Analyse de risques EBIOS RM et ISO 27005 : méthodes, différences et mise en oeuvre
Comparatif complet EBIOS RM et ISO 27005 pour l'analyse de risques en sécurité. Méthodes, étapes et choix stratégique pour votre organisation.
L’analyse de risques est le socle de toute démarche de sécurité des systèmes d’information. Elle est imposée par des textes aussi divers que le RGPD (article 32), la directive NIS2 (article 21) ou la norme ISO 27001. Mais quelle méthode choisir ? En France, deux référentiels dominent : EBIOS Risk Manager (EBIOS RM), la méthode de l’ANSSI, et ISO 27005, la norme internationale dédiée à la gestion des risques de sécurité de l’information. Cet article analyse en profondeur ces deux méthodes, leurs différences structurelles, et les critères qui doivent guider votre choix.
I. Pourquoi l’analyse de risques est juridiquement obligatoire
A. Les fondements juridiques
L’obligation d’analyser les risques pesant sur les systèmes d’information ne relève pas du simple bon sens : elle est inscrite dans plusieurs textes contraignants.
L’article 32 du RGPD impose au responsable de traitement et au sous-traitant de mettre en oeuvre des mesures de sécurité “appropriées” compte tenu, entre autres, des “risques” présentes par le traitement. Les obligations de l’article 32 ne peuvent être satisfaites sans une analyse de risques préalable, puisque le caractère “approprié” des mesures ne peut être déterminé qu’au regard des risques identifiés.
L’article 21 de NIS2 est encore plus explicité : il impose aux entités concernées des “politiques relatives à l’analyse des risques et à la sécurité des systèmes d’information” comme première mesure de gestion des risques. La checklist de conformité NIS2 place logiquement l’analyse de risques en tête des chantiers.
L’ISO 27001 fait de l’appréciation des risques une exigence centrale de son système de management de la sécurité de l’information (SMSI). Sans analyse de risques documentée, la certification est impossible.
B. Les conséquences d’une analyse absente ou déficiente
La CNIL a sanctionné à plusieurs reprises des organisations qui n’avaient pas realise d’analyse de risques préalable au déploiement de mesures de sécurité, ou dont l’analyse était superficielle. L’absence d’analyse de risques formalisée constitue en elle-même un manquement, indépendamment de la qualité des mesures de sécurité effectivement déployées. L’autorité de contrôle considéré en effet qu’une organisation qui n’a pas évalué ses risques ne peut pas démontrer que ses mesures sont “adaptées” au sens de l’article 32.
II. EBIOS Risk Manager : la méthode de l’ANSSI
A. Historique et positionnement
EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité) est une méthode française créée par la DCSSI (devenue ANSSI) en 1995. Elle a connu plusieurs versions successives avant d’aboutir a EBIOS Risk Manager, publiée en 2018. Cette dernière version marque une rupture méthodologique avec les versions précédentes en adoptant une approche centrée sur les scénarios de menaces et les écosystèmes.
EBIOS RM est la méthode recommandée par l’ANSSI pour les administrations et les opérateurs d’importance vitale (OIV). Elle est également la méthode de référence pour les analysés d’impact relatives à la protection des données (AIPD) en complément des recommandations de la CNIL.
B. Les cinq ateliers d’EBIOS RM
EBIOS RM s’organise autour de cinq ateliers séquentiels qui structurent la démarche d’analyse :
Atelier 1 – Cadrage et socle de sécurité. Cet atelier définit le périmètre de l’étude, identifie les missions et les valeurs métier de l’organisation, recense les biens supports (systèmes d’information, réseaux, locaux) et établit le socle de sécurité applicable. Le socle de sécurité correspond aux mesures de base qui doivent être implémentées indépendamment de l’analyse de risques (règles d’hygiène informatique, conformité réglementaire). À ce stade, il est utile de s’appuyer sur une politique de sécurité des systèmes d’information existante.
Atelier 2 – Sources de risques. L’objectif est d’identifier les sources de risques (SR) et les objectifs visés (OV). Une source de risque est une entité ou un évènement susceptible de porter atteinte aux valeurs métier : un groupe cybercriminel cherchant un gain financier, un concurrent visant l’espionnage industriel, un employé malveillant, un hacktiviste. Chaque couplé SR/OV est évalué en pertinence.
Atelier 3 – Scénarios stratégiques. Cet atelier cartographie l’écosystème de l’organisation (partenaires, fournisseurs, prestataires, sous-traitants) et construit des scénarios d’attaque de haut niveau décrivant comment une source de risque pourrait atteindre ses objectifs en passant par les parties prenantes de l’écosystème. C’est une originalité d’EBIOS RM : la méthode intègre nativement les risques lies à la chaîne d’approvisionnement, un point devenu central avec NIS2.
