Les productions relatives à EBIOS

Normes

• ISO 31000 – Management du risque
  Cette norme internationale définit le vocabulaire et les principes qui doivent être respectés par toute approche de gestion des risques, quel que soit son domaine d’application. >Voir la norme (payante)

Méthodes

• EBIOS : l’approche générique
  Ce guide constitue l’approche générique d’EBIOS*. Il fournit une base commune à toute déclinaison sectorielle. Conçue initialement pour la sécurité de l’information, EBIOS peut en effet se décliner dans tous les domaines au moyen de techniques et de bases de connaissances adaptées. EBIOS permet d’apprécier et de traiter les risques. Elle fournit également tous les éléments ...

FAQ

• EBIOS, c’est quoi ?
• Comment éviter l’explosion combinatoire d’une étude ?

Guides

• Pratiques de gestion des risques
  Ce document vous présente les secteurs où la gestion des risques joue un rôle majeur afin d’en éclairer les ressemblances et les dissemblances. La gestion des risques n’est pas réservée à l’informatique mais concerne un nombre croissant de secteurs qui réfléchissent à leurs stratégies de survie et d’expansion. > Télécharger

Articles, interviews, vidéos, travaux académiques

• Qu’est-ce que le Club EBIOS ?
• Hemery, H., Akmouche, W., Tatout, F. Utilisation de la méthodologie EBIOS en sécurité globale, Dossier “La sécurité globale – Outils et technologies”, Revue de l’électricité et de l’électronique (REE) N°10, 11/2007

Normes

• ISO/IEC 27000 – Vue d’ensemble et vocabulaire
  Cette norme internationale définit le vocabulaire qui doit être respecté par toute approche liée à la sécurité de l’information. >Voir la norme (gratuite)
• ISO/IEC 27005 – Gestion des risques liés à la sécurité de l’information
  Cette norme internationale définit les principes qui doivent être respectés par toute approche de gestion des risques spécifique à la sécurité de l’information. >Voir la norme (payante)

Méthodes

• La dernière version de la méthode de l’ANSSI : EBIOS Risk Manager
  La méthode de référence française EBIOS accompagne les organisations pour identifier et comprendre les risques numériques qui leurs sont propres. Elle permet de déterminer les mesures de sécurité adaptées à la menace et de mettre en place le cadre de suivi et d’amélioration continue à l’issue d’une analyse de risque partagée au plus haut niveau. Sur ...

FAQ

• Comment prendre en compte la protection de la vie privée dans une étude EBIOS Risk Manager ?
• Quelles sont les étapes pour déployer une démarche EBIOS Risk Manager dans une grande entreprise ?
• Comment devenir formateur EBIOS Risk Manager ?
• EBIOS Risk Manager pour analyser un SI : Comment ne pas s’y perdre ? Comment aborder la démarche ?
• EBIOS est il conforme à l’ISO 27005 ?
• Les mesures peuvent-elles modifier la gravité ?
• Concrètement, qui déroule la méthode ? RSSI ou Risk manager ?
• Existe-t-il une traduction d’EBIOS en anglais ?
• Les menaces accidentelles, environnementales et les risques liés à une non-conformité d’un référentiel règlementaire (ex : II901) ne peuvent-ils pas être traités par la méthode EBIOS Risk Manager ?
• Comment traiter les risques (Atelier 5) liés à une non-conformité règlementaire sans passer par les ateliers 2, 3 et 4 qui permettent justement d’identifier et d’apprécier les dits risques ?
• Comment faire une FEROS avec EBIOS Risk Manager ?
• Comment prendre en compte le non intentionnel quand on est loin d’avoir adopté les bonnes pratiques d’ISO 27001 ?
• Quelles sont les nouveautés apportées par EBIOS Risk Manager par rapport à la version 2010 ?
• Ce qui se trouve sur le site de l’ANSSI constitue-t-il une version complète de la nouvelle méthode ?
• À quoi la “pyramide” du management du risque sert-elle ?
• À quoi servent les fiches méthodes qui accompagnent le guide EBIOS Risk Manager ?
• Quelle date pour la disponibilité d’un outil compatible avec la nouvelle version d’EBIOS Risk Manager ?
• Qu’est-ce que le Label EBIOS Risk Manager ?
• L’outil développé en open source par l’ANSSI pour la version EBIOS 2010 est-il définitivement inaccessible ?
• J’ai déjà réalisé des analyses de risques avec EBIOS dans sa version précédente (2010). Comment réintégrer le travail déjà effectué ?
• Pour une TPE-PME, qui n’a pas de personne dédiée au management des risques, quelles sont les personnes qui doivent être autour de la table dans les ateliers ?
• EBIOS Risk Manager est-elle adaptée pour démontrer une conformité réglementaire ?
• EBIOS Risk Manager : comment ça marche ?
• Quelles sont les valeurs de la méthode EBIOS Risk Manager ?
• À qui s’adresse cette nouvelle méthode EBIOS Risk Manager ?
• Pourquoi une nouvelle méthode EBIOS ?

