La gestion des risques cyber n’est plus une option pour les entreprises. La methode EBIOS Risk Manager, developpee par l’ANSSI (Agence Nationale de la Securite des Systemes d’Information), est devenue la reference en France pour analyser et traiter les risques de securite informatique. Bonne nouvelle : un outil gratuit et open source permet desormais de realiser cette analyse sans aucun logiciel couteux.

Qu’est-ce que la methode EBIOS Risk Manager ?

EBIOS RM (Expression des Besoins et Identification des Objectifs de Securite – Risk Manager) est une methodologie d’analyse de risques publiee par l’ANSSI en 2018 (version 1.5). Elle est utilisee par les administrations, les operateurs d’importance vitale (OIV), les operateurs de services essentiels (OSE) au titre de NIS2, et de plus en plus par les PME soucieuses de structurer leur demarche securite.

Contrairement aux approches purement quantitatives, EBIOS RM adopte une vision strategique et operationnelle en 5 ateliers progressifs :

Les 5 ateliers EBIOS RM

Atelier	Objectif	Questions cles
1. Cadrage et socle	Definir le perimetre, les missions et les evenements redoutes	Que protege-t-on ? Quel serait l’impact ?
2. Sources de risque	Identifier QUI pourrait attaquer et POURQUOI	Cybercriminels ? Concurrents ? Employes ?
3. Scenarios strategiques	Cartographier l’ecosysteme et les chemins d’attaque	Par ou passerait l’attaquant ?
4. Scenarios operationnels	Detailler les modes operatoires techniques	Quelles techniques (MITRE ATT&CK) ?
5. Traitement du risque	Definir les mesures et suivre les risques residuels	Comment reduire le risque a un niveau acceptable ?

EBIOS RM Pro : un outil gratuit et open source

Le projet EBIOS RM Pro (disponible sur GitHub) est un outil remarquable pour plusieurs raisons :

• 100% client-side : un seul fichier HTML a ouvrir dans votre navigateur, aucun serveur, aucune installation. Vos donnees restent sur votre poste
• Gratuit et open source (licence MIT) : utilisable librement, meme en contexte commercial
• 5 ateliers complets fidelement reproduits selon la methodologie ANSSI v1.5
• Referentiel MITRE ATT&CK integre pour les scenarios operationnels (atelier 4)
• Export Word professionnel : generez un rapport EBIOS RM complet en un clic
• Import/Export JSON : sauvegardez, partagez et reprenez votre travail
• Dashboard visuel avec cartographie des risques (matrice gravite/vraisemblance)
• Securite renforcee : protection contre les injections XSS, CSP stricte

Guide pas a pas : remplir votre analyse EBIOS RM

Voici comment utiliser l’outil pour realiser une analyse de risques complete. Nous prendrons l’exemple d’une PME industrielle.

Etape 0 : Installation

1. Rendez-vous sur github.com/Cyber-Autopsie/ebios-rm-pro
2. Telechargez le fichier EBIOS-RM-Pro-v5.html
3. Ouvrez-le dans Chrome, Firefox ou Edge
4. C’est pret, aucune installation supplementaire necessaire

Atelier 1 : Cadrage et socle de securite

C’est la fondation de toute l’analyse. Vous devez definir :

Informations generales :

• Nom de l’etude : ex. « Analyse de risques – SI Production »
• Organisation : le nom de votre entreprise
• Perimetre : decrire precisement ce qui est couvert (ex. « Systeme d’information du site de production, infrastructure locale, ERP, applications metier, services cloud »)

Missions : les activites essentielles de l’organisation couvertes par le perimetre. Exemples :

• Production industrielle
• Gestion commerciale (commandes, devis, facturation)
• Gestion des ressources humaines

Valeurs metier : les actifs les plus importants a proteger :

• Continuite d’activite (type : processus metier, support : ERP/serveurs, proprietaire : Direction)
• Conformite reglementaire (type : donnees personnelles, support : AD/fichiers, proprietaire : DPO)
• Propriete intellectuelle (type : savoir-faire, support : NAS/fichiers, proprietaire : Direction Technique)

Evenements redoutes : pour chaque valeur metier, identifiez les pires scenarios et leur gravite (1 a 4) :

• Indisponibilite de l’ERP pendant plus de 48h (gravite : 4 – Critique)
• Divulgation non autorisee des donnees RH (gravite : 4)
• Vol de propriete intellectuelle (gravite : 3 – Grave)

Socle de securite : evaluez vos mesures existantes (complet / partiel / absent) en vous basant sur le Guide d’hygiene de l’ANSSI ou l’ISO 27001. L’outil vous permet de documenter les ecarts.