Atelier 4 – Scénarios opérationnels. Les scénarios stratégiques sont déclinés en scénarios opérationnels détaillés, décrivant les modes opératoires techniques : exploitation de vulnérabilités, compromission d’un prestataire, attaque par ingénierie sociale, mouvement lateral dans le réseau. La vraisemblance de chaque scénario est évaluée.
Atelier 5 – Traitement du risque. Les risques identifiés sont évalués en termes de gravité et de vraisemblance, puis positionnés sur une matrice de risques. Pour chaque risque, une stratégie de traitement est définie : réduction (mise en place de mesures), transfert (assurance cyber), acceptation (décision formelle de la direction) ou évitement (suppression de l’activité). Les mesures de sécurité retenues forment le plan de traitement des risques.
C. Forces et limités d’EBIOS RM
EBIOS RM présente plusieurs avantages significatifs. L’approche par scénarios la rend concrète et compréhensible pour les décideurs. L’intégration des risques lies à l’écosystème est particulièrement pertinente dans le contexte actuel. La méthode est adaptée au contexte réglementaire français et européen.
Ses limités sont essentiellement pratiques : la méthode est relativement lourde a déployer, nécessitant des ateliers multiples avec de nombreuses parties prenantes. Elle requiert une expertise en cybersécurité pour identifier les scénarios opérationnels de manière réaliste. Enfin, elle n’est pas normalisée au niveau international, ce qui peut poser des difficultés dans un contexte multinational.
III. ISO 27005 : la norme internationale
A. Positionnement dans la famille ISO 27000
L’ISO 27005 est la norme internationale dédiée à la gestion des risques lies à la sécurité de l’information. Elle s’inscrit dans la famille ISO 27000 et est conçue pour alimenter le processus d’appréciation des risques exigé par l’ISO 27001. La version actuelle (ISO 27005:2022) a été significativement révisée pour s’aligner avec l’évolution des menaces et des pratiques.
B. Le processus de gestion des risques
ISO 27005 définit un processus de gestion des risques en plusieurs phases :
Établissement du contexte. Définir le périmètre, les critères d’évaluation des risques (échelles de probabilité et d’impact), les critères d’acceptation des risques et le cadre organisationnel.
Identification des risques. Identifier les actifs (primaires et de support), les menaces, les vulnérabilités existantes et les conséquences potentielles. ISO 27005 s’appuie sur un modèle classique menace-vulnérabilité-conséquence, différent de l’approche par scénarios d’EBIOS RM.
Analyse des risques. Évaluer la probabilité de survenance de chaque scénario de risque et l’impact potentiel. L’analyse peut être qualitative (échelles ordinales), quantitative (valeurs monétaires, probabilités numériques) ou semi-quantitative (combinaison des deux).
Évaluation des risques. Comparer les risques analysés avec les critères d’acceptation définis préalablement. Prioriser les risques a traiter.
Traitement des risques. Définir les options de traitement pour chaque risque : modification (mesures de sécurité), maintien (acceptation), évitement ou partagé (transfert). Le plan de traitement des risques alimente directement la déclaration d’applicabilité (DdA) de l’ISO 27001.
Communication, concertation, surveillance et revue. Le processus est iteratif et doit être régulièrement revu. ISO 27005 insisté sur la communication des risques aux parties prenantes et la surveillance continue de l’environnement de menaces.
C. Forces et limités de l’ISO 27005
L’ISO 27005 bénéficie d’une reconnaissance internationale qui facilite les démarches de certification et les audits multinationaux. Son intégration avec l’ISO 27001 est native et documentée. La norme offre une grande flexibilité méthodologique : elle définit le “quoi” mais pas le “comment”, laissant les organisations choisir leurs outils d’identification et d’évaluation.
Cette flexibilité est aussi sa principale limite. L’ISO 27005 ne fournit pas de méthode détaillée pour conduire les ateliers, ce qui peut dérouter les organisations qui débutent en analyse de risques. Elle est moins prescriptive qu’EBIOS RM sur les scénarios d’attaque et l’écosystème.