Outils

• ALL4TEC : Agile Risk Manager
  Collaborez efficacement pour vos analyses EBIOS Risk Manager ! De la méthode EBIOS Risk Manager à son application agile et collaborative Agile Risk Manager est conçu pour vous accompagner dans la mise en œuvre d’analyses de risques en suivant la méthode EBIOS Risk Manager. Profitez de la force d’un outillage adapté pour vous concentrer sur les valeurs ...
• EGERIE : EGERIE Risk Manager
  Quand le risque cyber et les méthodes d’analyse de risque s’invitent au COMEX (Par Jean Larroumets, Président d’EGERIE) Il est convenu que le risque cyber est grandissant. En quelques dizaines d’années, nous sommes passés d’une dimension anecdotique à une menace internationale, multiple, systémique et organisée pouvant provoquer des dégâts considérables. Dans le même temps, ...

Bases de connaissances

• Sélecteur de techniques d’attaque – Outillage pour l’atelier 4
  Le but est d’assister les utilisateurs de la méthode EBIOS Risk Manager pour les aider à alimenter les réflexions de l’atelier 4. La base de données a été construite par un groupe d’experts du collège des praticiens du collège des praticiens du Club EBIOS, en extrayant de la matrice Mitre Att&ck les techniques considérées comme les ...
• Modèle de rapport d’analyse de risques EBIOS Risk Manager
  Le présent document propose un modèle de rapport d’analyse de risques regroupant les différents livrables prévus par la méthode EBIOS Risk Manager. Il est destiné à être intégré dans un outil automatique capable de remplir la matrice à partir d’un fichier au format CSV (outil à paraître par le collège des praticiens). L’objectif de chaque ...
• Exploiter les bases de connaissances du CLUSIF dans une étude EBIOS Risk Manager
  Le CLUSIF a publié des bases de connaissances : > Voir les bases de connaissances du CLUSIF Elles peuvent être utilisées dans certains ateliers d’EBIOS Risk Manager, et plus particulièrement l’atelier 4 pour la construction des scénarios opérationnels. Pour ce faire, il suffit d’utiliser la table de correspondance suivante : Utilité pour EBIOS Risk Manager Bases de connaissances du CLUSIF Atelier Objets Onglet Objets 1 ...
• BYOD – Éléments de réflexion pour gérer les risques
  Ce document a pour objectif de fournir des éléments utiles pour gérer les risques liés à l’utilisation du BYOD (Bring Your Own Device). > Télécharger

Études de cas

• Étude de cas sur un centre d’imagerie médicale
  Une étude de cas d’analyse de risques EBIOS Risk Manager sur un centre d’imagerie médicale, publiée par Amine TABET (Ingénieur cybersécurité – Mastère Spécialisé en Opérations et Gestion de Crises en Cyberdéfense) : “Le secteur de la santé est un domaine critique, aujourd’hui plus qu’hier. C’est particulièrement vrai pour les services de radiologie, qui constituent un ...
• Étude de cas “Analytics for Talent Management“
  La présente étude de cas, fruit de plusieurs mois de travaux collaboratifs menés dans le cadre du GT55 “Outils & Pratiques” sous l’égide du Club EBIOS, vise à présenter tout l’intérêt de réaliser une analyse de risques raffinée et ciblée en s’appuyant sur la méthode EBIOS Risk Manager, en capitalisant (mais pas nécessairement) sur une ...

Techniques spécifiques

• OBÉRISK : une approche outillée de gestion des risques de type Obeya
  Le Lean management est à la mode, car il offre des avantages évidents en phase amont. Cela concerne également la gestion des risques, notamment en France, avec la publication de la méthode EBIOS Risk Manager par l’ANSSI fin 2018. Cependant, si la nouvelle méthode favorise une approche agile de gestion des risques, elle ne fournit pas ...

