EBIOS Risk Manager est la méthode d'analyse des risques numériques publiée par l'ANSSI. Elle est issue d’une génération de méthodes d’analyse des risques de la sécurité de l’information (la famille EBIOS) dont la première version date de 1995. À la différence de ses ancêtres, la méthode EBIOS RM est résolument orientée vers les cybermenaces délibérées (focalisée sur les attaquants et des scénarios d’attaque, stratégiques et opérationnels).
Elle structure l'analyse en 5 ateliers progressifs, du cadrage jusqu'au traitement, et s'intègre naturellement dans une démarche ISO 27001. Elle ne remplace pas ISO 27005, qui est un cadre normatif, global et stratégique : elle propose une mise en œuvre concrète, opérationnelle, prescriptive et prête à l’emploi.
La certification PECB EBIOS Risk Manager valide une maîtrise réelle de la méthode, au-delà de la simple lecture du guide ANSSI, qui reste lui gratuit et librement accessible. Pour un RSSI, un consultant ou un risk manager actif en France, en Suisse ou en Belgique, elle représente un investissement solide. Elle est également disponible en version anglaise. Pour une PME sans culture du risque établie, une formation sans certification est souvent plus utile dans un premier temps.
Cela dit, la méthode EBIOS Risk Manager divise. Certains la trouvent trop complexe, trop française, trop orientée grandes organisations. D'autres en font leur outil central depuis des années. La réalité est plus nuancée et mérite qu'on la pose clairement.
Je vous rassure, cet article ne vend pas une formation. Il répond à une question simple : qu'est-ce qu'EBIOS RM, dans quels cas est-elle utile, et la certification PECB vaut-elle l’investissement que vous pourriez lui concéder ?
Qu'est-ce qu'EBIOS Risk Manager exactement ?
La définition officielle de l'ANSSI
EBIOS Risk Manager est la méthode nationale française d'appréciation et de traitement du risque numérique. Elle a été publiée par l'ANSSI (Agence nationale de la sécurité des systèmes d'information) en octobre 2018, avec le soutien du Club EBIOS. Une mise à jour majeure a été publiée en mars 2024 pour aligner la méthode sur ISO/IEC 27005:2022.
L'ANSSI la décrit comme une "boîte à outils adaptable", applicable aux organisations publiques comme privées, quelle que soit leur taille ou leur secteur. Elle est diffusée sous licence ouverte : le guide est gratuit, téléchargeable directement sur cyber.gouv.fr.
Pour rappel, EBIOS signifie Expression des Besoins et Identification des Objectifs de Sécurité, un héritage de la première version créée en 1995 par le SCSSI, l'ancêtre de l'ANSSI.
EBIOS Risk Manager
Est la méthode nationale française d'analyse et de traitement du risque numérique, publiée par l'ANSSI en 2018 sous licence ouverte. Elle structure l'analyse en 5 ateliers progressifs et s'applique à toute organisation, publique ou privée, quelle que soit sa taille.
EBIOS 2010 vs EBIOS RM 2018 : ce qui a fondamentalement changé
La version 2010 était centrée sur les "biens essentiels" et suivait une logique d'inventaire relativement exhaustive : identifier tous les risques possibles sur tous les actifs. Utile, mais lourde dès lors qu’on se penche sur un environnement un peu complexe.
EBIOS Risk Manager 2018 a changé d'approche. Plutôt que de chercher l'exhaustivité, elle vise la représentativité : identifier les risques les plus significatifs, en partant des menaces intentionnelles réelles et de l'écosystème de l'organisation. Le résultat est une méthode plus agile, mieux adaptée aux systèmes interconnectés et aux menaces sophistiquées d'aujourd'hui.
Autre différence importante : EBIOS RM intègre explicitement la notion d'écosystème. Les partenaires, sous-traitants, fournisseurs cloud, prestataires de service, tout ce qui interagit avec le système étudié sans en faire partie, est pris en compte dès l'atelier 3. C'est précisément ce qui la rend pertinente dans un contexte d’attaques de la chaîne d’approvisionnement et/ou de risques tiers.
