Quelles sont les nouveautés apportées par EBIOS Risk Manager par rapport à la version 2010 ?
En matière de gestion des risques ou de cybersécurité, la méthode EBIOS Risk Manager est une méthode de référence développée par l’ANSSI et soutenue par le Club EBIOS. Elle permet d’apprécier et de traiter les risques numériques, conformément à la norme ISO/IEC 27005, dont les valeurs reposent sur les aspects concret, efficient, convaincant et collaboratif.
Face au bouleversement numérique, la méthode EBIOS nécessitait d’évoluer pour prendre en compte l’environnement numérique actuel (systèmes interconnectés, prolifération des menaces, état de l’art et règlementation plus mature, connaissance de la menace). La version de 2010 était très pertinente dans son contexte mais proposait une analyse séquencée, système par système. Il fallait attendre la fin de l’analyse complète pour pouvoir obtenir des résultats. La nouvelle version EBIOS Risk Manager propose une méthode d’analyse plus agile de l’ensemble des systèmes, dans leur environnement global, avec des résultats visibles étape par étape. Ce procédé d’analyse offre un aperçu plus réaliste et qualitatif. On estime qu’après appropriation, la mise en œuvre de cette démarche permet de gagner 30% de temps en comparaison avec la version de 2010. Les analyses réalisées avec cette dernière peuvent être intégrées au sein de cette nouvelle version puisque certaines mesures de traitement ont déjà été opérées. Ces mesures peuvent facilement contribuer à l’atelier 1 de la méthode EBIOS Risk Manager, lors de la définition du socle de sécurité.
EBIOS Risk Manager propose une analyse plus agile et ciblée. Elle est ancrée dans la réalité de la menace cyber et de l’environnement des systèmes concernés, et permet d’obtenir des résultats au fil de l’analyse, par ateliers exécutés. Elle prend en compte l’ensemble de l’écosystème de l’objet de l’étude.
Les analyses de risques réalisées avec la version précédente sont évidemment réutilisables dans la version actuelle. Grâce aux analyses de risques déjà réalisées, les mesures destinées à traiter les risques ont été identifiées et mises en place. Ces mesures pourront être directement intégrées au cours de l’atelier 1 de la méthode EBIOS, lors de la définition du socle de sécurité.
En effet, l’étape de définition du socle de sécurité permet d’identifier l’ensemble des bonnes pratiques, des mesures règlementaires et normatives qui s’appliquent à l’objet de l’étude, mais aussi des mesures spécifiques déjà mises en place sur le périmètre concerné.
La version 2010 n’est plus maintenue à partir de la sortie de la nouvelle version 2018.