Guides

• Mini-séquences “EBIOS Risk Manager – Pourquoi et comment s’en servir ?”
  On a tous entendus parler de la dernière méthode de l’ANSSI, mais on ne l’a pas forcément pratiquée, et on n’a pas forcément compris si elle révolutionne vraiment les choses ! – Pourquoi la notion de socle de sécurité va vous changer la vie ? – Comment la méthode permet-elle de tenir compte de l’écosystème ? – etc. Matthieu ...
• Étapes clés d’EBIOS Risk Manager
  Voici un aide mémoire contenant les différentes étapes clés de la méthode EBIOS Risk Manager :
• Mémento sur EBIOS Risk Manager
  Ce mémento, ou aide mémoire, est destiné à aider les personnes en cours d’apprentissage de la méthode. Il présente les principaux objets de modélisation des risques dans EBIOS Risk Manager, leurs liens, les ateliers dans lesquels ils sont utilisés et quelques définitions importantes. > Télécharger
• Mémento sur la continuité des activités
  Ce mémento présente les concepts liés à la continuité des activités et leurs places dans la SSI. Les activités propres à la gestion de la continuité sont ensuite présentées selon 4 phases itératives. Le référentiel, l’organisation et les outils associés sont ensuite développés. > Télécharger

Articles, interviews, vidéos, travaux académiques

• Pierre, N. Premières impressions sur EBIOS Risk Manager, 2019
• Caparros, F. Podcast sur EBIOS Risk Manager, NoLimitSecu, 17/11/2019
• Caparros, F. Toutes les entreprises ne sont pas au même niveau de maturité face au cyberrisque, lesechos.fr, 06/02/2019
• Es-Seddiqi, M. Le lifting de la méthodologie EBIOS par l’ANSSI et le club EBIOS, Portail de l’IE, 03/01/2019
• Blanc-Rolin, C. Les Assises de la sécurité : l’actu de l’Anssi, DSIH, 17/10/2018
• Sénat – Sécurité numérique et risques: enjeux et chances pour les entreprises, Rapport 271 (2014-2015) de M. Bruno SIDO, sénateur et Mme Anne-Yvonne LE DAIN, député, fait au nom de l’Office parlementaire d’évaluation des choix scientifiques et technologiques, déposé le 2 février 2015
• Desvignes, J.-L., Grall, M. Dossier “La sécurité des industries sensibles, un sujet… sensible”, MAG SECURS 26, 04/2010
• Dubois, E., Mayer, N., Rifaut, A., Rosener, V. Contributions méthodologiques pour l’amélioration de l’analyse des risques, in T. Ebrahimi, F. Leprévost, B. Warusfel, “Enjeux de la sécurité multimédia”, Traité IC2 – Information, Commande, Communication
• Humbert, J.P., Meyer, N. La méthode EBIOS : présentation et perspective d’utilisation pour la certification ISO 27001, MISC 27, 09-10/2006
• Wiatrowski, E. Lorsque EBIOS s’embarque dans les télécoms, MAG SECURS 12, 06-08/2006
• Trotin, A., Guillerm, E., Schauer, H., Fernandez, A. Le risk management peut-il se passer de la norme ISO 17799 ?, MAG SECURS 12, 06-08/2006
• Humbert, J.P., Meyer, N. La gestion des risques pour les systèmes d’information, MAG SECURS 12, 06-08/2006
• Herrmann, F., Humbert, J.P., Khadraoui, D., Lanuel, Y., Meyer, N., Wies, E. Gestion de la sécurité : les défis, MAG SECURS 12, 06-08/2006
• Doyen, E. Le “Risk management” est une question de bon sens et de pragmatisme, MAG SECURS 12, 06-08/2006
• Ciupa, D. EBIOS en quelques mots, MAG SECURS 12, 06-08/2006
• Ebrahimi, T., Leprévost, F., Warusfel, B. Enjeux de la sécurité multimédia (Traité IC2, série Informatique et systèmes d’information), Hermes, 02/2006
• Busolini, O. Une approche globale de la sécurité de l’information : théorie et pratique, MISC 22, 11-12/2005
• Bournon, L. Neuf variables de la gestion des risques sur les systèmes d’information, Revue Défense nationale et sécurité collective, 05/2005
• Dausque N. PSSI & CAPSEC “Comment Adapter une Politique, de Sécurité pour les Entités du CNRS”, CAPSEC, Revue SÉCURITÉ INFORMATIQUE, 02/2005
• De Maupeou S. EBIOS, une méthode de gestion des risques, CNRS, Revue SÉCURITÉ INFORMATIQUE, 12/2003

FAQ

• Que peut-on considérer comme valeurs métiers (ex-biens essentiels) ?
• Comment utiliser des échelles d’impacts hétérogènes ?
• Le critère de traçabilité est-il utile ?