EBIOS 2010 vs EBIOS RM 2018
| EBIOS 2010 | EBIOS Risk Manager 2018 | |
|---|---|---|
| Approche | Exhaustivité (tous les actifs) | Représentativité (risques significatifs) |
| Point de départ | Biens essentiels | Menaces intentionnelles réelles |
| Écosystème | Non intégré | Atelier 3 dédié (fournisseurs, partenaires) |
| Conformité ISO | ISO 27005:2011 (indirecte) | Pleinement conforme ISO 27005:2022 (màj 2024) |
| Agilité | Lourde pour systèmes complexes | Modulable selon maturité et objectif |
À quoi servent les 5 ateliers EBIOS RM, concrètement ?
La méthode est structurée en 5 ateliers progressifs. Chaque atelier répond à une question précise.
Comment lire cette section
Chaque atelier est conçu pour alimenter le suivant. Un atelier 1 bâclé fragilise toute la chaîne. Ne sautez pas les étapes — même si votre périmètre semble simple.
Atelier 1 — Cadrage et socle de sécurité : qu'est-ce qu'on protège, et pourquoi ?
C'est l'atelier de départ. On y définit le périmètre de l'étude, les missions de l'organisation, les valeurs métier, les biens supports, et les événements redoutés. On y construit aussi le socle de sécurité : l'état d'application des exigences légales, réglementaires ou normatives (ISO 27001, NIS2, DORA, LPD, etc.) sur le périmètre étudié.
En pratique : à l'issue de l'atelier 1, on sait précisément ce qu'on veut protéger, ce que l'on craint, et quels écarts de conformité existent déjà. C'est aussi ici que les risques accidentels et environnementaux sont traités : via le socle, pas via les scénarios d'attaque.
Atelier 2 — Sources de risque : qui peut nous attaquer, et pourquoi ?
L'atelier 2 identifie et caractérise les sources de risque pertinentes ; en clair, les attaquants potentiels. On y évalue leurs ressources, leurs motivations, et ce qu'ils cherchent à obtenir concrètement sur votre système.
Cet atelier est souvent celui qui surprend les participants. Se poser sérieusement la question "qui voudrait vraiment nous attaquer et pour quoi faire ?" oblige à sortir du cadre générique et à ancrer l'analyse dans la réalité de l'organisation.
Atelier 3 — Scénarios stratégiques : par où peuvent-ils passer ?
C'est l'atelier de l'écosystème. On y cartographie tout ce qui interagit avec le périmètre étudié (partenaires, fournisseurs, prestataires, interconnexions techniques) et on identifie les chemins d'attaque stratégiques plausibles via cet écosystème.
C'est ici qu'EBIOS RM se distingue le plus clairement des approches classiques. En forçant l'analyse des dépendances externes, elle fait émerger des vecteurs de risque souvent ignorés dans une vision purement interne de la sécurité.
Atelier 4 — Scénarios opérationnels : comment vont-ils agir concrètement ?
L'atelier 4 descend au niveau tactique et technique. On y détaille les modes opératoires d'attaque et on apprécie leur vraisemblance. C'est l'atelier le plus technique de la méthode, celui qui demande la plus grande expertise en cybersécurité opérationnelle.
Atelier 5 — Traitement du risque : que fait-on maintenant ?
C'est l'atelier de décision. Maintenant que les risques sont identifiés et évalués, on décide comment les traiter : les réduire avec des mesures de sécurité supplémentaires, les transférer (assurance, contrats), les accepter en connaissance de cause, ou les refuser en modifiant le périmètre.
L'atelier 5 transforme l'étude en livrables actionnables : plan de traitement, arbitrages documentés, décisions de gouvernance. C'est lui qui justifie l'investissement dans les 4 premiers ateliers.
