Question initiale : « Le périmètre d’activité du Risk Manager est bien plus large que le périmètre des risques numériques, et d’autre part, le management des risques numériques est sous la responsabilité du RSSI, qui en fournit une vision au Risk Manager pour consolidation dans la cartographie des risques majeurs de l’organisation.
Au travers des FAQ publiées sur le site de l’ANSSI, il est indiqué que « Les publics intéressés par cette méthode sont les RSSI et les risk managers ». Concrètement qui déroule la méthode ?
 »

Quelques éléments de réponse :
1/ La méthode est bien une démarche de gestion des risques. L’objet de la méthode peut être d’ailleurs de « mettre en place ou renforcer un processus de management du risque numérique au sein d’une organisation », ce qui est notamment illustré par les cycles opérationnels et stratégiques proposés dans la méthode.
2/ Elle n’est pas déroulée par un acteur unique mais est conduite au travers d’ateliers réunissant les points de vue de plusieurs acteurs (Directions, métiers, RSSI, DSI, spécialiste en analyse de la menace numérique, Architectes fonctionnels, spécialiste en cybersécurité). Le Risk Manager peut être l’un des acteurs contribuant à la conduite de la démarche notamment en fournissant des éléments de décision de traitement des risques.
3/ Quelque soit la méthode, l’un des points forts de cette nouvelle version est la simplification pour la rendre accessible à un plus grands nombre d’acteurs et notamment des non spécialistes de la SSI, dont des Risk Managers.
4/ La méthode EBIOS Risk Manager est limitée aux risques numériques. EBIOS Générique (méthodologie du Club EBIOS) étend EBIOS RM pour se décliner dans tous les domaines en respect des exigences de la norme ISO 31000.