Atelier 2 : Sources de risque et objectifs vises

Identifiez qui pourrait vous attaquer et pourquoi :

Source de risque	Motivation	Ressources	Pertinence
Cybercriminel organise	Gain financier (ransomware)	Elevees	Oui
Concurrent	Espionnage industriel	Moderees	Possible
Employe mecontent	Vengeance, sabotage	Internes	Possible
Etat etranger	Espionnage strategique	Illimitees	Non pertinent

Pour chaque source pertinente, definissez les couples SR/OV (Source de Risque / Objectif Vise) et reliez-les aux evenements redoutes de l’atelier 1.

Atelier 3 : Scenarios strategiques

Cartographiez votre ecosysteme (parties prenantes, fournisseurs, prestataires) et identifiez les chemins d’attaque strategiques :

• Parties prenantes : listez vos fournisseurs IT, hebergeurs, prestataires, partenaires avec leur niveau de confiance et d’exposition
• Chemins d’attaque : par quel intermediaire un attaquant pourrait-il atteindre vos valeurs metier ? (ex. « via le prestataire de maintenance qui a un acces VPN »)
• Reliez chaque scenario aux sources de risque et evenements redoutes des ateliers precedents

Atelier 4 : Scenarios operationnels (MITRE ATT&CK)

C’est ici que l’outil brille particulierement. Pour chaque scenario strategique, detaillez le mode operatoire technique en utilisant le referentiel MITRE ATT&CK integre :

1. Initial Access : comment l’attaquant entre (Phishing, Exploit Public-Facing Application, Valid Accounts…)
2. Execution : ce qu’il execute (User Execution, Command and Scripting Interpreter…)
3. Persistence : comment il reste (Scheduled Task, Registry Run Keys…)
4. Lateral Movement : comment il se deplace (Remote Services, SMB/Windows Admin Shares…)
5. Impact : le resultat final (Data Encrypted for Impact, Data Destruction…)

Evaluez la vraisemblance de chaque scenario operationnel de 1 (peu probable) a 4 (quasi certain).

Atelier 5 : Traitement du risque

Definissez vos mesures de traitement selon le modele PACS :

Categorie	Description	Exemple
Protection	Empecher l’attaque	Deployer le MFA sur tous les acces
Anticipation	Detecter et surveiller	Deployer un EDR/SOC
Controle	Gouvernance et conformite	Programme de sensibilisation
Soutien	Resilience et continuite	Tester le PRA trimestriellement

Pour chaque mesure, indiquez le responsable, le jalon (court/moyen/long terme) et evaluez les risques residuels apres traitement. L’outil genere automatiquement une cartographie avant/apres.

Exporter votre rapport

Une fois votre analyse terminee :

• Export Word : cliquez sur « Exporter Word » pour generer un rapport professionnel complet, pret a etre presente a la direction ou aux auditeurs
• Export JSON : sauvegardez votre travail en JSON pour le reprendre plus tard ou le partager avec un collegue
• Import JSON : rechargez une analyse precedente. Un exemple complet (exemple_pme_industrielle.json) est fourni dans le repo pour vous aider a demarrer

Pourquoi utiliser EBIOS RM en 2026 ?

• NIS2 : la directive exige une analyse de risques formalisee pour les entites essentielles et importantes
• ISO 27001 : EBIOS RM est reconnue comme methode conforme pour l’appreciation des risques
• Assurance cyber : les assureurs demandent de plus en plus une analyse de risques documentee
• RGPD : l’AIPD (Analyse d’Impact) peut s’appuyer sur EBIOS RM pour les traitements a risque
• Marchespublics : prerequis pour de nombreux appels d’offres publics

Connect 3S — Experts cyberscurite et IT, Valbonne Sophia Antipolis. Analyse de risques EBIOS RM, audit de securite, mise en conformite NIS2. Certifie Qualiopi pour la formation professionnelle.