Diagramme de flux des 5 ateliers EBIOS Risk Manager, montrant comment chaque atelier alimente le suivant, du cadrage initial jusqu'au plan de traitement final.
Le piège de l'atelier 4
Sans cadrage rigoureux à l'atelier 1, l'atelier 4 peut générer une explosion combinatoire ingérable. Le Club EBIOS le reconnaît explicitement. La solution : discipliner la granularité dès le départ, pas après.
EBIOS RM est-elle compatible avec ISO 27001 et ISO 27005 ?
C'est la question qui revient le plus souvent et la réponse mérite d'être formulée clairement.
Pourquoi EBIOS RM ne remplace pas ISO 27001
ISO 27001 est un système de management : il décrit comment organiser, documenter, auditer et améliorer en continu la sécurité de l'information d'une organisation. Ce n'est pas une méthode d'analyse de risque, mais un modèle de gouvernance.
EBIOS RM est une méthode : elle décrit comment conduire concrètement l'analyse de risque que L'ISO 27001 exige. Les deux sont complémentaires, pas concurrents. Dans une démarche de certification ISO 27001, EBIOS RM répond directement mais partiellement aux exigences de la clause 6.1.2 (appréciation des risques liés à la sécurité de l'information).
Pourquoi ISO 27005 et EBIOS RM ne s'opposent pas
ISO 27005 décrit le processus général de gestion des risques de sécurité de l’information : définition du contexte, identification, analyse, évaluation, traitement. C'est un cadre normatif. Il ne dit pas comment faire, il dit quoi faire.
EBIOS RM est une implémentation concrète de ce processus. Comme le formule le Club EBIOS : EBIOS RM "décrit des techniques pratiques pour permettre à ses utilisateurs d'appliquer le modèle décrit dans l'ISO 27005". L'ANSSI a d'ailleurs explicitement mis à jour la méthode en 2024 pour la rendre pleinement conforme à ISO/IEC 27005:2022.
La formulation la plus juste : EBIOS RM ne remplace ni ISO 27001 ni ISO 27005. Elle complète ISO 27001 comme méthode opérationnelle d'analyse de risque, et elle met en œuvre concrètement la logique décrite par ISO 27005.
ISO 27001 vs ISO 27005 vs EBIOS RM
| ISO 27001 | ISO 27005 | EBIOS RM | |
|---|---|---|---|
| Nature | Système de management (norme certifiable) | Cadre normatif de gestion du risque | Méthode opérationnelle d'analyse |
| Ce qu'il décrit | Comment gouverner, organiser et auditer la sécurité | Quoi faire pour gérer les risques | Comment faire concrètement |
| Certifiable ? | Oui (organisations et individus) | Non | Oui (individus via PECB) |
| Lien mutuel | Exige une analyse de risque (clause 6.1.2) | Définit le processus général | Implémente ISO 27005, répond à ISO 27001 |
| Qui l'utilise ? | Toute organisation cherchant à certifier son SMSI | Référence pour structurer une démarche | RSSI, consultants, risk managers |
Dans quels cas EBIOS RM est plus opérationnelle
Pour les organisations qui doivent démontrer leur maîtrise des risques à un auditeur, à une autorité de tutelle, ou à leur direction, EBIOS RM produit des livrables structurés, traçables, et défendables. C'est son avantage principal sur des approches plus informelles. Elle est également référencée par l'ENISA dans son inventaire des méthodes de gestion du risque, ce qui lui donne une légitimité internationale au-delà du seul contexte français.
Qui utilise EBIOS RM aujourd'hui ?
Les profils métier concernés
La méthode n'est pas portée par un acteur unique.
Le Club EBIOS l'explique clairement : EBIOS RM est "conduit au travers d'ateliers réunissant les points de vue de plusieurs acteurs." En pratique, on retrouve autour de la table : le RSSI qui pilote la démarche, des représentants métier qui connaissent les valeurs à protéger, des responsables techniques qui connaissent les biens supports, et souvent un représentant de la direction pour les arbitrages de l'atelier 5.