IV. EBIOS RM vs ISO 27005 : tableau comparatif
| Critère | EBIOS RM | ISO 27005 |
|---|---|---|
| Origine | ANSSI (France) | ISO (international) |
| Approche | Scénarios de menaces | Menace-vulnérabilité |
| Écosystème | Nativement intègre (atelier 3) | Non spécifiquement traité |
| Flexibilite | Méthodologie prescriptive | Cadre flexible |
| Certification | Non (méthode) | Oui (norme, via ISO 27001) |
| Complexite de déploiement | Élevée (5 ateliers) | Variable selon implémentation |
| Reconnaissance | France, Europe | Internationale |
| Integration supply chain | Oui | Limitee |
V. Comment choisir entre les deux méthodes
A. Critère 1 : le contexte réglementaire
Si votre organisation est soumise à NIS2 et opère principalement en France, EBIOS RM est le choix naturel. L’ANSSI la recommandé explicitement et les inspections tiendront compte de cette méthode. Si vous visez une certification ISO 27001, l’ISO 27005 s’intègre plus naturellement dans la démarche. Les deux approches ne sont pas mutuellement exclusives : un audit de sécurité informatique peut utiliser EBIOS RM pour les risques stratégiques et s’appuyer sur l’ISO 27005 pour le cadre global de gestion.
B. Critère 2 : le périmètre géographique
Les organisations multinationales privilegieront souvent l’ISO 27005 pour son universalité. EBIOS RM, bien que rigoureuse, est peu connue hors de l’espace francophone. L’ENISA référence toutefois EBIOS RM parmi les méthodes européennes d’analyse de risques, ce qui contribue à sa diffusion.
C. Critère 3 : la maturité en sécurité
Les organisations peu matures en cybersécurité pourront trouver EBIOS RM plus accessible car plus directive. L’ISO 27005 laissé davantage de liberté mais suppose une capacité à définir ses propres procédures. Le rôle du RSSI est déterminant dans ce choix : un RSSI expérimenté saura tirer parti de la flexibilité de l’ISO 27005, tandis qu’une organisation sans RSSI dédié bénéficiera du cadre structuré d’EBIOS RM.
D. L’approche hybride
En pratique, de nombreuses organisations adoptent une approche hybride : elles utilisent le cadre global de l’ISO 27005 pour structurer leur processus de gestion des risques et recourent a EBIOS RM pour conduire les analysés de risques elles-mêmes, en particulier les ateliers de scénarios. Cette combinaison tiré parti des forces des deux méthodes et satisfait tant les exigences de l’ANSSI que celles d’un audit ISO 27001. La documentation produite alimente directement le plan de continuité d’activité et le plan de traitement des risques exigé par la norme.
Le texte de référence européen pour NIS2 est disponible sur EUR-Lex, et les guides sectoriels de l’ANSSI apportent des précisions sur les attentes spécifiques par secteur.
FAQ
L’analyse de risques est-elle obligatoire au titre du RGPD ?
Oui. L’article 32 du RGPD impose des mesures de sécurité “adaptées au risque”, ce qui présuppose une évaluation préalable des risques. La CNIL considère que l’absence d’analyse de risques formalisée constitue un manquement autonome, indépendamment de la qualité des mesures de sécurité déployées. Au-delà de l’article 32, l’article 35 impose une analyse d’impact (AIPD) pour les traitements susceptibles d’engendrer un risque élevé pour les droits des personnes.
Peut-on utiliser EBIOS RM pour une certification ISO 27001 ?
Oui, sans difficulté. L’ISO 27001 exigé une méthode d’appréciation des risques documentée mais ne prescrit pas de méthode spécifique. EBIOS RM satisfait pleinement les exigences de l’ISO 27001 en matière d’identification, d’analyse et d’évaluation des risques. De nombreuses organisations certifiées ISO 27001 en France utilisent EBIOS RM. L’important est de documenter la correspondance entre les ateliers EBIOS RM et les exigences de la norme.
À quelle fréquence faut-il réaliser une analyse de risques ?
Il n’existe pas de fréquence légalement imposée, mais les bonnes pratiques et la jurisprudence de la CNIL indiquent qu’une revue annuelle constitue un minimum. L’analyse doit en outre être actualisée lors de tout changement significatif : évolution du système d’information, nouveau traitement de données, incident de sécurité, modification de l’environnement de menaces. NIS2 impose une approche “all-hazards”, ce qui implique une veille continue sur les risques émergents.
Quelle est la différence entre analyse de risques et audit de sécurité ?
L’analyse de risques est une démarche prospective : elle identifie les risques potentiels et définit les mesures à mettre en place. L’audit de sécurité est une démarche d’évaluation : il verifie si les mesures effectivement déployées sont conformes aux exigences et efficaces. Les deux démarches sont complémentaires. L’analyse de risques définit la cible ; l’audit de sécurité mesure l’écart entre la situation réelle et cette cible.