSSI met à disposition des supports gratuits. Plusieurs outils logiciels, dont certains open source, facilitent toutefois la traçabilité, la réutilisation des scénarios et la production des livrables, surtout lorsque l'organisation conduit de nombreuses analyses. Le choix d'un outil ne doit pas précéder la maîtrise de la méthode, sous peine de transformer une démarche d'analyse en exercice de remplissage.

EBIOS RM s'applique-t-elle aux PME ?

Oui, mais avec proportionnalité. Une PME n'a pas vocation à conduire une analyse aussi détaillée qu'un opérateur d'importance vitale. La logique des cinq ateliers reste valable, mais le périmètre se réduit, le nombre de scénarios diminue, et la profondeur d'analyse des scénarios opérationnels s'allège. L'objectif pour une PME est d'identifier les quelques scénarios redoutés qui menacent réellement son activité, et de prioriser un petit nombre de mesures à fort effet.

Sources citées

  1. https://cyber.gouv.fr/la-methode-ebios-risk-manager
  2. https://www.ssi.gouv.fr/
  3. https://eur-lex.europa.eu/eli/dir/2022/2555/oj
  4. https://eur-lex.europa.eu/eli/reg/2022/2554/oj
  5. https://www.enisa.europa.eu/
  6. https://www.iso.org/standard/80585.html
#EBIOS#ANSSI#analyse de risque#RSSI#NIS2#ISO 27005
Cybersécurité

Assurance cyber : couverture, exclusions et prérequis 2026

Couverture, exclusions et prérequis techniques de l'assurance cyber en France en 2026 : ce que les DSI et RSSI doivent savoir avant de souscrire ou renouveler.
Cybersécurité

IAM et PAM : maîtriser les identités et accès à privilèges

IAM et PAM : gouverner les identités numériques et les accès à privilèges pour réduire la surface d'attaque, répondre à NIS2 et DORA, et intégrer les identités non-humaines.
Cybersécurité

MFA et authentification forte : déployer sans friction

Déployer le MFA sans friction en entreprise : niveaux AAL, FIDO2, passkeys, Conditional Access et métriques pour DSI et RSSI selon NIST, ANSSI, NIS2 et DORA.