Les profils qui ont le plus intérêt à maîtriser la méthode en profondeur : RSSI, consultants en sécurité, gestionnaires des risques, architectes sécurité, chefs de projet SI critiques, et auditeurs internes.
Qui pilote les ateliers ?
Une question fréquente du Club EBIOS : "Concrètement, qui déroule la méthode; RSSI ou gestionnaire des risques ?" La réponse : personne ne la déroule seul. Un pilote, plusieurs contributeurs. Définir ces rôles avant de commencer est une condition de succès, pas un détail.
Les secteurs où la méthode est la plus utile
EBIOS RM est incontournable dans les secteurs régulés et les Opérateurs d'Importance Vitale (OIV) en France. Mais l'ANSSI précise qu'elle s'applique "aussi bien aux organisations publiques que privées, quelle que soit leur taille". Des cas d'usage publiés par le Club EBIOS couvrent des contextes aussi variés que la santé (centre d'imagerie médicale), les projets numériques, ou la sécurité de produits et services.
Pour les organisations suisses et belges exposées à des exigences françaises ou à des partenaires qui utilisent EBIOS RM, la méthode est de plus en plus présente, même si elle reste moins systématique qu'en France. On constate également un recours à cette méthode par des fournisseurs de l’UE dont les clients sont des entités gouvernementales ou militaires françaises.
France, Suisse, Belgique, Luxembourg : quelle reconnaissance réelle ?
Le Club EBIOS lui-même l'écrit noir sur blanc : EBIOS RM "est en France largement connue et son utilisation est très largement majoritaire comme méthode d'analyse de risques. Cependant, elle ne jouit pas de la même aura au-delà de nos frontières."
En Suisse francophone, en Belgique et au Luxembourg, la méthode est connue et utilisée (des formations existent, des prestataires l'appliquent) mais elle coexiste avec d'autres approches de gestion des risques. Pour un professionnel basé en Suisse, la certification EBIOS RM est un atout réel si son activité l’amène à travailler avec des organisations françaises, des filiales de groupes français, ou des exigences réglementaires franco-européennes. Elle est moins déterminante si son contexte est purement helvétique ou international anglophone.
Présence internationale
EBIOS RM est référencée par l'ENISA dans son inventaire officiel des méthodes de gestion du risque cyber, l'une des rares méthodes francophones à bénéficier de cette reconnaissance au niveau européen.
Pourquoi la méthode semble compliquée au départ
La peur de s'y perdre
"EBIOS Risk Manager pour analyser un SI : comment ne pas s'y perdre ?", c'est l'une des questions les plus consultées du Club EBIOS. Cette peur est légitime. La méthode est riche, les concepts précis, et les 5 ateliers peuvent sembler imposants avant d'en avoir fait un.
Ce qui aide : la méthode est conçue pour être modulable. L'ANSSI dit explicitement que l'importance de chaque atelier varie en fonction de l'objectif fixé et de la maturité du périmètre. Une première étude n'a pas besoin d'être exhaustive pour être utile.
Le risque d'explosion combinatoire
C'est la critique la plus fréquente des praticiens expérimentés. Le Club EBIOS le reconnaît : "La réalisation d'une étude est parfois critiquée en raison de l'explosion combinatoire des éléments à étudier." En l'absence d'un cadrage rigoureux, l'atelier 4 peut devenir ingérable.
La solution : calibrer la granularité de l'étude dès l'atelier 1. Plus le périmètre est large et les biens supports nombreux, plus il faut discipliner le niveau de détail des ateliers suivants. C'est une compétence qui s'acquiert avec la pratique, et c'est précisément ce que couvre une bonne formation.
La certification PECB EBIOS Risk Manager : que valide-t-elle vraiment ?