Techniques spécifiques

• Un socle pour la protection de la vie privée
  Le document suivant peut être utilisé lors de la détermination du socle de l’atelier 1 d’EBIOS Risk Manager dans le cas où l’objet de l’étude est un traitement de données à caractère personnel : > Télécharger Il constitue une déclaration d’applicabilité relative aux principes fondamentaux liés à la protection de la vie privée. La suite de l’étude permet ...

Guides

• Réflexion – Impacts différenciés
  Dans une étude de risques, on constate que les impacts analysés dépendent fortement du point de vue de chaque partie prenante. Partant de ce constat, ce document de réflexion incite à la prise en compte des préoccupations de chaque acteur, dans une logique “by design”, afin que le produit, système ou service soit accepté par ...

Articles, interviews, vidéos, travaux académiques

• Yvelin, F. L’analyse de risques préliminaire et les responsabilités : impacts différenciés, JDN, 23/06/2017

FAQ

• Avez-vous des exemples de niveaux de “motivation”, pour décrire les sources de risque à l’atelier 2 ?
• Dans l’atelier 2 du guide, comment est évaluée la pertinence des couples « source de risque (SR) / objectif visé (OV) » dans le tableau page 37 ?

FAQ

• Dans l’atelier 3 du guide, on évalue le niveau de menace de chaque partie prenante de l’écosystème. Dans la représentation radar qui est proposée, que représentent la taille et la couleur des ronds et comment sont-elles obtenues ?

FAQ

• Dans la fiche méthode n° 8 relative à l’évaluation de la vraisemblance des scénarios opérationnels dans l’atelier 4, que signifient les chiffres en italique et entre parenthèses dans les graphes d’attaque ?

Normes

• ISO/IEC 29100 – Cadre pour la protection de la vie privée
  Cette norme internationale définit le vocabulaire et les principes qui doivent être respectés par toute approche spécifique à la protection de la vie privée. >Voir la norme (gratuite)
• ISO/IEC 29134 – Étude d’impacts sur la vie privée
  Cette norme internationale définit les principes qui doivent être respectés par toute approche de gestion des risques spécifique à la protection de la vie privée. >Voir la norme (payante)

Méthodes

• Les guides PIA de la CNIL
  Les guides PIA* de la CNIL ont été révisés pour outiller le Règlement général sur la protection des données (RGPD). La démarche méthodologique est une application spécifique de la boîte à outils EBIOS à la protection de la vie privée. Elle permet de bâtir et de démontrer la conformité au RGPD pour un traitement de données à ...

FAQ

• Comment prendre en compte la protection de la vie privée dans une étude EBIOS Risk Manager ?

Outils

• Outil PIA de la CNIL
  Le logiciel open source PIA facilite la conduite et la formalisation d’analyses d’impact relatives à la protection des données (AIPD) telles que prévues par le RGPD. Il est diffusé par la CNIL : Télécharger

Études de cas

• Géolocalisation de véhicules d’entreprise – Étude de cas
  Cette étude de cas est destinée à montrer comment utiliser la boîte à outils de la méthode EBIOS dans le contexte spécifique de la protection de la vie privée : > Télécharger
• Gestion des patients dans un cabinet de médecine du travail – Étude de cas
  Cette étude de cas est destinée à montrer comment utiliser la boîte à outils de la méthode EBIOS dans le contexte spécifique de la protection de la vie privée : > Télécharger La plaquette suivante synthétise les points essentiels de l’étude de cas : > Télécharger

Techniques spécifiques

• Un socle pour la protection de la vie privée
  Le document suivant peut être utilisé lors de la détermination du socle de l’atelier 1 d’EBIOS Risk Manager dans le cas où l’objet de l’étude est un traitement de données à caractère personnel : > Télécharger Il constitue une déclaration d’applicabilité relative aux principes fondamentaux liés à la protection de la vie privée. La suite de l’étude permet ...

Guides

• Comment utiliser EBIOS Risk Manager pour mener un PIA ?
  Pour tous ceux qui souhaitent utiliser EBIOS Risk Manager pour mener un PIA (Privacy Impact Assessment, communément, ou analyse d’impact relative à la protection des données – AIPD, dans le cadre spécifique de l’article 35 du RGPD), voici une infographie qui synthétise la démarche : D’une manière générale, la sécurité de l’information / cybersécurité et la ...

Articles, interviews, vidéos, travaux académiques

• Hedoux, T. EBIOS RM & PIA dans une démarche outillée, 12/05/2020