04/04/2025
Le présent guide méthodologique s’adresse à l’ensemble des acteurs ayant déjà appliqué la méthode Ebios Risk Manager dans tous types de contextes. Il vise à fournir une aide pour la réalisation d’analyse de risque plus approfondie et adaptée aux problématiques complexes des systèmes d’information, via la construction de scénarios opérationnels.
Ce guide méthodologique enrichit l’atelier 4 (scénarios opérationnels) de la méthode EBIOS RM en proposant des méthodes précises, détaillées étape par étape et conçues pour s’adapter aux environnements (taille, complexité des systèmes, etc.) et aux niveaux d’expertise. Chaque méthode est illustrée par des schémas et / ou diagrammes établis sur des modèles d’architecture reconnus, adaptables et représentatifs d’une organisation de systèmes d’information interconnectés. Elle est identifiée par un niveau de complexité de mise en œuvre.
Le guide est accompagné d’un arbre d’aide au choix des méthodes, d’exemples concrets, d’astuces et de recommandations pour la conception des scénarios opérationnels et l’identification des mesures de sécurité applicables aux actions élémentaires. Il présente un inventaire détaillé des éléments requis à la réalisation de l’atelier 4, incluant la liste des métiers impliqués dans l’élaboration des scénarios opérationnels, les prérequis, et les ressources utiles.
En parallèle, le guide intègre l’étude des cyber kill chain et établit les liens entre les référentiels MITRE ATT&CK, CAPEC ou le framework NSA/CSS Technical Cyber Threat avec les scénarios opérationnels. Il illustre la manière dont ces référentiels contribuent à la création des scénarios opérationnels et à l’identification de mesures de sécurité applicables.
L’évaluation ou les méthodes de calcul de la vraisemblance ne sont pas prises en compte dans cette étude. Elle fait l’objet d’un autre guide disponible sur le site du Club EBIOS.
28/03/2025
Une des missions du Club est ainsi d’animer le Cercle des formateurs (https://club-ebios.org/site/certification/#formateurs) et de faciliter le transfert des connaissances et bonnes pratiques en proposant du contenu adapté pour ces formations professionnelles.
Dans ce cadre, en 2023, le Club EBIOS, accompagné par la société Gamepartners, a créé un serious game : « EBIOS RM, le jeu ».
Les principales caractéristiques du jeu :
Une présentation plus complète des concepts manipulés est disponible ici : https://club-ebios.org/site/arnaud-barres-pierre-dudit-projet-de-jeu-de-societe-ebios-rm/
En complément du scénario initial, de nouveaux scénarios ont été créés par l’écosystème puis mis à disposition des membres du Club EBIOS :
08/03/2023
Ce document présente une méthode d’évaluation de la vraisemblance des scénarios opérationnels différente de celle proposée dans les fiches méthodes publiées par l’ANSSI. Cette approche constitue une alternative pour ceux qui cherchent à évaluer la vraisemblance avec d’autres critères, mais n’a pas vocation à remplacer les concepts décrits dans le guide de l’ANSSI.
ClubEBIOS-Une-autre-méthode-pour-l-évaluation-de-la-vraisemblance
Télécharger
10/09/2021
Le script THOR est une interface graphique permettant de transférer le contenu de fichiers Excel (.xls) et images dans un modèle de rapport d’analyse de risque au format WORD (.doc).
Le rapport utilisé pour exemple est celui qui a été produit dans le cadre du collège des praticiens et déjà validé. Ce rapport peut être trouvé ici : Modèle de rapport d’analyse
26/02/2021
Le but est d’assister les utilisateurs de la méthode EBIOS Risk Manager pour les aider à alimenter les réflexions de l’atelier 4.
La base de données a été construite par un groupe d’experts du collège des praticiens du Club EBIOS, en extrayant de la matrice Mitre Att&ck les techniques considérées comme les plus répandues, et en y ajoutant des critères afin d’en faciliter la sélection.
L’usage est très simple : à partir du choix de quelques critères contextuels, l’utilisateur génère sa propre matrice et ainsi peut consulter en français les techniques et sous-techniques l’aidant à construire ses chemins.
Il s’agit de la première version de l’outil. S’il remporte l’adhésion des utilisateurs, la base de données est destinée à être enrichie dans des versions ultérieures.
Le fichier Excel est ici.
Le PDF décrivant son utilisation est ici.
Le PDF de présentation générale, issue de la réunion courante de Mai 2021, est ici.
Le présent document propose un modèle de rapport d’analyse de risques regroupant les différents livrables prévus par la méthode EBIOS Risk Manager.
Il est destiné à être intégré dans un outil automatique capable de remplir la matrice à partir d’un fichier au format CSV (outil à paraître par le collège des praticiens).
L’objectif de chaque chapitre est succinctement rappelé afin de faciliter la compréhension du rapport par les différents destinataires, quel que soit leur niveau de connaissance de la méthode. Fruit de nombreux échanges, ce modèle s’appuie sur les définitions et exemples du guide méthodologique ainsi que sur l’expérience des différents experts et praticiens ayant contribué à ce document.
27/03/2020
Le CLUSIF a publié des bases de connaissances :
> Voir les bases de connaissances du CLUSIF
Elles peuvent être utilisées dans certains ateliers d’EBIOS Risk Manager, et plus particulièrement l’atelier 4 pour la construction des scénarios opérationnels.
Pour ce faire, il suffit d’utiliser la table de correspondance suivante :
|
Utilité pour EBIOS Risk Manager |
Bases de connaissances du CLUSIF |
||
| Atelier | Objets | Onglet | Objets |
| 1 – Cadrage et socle de sécurité | Événements redoutés | Base_Dommages | Types de dommages et commentaires |
| 2 – Sources de risques | Sources de risques | Base_Circonstances_Acteurs | Circonstances et compléments de description |
| 4 – Scénarios opérationnels | Actions élémentaires | Base_Scénarios | Tous |
| Actions élémentaires (phase « Exploiter ») | Base_Evénements | Événements | |
| Actions élémentaires (phases « Rentrer » et « Trouver ») | Base_Circonstances_acces | Circonstances et compléments de description | |
| Affinage des circonstances des actions élémentaires | Base_Circonstances_Process | Circonstances et compléments de description | |
| Affinage des circonstances des actions élémentaires | Base_Circonstances_Temps | Circonstances et compléments de description | |
11/02/2014
Ce document a pour objectif de fournir des éléments utiles pour gérer les risques liés à l’utilisation du BYOD (Bring Your Own Device).
ClubEBIOS-BYOD-ReflexionSurLesRisques-2014-02-11-Approuve
> Télécharger