Nom exact, niveaux, prérequis
La certification s'appelle PECB Certified EBIOS Risk Manager. Le schéma PECB distingue deux niveaux : Provisional Risk Manager (sans expérience requise) et Confirmed Risk Manager (avec expérience documentée).
Pour atteindre le niveau Confirmed, il faut soit suivre une formation EBIOS RM accréditée, soit justifier d'au moins 2 ans d'expérience professionnelle pertinente et avoir appliqué une partie significative de la méthode au moins une fois dans les 3 années précédant la demande. Le prérequis de base est un niveau fondamental en gestion des risques.
Comparison Table Provisional Risk Manager vs Confirmed Risk Manager
| Provisional Risk Manager | Confirmed Risk Manager | |
|---|---|---|
| Expérience requise | Aucune | 2 ans minimum en gestion des risques |
| Application terrain | Non requise | Au moins 1 étude EBIOS dans les 3 ans |
| Obtention via | Examen seul | Formation accréditée OU expérience documentée + examen |
| Pour qui | Profils en début de parcours | RSSI, consultants, risk managers en exercice |
Format de l'examen, durée, score de réussite
L'examen est à livre ouvert, d'une durée de 3 heures. Il comprend 60 questions : 57 QCM et 3 questions de type essai. Le score de passage est de 70 %.
"A livre ouvert" ne signifie pas facile. Les questions d'essai exigent une maîtrise réelle de la méthode et pas une simple capacité à retrouver une définition dans le guide. Quelqu'un qui a uniquement lu le guide ANSSI sans l'avoir appliqué ni structuré mentaslement aura du mal avec les 3 heures.
Format examen PECB EBIOS RM
3 heures, à livre ouvert, 57 QCM + 3 questions essai, score de passage : 70 %.
Validité, renouvellement et maintien
Les certifications PECB sont valables 3 ans. Pour les maintenir, il faut satisfaire aux exigences de CPD (développement professionnel continu) et payer les frais annuels de maintien. En cas de défaut, la certification peut être suspendue 12 mois, puis révoquée.
Faut-il se certifier ou lire simplement le guide ANSSI ?
Ce qu'apporte réellement une formation
Le guide ANSSI est excellent et gratuit. Mais une formation fait deux choses que le guide ne peut pas faire : elle oblige à appliquer la méthode sur des cas pratiques, et elle permet de poser des questions à un praticien qui a conduit de vraies études EBIOS RM. La différence entre "comprendre la méthode" et "savoir la dérouler" est souvent de 3 jours de formation.
Ce qu'apporte réellement la certification
La certification PECB ajoute une preuve formelle et internationale de votre maîtrise. Vous pouvez la rendre visible sur LinkedIn, vérifiable par les employeurs et clients, et pour le niveau Confirmed, elle atteste d'une expérience réelle documentée. Pour un consultant ou un RSSI qui vend ses compétences sur le marché, c'est un signal clair.
Dans quels cas la certification n'est pas prioritaire ?
Si vous êtes un professionnel en poste qui utilise EBIOS RM en interne sans avoir besoin de le démontrer à l'extérieur, une formation sans certification peut suffire. Si vous êtes dans une PME qui découvre la méthode et cherche à faire une première étude correcte, le retour sur investissement d'une formation est immédiat, celui de la certification un peu moins évident à court terme.
- Vous travaillez ou souhaitez travailler comme consultant en sécurité ou gestionnaire des risques
- Vous devez démontrer vos compétences à des clients ou employeurs externes
- Votre activité vous expose à des organisations françaises, OIV, ou filiales de groupes français
- Vous êtes RSSI et devez légitimer une démarche de gestion des risques vis-à-vis de votre direction
- Vous avez déjà une base en ISO 27001 ou en gestion des risques
- Vous souhaitez valoriser votre profil LinkedIn dans l'espace francophone GRC
À qui la certification est-elle la plus utile ?
RSSI, consultants, gestionnaires des risques, architectes sécurité
Ce sont les profils pour lesquels la certification a la valeur de signal la plus forte. Un consultant en sécurité certifié PECB EBIOS Risk Manager peut mentionner la certification dans ses propositions commerciales. Un RSSI peut s'en servir pour légitimer une démarche d'analyse de risque vis-à-vis de sa direction.
Débutants vs profils expérimentés
Pour un débutant avec peu d'expérience en gestion des risques, commencer par une formation Foundation ISO 27001 ou une introduction aux risques cyber peut être plus utile qu'attaquer directement EBIOS RM. La méthode suppose une compréhension de base du contexte de gestion des risques.
Pour un profil expérimenté (RSSI avec quelques années de pratique, consultant, auditeur) EBIOS RM est directement accessible et la valeur est immédiate.
Cas PME et ETI
Pour une PME ou ETI, la méthode est applicable ; l'ANSSI le dit explicitement, et le Club EBIOS a publié une FAQ spécifique pour les TPE/PME. La recommandation principale dans ce contexte : avoir au minimum un représentant métier/direction et un responsable SI autour de la table, et si possible un accompagnement par un prestataire pour la première étude.
Ce que nous voyons sur le terrain
Chez Abilene Academy, nous formons des professionnels à EBIOS Risk Manager depuis plusieurs années, dans l’UE, en Suisse romande et en France. Quelques constats qui ne sont pas dans les guides :
L'examen est honnêtement challengeant pour quelqu'un qui n'a pas pratiqué. Les questions d'essai demandent de la structuration, pas de la restitution. Les candidats qui réussissent du premier coup sont ceux qui ont travaillé sur des cas pratiques, pas ceux qui ont passé le plus de temps à relire le guide.
La reconnaissance en Suisse varie selon le secteur. Dans les entreprises exposées à des exigences ANSSI ou dans des groupes avec des filiales françaises, la certification est directement valorisée. Dans des contextes purement helvétiques, ISO 27001 reste souvent la référence première, EBIOS RM vient en complément.
Le lien avec NIS2 et DORA est réel mais indirect. Ces textes imposent des démarches de gestion du risque, mais ne citent pas EBIOS RM nommément. La méthode reste compatible et applicable dans ces contextes, mais pas obligatoire.
Pour une PME romande qui découvre la gestion des risques cyber, nous recommandons souvent de commencer par une formation sans obligation de certification immédiate : faire une première étude correcte, comprendre la méthode en conditions réelles, puis décider si la certification s'impose en fonction du contexte professionnel.
NIS2, DORA, LPD
Aucun de ces textes ne cite EBIOS RM nommément. Ils imposent une démarche structurée de gestion du risque (EBIOS RM y répond parfaitement) mais son usage reste un choix, pas une obligation.
Sources
- ANSSI — Mise à jour EBIOS RM, mars 2024 : https://cyber.gouv.fr/actualites/lanssi-met-a-jour-la-methode-ebios-risk-manager/
- ANSSI — La méthode EBIOS Risk Manager : https://cyber.gouv.fr/securisation/analyse-des-risques/methode-ebios-rm/
- Club EBIOS — Lien EBIOS RM & ISO 27005 : https://club-ebios.org/site/lien-ebiosrm-iso27005/
- Club EBIOS — Qui déroule la méthode ? : https://club-ebios.org/site/concretement-qui-deroule-la-methode-rssi-ou-risk-manager/
- Club EBIOS — Comment éviter l'explosion combinatoire : https://club-ebios.org/site/comment-eviter-lexplosion-combinatoire-dune-etude/
- PECB — EBIOS Risk Manager certification : https://pecb.com/fr/education-and-certification-for-individuals/risk-assessment-methods-training/ebios
- PECB Help Center — List of PECB Exams : https://help.pecb.com/index.php/list-of-pecb-exams/
- ENISA — Risk Management Inventory : https://tools.enisa.europa.eu/topics/risk-management/current-risk/risk-management-inventory/rm-ra-methods/m_ebios.html
